譽杰咨詢信息安全專版
400-960-6082
BS25999業務持續管理體系認證項目解析

  2009年11月23日,萬國數據服務有限公司(簡稱GDS)正式通過了英標管理體系認證有限公司(BSI)審核員與臺灣技術專家最后一天的現場審核,獲得了中國第一張BS25999業務持續管理體系認證證書。這張證書的獲得,使GDS在業務連續管理領域持續領先,同時也讓GDS成為中國首家同時擁有ISO9001質量管理體系、ISO27001信息安全管理體系、ISO20000IT安全管理體系、BS25999業務持續管理體系四張管理證書的企業。

  GDS作為中國第一家專業從事災難恢復咨詢與外包服務的企業,目前已成長中國災難恢復與IT外包服務領域的領軍企業,同時也是中國高可用性IT服務的倡導者。

  為向客戶提供更系統、更專業的高可用性IT外包服務,GDS非常重視國際先進經驗的導入,并在服務、管理與技術方面進行不斷地創新。經過多年的努力,目前GDS已獲得了許多的業界第一,包括:第一家符合國際標準的商業化災難備份和恢復中心,第一個銀行業災難恢復外包案例,第一個保險行業災難恢復外包案例,第一個政府機構災備咨詢服務案例,第一張由公安部和人民銀行頒發的災難備份服務資質證書,國內第一份災難恢復類信息安全服務資質等。

  在管理體系建設方面,GDS也獲得了許多業界第一,包括:在2005年作為第一家IT外包服務商通過了BS7799(ISO27001的前身)與ISO9001的認證,為GDS的數據中心管理奠定了“質量”與“信息安全”兩個重要的基礎;在2008年通過了ISO20000認證,使GDS成為中國第一家同時通過ISO20000認證、ISO9000認證與ISO27001三大管理體系認證的IT外包服務商,從“服務”的角度將GDS的管理水平提升到一個新的臺階。

  隨著客戶群的增多、業務范圍的擴展與數據中心設施的增加,一個重要問題進入到GDS管理層的議事日程當中:作為災難恢復咨詢與外包服務的領軍企業,GDS已成為眾多企業的最后一道防線。如何能將這道防線修筑成“銅墻鐵壁”,踐行GDS對客戶的承諾,這不僅關系到客戶自身的業務、也會影響整個社會對災備行業價值的判斷。因此,GDS需要引入一套管理體系去進一步提升自身業務連續性管理的能力,同時也需要通過第三方的認證以驗證該能力的存在。

  BSI所制定的BS25999標準恰恰可以幫助企業建立起一種快速恢復的能力,確保企業由于潛在威脅發生后對企業業務造成中斷的影響時,可以最大限度地保護利益相關方的權益、企業的聲譽、品牌。經過兩家公司高層的協商,GDS決定由BSI公司提供BS25999認證服務,共同打造國內第一張BCMS(業務連續管理體系)認證證書。

  自2009年6月份兩家公司召開了隆重的認證合同簽約儀式后,BSI的專家就與GDS的管理團隊開始了為期3個月的體系建設過程。

  由于BS25999的部分要求與GDS已運行將近4年的ISO27001與ISO20000中的要求比較類似,加上GDS自身的業務又恰恰是為客戶提供業務連續性管理的咨詢與外包服務,無論是在員工意識、管理文檔還是演練記錄部分相對比較成熟。經過與BSI專家的溝通,GDS制定了“通過自身的力量,在現有管理體系的基礎上整合BS25999的管理要求”的項目實施策略。

  根據前面的實施策略,GDS項目組與BSI的專家一起對GDS原有的管理進行仔細的差異分析,找出GDS目前管理上與BCMS中規范要求的差距,并以此制定項目計劃。

  同時,GDS還邀請BSI專家為GDS項目組與相關同事針組織了多場BS25999標準的培訓。通過這些培訓,讓項目組成員與管理體系相關的同事能更好地理解組織即將導入的新標準的要求。

  GDS項目組成員結合了標準的要求,在充分考慮GDS業務特點的基礎上,創造性地開發了一套針對數據中心服務的業務影響分析方法,并將原用于ISMS(信息安全管理體系)的風險分析方法與BS25999中要求的風險分析進行了融合,最終確定了GDS的關鍵業務、可能面臨的風險,與相對應的業務連續性策略。

  在前面的業務連續性管理策略的指導下,GDS項目組對GDS原有的應急響應計劃、業務連續計劃、預案演練機制與形式等進行了重新的評估,并根據BS25999中相應的要求對之進行了重新的設計與開發。此外,GDS項目組人員還通過對BS25999與GDS現有三套管理標準的分析,將BCMS方面的要求整合到原來的整合管理體系當中。

  為確保這些調整過的預案、計劃能符合標準與GDS的運營實際,GDS還通過對這些新文檔、預案的演練與培訓,讓體系內的相關人員可以親身參與并驗證相關的計劃,同時也加深了大家對BS25999的理解。

  由于BS25999強調的是一個管理體系的建設,除了上面提到的事件管理計劃、業務連續計劃與恢復計劃的演練外,GDS項目組與體系內相關同事通過項目實施期間的文件管理、管理評審、內審等工作去體驗BS25999為GDS原管理體系所帶來的變化。

  考慮到GDS是作為中國第一家企業去申請BS25999認證,為確保項目組成員對標準的理解與BCMS建設的實踐能符合認證機構的要求,GDS請到了BSI的專家對GDS所建設的BCMS的設計與執行情況進行全面的審核。通過這次預審,GDS所建設的BCMS得到了BSI專家的認同,并開始進行正式審核的準備與申請。

  此階段,BSI邀請了包括臺灣CBCP在內的業內專家對GDS進行了全方位的審核,包括:風險分析、業務影響分析的方法論的合理性;業務連續性策略制定的合理性;BCMS體系文件設計的合規性;BCMS體系運行的真實性等。通過這項工作,一方面可以從中立與專業的角度去評估GDS在業務連續性管理方面的能力,另一方面也可以通過這種審核形式讓GDS了解國際標準的要求與業界的最佳實踐。

  BS25999認證的通過,不僅意味著GDS在業務連續管理能力方面已經上了一個新的臺階,同時也標志著GDS在數據中心管理創新方面邁出了具有深遠意義的一步,為GDS全面推出“高可用性IT服務”奠定了一個堅實的基礎。

  BS25999認證通過前,經常會有客戶提出這樣的疑問:“GDS是為客戶提供災備服務的,那么當GDS面臨災難時,你們會如何保證向客戶提供服務呢?”通過這次認證,可以證明GDS具有這種快速恢復的能力,當災難事件來臨時,GDS可以利用這種能力最大可能地保護包括客戶、員工在內的利益相關者的權益。

  BS25999認證通過后,GDS更清楚自身的關鍵服務、關鍵活動與可能的風險,為后續的技術手段與日常管理提出了更為明確的方向。這些輸出又成為GDS現有信息安全管理、IT服務管理與質量管理等日常管理工作的輸入。最終,GDS利用“質量”、“信息安全”、“IT服務”與“業務連續”四個支點將整體服務水平提升到更高的層次。

  此外,通過此次BS25999的認證,讓GDS原用于協助客戶實現業務連續性管理目標的最佳實踐“EAM(企業可用性管理方法論)與國際上關于業務連續管理的最佳理論體系BS25999產生了良好的化學反應,形成了一套兼顧國際標準與最佳實踐的業務連續性管理實施方法論。GDS可以利用此次項目所提煉的方法,更好地服務于客戶,與業界一起共同提升中國政府、企業的業務連續管理水平。

 


上一篇:BS25999標準應用前景
下一篇:沒有了
平特肖公式大全