发布时间 : 星期五 文章BCM相关国际组织与国际法规简介V1.0更新完毕开始阅读
必要性、日本业务持续计划的特征、以及业务持续共同追求的目标等);
第2 部分:业务持续计划及内容(灾害对象的确认、冲击程度的评价、重要业务受灾的估计、教育培训等);
第3 部分:给经营者和社会的建议。
2.7.2 续》
2005 年8 月19日,日本经济产业省商务情报局发布了《事业继续计划(BCP)制定指导方针——IT 社会中的企业存续》。这是日本官方发布的第一个关于BCM的指导方针。该指导方针主要针对IT 事故,强调企业构建内部信息安全体制,制定业务持续计划的重要性。
这一指导方针的主要内容包括:
第1 章:基本思想(BCP 的必要性、制定BCP 的背景、BCP的特征、世界和日本的发展趋势);
第2 章:概述(制定BCP时应考虑的事项、从业务冲击分析到制订BCP的流程、BCP的贯彻执行与教育培训、BCP 的维护与管理);
第3章:制定BCP应探讨的项目(探讨的内容与要点、实施BCP的体制、启动BCP的应对要点、重新开展业务的应对要点、业务恢复的应对要点、全面恢复的应对要点、风险信息交流的重要性);
第4章:个别计划(应对大规模系统故障、应对突发安全事件、应对情报泄露及篡改数据事件)。
2.7.3
《中小企业BCP 制定运用指导方针》
《事业继续计划(BCP)制定指导方针——IT 社会中的企业存
由于日本的中小企业数量众多,其比例超过全国企业总数的99%。所以,中小企业在灾难发生时能否继续生存,保持业务持续运行,不仅会影响局部地区的经济,还将给整个日本的经济带来严重影响。因此,日本政府非常关注中小企业应对灾难的能力。2006 年2 月,日本经济产业省中小企业厅,根据中小企业的特点和现状,编制了《中小企业BCP 制定运用指导方针》。这是一部专为日本中小企业量身定做的BCM 规范,其特点是简单易懂、操作方便。
此外,日本经济产业省中小企业厅为了使广大中小企业迅速掌握制定BCP的方法,还专门根据该指导方针设计了初级、中级和高级三门课程。初级课程是针对不了解BCM的初学者而设计的,主要目的是使他们了解 BCM的基本内容和制定BCP的基本方法;中级课程是为系统学习BCM理论、掌握建立BCP的
完整过程而设计的;高级课程是针对已有一定BCM实践经验、并需要进一步深造的专业人员和企业家而设计的。
2.7.4
其他规范指南
其它相关的标准指南还有,2006 年3 月由行业团体金融情报系统中心发布的《紧急时应对计划制定指南书》,以及2006 年9 月由内阁官房情报安全中心发布的《重要基础设施安全基准等指导方针》。另外,2007 年11 月,日本情报处理开发协会开始研讨“业务持续管理系统(BCMS)适用性评价制度”,目的是提高日本业务持续管理的水平和信赖度。
从2005 年开始,日本政府各主管省厅分别制定和出版了一系列有关BCM 和BCP的指导方针。值得一提的是,为了适应BCP 的国际标准化趋势,日本政府未雨绸缪,在2008 年4 月1 日开始实施的日本版SOX 法(企业改革法)中增加了很多保障业务持续的相关内容。
同时,日本政府为了在BCM的国际标准中占有主导地位,从而维护国家和企业的利益,积极地参与BCM国际标准化的工作。日本政府在经济产业省内设立了以日本规格协会为事务局的“业务持续计划工作组”,该工作组在2005 年9 月召开的国际标准化组织(ISO)会议上,散发了《事业继续计划(BCP)制定指导方针》的英文资料,引起了有关国际组织及各国与会代表的重视。并且,日本政府在广泛征求了各方(包括企业家、专业人士、以及政府官员)意见后,于2006 年2 月中旬完成了日本关于业务持续计划(BCP)国际标准化草案,并于2006年4月,在意大利佛罗伦萨召开的ISO关于“应急预案与业务持续”(Emergency Preparedness and Operational(Business)Continuity)的国际会议上,向大会提交了该BCP 国际标准化建议案。
2.8 ISO27000系列标准
成立于1947年的国际标准化组织(International Organization for Standardization,ISO)虽然目前尚未发布专门的BCM国际标准,但其自2005年开始陆续发表的ISO27000系列国际标准(例如ISO27001、ISO27002、以及ISO27006等)中,却已包含了许多BCM的内容,尤其是在ISO27002中,对信息系统的安全管理提出了明确的BCM要求。ISO27000是专门针对信息安全管理体系(Information Security Management System,ISMS)而制定的系列标准,现分别简介如下:
2.8.1
ISO27001:2005
ISO27001:2005(Information Security Management Systems – Requirements)
是于2005年发表的关于信息安全管理体系(ISMS)规范的标准,它是作为第三方认证的基础。ISO27001是为了取代BS7799-2:2002标准而发布的。其主要内容包括:范围,术语及定义,参考资料,信息安全管理体系(ISMS),管理职责,管理审查,ISMS改进。
2.8.2
ISO27002:2007
ISO27002:2007(Code of Practice for Information Security Management)的前身是2005年发表的ISO17799,2007年作为信息安全管理守则正式更名为ISO27002,但内容上并没有变化。ISO27002:2007中详细说明了用于保证信息及相关资产安全的数百种控制措施,并提出了明确的BCM要求。主要内容有:范围,术语及定义,标准的结构,风险评估和处理,安全指导方针,信息安全的组织机构,资产管理,人力资源安全,物理安全,通信及运行管理,访问控制,信息系统的获取、开发及维护,信息安全事件管理,业务持续管理(BCM),法规遵从。
2.8.3
ISO27006:2007
ISO27006:2007 (Requirements for Bodies Providing Audit and Certification of an ISMS)也是在2007年上半年发表的关于“对提供信息安全管理体系审计和认证的机构的要求”的标准。主要内容包括:范围,参考,术语,原则,一般性要求,组织结构要求,资源要求,信息要求,流程要求,认证机构的管理系统要求。
2.8.4
其他
其他将要发布的标准还有ISO 27003:ISMS实施指南(ISMS implementation guidelines);ISO 27004 ;信息安全的指标及其衡量(Information security metrics and measurements);ISO 27005:ISMS的风险管理(ISMS risk management)等等。
2.9 美国SOX法案
萨班斯-奥克斯利法案(Sarbanes- Oxley Act of 2002,简称SOX)是美国政府于2002年通过的法律。它是由美国国会参议员保罗.萨班斯和众议员迈克尔.奥克斯利发起的。SOX法案主要是针对一些美国知名大公司(如Enron公司和WorldCom公司)的财务丑闻而制定的。这些丑闻导致公众对上市公司财务报告失去了信任,该法案就是为了通过加强上市公司的财务控制及其报告程序来保护股东和普通民众免受企业统计错误和欺骗行为的损害,从而恢复公众的信任和投资者的信心。
SOX法案由美国证券交易委员会(SEC)负责执行。SEC设置了遵从的底线并发布了规则要求。SOX法案不是商业行为,也不规定企业保存财务记录的方法,而是规定这些记录应该保存多长时间。这一法案不仅影响了公司的财务部门,还影响了负责存储公司电子记录的IT部门。该法案指出所有商业纪录,包括电子记录以及电子消息,都必须保存“至少五年”。违反该法案则会受到严厉的经济处罚(个人最高可处500万美元罚款)并可能承担刑事责任(最高可判监禁20年)。因此,IT部门将面临新的挑战——高效地创建并维护公司记录档案以满足法案提出的要求。
虽然在萨班斯-奥克斯利法案中并没有直接关于BCP(Business Continuity Planning)或DRP(Disaster Recovery Planning)的描述,但其中某些条款的要求,却只有当企业建立了有效的BCP和DRP,才能很好地得到满足。例如,法案的302条款、404条款、及409条款等,都有一些相关的要求。
2.9.1
SOX 302条款“企业财务报告的责任”
在SOX 302条款“企业财务报告的责任”(Section 302:Corporate Responsibility for Financial Reports)中,明确要求企业CEO和CFO签署承诺书以保证其季报和年报的准确性。规定高管层必须在90天内完成内部控制的有效性评价并提交报告,这就要求确保企业财务系统的完整并维持系统服务持续不断。
2.9.2
SOX 404条款“管理内部控制的评估”
在SOX 404条款“管理内部控制的评估”(Section 404:Management Assessment of Internal Controls)中,要求企业编制、测试和报告其内部控制框架,并提供外部审计师对这些控制效果的验证。对普通财务系统和大型企业信息系统都要求有内部控制,并要求在内部控制框架中应包括业务持续规划及灾难恢复的考虑。
2.9.3
SOX 409条款“发行人实时信息披露”
在SOX 409条款“发行人实时信息披露”(Section 409:Real-time Issuer Disclosures)中,要求企业必须在48小时内清楚准确地报告财务状况和经营中的重大变化,这就要求财务监控措施应该高度自动化。因此,当系统在监控过程中遇到离线升级或停电时,或者其他引起系统中断的事件时,要想确保对此时可能发生的“重大变化”继续进行监控,就必须具备有效的BCP和DRP。
以上SOX法案的几个条款中虽没有对BCM的直接要求,但其内容中所要