過去一提到營運持續管理,不免讓人聯想到由英國標準協會(The British Standards Institution,BSI)所制定及推動的BS 25999營運持續管理系統標準。不過這套標準即將於今年11月正式撤銷。日前ISO國際標準組織已針對營運持續管理提出一套更完整健全的營運持續管理架構-ISO 22301。
過去一提到營運持續管理,不免讓人聯想到由英國標準協會(The British Standards Institution,BSI)所制定及推動的BS 25999營運持續管理系統標準。這套透過建立計畫(PLAN)、實行與運作(DO)、監控與檢討(CHECK)以及維護與改善(ACT)等管理系統架構準則,可以協助企業建立良好防護機制的標準,在災害衝擊時預防營運服務中斷,萬一遇上不可防止的破壞,也能確保重要作業得以及時復原,也因此,不少企業已經透過BS 25999營運持續管理系統的驗證機制,來建立企業內部永續營運的程序。
不過,這套標準即將於今年11月正式撤銷。今年五月ISO國際標準組織已針對營運持續管理提出一套更完整健全的營運持續管理架構-ISO 22301,並將取代BS 25999成為全球公認的營運持續管理系統標準。英國標準協會台灣分公司資深客戶經理劉昱廷指出,雖然BS 25999已正式轉版為ISO 22301,但企業也無須擔心,因為標準內容係參考了BS 25999 Part-2而建立,在內容上依然包括了營運持續管理生命周期內的所有要素。
|
▲ISO 22301的宗旨與BS 25999相同,都是為了協助企業能夠達成營運持續管理而設。(資料來源:BSI) |
「ISO 22301與BS 25999在主軸上是相同的。但是ISO 22301在條文撰寫的方式進行改變,遵循ISO規範,改以十個章節形式描述,同時強化了部分細節內容,例如ISO 22301在第七章支持的章節中也特別強化了溝通的要求,內文提到組織應決定與營運持續管理系統有關之內外部溝通的需求。因此,ISO 22301以大篇幅訂定溝通的相關要求,包括通報系統與事件期間的溝通,當相關作業涉及不同組別時,如何有效溝通並且確認溝通機制的有效性等等。」 他接著舉例,另外在第八章的警示與通報中,ISO 22301對中斷事件的日常監控與發生時的警示與通報要求也比BS 25999的事件溝通更具體與完整,甚至要求做到確實演練以確認警示與通報程序的有效性。
隨著BS 25999轉版到ISO 22301,已取得BS 25999營運持續管理系統驗證的組織也必須在緩衝時間內完成轉換,劉昱廷提到,最晚在2014年6月1日前必須完成轉換,一旦過了這個時間,證書就會失效,若是企業要取得營運持續管理系統驗證,便須重頭再來過。 「由於ISO 22301與BS 25999在內容主軸上有九成的相同度,因此,企業或組織只要針對剩下一成的細節規範進行調整,只要針對不足的地方補強,像是修訂程序書等等,轉換的難度並不會太高。」
另外,已取得稽核員身份的IT人員,目前也提供為期兩天的轉版課程,協助稽核員取得證書的轉換。根據規範,轉版課程結束後仍會舉行筆試,才能核發合格證書。