如果你已经在追随业务连续性标准的发展，你可能已经看过关于业务连续性管理系统（BCMS）的一些参考文献。在本文中你将学习如何制定业务连续性管理系统的需求。

    一个管理系统通常是一个由流程和步骤组成的框架，用于将操作结构化，以满足公司业务目标。简而言之，这是描述业务如何运作的另一种方式。

“持续改进”流程是管理系统的一个核心组件。例如，信息安全管理系统（ISMS）通过持续改进流程帮助公司提升他们的内部和外部信息安全。管理系统还可以提供审计、活动计划和审核工具来执行纠正措施。

以下是管理系统标准的例子：

• ISO 9001 质量管理

• ISO 14001 环境管理

• ISO/IEC 27001 信息安全管理

什么是业务连续性管理系统？

那么业务连续性管理系统究竟做什么呢？根据ISO 22301，一个业务连续性管理系统关注以下几点：

1. 理解连续性、准备需求和建立业务连续性管理系统策略和目标的重要性。

2. 为管理组织的总体连续性风险进行实施和运行控制及措施。

3. 监控和检查业务连续性管理系统的性能和有效性。

4. 根据客观标准持续改进。

具备业务连续性管理系统功能的管理系统框架有以下结构组件：

1. 一个策略。

2. 指定角色和职责的人。

3. 与策略、计划、实施、运维、性能评估、管理检查和提升关联的管理流程。

4. 提供可审查证据的文档。

5. 和组织相关的业务连续性管理流程。

根据上述标准所述的业务连续性管理系统的一个前提是BCMS的设计要能反映组织和股东的需求。这个标准不会强制统一业务连续性系统的结构。组织开发一个新BCM计划时可以将BCMS框架作为一个有效的起点。已经建立好BCM系统的组织可以使用BCMS框架来支持程序改进活动。

业务连续性管理系统的内容被多个因素决定，其中包括管理需求、组织需求和行业需求；公司的产品和服务；现有的流程；组织的规模和组织架构以及股东的需求。

部署一个BCMS

假设你的组织已经有了业务连续性程序，那么相对来说你只需要简单将你已有的BCM组织结构与上述标准（如BS 25999第二部分或ISO22301）相比较。确保你的BCM程序和相关计划有持续改进流程。这和演练计划不同，尽管演练是持续改进的一个重要环节。

如果你是想开始接触BCM计划，看一下三个PS-Prep标准的任意一个，合理的组织和规划你的BCMS。在BS 25999中，BCMS如上文所述；在NFPA 1600:2010中，它被称作管理系统；在ASIS SPC.1-2009中，它被称为组织弹性管理系统（organizational resilience management system）。

业务连续性管理系统是一个组织框架，它关系到哪个BCM程序能够被建立。尽管它明显比BCMS简单，但它还是有许多组件共同工作，以建立一个可审核的、符合PS-Prep标准和新全球BCM标准的BCM程序。

作者简介：Paul Kirvan，拥有CISA、FBCVI、CBCP证书，是一位在业务连续性管理领域具有20多年经验的顾问、作者和教育工作者。他直接参与了几十个IT/电信行业的咨询和审计工作，负责管理程序开发、计划演练、执行和维护，以及RFP（需求方案说明书）的准备和回复。Kirvan目前是一位个体业务连续性顾问和作者，同时是业务连续性协会美国分会会长。读者可以通过邮箱pkirvan@msn.com联系他。