日本BCM相关标准和指南
2011年05月20日 chinabcm 管理员
自从911之后,欧美各国以及澳大利亚、新加坡等国家加快了业务持续管理的理论研究和实践活动,日本政府开始高度重视业务持续在本国的发展,投入了大量的人力物力制定了一系列的危机管理和业务持续的标准指南,其目的在于为企业经营者建立一个共识和准则,以便于企业参照执行,从而加强企业抵御灾难的能力。从日本BCM标准指南的发展过程,可以看出日本政府对BCM发展的指导是BCM得到快速发展的重要因素之一。
1996年,日本金融情报系统中心(FISC)制定了《金融机构等应急响应计划纲要》,针对金融机构信息系统的安全问题,规定了紧急情况下的响应计划及其运用原则等;2006 年3 月,FISC再次修订了《金融机构等应急响应计划指南》。针对IT产业,日本早在1981 年就开始规定了有关“情报处理服务业情报系统安全对策实施事业所认定基准”的认证制度。目前,日本根据国际标准化组织(ISO)“关于信息安全国际标准规范”(ISO/IEC 17799)的要求,又建立了信息安全管理体系(ISMS)的认证制度,并在ISMS 中专门加入了“业务持续管理”的内容。
2002 年3 月,日本银行发布了《假定金融机构据点受灾的业务持续计划方案”》。
2002年4 月,日本情报处理发展协会(JIPDEC)发布了《情报安全管理体系(ISMS)适用性评价制度》,这也是日本第一个有关业务持续管理(BCM)的规定。
2003 年7 月,日本银行制定了指导性文件《关于完善金融机构的业务持续体制》,对金融机构的BCM建设提出了具体的要求。
2004 年10 月23 日,日本新澙县中越地区发生里氏6.8 级强烈地震,造成了重大的生命财产损失。灾后对受灾企业损失情况的调查表明,预先准备好了BCP的企业所受到的损失明显小于没有BCP的企业。这充分说明了BCM的重要性。因此,从2004 年起,日本从中央政府到企业对BCM的重视程度就发生了质变(这很类似于美国911事件后的情形)。日本对BCM的实际应用也进入了一个快速发展的新阶段。
2005 年7 月,日本政府对《防灾基本计划》进行了修订,明确写进了“制定BCP 是企业防灾工作的关键环节”。此后,一系列的关于BCM的标准指南相继出台。以下列举几个主要的标准指南加以简介。
《业务持续指南第一版——为提高我国企业减灾和应对灾害的能力》
2005年8 月1 日,日本中央防灾会议下属的“运用民间和市场的力量提高防灾能力专门调查组”及“企业评价与业务持续工作组”针对自然灾害(特别是地震)对企业的影响,制定了《业务持续指南第一版——为了提高我国企业减小灾和应对灾害的能力》。
该指南的主要内容包括三部分:
第1 部分:业务持续的必要性与基本思想(灾害发生时致力于业务持续的必要性、日本业务持续计划的特征、以及业务持续共同追求的目标等);
第2 部分:业务持续计划及内容(灾害对象的确认、冲击程度的评价、重要业务受灾的估计、教育培训等);
第3 部分:给经营者和社会的建议。
《业务持续计划(BCP)制定指导方针——IT 社会中的企业生存》
2005 年8 月19日,日本经济产业省商务情报局发布了《业务持续计划(BCP)制定指导方针——IT 社会中的企业生存》。这是日本官方发布的第一个关于BCM的指导方针。该指导方针主要针对IT 事故,强调企业构建内部信息安全体制,制定业务持续计划的重要性。
这一指导方针的主要内容包括:
第1 章:基本思想(BCP 的必要性、制定BCP 的背景、BCP的特征、世界和日本的发展趋势);
第2 章:概述(制定BCP时应考虑的事项、从业务冲击分析到制订BCP的流程、BCP的贯彻执行与教育培训、BCP 的维护与管理);
第3章:制定BCP应探讨的项目(探讨的内容与要点、实施BCP的体制、启动BCP的应对要点、重新开展业务的应对要点、业务恢复的应对要点、全面恢复的应对要点、风险信息交流的重要性);
第4章:个别计划(应对大规模系统故障、应对突发安全事件、应对情报泄露及篡改数据事件)。
《中小企业BCP 制定运用指导方针》
由于日本的中小企业数量众多,其比例超过全国企业总数的99%。所以,中小企业在灾难发生时能否继续生存,保持业务持续运行,不仅会影响局部地区的经济,还将给整个日本的经济带来严重影响。因此,日本政府非常关注中小企业应对灾难的能力。2006 年2 月,日本经济产业省中小企业厅,根据中小企业的特点和现状,编制了《中小企业BCP 制定运用指导方针》。这是一部专为日本中小企业量身定做的BCM 规范,其特点是简单易懂、操作方便。
此外,日本经济产业省中小企业厅为了使广大中小企业迅速掌握制定BCP的方法,还专门根据该指导方针设计了初级、中级和高级三门课程。初级课程是针对不了解BCM的初学者而设计的,主要目的是使他们了解 BCM的基本内容和制定BCP的基本方法;中级课程是为系统学习BCM理论、掌握建立BCP的完整过程而设计的;高级课程是针对已有一定BCM实践经验、并需要进一步深造的专业人员和企业家而设计的。
其他规范指南
其它相关的标准指南还有,2006 年3 月由行业团体金融情报系统中心发布的《紧急时应对计划制定指南书》,以及2006 年9 月由内阁官房情报安全中心发布的《重要基础设施安全基准等指导方针》。另外,2007 年11 月,日本情报处理开发协会开始研讨“业务持续管理系统(BCMS)适用性评价制度”,目的是提高日本业务持续管理的水平和信赖度。
从2005 年开始,日本政府各主管省厅分别制定和出版了一系列有关BCM 和BCP的指导方针。值得一提的是,为了适应BCP 的国际标准化趋势,日本政府未雨绸缪,在2008 年4 月1 日开始实施的日本版SOX 法(企业改革法)中增加了很多保障业务持续的相关内容。
同时,日本政府为了在BCM的国际标准中占有主导地位,从而维护国家和企业的利益,积极地参与BCM国际标准化的工作。日本政府在经济产业省内设立了以日本规格协会为事务局的“业务持续计划工作组”,该工作组在2005 年9 月召开的国际标准化组织(ISO)会议上,散发了《业务持续计划(BCP)制定指导方针》的英文资料,引起了有关国际组织及各国与会代表的重视。并且,日本政府在广泛征求了各方(包括企业家、专业人士、以及政府官员)意见后,于2006 年2 月中旬完成了日本关于业务持续计划(BCP)国际标准化草案,并于2006年4月,在意大利佛罗伦萨召开的ISO关于“应急预案与业务持续”(Emergency Preparedness and Operational(Business)Continuity)的国际会议上,向大会提交了该BCP 国际标准化建议案。
