银行数据中心建设与管理，满足ISO22301连续性标准

1.标准简介

国际标准化组织（ISO）于2012年5月15日正式颁布了ISO22301：2012《社会安全—业务连续性管理体系—要求》。

ISO22301的前身是英国标准协会（BSI）发布的BCM标准BS25999。BS25999为全球首个业务连续性管理体系国家标准。

ISO22301作为一个全新的、用于认证的国际标准，为全球范围内的各类组织，提供了业务连续性管理的规范依据。作为企业风险管理最后一道防线的BCM国际标准，ISO22301管理体系框架能够帮助企业制订一套一体化的管理流程计划，使企业对潜在的灾难加以辨别分析，帮助其确定可能发生的冲击对企业运作造成的威胁，并提供一个有效的管理机制来阻止或抵消这些威胁，减少灾难事件给企业带来损失。与BS25999相比，ISO22301拥有更高的国际认可度，它强调制订目标、监测表现和指标、对企业管理层提出了更加清晰的期望值，对业务连续性计划的制订提出了更高的要求。

ISO22301适用于所有行业中的大、中、小型公有及私有企业，并且特别适用于处于高风险和高度监管环境下的行业，如金融业、IT通信业、制造业等。各行各业的企业面对国际及中国地区不断频发的自然灾害及人为事故，其业务运作的不确定性和风险都被大幅度增加，而加强企业业务连续性管理则成了打造最佳企业应急预案的必备选择。其目的在于帮助企业对潜在的灾难加以甄别与分析，及早确定可能发生的冲击对企业运作造成的威胁，并提供合理的管理机制有效地阻止或抵消这些不确定事件造成的威胁，减少突发事件给企业带来的损失，保证企业日常业务运行的平稳有序。

我国于2014年1月7日发布GB/T30146—2013《公共安全业务连续性管理体系要求》，该国家标准等同采用国际标准ISO22301：2012，该标准的出台为我国组织在业务连续性管理体系获得国际广泛认可提供了保障。

2.标准内容

ISO22301标准分为10个主要条款，分别是范围、规范性文献、术语和定义、组织、领导、策划、支撑、运行、评价和改进。

ISO22301：2012是以其他管理体系标准所依据的“计划⁃执行⁃检查⁃行动”PDCA循环模式为基础创建的，其主要特点有：规定了业务连续性管理体系（BCMS）的要求；BCMS的采用和取得对标准实施的认证，可以证明企业已做好准备，可以应对灾难性事件的发生并且应该能够持续保持现状；规定的要求具有广泛的适用性，可以适用于任何类型或规模的企业；可以将危机和灾难性事件造成的财务影响最小化。

3.标准价值(www.xing528.com)

ISO22301：2012将帮助所有的组织，无论其规模大小、地域或开展的活动如何，在处理任何类型的风险时能更好地应对并更具信心。

在任何时候事故都能使组织的业务中断，采用ISO22301标准将保证组织能够应对事故并保证其业务的持续运行。事故发生有多种类型，从严重的自然灾害和恐怖主义活动到与技术相关的事故和环境事故。然而，许多事故虽然小，但能产生严重的影响，这在任何时候都与业务连续性管理紧密相关。

目前，业务连续性管理已经引起全球的关注，无论是公共或私有部门的组织都必须了解如何准备和应对意外的破坏性的事故发生。ISO22301标准为业务连续性管理体系（BCMS）的策划、建立、实施、运行、监视、评审、保持和持续改进提供了框架。当破坏性的事故发生时，该标准将有助于组织的防护、准备、响应和恢复。

实施ISO22301标准的组织将能够向立法部门、执法部门、消费者和潜在消费者以及其他的利益相关方证明，他们满足了BCM良好规范的要求。同时，该新标准也可用于组织内部按照良好规范进行内部检查，并通过内审员出具管理报告。

基于行业的特性，中国大陆的银行业走在了业务连续性管理的最前沿。随着商业银行提供的服务越来越深入到国民经济社会生活中，银行机构运营的稳健性和安全性，已不仅仅只关系着其作为一个法人组织的经济收益、股东权益和组织生命力的问题。它更是一个关系着整个国家金融安全和社会秩序稳定与否的重大国计民生问题，牵动着整个国家和社会运行的每一根神经。保证业务连续性，成为商业银行的重大经营目标之一。银监会在2011年6月发布的《中国银行业信息科技“十二五”发展规划监管指导意见》中对其监管范围内的各类型商业银行提出了加强业务连续性建设、构建业务连续性管理体系的要求。2011年12月，银监会正式发布《商业银行业务连续性监管指引》，从行业监管的高度提纲挈领地提出了商业银行应当建立业务连续性管理体系的战略规划，拓展了商业银行全面风险管理体系的理论和实践的内涵和外延，对我国商业银行的运营模式、银行体系的稳健性乃至宏观经济的运行和国家金融安全的稳定产生了深远的影响。以《商业银行业务连续性监管指引》为蓝本，逐步引导中国金融机构建立完备的业务连续性管理体系，是其防范和应对组织内外各种日益频繁的中断威胁和事件的重要措施，同时，这也将是我国商业银行走出国门与国际行业规范接轨，遵守国际银行经营管理的“游戏规则”，提升自身综合竞争力的战略目标之一。

4.认证方法

ISO22301将帮助组织在设计BCMS时适宜地满足自身的要求和满足其利益相关方的要求，这些要求涉及：法律法规、组织和行业因素、组织的产品和服务、组织的规模和结构、组织的过程和其利益相关方。为了使组织更好地运行，ISO22301标准要求组织应完全理解其要求，而不仅仅是一个项目或制订“一项计划”。BCM是一个连续的管理过程，需要有能力的人员来运作，当需要时，应提供适当的支持。

ISO22301是符合新的ISO管理体系标准编写格式的第一个标准。这将有助于对标准内容的理解，并保证与其他管理体系，如ISO9001（质量管理体系）、ISO14001（环境管理体系）和ISO27001（信息安全管理体系）的一致性。ISO22301是用于BCM的管理体系标准，适用于所有规模和类型的组织第三方认证以及自我评价。这些组织将能够获得符合该标准要求的全球承认的证书，从而向立法部门、执法部门、顾客、潜在顾客和其他利益相关方证明，他们满足了BCM良好规范要求。ISO22301标准也能使业务连续性经理向最高管理者表明，已经满足了国际标准要求。