英国标准协会相关文章银监会BCM指引解读及落地123作者：BSI毛宇众所周知，银行业务对业务连续性方面的要求近乎苛刻，需要采用业内最高标准进行系统的规划，设计和构建

但近期发生的多次银行业务中断事件表明，尽管银行业的灾难恢复和数据保全方面已经非常完善，仍然不能避免业务中断事件的发生，而业务连续性管理所解决的就是“一旦灾难发生，企业能够在多长时间内恢复多少业务”的问题

银监会对业务连续性方面的关注也从其陆续发布的系列指引可见一斑

早在2010年4月银监会发布的《商业银行数据中心监管指引》中，就已经提及了灾难恢复管理，并指出重要信息系统灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》 中定义的灾难恢复等级第5级(含)以上的要求；2011年12月28日银监会更是专门针对业务连续性管理下发了《商业银行业务连续性监管指引》（以下简称：指引），足见银行业对业务连续性的重视

从该指引的结构上来看，其主要要求覆盖了BS 25999标准中的全部主要内容，并针对银行业的具体情况对相关方面进行了量化的规定

指引主要分为八个章节，其中第一章到第五章基本上与BS25999的3到6能够完全对应

第六章描述了所建立的业务连续性管理体系如何在中断事件中应用，第七章则提出了银监会在业务连续性方面的监管要求

指引要求的落地，可以考虑参考被业界广泛认可的来自业务连续性协会BCI的《业务连续管理良好实践指南》,并基于BSI的业务连续管理生命周期模型来实现，共分为六部分工作

一、方针和方案管理：推动组织实施业务连续性管理需要组织在实施初期启动一个业务连续性Program，这一阶段的初始目的是成功的完成一个BCM的生命周期，但是BCM方案管理的长期目标是提高组织的BCM能力，并因此通过实现连续的BCM生命周期循环，加强组织的运营弹性

一旦实施，如果BCM方案有效，则应制定持续改善的周期对其进行管理，在指引中明确规定了持续改善的周期是3年

二、将BCM融入组织文化：指引第九条指出，商业银行应当将业务连续性管理融入到企业文化中，使其成为银行机构日常运营管理的有机组成部分

实现文化融入的方法和途径在BS 25999的3.3有明确的叙述

三、理解组织：理解组织主要由业务影响分析BIA，风险评估RA和连续性资源分析CRA三部分组成

由于指引针对的是银行这个特定行业，因此在指引中也具体规定了“重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时

”的具体要求

四、确定BCM策略：在商业银行具体实施指引过程中要求根据业务影响分析结果，依据业务恢复指标，制定差别化的业务恢复策略，主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等

五、制定和实施BCM响应：指引中要求商业银行应该制定覆盖所有重要业务的业务连续性计划，并建立制定总体应急预案和重要业务专项应急预案

同时还强调了应当要求重要业务及信息系统的外部供应商建立业务连续性计划，证明其业务连续性计划的有效性，其业务恢复目标应当满足商业银行要求

另外根据银行业同业间的特点，特别强调了商业银行应当注重与金融同业单位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划的有效衔接问题

六、演练、保持和评审:指引强调商业银行应当开展业务连续性计划演练，以检验应急预案的完整性、可操作性和有效性，验证业务连续性资源的可用性，提高运营中断事件的综合处置能力

商业银行应当将外部供应商纳入演练范围并定期开展演练；同时，应当积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门等组织的业务连续性计划演练，确保应急和协调措施的有效性

指引要求商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练

指引的最后部分强调指出了银监会对业务连续性管理的监管要求

指引中要求商业银行应当于每年一季度向银监会或其派出机构提交业务连续性管理报告，包括上一年度业务连续性管理的评估报告与审计报告

此类报告的完成可以自行完成，但考虑到专业性和公信力的问题，银行也可以考虑请BSI这样对标准有深入理解，对行业有丰富经验的专业第三方公司或组织来进行

第一个业务连续性管理国际标准ISO 22301正式发布，该标准是BSI对行业的再一个重大的贡献

作为行业的领先者BSI已经在100多个国家进行了ISO 22301的前身BS 25999相关服务的推广，并在43个国家开展了BS 25999的认证业务

借助BSI在业务连续性管理方面丰富的经验，必将为提升银行业业务连续性能力做出贡献ISO 27001新版修订简介作者：BSI王永霞自2005年国际标准化组织(简称:ISO)将BS 7799转化为ISO 27001：2005发布以来，此标准在国际上获得了空前的认可，相当数量的组织采纳并进行了信息安全管理体系的认证, 至2011年底，国际上颁发的ISO 27001认证证书总数约为15625张（其中，BSI的市场占有率达约为45.65%）

在我国，自从2008年将ISO 27001:2005转化为国家标准GB/T 22080:2008以来， 信息安全管理体系认证在国内进一步获得了全面推广，至2011年底，国内颁发认证证书数量是1107张

越来越多的行业和组织认识到信息安全的重要性，并把它作为基础管理工作之一开展起来

然而过去的几年中， IT领域和通信行业发生了非常大的变革，出现了全面的业务和技术的融合

移动互联网蓬勃兴起、智能手机的广泛采用、云计算技术的风起云涌，带来了全新的网络威胁、数据泄漏和欺诈的风险

面对这样的变化和趋势，使得信息安全管理体系标准的更新也变得日益重要

ISO对标准的更新，一般是以三年为一个周期,但因为ISO 27001：:2005标准发布后的巨大成功，以及ICT行业的飞跃发展，使得这个标准的更新变得非常谨慎，已有7年

从ISO组织发布的最新信息可以看到，ISO 27001标准的更新筹备实际上已经在2008年开始，任命了工作组（JTC 1/SC 27 WG 1）；2009年正式启动更新

处于该标准草案（Committee Draft）正在编写委员会讨论层面（30.20：2012-06-20），预计新版发布时间会在 2013-10-19，那时我们就可以一睹它的全新面貌了

从ISO 27001标准新版更新的一些说明材料中，可以看出这次ISO 27001标准改版将会具有以下几个特征：采用ISO导则83ISO导则83，规范了今后ISO管理体系认证标准的基本框架；采用导则83颁布的第一个标准发布的业务连续管理体系标准——ISO 22301:2012

导则83对今后的标准提出了新的框架要求，标注了ISO27001新版与2005版结构的对比和差异：在这个框架下，明显的改变有如下几点：标准第4-7章，说明管理体系的一般要求，包括： 组织的情境、领导力、策划和支持；标准第8章，描述ISMS实施要求，包括信息安全风险评估和处置；标准第9章，描述监视，测量和评审活动的要求；标准第10章，描述改善活动的要求；其中，取消了预防措施

信息安全风险管理与ISO 31000风险管理保持一致新版的ISO 27001标准中信息安全风险管理要求与ISO 31000:2009 (Risk management——Principles and guidelines) 保持一致，并遵从其中的定义

在新版标准中明确了以下要求：信息安全风险评估：组织应确定如何确定其信息安全风险评估和处置过程的可靠性

信息安全风险处理：适用时，组织应调整信息安全风险评估和处置过程，以及采用的方法，以改善过程的可靠性

保留附录A控制措施与控制目标新版ISO 27001依然会保留SOA和附录A控制目标、控制措施的架构；因此，毫无疑问，ISO 27001的新版修订一定会与ISO 27002的修订同步进行

事实上，关于控制措施和控制目标的修订，也是应对新的变化的信息安全威胁和风险必须的选择；这部分的更新，在修订项目中，接受了大量的修改建议，争论也相当大，还没有最后的结论

持续发展27系列支持性标准ISO 27001从诞生第一天开始就不是孤立的，为了支持信息安全管理体系标准，ISO27系列发布了一系列普遍适用和行业适用的参考标准

一些支持性标准的状态如下表：标准名称状态ISO 27000Overview and vocabularyDISISO 27001RequirementsCDISO 27002Code of practice for information security managementWDISO 27003Information security management system implementation guidancePublishedISO 27004MeasurementPublishedISO 27005Information security risk managementPublishedISO 27006Requirements for bodies providing audit and certification of information security management systemsPublishedISO 27007Guidelines for information security management systems auditingPublishedISO 27008Guidelines for auditors on information security controlsPublishedISO 27010Information security management for inter-sector and inter-organizational communicationsPublishedISO 27011Information security management guidelines for telecommunications organizations based on ISO/IEC 27002PublishedISO 27013Guidelines on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1FDISISO 27014Governance of information securityFDISISO 27015Information security management guidelines for financial servicesWDISO 27016Organizational economicsWD古希腊哲学家赫拉克利特因其作为辩证法的奠基人闻名于世，他曾经写道“一切皆流，无物常住”，过去几年中，国际上几乎所有行业和组织面临的信息安全风险的局势无不体现了赫氏的这一学说

变化和发展是永恒的，信息安全风险总是处在持续演进中，攻击者的手段依然会层出不穷

因此信息安全管理的实践和标准都在不断发展，我们唯一要做的就是保持警惕，随时准备抵御风险

以上内容由大学时代综合整理自互联网，实际情况请以官方资料为准。