BS25999業(yè)務(wù)持續(xù)管理體系認(rèn)證項目解析

　　2009年11月23日，萬國數(shù)據(jù)服務(wù)有限公司(簡稱GDS)正式通過了英標(biāo)管理體系認(rèn)證有限公司(BSI)審核員與臺灣技術(shù)專家最后一天的現(xiàn)場審核，獲得了中國第一張BS25999業(yè)務(wù)持續(xù)管理體系認(rèn)證證書。這張證書的獲得，使GDS在業(yè)務(wù)連續(xù)管理領(lǐng)域持續(xù)領(lǐng)先，同時也讓GDS成為中國首家同時擁有ISO9001質(zhì)量管理體系、ISO27001信息安全管理體系、ISO20000IT安全管理體系、BS25999業(yè)務(wù)持續(xù)管理體系四張管理證書的企業(yè)。ISO14000認(rèn)證

　　項目背景ISO14001認(rèn)證

　　GDS作為中國第一家專業(yè)從事災(zāi)難恢復(fù)咨詢與外包服務(wù)的企業(yè)，目前已成長中國災(zāi)難恢復(fù)與IT外包服務(wù)領(lǐng)域的領(lǐng)軍企業(yè),同時也是中國高可用性IT服務(wù)的倡導(dǎo)者。

　　為向客戶提供更系統(tǒng)、更專業(yè)的高可用性IT外包服務(wù)，GDS非常重視國際先進(jìn)經(jīng)驗的導(dǎo)入，并在服務(wù)、管理與技術(shù)方面進(jìn)行不斷地創(chuàng)新。經(jīng)過多年的努力，目前GDS已獲得了許多的業(yè)界第一，包括：第一家符合國際標(biāo)準(zhǔn)的商業(yè)化災(zāi)難備份和恢復(fù)中心，第一個銀行業(yè)災(zāi)難恢復(fù)外包案例，第一個保險行業(yè)災(zāi)難恢復(fù)外包案例，第一個政府機(jī)構(gòu)災(zāi)備咨詢服務(wù)案例，第一張由公安部和人民銀行頒發(fā)的災(zāi)難備份服務(wù)資質(zhì)證書，國內(nèi)第一份災(zāi)難恢復(fù)類信息安全服務(wù)資質(zhì)等。

　　在管理體系建設(shè)方面，GDS也獲得了許多業(yè)界第一，包括：在2005年作為第一家IT外包服務(wù)商通過了BS7799(ISO27001的前身)與ISO9001的認(rèn)證，為GDS的數(shù)據(jù)中心管理奠定了“質(zhì)量”與“信息安全”兩個重要的基礎(chǔ);在2008年通過了ISO20000認(rèn)證，使GDS成為中國第一家同時通過ISO20000認(rèn)證、ISO9000認(rèn)證與ISO27001三大管理體系認(rèn)證的IT外包服務(wù)商，從“服務(wù)”的角度將GDS的管理水平提升到一個新的臺階。

　　隨著客戶群的增多、業(yè)務(wù)范圍的擴(kuò)展與數(shù)據(jù)中心設(shè)施的增加，一個重要問題進(jìn)入到GDS管理層的議事日程當(dāng)中：作為災(zāi)難恢復(fù)咨詢與外包服務(wù)的領(lǐng)軍企業(yè)，GDS已成為眾多企業(yè)的最后一道防線。如何能將這道防線修筑成“銅墻鐵壁”，踐行GDS對客戶的承諾，這不僅關(guān)系到客戶自身的業(yè)務(wù)、也會影響整個社會對災(zāi)備行業(yè)價值的判斷。因此，GDS需要引入一套管理體系去進(jìn)一步提升自身業(yè)務(wù)連續(xù)性管理的能力，同時也需要通過第三方的認(rèn)證以驗證該能力的存在。

　　BSI所制定的BS25999標(biāo)準(zhǔn)恰恰可以幫助企業(yè)建立起一種快速恢復(fù)的能力，確保企業(yè)由于潛在威脅發(fā)生后對企業(yè)業(yè)務(wù)造成中斷的影響時，可以最大限度地保護(hù)利益相關(guān)方的權(quán)益、企業(yè)的聲譽、品牌。經(jīng)過兩家公司高層的協(xié)商，GDS決定由BSI公司提供BS25999認(rèn)證服務(wù)，共同打造國內(nèi)第一張BCMS(業(yè)務(wù)連續(xù)管理體系)認(rèn)證證書。

　　項目歷程

　　自2009年6月份兩家公司召開了隆重的認(rèn)證合同簽約儀式后，BSI的專家就與GDS的管理團(tuán)隊開始了為期3個月的體系建設(shè)過程。

　　項目實施策略的制定

　　由于BS25999的部分要求與GDS已運行將近4年的ISO27001與ISO20000中的要求比較類似，加上GDS自身的業(yè)務(wù)又恰恰是為客戶提供業(yè)務(wù)連續(xù)性管理的咨詢與外包服務(wù)，無論是在員工意識、管理文檔還是演練記錄部分相對比較成熟。經(jīng)過與BSI專家的溝通，GDS制定了“通過自身的力量，在現(xiàn)有管理體系的基礎(chǔ)上整合BS25999的管理要求”的項目實施策略。

　　差異分析與標(biāo)準(zhǔn)導(dǎo)入

　　根據(jù)前面的實施策略，GDS項目組與BSI的專家一起對GDS原有的管理進(jìn)行仔細(xì)的差異分析，找出GDS目前管理上與BCMS中規(guī)范要求的差距，并以此制定項目計劃。

　　同時，GDS還邀請BSI專家為GDS項目組與相關(guān)同事針組織了多場BS25999標(biāo)準(zhǔn)的培訓(xùn)。通過這些培訓(xùn)，讓項目組成員與管理體系相關(guān)的同事能更好地理解組織即將導(dǎo)入的新標(biāo)準(zhǔn)的要求。

　　風(fēng)險分析、業(yè)務(wù)影響分析與業(yè)務(wù)連續(xù)性管理策略的制定

　　GDS項目組成員結(jié)合了標(biāo)準(zhǔn)的要求，在充分考慮GDS業(yè)務(wù)特點的基礎(chǔ)上，創(chuàng)造性地開發(fā)了一套針對數(shù)據(jù)中心服務(wù)的業(yè)務(wù)影響分析方法，并將原用于ISMS(信息安全管理體系)的風(fēng)險分析方法與BS25999中要求的風(fēng)險分析進(jìn)行了融合，最終確定了GDS的關(guān)鍵業(yè)務(wù)、可能面臨的風(fēng)險，與相對應(yīng)的業(yè)務(wù)連續(xù)性策略。

　　設(shè)計與實施業(yè)務(wù)連續(xù)管理的響應(yīng)

　　在前面的業(yè)務(wù)連續(xù)性管理策略的指導(dǎo)下，GDS項目組對GDS原有的應(yīng)急響應(yīng)計劃、業(yè)務(wù)連續(xù)計劃、預(yù)案演練機(jī)制與形式等進(jìn)行了重新的評估，并根據(jù)BS25999中相應(yīng)的要求對之進(jìn)行了重新的設(shè)計與開發(fā)。此外，GDS項目組人員還通過對BS25999與GDS現(xiàn)有三套管理標(biāo)準(zhǔn)的分析，將BCMS方面的要求整合到原來的整合管理體系當(dāng)中。

　　業(yè)務(wù)連續(xù)管理相關(guān)計劃的演練與評估

　　為確保這些調(diào)整過的預(yù)案、計劃能符合標(biāo)準(zhǔn)與GDS的運營實際，GDS還通過對這些新文檔、預(yù)案的演練與培訓(xùn)，讓體系內(nèi)的相關(guān)人員可以親身參與并驗證相關(guān)的計劃，同時也加深了大家對BS25999的理解。

　　管理體系工作的設(shè)計、運行與檢驗

　　由于BS25999強(qiáng)調(diào)的是一個管理體系的建設(shè)，除了上面提到的事件管理計劃、業(yè)務(wù)連續(xù)計劃與恢復(fù)計劃的演練外，GDS項目組與體系內(nèi)相關(guān)同事通過項目實施期間的文件管理、管理評審、內(nèi)審等工作去體驗BS25999為GDS原管理體系所帶來的變化。

　　管理體系的預(yù)審

　　考慮到GDS是作為中國第一家企業(yè)去申請BS25999認(rèn)證，為確保項目組成員對標(biāo)準(zhǔn)的理解與BCMS建設(shè)的實踐能符合認(rèn)證機(jī)構(gòu)的要求，GDS請到了BSI的專家對GDS所建設(shè)的BCMS的設(shè)計與執(zhí)行情況進(jìn)行全面的審核。通過這次預(yù)審，GDS所建設(shè)的BCMS得到了BSI專家的認(rèn)同，并開始進(jìn)行正式審核的準(zhǔn)備與申請。

　　管理體系的正式審核

　　此階段，BSI邀請了包括臺灣CBCP在內(nèi)的業(yè)內(nèi)專家對GDS進(jìn)行了全方位的審核，包括：風(fēng)險分析、業(yè)務(wù)影響分析的方法論的合理性;業(yè)務(wù)連續(xù)性策略制定的合理性;BCMS體系文件設(shè)計的合規(guī)性;BCMS體系運行的真實性等。通過這項工作，一方面可以從中立與專業(yè)的角度去評估GDS在業(yè)務(wù)連續(xù)性管理方面的能力，另一方面也可以通過這種審核形式讓GDS了解國際標(biāo)準(zhǔn)的要求與業(yè)界的最佳實踐。

　　項目收獲

　　BS25999認(rèn)證的通過，不僅意味著GDS在業(yè)務(wù)連續(xù)管理能力方面已經(jīng)上了一個新的臺階，同時也標(biāo)志著GDS在數(shù)據(jù)中心管理創(chuàng)新方面邁出了具有深遠(yuǎn)意義的一步，為GDS全面推出“高可用性IT服務(wù)”奠定了一個堅實的基礎(chǔ)。

　　BS25999認(rèn)證通過前，經(jīng)常會有客戶提出這樣的疑問：“GDS是為客戶提供災(zāi)備服務(wù)的，那么當(dāng)GDS面臨災(zāi)難時，你們會如何保證向客戶提供服務(wù)呢？”通過這次認(rèn)證，可以證明GDS具有這種快速恢復(fù)的能力，當(dāng)災(zāi)難事件來臨時，GDS可以利用這種能力最大可能地保護(hù)包括客戶、員工在內(nèi)的利益相關(guān)者的權(quán)益。

　　BS25999認(rèn)證通過后，GDS更清楚自身的關(guān)鍵服務(wù)、關(guān)鍵活動與可能的風(fēng)險，為后續(xù)的技術(shù)手段與日常管理提出了更為明確的方向。這些輸出又成為GDS現(xiàn)有信息安全管理、IT服務(wù)管理與質(zhì)量管理等日常管理工作的輸入。最終，GDS利用“質(zhì)量”、“信息安全”、“IT服務(wù)”與“業(yè)務(wù)連續(xù)”四個支點將整體服務(wù)水平提升到更高的層次。

　　此外，通過此次BS25999的認(rèn)證，讓GDS原用于協(xié)助客戶實現(xiàn)業(yè)務(wù)連續(xù)性管理目標(biāo)的最佳實踐“EAM(企業(yè)可用性管理方法論)與國際上關(guān)于業(yè)務(wù)連續(xù)管理的最佳理論體系BS25999產(chǎn)生了良好的化學(xué)反應(yīng)，形成了一套兼顧國際標(biāo)準(zhǔn)與最佳實踐的業(yè)務(wù)連續(xù)性管理實施方法論。GDS可以利用此次項目所提煉的方法，更好地服務(wù)于客戶，與業(yè)界一起共同提升中國政府、企業(yè)的業(yè)務(wù)連續(xù)管理水平。

本頁關(guān)鍵詞：BS25999業(yè)務(wù)持續(xù)管理體系認(rèn)證項目解析