raising standards worldwide TM

The newsletter of BSI China 中文期刊 2008年1月 第7期 www.bsigroup.cn

BSI Management Systems

质 量 经 营BUSINESS STANDARDS

BCM专刊

BS25999 业务持续管理标准的理念

BS 25999业务持续管理体系（BCMS）介绍

ISO20000与BS25999

着眼与展望业务持续管理的现在与未来

惠普业务持续管理实践

利用第三方专业服务建设规范高效的业务持续管理体系

专题

管理

实践

STOP

在面对可能导致业务中断的意外事件或重大灾难时，保持业务的

持续运营，是对任何组织的基本要求。为了保持持续运营需要开发业

务持续管理（BCM），这已经是一个公认的商业准则，然而，在BS

25999出现之前，没有一个管理框架能够帮助组织确保已有BCM管理程

序是具有一致性、可信度和生机活力的。

现在，您将有机会见证全球第一个BCM适用标准管理体系BS

25999在中国的发布，倾听来自BS 25999 专家的演讲，了解其它客户

实施BCM管理体系的经验和心得，并与来自BSI全球总部的管理体系

专家面对面。还犹豫什么，马上联系我们，确定您的出席，共同参与

2008年管理体系认证行业的第一盛事！

议程

13:00-13:55 来宾签到

14:00-14:15 开幕致辞

14:15-14:55 主题演讲：BCM在中国

14:55-15:35 主题演讲：BS 25999标准介绍

15:35-16:05 成功案例分析

16:05-16:35 主题演讲：BCM所面临的挑战 16:35-17:05 BS 25999的认证

会议联络人

英标管理体系认证（北京）有限公司陈小姐电话：010－65157060－851传真：010－65156251Email: wendy.chen@bsigroup.com公司网站：www.bsigroup.cn全国免费热线：800 810 0045

STOPBS 25999新产品发布会2008年4月9日（星期三）下午13：00

地址：北京长富宫饭店一楼宴会厅 （北京建国门外大街26号)

1质 量 经 营

发展对于任何组织都是永远的主题，在发展当

中，我们总是需要考虑，如何能够长期保持发展，

成为一个可信赖的组织。这需要有序的经营，不断

的创新，对风险的识别和预防，也需要做好应对灾

害的准备。

如果今天您的核心业务系统宕机，您是否已经

有足够的信心保持业务的不中断？如果您的数据中

心遭遇了爆炸或者火灾，那么您的业务将会面临什

么样的状况？如果您的核心运营人员在短时间之内发

生了30%以上的流失，您的业务会受到什么样的损失？您是否已经仔细思考过，

如果要保障您的业务不停顿，您需要什么样的准备：备份数据？知识汇集和传

承？遴选替代供应商或替代供应品？建立备援运营场所？人力储备？也许您已经

做的准备不止于此，也许您还刚刚开始，尚未找到入手的出发点。

BS 25999能够为您提供这方面的管理思路和方法，这是一个崭新的标准，由

BSI编撰发布，它汇集的是各行各业关于业务持续管理的最佳实践，2007年10月30

日在伦敦、纽约、东京三地举办的全球发布会上，来自不同背景的发言人都表述

了他们对于这一标准的认可，其中默多克新闻集团的业务持续管理总监表述他的

观点：“…我曾经在市场上寻找有价值的指导方法，我发现BS 25999是唯一能够

提供这方面帮助的标准，因此你们不用再花费时间去搜寻了…”

BS 25999 有两个部分组成，去年11月发布的是提供BCM管理指南的第一

部分，而今年11月刚刚发行的是可以用于审核和认证的第二部分。

业务持续管理，必定是组织的所有者（Owner）的决策，这需要从组织的存

在价值出发，经过业务冲击分析和风险评估，制定持续战略，做好相关准备，写

好行动计划，在整体的管理框架之下进行维护和管理，并将持续管理的理念融入

组织的文化之中，成为组织成员的习惯。我们也许不能找到万无一失的持续解决

方案，但是我们至少可以通过持续管理，让我们在面对各类灾害时不至于措手不

及，是有所准备的。

现在，您可以进入本期杂志，了解BS 25999这个标准的发展历程和内容精

要，您可以随着来自金融、电信、IT行业的业务持续管理先锋们，参考他们在这方

面的管理心得体会，您还可以 随着来自BCI的专家，了解这一管理方法未来的发展

和市场应用前景。BSI为您提供这个沟通的平台，也愿意聆听您在持续管理方面的

见解。

业务持续管理

www.bsigroup.cn

Beijing(北京)

Tel(电话): (86-10) 6515 7060

Fax(传真): (86-10) 6515 6251

Tianjin(天津) · Qingdao(青岛)

Shijiazhuang(石家庄) · Jinan(济南)

Shanghai(上海)

Tel(电话): (86-21) 6431 2638

Fax(传真): (86-21) 6474 0635

Suzhou(苏州) · Xiamen(厦门) · Ningbo(宁波)

Hefei(合肥) · Nanjing(南京)

Shenzhen(深圳)

Tel(电话): (86-755) 8351 6822

Fax(传真): (86-755) 8351 5652

Chongqing(重庆) · Chengdu(成都)

Guangzhou(广州)

Tel(电话): (86-20) 3825 1417

Fax(传真): (86-20) 3825 1276

Other Offices Location (其他办事处)

Brazil(巴西) · Canada(加拿大) · Dubai(杜拜) · France(法国) · India(印度) ·

Iran(伊朗) · Japan(日本) · Korea(韩国) · Mexico(墨西哥) · Poland(波兰) ·

Russia(俄罗斯) · Singapore(新加坡) · South Africa(南非) · Spain(西班牙) ·

Thailand(泰国) · Turtkey(土耳其) · UK(英国) · USA(美国)

raising standards worldwide TM

3质 量 经 营

06BS25999 业务持续管理标准的理念

08BS 25999业务持续管理体系（BCMS）介绍

12ISO20000与BS25999

14着眼与展望业务持续管理的现在与未来

16惠普业务持续管理实践

20利用第三方专业服务建设规范高效的业务持续管理体系

26ITIL风生水起

质量经营

BUSINESS STANDARDS2008年1月 第7期电子刊物下载 www.bsigroup.cn

总策划：张雨牧

编策辑：陈策策

您对本刊有任何意见或建议，欢迎联络我们。

咨询电话 BSI管理体系 北京010 65157060-851电子邮件 infochina@bsigroup.comBSI HOT-LINE(全国免费热线) : 800 810 0045

BSI公司对本刊所有内容保留所有权利，非经BSI公司事先书面同意，不得翻印或转载。

Contents:JANUARY/08

4 Business Standards

10月22日，中国信达资产管理公司ISO27001和ISO20000证书颁发仪

式在京举行。该证书由BSI公司和中国信息安全认证中心共同颁发，这标

志着信达公司成为中国首家在信息安全管理体系和IT服务管理方面，同

时获得国际国内双认证的金融机构。

ISO27001和ISO20000分别是2005年在BSI开发的英国标准BS 7799和BS 15000的基础上由国际标准化组织（ISO）转化而成。其中ISO27001从保证信息的机密性、完整性和可用性方面，提出了11个信息安全管理

领域中的39个管理目标和133个控制项。而ISO20000则更关注于IT管理

领域，提供了13个标准管理流程，全面指导IT服务管理工作。信达资产

聘请BSI公司和中国信息安全认证中心担任认证审核工作，并由北京趋势

引领信息咨询有限公司作为顾问公司协助执行。

在颁证仪式上，国家认监委副主任刘卓慧发表讲话、BSI刘墨渊董事

总经理向信达公司致贺辞。刘墨渊指出：“BSI作为全球标准行业的引领

者，愿意用我们先进的经验提升中国认证行业的水平，愿意把我们最先

进的经验和认知介绍给中国的企业，增加中国企业的国际竞争力，走出

国门，融入全球经济一体化。”

信息安全问题已经成为全球关注的焦点，借鉴国际专业标准，建立

信息安全管理体系和信息技术服务管理体系，从预防控制出发，对保

障信息系统与业务安全和企业健康发展非常必要。目前，ISO27001和ISO20000认证已经成为企业核心竞争力的重要标志。据不完全统计，截

止到2006年底，全球已有超过3000家企业通过ISO27001或ISO20000认证。在国内也有30余家企业通过认证。

“2007中国通用航空大会”

于10月26－27日在陕西省西安

市举行，BSI应邀参会并做主题

讲演。该会议是由中国航空学会

和国家航空产业基地管委会主

办、西安凤凰通用飞机制造有限

公司和基地管理会承办。

BSI中国区AS9100产品经理

王振乾先生代表BSI在会上做了

题为“AS9100系列标准—航空

工业起飞的推进器”的主题讲

演。在讲演中，BSI向与会代表

介绍了AS9100的基础知识和管

理理念，并就实施AS9100系列

标准对国家航空产业基地建设的

推动作用与大家共同分享了信息

和经验。BSI的讲演引起了与会

代表的积极反响，会后与会人员

纷纷与BSI的代表沟通信息，增

进了解与交流。

随着中国经济持续发展带来

的航空运输的巨大市场需求，以

及国外主流航空制造厂商向中国

加速转移或分包其制造活动，中

国政府对民用航空制造业的发展

给予了更多的关注。例如，批准

成立西安阎良国家航空高技术产

业基地、确定大飞机项目正式立

项等等。BSI作为国际领先的质

量管理体系认证机构，也将利用

自身在航空工业领域积累的丰富

经验为中国民用航空制造业的发

展做出积极的贡献。

为了更好地为客户提供服

务，B S I中国隆重推出新网站

www.bsigroup.cn.。该新网站加入了电子商务，

网上证书查询等新功能，BS/PS内容融为一体，网站内容更加丰

富。

BSI在“2007中国通用航空大会”上亮相

BSI中国隆重推出新网站

BSI为信达公司颁发ISO27001和ISO20000 认证证书

5质 量 经 营

为推进中国标准化事业的发展，BSI标准

部总裁Mike Low先生近日被国家标准化管理

委员会授予中国标准化专家委员会(CSEC)名誉委员称号，国家标准化管理委员会陈钢副

主任于2007年8月28日在伦敦亲自为其颁发

了聘书。

作为第一位CSEC的外籍专家，Mike Low先生将凭借其在标准管理和政府等领域的丰

富经验，与我国标准化专家共同参与中国标

准化建设；构建高层次的信息交流和决策共

享平台；科学规划我国标准化各项事业的发

展。这充分体现出BSI在推动中国标准化国际

化进程中所做出的贡献得到了认可，同时也

反映出BSI在标准化领域公认的全球领导地

位。

中国标准化专家委员会是由国家质检总

局和国家标准委批准，于2006年7月11日在

北京设立，由23位标准化科学家和标准化专

家组成。中国标准化专家委员会是中国标准

化工作的最高咨询机构，是中国标准化领域

的思想库和智慧库。委员会的成立对我国标

准化重大问题的决策产生重要影响，对我国

“十一五”标准化工作各项目标的实现发挥

重要保障作用。 Mike Low先生现年58岁，于2003年11

月加盟BSI，现任英国标准部总裁。得益于其

在公共设施、交通、供应服务相关部门34年的从业经历，Mike Low先生在科学、工程、

管理标准等领域经验丰富，曾在多家机构任

职，并与政府和贸易协会建立了密切的合作

关系，包括：

BSI于2008年1月9日至10日于深圳和澳门成功举办了

“BSI中国区2008年度合作伙伴交流会”。进一步增进了

BSI与合作伙伴之间的沟通和交流，加强彼此的互动和互

信，建立了良好的业务合作模式，同时发布了BSI中国区的

2008年度合作伙伴方针及策略。

BSI 作为全球最权威的标准编写机构和全球最大的认证

机构之一，通过遍布全球的分支机构，为客户提供体系评

估、认证和培训服务，并在全球各主要市场为客户提供各

种基于标准的各种定制化的解决方案，以帮助客户提升管

理水平和能力。

2007年 12月28日，中国光大银行信用卡中心在京召

开新闻发布会，宣布其正式通过ISO27001信息安全管理体

系国际认证，成为国内首家通过该项认证的信用卡中心。

BSI中国区副总经理兼市场总监张雨牧出席并为该中心颁

发了证书。

这是该行信用卡中心继2006年6月通过CCCS五星级客

户服务认证和2006年9月通过ISO9001质量管理体系认证

之后取得的又一成就，标志着该行信用卡业务在保障客户

信息安全、强化内部管理方面已居于国内领先水平。

ISO27001：2005是标志信息安全的最主要国际化标

准之一，是基于最佳实践的总结，至今已被全球数百家世

界级组织采用，中国光大银行率先将其引入信用卡领域，

为保障客户信息安全寻求到一条积极高效的道路，为自身

业务高速稳健的发展奠定了坚实的基础。

Amey plc集团战略和执行部主任

2002年铁路论坛主管

英国能源公司运营部主任及公司董事

能源公司健康安全和核电环境部主任

能源公司技术和业务发展部主任

皇家工程院院士和质量保证协会会员

CBI健康安全和环境委员会的积极成员

国际原子能机构（IAEA）核运作与安全

标准委员会的积极成员

BSI成功举办中国区2008年度合作伙伴交流会

BSI为中国光大银行信用卡中心颁发ISO27001认证证书

Mike Low先生被授予中国标准化专家委员会名誉委员称号

6 Business Standards

BSI标准事业部(BSI British Standards)最近研发并颁

布了BS25999-业务持续管理标准，这一标准在世界范

围内引起了广泛的关注。BSI标准事业部在中国对这一

标准进行了介绍和推广，相信BS25999标准的应用同

样将为中国企业的发展壮大增添巨大的价值。

对于企业而言，面对突发事件和对正常业务发生

巨大影响的干扰情况的发生，一个重要的解决方案就

是为这些可能的灾害性事件建立应对机制。举例来

说，这些事件可能包括突然的停电、计算机病毒的侵

扰、火灾、罢工等等。业务持续管理(BCM)的概念在

这一背景下提出，它关注于企业在突发事件发生后的

恢复能力，包括如何应对灾害事件以及在事件之后如

何恢复正常的运转，还包括应对措施的演练和组织的

每一个成员贯彻持续性的理念。

英国标准协会(BSI)首先颁布了BS25999-1：业务

持续发展指南，帮助企业建立相应的准备机制。负责

该标准制订的技术委员会由来自政府、企业界、学术

界等各方面的专家组成，成员还包括一系列非盈利

组织，如业务持续管理学会(BCI)、持续性论坛、紧急

事件应对协会(EPS)、风险管理经理人协会(ALARM)、

英国贸工部、内政应急事务办公室、金融服务机构、

英国工商业联合会、公司董事学会、英国保险业联合

会，以及小企业联合会等。

技术委员会于2006年7月完成了第一稿，并公开

进行了意见征询。这一过程得到了广泛的响应，有

5000份标准草案通过网络被下载和研读。公众的反馈

普遍认为这一标准的制定将具有重要的意义，对一系

列的行业和用户产生广泛的影响。

BSI业务持续管理委员会主席、业务持续管理学

会副主席Chris Green随后指出，“公众和业界对于

BS25999-1的热烈反响给予我们极大的鼓舞。技术委

员会的成员将会更加积极努力地工作，结合学术界的

研究成果、技术的应用和业界的事件经验，制定出切

实可行的标准，帮助企业建立完善的业务持续管理体

系。我们高兴地看到各界人士对标准的草案提出了大

量有建设性的意见，我们将在此基础上对标准作进一

步的完善。”

B S I业务持续性管理技术委员会经理D a v i d

Adamson解释说，“这一标准基于目前业务的最佳实

践，建立一个业务持续管理的体系。其目的在于为业

务持续管理提供一整套可衡量和可控的尺度。这一标

准适合各种类型的企业，包括大型、中型和小型，以

及工业企业、商业企业、公共部门及公益组织。

业务持续管理技术委员在标准制定的过程中考虑

了下述因素：

• 各利益相关方的需求

• 为组织在突发性灾害性事件发生的情况下提供应对

和恢复的信心

• 对于每一个组织成员的关注

• 在各种不同的情况下确保满足客户对于本组织的期

望值，以及保证公司利益相关方对于企业的信心

• 可能最为重要的一点是：保护企业的声誉

BS25999第一部分取材于之前的多份标准性文

件，包括2003年颁布的PAS56：对业务持管理的指

BSI David AdamsonBSI 滕钢

文

BS25999 业务持续管理标准的理念

7质 量 经 营

导。这是一项由一部分组织在之前共同制定的一个公

共规范，尚没有在更广的范围内征求过意见。PAS56

是几年前在关注业务持续管理问题的专业人士以外的

范围内颁布的第一份标准型文件，它的颁布受到了业

界的普遍关注，BSI受到了许多对此的反馈意见，并

在此基础上成立了专门的技术委员会，开始着手于BS

25999-1的制定。

BSI关于业务持续管理的标准化工作在美国“911

事件”以及英国“7·7”恐怖袭击事件发生后对于业界

而言显得尤为重要。这些巨大的灾难性事件在提醒人

们企业需要建立一个完善的灾难应对机制，这是因为

在发生突发事件的情况下：

• 80%受到事件重大影响企业在18个月内倒闭

• 90%在灾难事件中丢失重要数据的企业在2年内倒闭

• 58%的英国企业因“911事件”而受到负面影响，八

分之一的企业受到严重的负面影响

BSI相信，企业通过应用BS 25999-1的标准，可以

显著地提高业务的可持续性。

这一标准建立了业务持续管理的相应过程、原则

和术语体系，提供了在企业内贯彻业务持续性理念、

发展和贯彻业务持续管理体系的基础。

通过遵循指南的基本原则，各类型组织在“B-B”

或“B-C”的业务模式下都能够在交易链中加强信心。

该项标准还为企业提供了明确和持续的衡量标准。

该项标准包括以下部分：

• 定义和术语

• 什么是业务持续管理

• 业务持续管理总览

• 业务持续管理体系

• 项目管理

• 对组织的认识

• 决定业务持续管理的模式

• 制定和执行业务持续管理的机制

• 业务持续管理的实施、维护、审核和评价

• 将业务持续管理植入企业文化

标准第一部分还阐述了业务持续管理的生命周

期，过程的评价以及更新文件系统，业务持续管理的

选项，以及实施业务持续管理的方法和战略。

虽然该项标准并不仅仅是一个业务持续管理的入

门指南，它在各类型组织和各个级别的负责人士中具

有广泛的适用性：从董事会成员至企业的各级别经

理；从只有一间办公室的小公司到业务遍及全球的跨

国企业；从简单的贸易商到中小型制造企业，乃至拥

有成千上万员工的国际公司。该项标准对任何负责企

业持续经营的管理人员来说都是适合的。

BSI在2006年12月正式颁布了BS 25999-1，并立即

取得了巨大的成功。该技术委员会立即着手制定该项

标准的第二部分，对第一部分要求的认证过程做出规

范。第二部分的所有理念都秉承了第一部分的要求。

2007年7月，标准的第二部分对公众进行了意见征询

并获得了更大的反响，表明业界对该项标准的广泛关

注。同年11月，BS 25999-2正式颁布。

目前，第一部分和第二部分的标准正在越来越多

地被业界应用。BSI的技术委员会还在致力于该系列的

其他标准文件，帮助企业具体实施业务可持续性管理

体系。未来工作的方向包括体系的验证和演练、IT系

统灾难恢复、危机处理等相关标准。

这一标准基于目前业务的最佳实践，建立一个业务持续管理的体系。

其目的在于业务持续管理提供一套可衡量和可控制的尺度。

如需获取BS 25999-1和BS 25999-2的全文，可以访问

www.bsigroup.com，也可以联系BSI标准事业部北京

代表处(010-65157060转108)购买。

STOP

8 Business Standards

BS 25999

9质 量 经 营

业务持续管理体系（BCMS）介绍

提及BCM时，首先想到信息系统的灾备计划，这

是正确的逻辑，因为IT系统至今依然被认为是最具不

确定性的支撑。但是BCM绝不仅仅是一个灾备方案，

业务持续管理是一个整体的管理过程，通过识别威胁

着组织的潜在冲击，构建有恢复力的管理架构，保护

主要利益相关方的利益、自身的声誉、品牌和创造价

值的活动。也就是说，对于业务持续性的管理，应该

放在组织的管理框架之中，作为日常工作来管理，而

不仅仅是一个一次性的项目。需要考虑的方面，也不

仅仅是信息系统，而是要涵盖从场地、人员、技术、

设备、信息、供应商（链）、利益相关方等方方面面

的准备，现在让我们来了解最佳实践所倡导的业务持

续管理。

必须是一个管理体系，以保障权责分明，内

容持续有效要确保BCM有效，必须将之纳入管理体系架构当

中，我们承袭管理体系的PDCA模型，来展示BCMS的

管理框架。

首先作为管理体系的输入，需要考虑四个问题：

a)谁是我的利益相关方； b)他们对于我的业务持续管

理有什么要求(requirement)；c)他们对于我的业务持续

管理有什么期望。在这三个问题识别清楚之后，再思

考一个问题：我依赖于哪些服务商和产品供应商，他

们是否能够被依赖。然后就可以开始考虑在管理架构

中增添BCM的元素。

小王是一家全国范围经营的服务类公司的IT经理，他

们公司的业务对于IT系统非常倚重，不断有各种设备厂商给

领导灌输灾备和业务持续管理，老板也认为该考虑这一议

题，于是成立一个项目组，委派小王来担纲，并且，听说

灾备这个词已经很局限，项目组直接就称作业务持续管理

小组。

小王仔细分析了IT系统和业务之间的关联，评估出了关

键的IT系统，并分析了这些关键系统所依赖的各种组件，如

软件、硬件、数据、网络等等。他考虑到万一发生灾害，

那些硬件、通用软件、网络等都是可以用财力和一定的时

间再次获取的，只有数据和自有软件是无法单纯靠财力获

取，必须花费时间，有些甚至花再多的时间都不能够再

次构建，于是小王主张建立一个异地的灾备中心，把应用

和数据都实时备份到灾备中心，这样即便主机房遇到如地

震、严重火灾等灾难时，都能保证数据不丢失。可是公司

没有那么多的预算，老板认为，既然恢复不了的是自有软

件和数据，那就把这些东西备份到磁带上，存放到银行的

保险箱吧。

虽然是个让步方案，小王依然很尽责，他组织技术人

员和业务人员分析，到底哪些信息是必须备份的，确保所

有该备的信息都得备妥当。并采购了最新的备份设备和软

件，还扩充了核心系统的存储容量。小王还特别组织技术

人员在测试系统中作过备份恢复测试，一切都那么的完美

和顺利。在与银行的磁带交接都顺畅之后，项目验收了，

业务持续管理项目就此告一段落。

突然一天，负责打印和邮寄客户信息的供应商运营场

所发生火灾，他们在5天之内都不能恢复服务，正好赶上

月末打印和邮寄的高峰，而且小王公司的数据和客户很复

杂，不是一般打印服务公司能快速接下这一个任务的。公

司一时找不到替代供应商，这一关键服务延误了5天之后才

恢复，而后又接二连三地出错，有的根本就没有邮寄，有

的寄错了地址，A客户收到了B客户的信息，涉及客户的隐

私，一时之间客户投诉不断，甚至有客户扬言要告小王的

公司。小王公司的业务虽然还不至于停顿，但是确实受到

很大的影响，公司上下都在思考，到底为什么会这么慌乱

和措手不及？此时，小王备份好的数据和应用，与这次重

大事件好像没有任何关联。

小王很沮丧，供应商的事情，也要连累自己和公司，

并且这么个小事件就让公司措手不及，形象和商誉大受影

响。甚至有同事开始怀疑，小王到底懂不懂如何进行业务

持续管理？单只备份了应用和数据，有什么用？还要建灾

备中心，幸亏老板英明，没有花那一大笔冤枉钱。

那么我们提出本文的主题：业务持续管理，到底该怎

么管？除了信息系统，还需要关注哪些方面？信息系统做

好备份之后，还需要做什么？是不是一定要建立异地的灾

备中心？

成芳文

图一：BCMS的PDCA模型

10 Business Standards

• 界定BCM的范围和目标，从而制定出BCM的方针

策略；(P)

• 定义BCM各环节的职责、角色和权限，并从高层

中指派一个人来总体负责BCM的策略和实施，确

保有一个或多个人负责实施和维护业务持续管理

体系。(P)

• 提供人力和物质资源，保障管理要求的执行和实

现。通过培训等方法，不断提升人员的连续性管

理意识。(P)

• 按照BCM生命周期，开始BCM的实施。(D)

• 提供检查、审核和评审机制，确保管理持续有效。

(C)

• 从各种渠道寻找持续改进的机会，并落实改进的

效果。(A)

以下，让我们来详述实施阶段的活动

要从了解自己出发，做好业务冲击分析(BIA)和风险分析(RA)

业务冲击分析需要有流程和方法支持，要保证分

析可重复，要保证对分析结果定期评审回顾。分析的

内容包括：

• 组织需要识别出支持关键产品和服务的活动；

• 识别出这些活动所面临的冲击；

• 这些冲击历经时间后会如何发展；

• 确定出这些活动所能容忍的最长中断时间；

• 识别出这些活动所依赖的要素，包括供应商和外

包商；

• 按照恢复的优先级排序并确定出关键活动；

• 估计出所需要的资源；

• 设定关键活动的恢复时间目标(RTO)，使其小于

最大容忍中断时间。

而风险分析则关注于确认关键活动及其支持资源

所面临的外部威胁和自身脆弱性，并知晓当威胁引起

事故并可能导致业务中断时的冲击。通过对威胁和脆

弱性的识别和分析，建立风险注册表，并识别出损失

缓解和风险处理措施方法，风险评估同样要保证可重

复执行，要有定期评审回顾的机制。对待风险，可以

考虑降低发生的可能性，缩短中断的时间，限制影响

的范围来进行缓解和控制。对于那些后果严重者，开

始进入持续战略。

重要的是确定BCM的战略BCM的战略需要确定如何恢复关键活动，同时也

需要考虑未被定义为关键的那些活动，至少需要定义

一个有效响应和恢复的意外事件响应架构；定义如

何在RTO之内把关键业务恢复，以及恢复所需要的资

源；确定如何管理与利益相关方的关系，以及与外部

团体的关系。

核心是BCM响应方案响应方案框架可以包括一系列的计划，如事件管

理计划（IMP）、业务持续计划(BCP)、危机管理计划

（EMP）、灾难恢复计划(DRP)等。写了多少个计划不

重要，重要的是在意外发生时，能够有条不紊地执行

这些计划。因此需要一个专人来负责意外的响应，他

需要有控制局面的能力和沟通协调的能力，要由这个

人来决策何时启动BCP，进入应急响应状态。

如图二所示，事件发生之后，我们可以把随后的

动作分成三个阶段来看待：首先是应急响应阶段，在

灾难发生的几分钟到数小时之内，包括确认事件影响

的范围，考虑控制和制止事态的发展，与利害相关方

沟通。其次是业务持续阶段，在灾难发生的数分钟到

数天之内，根据预先的准备，在一定程度上保持业

务，并启动恢复的计划。最后是恢复阶段，在灾难发

生几周到几个月的周期内，按照预先的准备，把业务

全部恢复到原来的水平。

在这些阶段里，需要预先写好的步骤详细的事件

管理计划IMP和业务持续计划BCP来指导所有的事项。

这些计划中至少要包括：启动的条件、任务和行动列

表、应急联络方式、人员的活动、媒体的沟通、利害

相关人的关注、恢复所需要的资源等。

演练、测试和维护，确保计划真实可用由于BCM的内容中，绝大多数是分析出来的，包

11质 量 经 营

括IMP和BCP都是头脑思考的产物，因此需要测试和演

练来验证其可执行性和适切性。并把所发现的一切问

题输入到改进当中。演练的理想方式是真实地全盘演

练；在资源有限的情况下可以让步到模拟环境演练或

者只对关键部件的演练；对于一般性的业务，也可以

采用排练的方式演示计划的可操作性；最低的演练也

需要对这些计划进行脑力激荡式的挑战，寻找其中不

适切的部分。

针对可能的变化，需要有专门的角色来负责对这

些计划的维护，以保证信息的更新，计划的持续适

用。

最后还要对计划进行定期的评审，以发现其中的

不适切的部分，并对于计划的充分性进行更新和改

进。

融入组织文化，成为员工行为习惯在文化的构建中，管理层通过提升人员的意识、

提供有关技能的培训，让人们具备了对BCM的理解和

认知。当BCM融入组织的核心价值观当中时，BCM的

管理构建能够更加高效，利害相关方会有深的信任，

组织变得更有弹性来应对不同的情况，灾害的损失就

会被降低。

以上这六个部分构成了BCM的生命周期，我们最

后用一个图形来表述这些阶段和过程之间的关系。

小王的故事是虚构的，但是可能随时都发生在我

们身边。如果就事论事地分析，小王可以做好两件

事，一个是分析出关键供应商，识别出关键供应商缺

失时的替代方案，第二个是做好针对供应商事故的内

部的响应方案，如果初发现关键供应商发生事故，即

便不能找到替代者，也应该做好临时的质量控制，就

不至于发生大规模错误的邮寄问题。

从系统性考虑的角度，小王的关键缺失在于：

• 作一个项目来执行，因此没有关注业务部门的真实

想法，没有让管理层获取足够的信息来评审持续方

案；

• 没有进行业务冲击分析，没有界定好范围，他的视

线里只有IT系统和数据，业务的关键活动没有被识别

出来，也就谈不上风险预防和意外事件响应了。

• 没有找到一套系统化的方法论来指导。

现在，小王可以参考BS 25999标准，对自己公司

的业务持续管理进行差距分析，然后进行有针对性的

弥补，让BCM从设计到执行都能满足利益相关方的要

求和业务的需要，符合国际标准。

BCM管理是需要组织最高层推动的管理活动，一

个好的BCM管理框架能够让组织有足够的弹性来应对

不同的事件，对于灾害的准备不是浪费，而是让业务

的经营更加放心。作为一个公众依赖的组织，或者作

为一个可信赖组织，BCM管理是一个必须的考虑。BS

25999为我们提供了管理思路和方法，她的第一部分

为我们提供了最佳实践的指南，第二部分为我们提供

了管理体系的规范，并且作为一个可审核的标准，组

织可以请BSI进行第三方评审，以确定自身的BCM管理

水平是否能够符合到标准，并提供对利益相关方的信

心。

结 语

12 Business Standards

ISO 20000与BS 25999趋势引领信息咨询有限公司 张引文

在今年BSI的客户交流会上，有

一个会场的主题是业务持续管理，

在与周围与会人员交流中发现这个

会场中的绝大部分人都是IT部门人

员。为何IT部门人员如此的关注于

业务持续管理这个领域呢？我们回

顾一下IT发展的历史不难看出，随

着企业的发展IT对企业运作的支撑

已经逐步从协助企业提高生产效率

转变成为支撑企业的日常运转的核

心业务，一旦it系统出现状况将导

致企业或组织的业务的中断甚至倒

闭关门。尤其以银行和证券行业为

重，银行核心帐务系统的中断，股

票交易所的交易系统中断的后果不

堪想象，其中断造成的影响已经上

升到影响国计民生的高度。IT部门

如何在日常工作中将业务持续管理

管好，在灾难出现时及时有效的处

理、回避或减小灾难的损失，是很

多IT部门领导所关心的重要问题。

ISO20000是IT服务管理的国际

标准，通过一个完整的体系帮助组

织构建一个完整的服务管理框架。

由于ISO20000标准与IT部门日常工

作开展的联系十分紧密，现在正在

被越来越多的企业和组织所认识，

并依据其作为标准构筑IT运维的服

务管理体系。BS25999是刚刚推出

的关于业务持续管理的框架标准，

目的在于当我们面对灾难时能从容

应对以及将损失降到最小。两个标

准在IT部门的交集便是IT部门领导

所关注的问题的焦点了，需要想办

法让持续管理融化在IT部门日常工

作当中，实现IT部门的业务持续管

理。

首先，我们为什么要按照标准

来做认证呢？在谈到这个问题的时

候交通银行数据中心高军总经理认

为：“通过认证可以在相对短的时

间内提供组织内在的动力，保证工

作的开展。”认证项目的作用是使

得组织在短时间内目标明确，全体

动员，资源充足集中精力解决一个

重要问题。像交行这样的企业，证

书并不是目的，通过认证使得组织

具有完整的运维服务管理体系，完

善的管理制度和统一的话语平台以

及高效的沟通渠道，使得组织绩效

提高，同时也为组织的持续管理

打下“群众基础”和管理基础。

BS25999中提出六个步骤，分别为

BCM管理程序，理解组织，决定战

略，开发并实施BCM响应计划，

演练、维护和评审回顾，以及把

BCM植入组织文化。最后一点把

业务持续管理植入组织文化，通过

什么方式呢？如何建立呢？我想

ISO20000里面有很多手段都可以

帮助我们实现这个最高境界。

理解组织理解组织，需要用到一些方法

论，如业务冲击分析，风险评估，

对于 IT部门的持续管理，在实施

ISO20000过程中信息安全流程和

可用性持续管理流程中会进行以上

两项分析，同时还要考虑到服务级

别的要求，服务中断所最大能忍受

的时间、数据丢失量。最终得到关

键业务的恢复优先顺序，恢复所需

资源，以及面临的威胁。

决定持续管理战略在制定战略的时候需要考虑如

下方面的资源

人，人的能力意识是否能够满足

要求，关键人员的依赖程度以

及把关键人员放置到不同场所。

ISO 20000中要求组织能确保人

员的能力和意识能满足服务的需

求，故需要建立起一套培训管理

体系，确保所需要的业务能力以

及需要了解的灾备方面的知识能

顺利传递到每个需要了解的人，

可以将每个岗位设置主备人员，

并对其培训，这样就解决了组织

中‘孙悟空’一但缺失造成业务

中断的风险。人员在进行事件管

理时被培训的事件分类，紧急程

度都在出现灾难时成为发现问题

并上报问题的有效渠道。什么样

的情况是一般事件，什么样的事

件需要直接上报，根据优先级和

影响程度处理也不同，随着优先

级不同，紧急变更进行处理的决

策人可能不同。这些只有让员工

在每天工作当中对流程和处理十

分熟悉，才能在“战时”处理地

•

13质 量 经 营

十分自如。

场所和技术，是否有灾备中心，

自建或是租用ISO 20000标准并

没有规定，但对于组织满足SLA

的要求是否需要灾备中心就需要

组织自己仔细分析一下了。技术

手段包括的设备容量，可用性都

在ISO 20000标准里面有要求，

同时在财务管理里面对如何进行

财务的预算核算也有管理要求。

在灾难发生时我们必须确保供应

商能及时赶到并进行处理，在关

键时刻能达到这点必须在日常就

对供应商进行严格的管理，ISO

20000中也有供应商关系管理流

程。同时配置管理是我们强大的

数据后盾，为我们的恢复提供宝

贵的数据。

利害相关人，包括了我们的领

导，客户以及供应商，当然还有

员工。在供应商管理中我们事先

做了利害相关人列表，所有的联

络方式均可在灾难发生时及时得

到，以上信息是否真实有效呢？

当然必须定期的进行管理和维

护。当灾难过程中或结束后，我

们对利害相关人的报告通知变得

十分重要，ISO 20000中的业务

关系管理流程，和服务报告流程

恰恰就早已为我们打通了汇报、

联系和沟通的渠道，同时别忘了

我们还有服务台以及投诉的渠

道，随时了解最终用户的信息，

这样使我们在紧急状态下工作仍

能按部就班。

开发并实施持续管理响应计

划制定灾难恢复预案是十分重要

的，应针对不同场景编制应急预

案，应急预案通常包括了恢复策

略，响应组织及流程，触发条件，

响应通讯及操作指南，以及需要通

知及协助处理的利害相关方和支持

人员。在ISO 20000的可用性持续

管理流程中有所要求。

演练维护和评审回顾在ISO 20000的可用性持续管

理里面要求预案必须得到演练，演

练必须得到有效的策划和管理，以

确保起有效性可执行性，和适合

性。同时演练中发生的问题作为问

题进行管理，也许还会产生容量需

求被编入容量计划中。深圳证券交

易所在做灾备演练的时候会通知全

部券商和上下游单位一起协同演

练，真正是演练从难，从严，从实

战出发，也只有经过这样锻炼的队

伍才能保证十几年股票交易从未中

断的骄人成绩。

持续管理程序管理如果让持续管理持续有效，就

必须进行持续的pdca的循环，找到

问题并加以解决。ISO 20000在实

施过程中帮追全员了解pdca思想，

并且对pdca的熟悉，贯彻，理解会

帮助持续管理的改进工作做的很扎

实，有着很好的群众基础，全体员

工在思维方式和意识上认同并支持

这样的做法。

把持续管理植入组织文化将持续管理植入组织文化就是

将其融化在每个员工的思想里，融

化在相关制度中，融化在日常工作

中，使每个人都了解自己在持续管

理中的角色。如果单纯的进行持续

管理培训，效果未必能很好，但是

如果将其规范到每个人的日常工作

要求中，使整个管理体系的各个方

面都能很好的成为持续管理的基

础，这样我们的客户会更加信任我

们的组织。

持续管理的概念很大，以上只

是谈了在IT组织内部的持续管理，

并不能覆盖持续管理的全部。业务

部门的持续性分析以及业务部门的

持续管理并没有很深入的涉猎。在

ISO 20000标准里面有一个流程专

门讲的持续管理，但我认为在组织

中的IT持续管理并不是一个流程就

能解决的问题，整个的管理体系都

可以为其服务，这个也就是为什么

ISO 20000在认证的时候不允许有

删减，毕竟IT服务管理是一盘棋，

目标都是为了为客户提供稳定高效

满意的服务。

•

•

14 Business Standards

英国标准协会（British Standards Institution (BSI), UK）发布的BS

25999标准为业务持续管理（Business Continuity Management, BCM）这

个仅在九十年代初才正式萌芽发展的行业掀开新的一页，BCM作为一个

与组织的生存息息相关的管理框架受到前所未有的高度关注，与之有关

的活动此时更是处于最活跃的状态，而近几个月来BS 25999标准的发布

更成为BCM行业内外人士的热门话题。当然，BCM行业今日的发展与20

年前相比亦可算是达到了一定的成熟度，但仅此是不够的，尚有继续发

展的空间，至于BCM将来会如何演变，此乃本文试图探究之课题。

在进入正题之前，必须了解什么是BCM。根据国际业务持续协会

（The Business Continuity Institute (BCI), UK ）2007年《最佳实践指南》

予以的定义，BCM是“一个整体性的管理流程，它能识别对组织构成

威胁的潜在冲击，提供一个建立快速恢复能力和有效反应能力的框架，

从而保障组织的利害相关人的利益，组织的名誉、品牌及创造价值的活

动。”高层管理对BCM的大力支持、组织把BCM融入企业日常运营管理

中、各阶层的员工给予BCM的全面配合等都是一个高效BCM体系不可或

缺的要素。

近几年来，亚洲各地区BCM官方机构对制定BCM相关指南与标准不

遗余力，期间日本经济产业省（Ministry of Economy, Trade and Industry

(METI), Japan）于2005年3月 出版了《业务持续计划指导规则》 、新

加坡标准生产力与创新局（SPRING Singapore）也在同年发布了《业务

持续管理技术参考（TR 19:2005）》 、澳大利亚标准机构（Standards

Australia）则在2006年出台了《业务持续管理执业指南（HB 292-

STOP 着眼与展望

业务持续管理的现在与未来

BCP Asia 余绍强文

Business Continuity Planning Asia Pte Ltd 执行董事

国际业务持续协会 （Business Continuity Institute

(BCI),UK）亚太去代表 董事

中国信息会推进联盟BCM专业委员会高级顾问

新加坡标准争产力创新局（SPRING Singapore）BCM

审计师

1.Good Practice Guidelines 2007 A Management

Guide to Implementing Global Good Practice in

Business Continuity Management, The Business

Continuity Institute (BCI)

2.BCP Guidelines, 31st March 2005, Japan’s Ministry

of Economy, Trade and Industry (METI)

3.Technical Reference for Business Continuity

Management (TR 19 : 2005), SPRING Singapore

4.A Practitioners Guide to Business Continuity

Management (HB 292-2006), Standards Australia

5.国际业务持续协会之宗旨

To promote the art and science of business continuity

management图一：BCM框架

15质 量 经 营

2006）》 等，由此可见BS 25999标准只是其中一个BCM标准。若把这些标准拿来一一比较对照，不难发现诸多

标准所倡导的BCM框架几乎大同小异，而且少不了程序管理、业务冲击分析、风险评估、制定BCM策略、开发

业务持续计划（Business Continuity Plan, BCP）、建立BCM文化、及BCP演练、维护与审计等几大BCM要素。现提

供图一参阅《最佳实践指南》的BCM框架，即与BS 25999标准的框架相同。

目前国际上只有两家权威机构为有意证明BCM能力与技能的专业人士提供国际认可的BCM个人认证。这两家

机构就是国际业务持续协会和国际灾难恢复协会（Disaster Recovery Institute International (DRII), US ），而鉴定的

准绳严格根据个别机构所拟定的认证标准进行。BCM标准的发布意味着BCM行业将趋向于机构组织按照一个选

定的BCM标准来鉴定其BCM的能力，以向利害相关方如客户，员工、政府机关等证明其乃可信赖、负责任、非

常专业的组织，而且具备足够的弹性来应对不同的事件，任何情况下都能履行承诺，以取得他们对组织的信心。

机构组织对BCM鉴定的需求可能会促使市场对合格的BCM审计师、培训员、咨询顾问等的需求增加。为了证

明这些BCM从业者有资格从事机构组织的BCM鉴定，若现有个人认证范围扩大，延伸至BCM审计师、培训员及

咨询顾问的认证也不足为奇。要跟得上BCM行业不断变更的步伐，BCM从业者就得时时掌握BCM行业的最新动

态与发展，适应及符合BCM行业市场的需要。

机构组织该按哪一个BCM标准鉴定其BCM能力也是一个众说纷纭的问题。应遵照HB 292-2006、TR

19:2005、BS 25999还是其他的BCM标准进行鉴定？在选择BCM标准的时候应考量法规的要求、组织的政策、服

务的范围等因素。在面对全球竞争的大环境下，BCM也将趋向于环球化，所有机构组织使用一个统一的国际化

BCM标准并非不可能，而这个标准的产生方式或许会系由诸多BCM标准的合而为一，或者其中一个标准格外受

到BCM从业者的青睐，而最终形成国际标准化组织（International Organization for Standardization）的ISO标准。

一般认为，BS 25999标准作为一个适用于任何一般机构组织的标准出线的机率相对较高。到底BCM标准会如何演

变，就让我们拭目以待吧。

官方机关和一些非赢利BCM组织如国际业务持续协会对普及BCM理念，使之逐渐被众多组织所接受，在一

定程度上起着重要的推动作用。前者的力量更是不可小视，从银行业目前的情况亦可体会到立法对推动组织建立

BCM机制的深远影响。由于过去几年来不断促进BCM的理解和认知，目前银行业的BCM体系已相当成熟。各国

官方机构对BCM的投入和支持肯定是“促进BCM的艺术与科学” 的一大动力。

目前，其他行业标准包含BCM要求而促使组织建立BCM体系已是一种现象。在新加坡，有近半数的医院和专

科医疗中心已实行了BCM体系。接下来，为了符合美国医疗机构国际联合委员会（Joint Commission International

(JCI), US）即将在2008年发布的医疗标准中的BCM要求，绝大多数的医院和医疗中心正积极地展开改进现有BCM

体系的工作，使其符合TR 19:2005标准。现今的BCM标准主要适用于一般机构组织，没有正视个别行业的机构组

织对BCM所提出的特殊要求。因此，个别行业的标准与BCM标准的相结合，以形成专属于该行业的BCM标准可

能是未来的发展趋势。

对于许多BCM从业者来说，BS 25999标准的发布标志着BCM行业一个新纪元的开始。机构组织BCM能力的

鉴定与个人认证已在发展当中。接下来的五年内，预期BCM行业会在世界各地迅速发展起来，BCM市场需求将

呈现继续扩大的趋势。关键在于如何藉由一个独立的BCM标准为组织建立一个有效的BCM机制。毕竟BS 25999

标准才刚发布，其会如何影响BCM行业的未来发展目前仍是个未知数，而实现BCM标准的统一，还有一段路要

走呢。

16 Business Standards

HP全球软件服务中心简介

惠普全球软件服务(中国)中心(GDCC)成立于2002年，原名“惠普中国软件研发中心”,当时定位于为中国市场

提供行业软件解决方案和产品。中心的成立使得惠普公司在中国的投资项目从产品销售和生产，提升到了产品研

发和专业服务的领域。这代表着惠普公司对中国的承诺。

2004年5月起，中心被纳入惠普全球服务体系，成为继印度之后惠普公司在全球范围内排名第二的软件服务

中心。中心开始直属于总部管理，也意味着惠普在中国的分支机构将得到更多的资源和关注。同时中心也是HPS

GD业务模型非常重要的组成部分。在经历了5年的快速成长后，GDCC现在已经拥有超过2000名员工。我们的客

户来自美国，欧洲，中国，日本及亚太其他地区。GDCC的总部坐落于上海，在北京，大连，重庆，广州有分中

心。

GDCC由5个主要的业务部门组成：应用管理服务部；通讯，媒体，娱乐，公共事业部；制造与金融事业部；

技术与创新软件研发部；对日服务中心。提供面向全软件生命周期的各类服务，如软件外包，应用开发，应用维

护，应用服务，应用测试，定制，打包，咨询等，并创建了很好的电信，财务，制造业软件解决方案。主要业务

范围覆盖：通信、媒体及娱乐，供应链管理，数据仓库，SAP，Oracle，JAVA，.NET，ITSM等。

GDCC获得的认证包括了CMMI5级，PCMM3级，ISO9000，并于2007年9月获得了ISO20000和ISO27001认

证。

摘要

本文介绍了惠普全球软件服务中心在实施业务持续管理（BCM）过程中的方法和实践。包括以下内容：

1．HP全球软件服务（中国）中心简介；

2．HP业务持续管理概要；

3．HP GDCC的BCM实践方法；

4．HP GDCC的BCM实践心得；

HP GDCC 向毅，谢敏之文

惠普 业务持续管理实践

17质 量 经 营

HP业务持续管理概要

随着IT领域的不断发展，IT企业面临着如何持续地满足客户的需要和提高客户的忠诚度 、信赖度的挑战。

HP也同样将如何持续地向客户和业务伙伴提供服务和客户价值列为了重要课题。

为了使HP成为一个可信赖的组织，HP建立并维护了一套完整的管理过程以使组织在受到潜在的或真实的，

已计划的或未计划的各种灾害影响时都能履行自己的承诺。其核心内容包括了业务持续计划（BCP）以及各种

预防和恢复解决方案。

BCP描述了组织如何主动性地处理各类可能的灾害和危机。主要内容包含人员转移规划，恢复时间目标

（recovery time objectives - RTO），最低运营需求（minimum operating requirements - MOR），服务级别调

整承诺，关键业务流程识别，业务运营场所转移规划，风险管理等。

BCP在 BCM里占有极其重要的地位，可以帮助组织保护品牌、财务、资产，降低法律风险，最小化业务延

迟和额外成本，以期满足正常业务需求；也可以帮助员工有明确的流程指南减小健康和财产的损失，保证日常

工作的持续开展。

BCM在HP是一个贯穿整个企业的，由各职能部门负责具体实施的管理流程。

HP GDCC的BCM实践方法

GDCC一直按照基于ITIL的HP ITSM框架为客户提供IT管理服务业务，近年来客户关于服务质量和安全管理的

惠普 业务持续管理实践

18 Business Standards

要求越来越高。为了提高IT服务质量，提高客户满意度，并加强客户对组织的信赖度，GDCC于2007年初启动

了ISO20000和ISO27001的认证项目，在组织范围内实施并部署ITSMS（IT服务管理系统）和ISMS（信息安全管

理系统）。ISO20000和ISO27001都提出了对于业务持续管理的要求，项目组在对标准条款和组织规范进行充

分研究之后，建立了基于HP BCM框架的BCM流程并付诸实施。

GDCC定义了专门的团队和人员负责业务持续管理，组织结构图如下：

对应ISO的要求，GDCC制定了BCM流程，流程主要步骤包括：1. 风险、灾难识别和评估；2. 业务冲击分

析（BIA）；3. 制定备份和恢复流程；4. 制定业务持续计划（BCP）和灾难恢复计划（DRP）；5. BCP和DRP演

练；6. BCP和DRP维护。流程图如下：

在进行风险和灾难识别评估过程中，实施团队从环境、历史数据、设施设备、网络、核心业务、管理工具

和流程、基础应用系统、人员、组织过程、客户（伙伴）流程等10个来源识别风险并评估了风险的发生可能性

Emergency Response

Crisis Manager

Crisis Management

Infrastructure Recovery Business Recovery Teams

- Data Center Facilities Management

- Platform

- Database/SAP

- Network

- Messaging

- Tools

- Helpdesk

- Voice

- REWS

- Local IT

Continuity Management Process Overview

ContinuityManager

ContinuityCoordinator

RecoveryTeam

Leader

10.1 Conduct Risk &

Disaster avoidance

Assessment

10.5 Design & Develop

Continuity & Disaster Recovery

Plan10.6

Alternate Processing for critical

CL

10.7 Continuity & Disaster Recovery

Plans Rehearsals

10.8Continuity & Disaster

Recovery Plan Maintenance

10.2 Conduct Business Impact Analysis

10.3 Determine

backup Options 10.4

Continuity & Disaster Recovery

Team

19质 量 经 营

（Occurrence）和冲击影响程度（Impact），据此定义了所有已识别风险的级别，为将来制定DRP提供恢复优

先级的参考。

在随后的业务冲击分析活动中，实施团队对GDCC的业务结构进行了分解，通过和业务经理的沟通，评估

每类业务的重要程度，识别并规避业务风险，定义最大可接收中断时间（MAD）和恢复时间目标（RTO）。如

下例：

在BCM中占据核心地位的业务持续计划（BCP）是在上述的风险识别和业务冲击分析的基础上生成。计划

中定义了如下内容：1.应急反馈机制和流程；2.应急反馈小组（Emergency Response Team - ERT）构成和联系

方法；3.灾难管理小组（Crisis Management Team – CMT）构成和联系方法；4.灾难管理机制和流程；5.恢复

小组（分为基础设施恢复和业务恢复）；5.组织业务和架构描述；6.恢复管理流程及KPI；7.灾难场景列表等。

BCP完成后GDCC组织了2次演练，一次是针对大连分中心的模拟场景演练，管理人员和员工在假想灾难发

生后按照BCP采取了相应措施，包括了部分员工转移到上海中心继续工作，演练取得了预想的效果。为了节省

成本，第二次演练采取了沙盘模拟演练，相关员工使用预先设计好的场景和文档顺利完成了协同演练。

GDCC的BCM实践心得

在实施BCM的过程中，项目组总结了一些经验教训和心得。

•

•

•

•

•

•

•

制定RTO时一定要参照MAD，需要将RTO限制在MAD范围之内。

灾难发生后不要立即启动BCP，需要ERT对灾难情况进行评估并报告给管理层，由负责人最终决定是否启动

BCP。

BCP启动人尽可能定义为组织最高管理者，并需要定义多个后备人员。

灾难场景列表将有助于提高人员反应速度和效率，GDCC预设了10个相对发生可能性较大的灾难场景，并

预定了应对措施。

由于相关信息可能变动较频繁，比如人员、联系方法等，BCP需要得到很好的维护和更新，更新频率不能

过低。

沟通非常重要，尤其是对员工的教育，力争使业务持续管理成为每个人的习惯。

组织高层管理者应该自顶向下推动BCM并定期对BCM流程进行评估。

Process Name Application Management

Point(s) of Delivery (location) Shanghai, Beijing, Chongqing and Guangzhou

Impact if this service is interrupted. Describe and quantify the impact

Late response to customer’s

Maximum Acceptable DowntimeHow long can this process be interrupted before the impact becomes intolerable?

24 hours

Recovery Time ObjectiveHow quickly does this process need to be restoredif disrupted?

24 hours

Expected Service Level in degraded modeCustomer are informed, major customer incident are taken care

Description of Risks No access to office, network and telephone

Risk Mitigation MeasuresWork at home or recovery site to take over; inform customer on disaster and alterative contact method; leverage other tier of support teams in overseas.

20 Business Standards

GDS万国数据服务有限公司 高勇 汪琪文

阿姆斯特丹斯特拉提克斯集团的爱伦·德·鲁吉最

近针对公司寿命所做的一项调查显示：在日本和欧

洲，所有大大小小公司的平均寿命只有12.5年。而在

中国企业的平均寿命只有3-5年。诚然，这其中包含

了历史的因素和经济发展阶段的影响，但是在企业发

展的不同阶段，对风险的控制和规避以及对突发事件

的应对和保障的投入也直接影响了企业的生命周期的

长短。特别是那些大型、超大型企业和对整个国计民

生有着重大影响的企业和机构如何保持企业的连续有

效的运作，减少和避免非计划事件造成的重大损失和

影响是一个十分重要的命题。

业务持续的概念业务持续并不是一个新鲜的话题，《左传·襄公

十一年》书中即有：“居安思危，思则有备，有备无

患。”忧患意识不仅仅是一个国家一个民族要有，一

个企业也必须保持常备不懈才能够在激烈的竞争中在

变幻莫测的生存环境中立于不败之地。

现代意义上的企业业务持续的概念始发于20世纪

70年代中期，随着计算机系统在企业支持体系中的重

要性逐步提高，企业对信息系统的依赖性逐步显现出

来，信息系统的信息安全和持续运行保障成为企业持

续生存的重点。以信息技术体系保障和恢复为核心的

灾难恢复的概念被提出和关注。并开始出现了一批提

供信息系统灾难恢复体系建设服务的专业服务公司和

组织。像美国的SunGuard公司从1978年开始关注于

业务持续和灾难恢复服务，目前已经成为年营业额超

过4亿美金，服务于25000个客户的庞大企业，在911

事件中由其直接提供灾难恢复服务的用户就达到400

家以上。业务持续管理的理念就是在灾难恢复的基础

上扩充和发展起来的。

按照现代企业管理实践，业务持续管理就是企

业管理者在经营过程中主动识别企业在运行、管理过

程中可能存在的会对企业的生存发展带来重大负面影

响的因素，并从设施、人员、培训、教育、管理体系

制度等方面进行积极改进和提高，建立有效的防范和

响应机制，避免企业的服务能力和持续发展过程遭受

重大挫折。涉及了风险管理、灾难恢复、基础设施管

理、供应链管理、质量控制、健康与人身安全、知识

管理、应急管理、保密、公众联络与公关等众多的专

业领域。

业务持续管理的发展目前，国外的业务持续管理理念经过20多年的发

展，已经比较成熟，在一些发达国家，大型企业和重

要机构都会建立负责业务持续管理的专门机构和专门

人员，在远离生产中心的地方拥有一个甚至多个备用

计算中心和其他备用基础设施，那些对于信息系统依

赖程度较高的企业往往要拿出IT总预算的7%～15%用

于备份系统建设。更多的企业已经开始从IT系统之外

的更多领域考虑企业的业务持续管理。

国外的企业和机构在长期的实践过程中积累

了大量的成功经验，并形成了国际性的专业组织，

推出了以最佳实践为基础的规范和标准，这其中

包括业务持续组织（BCI）推出的PAS56（Publicly

Available Specification 56 Guide to business continuity

21质 量 经 营

management），英国标准协会（BSI）推出的BS

25999（Part1 为最佳实践指南 2006底推出 Part2 为

认证规范 2007年底推出）等。BS 25999将是第一个

业务持续管理领域的国际标准。在标准和规范建设方

面，国内的信息主管机关和行业主管机构也作了很多

工作。2003年《国家信息化领导小组关于加强信息

安全保障工作的意见》明确要求: 各基础信息网络和

重要信息系统建设要充分考虑抗毁性与灾难恢复，制

定和不断完善信息安全应急处置预案。2005年4月，

由国务院信息化办公室主持编制的《重要信息系统灾

难恢复指南》（以下简称《指南》）出台，指明了做

好信息系统灾难恢复工作的基本思路。去年7月，对

《指南》进行解读和补充的《信息系统灾难恢复的规

划及实施》正式出版，对灾难恢复相对成熟的理论和

方法进行了全面介绍。银行、保险、证券等行业也开

始着手依据主管机关的要求和《指南》的要求制定本

行业的信息系统灾难恢复的规范。许多国家部委、地

方政府、银行、海关、税务等对信息系统依赖严重、

关系国计民生的重点行业已经开展了灾难恢复备份系

统的设计、规划和实施。

在我国，现代意义上的业务持续和灾难恢复体系

建设工作起步较晚，20世纪末的“千年虫”事件应该

是中国企业开始关注业务持续和信息系统灾难恢复工

作的一个标志性的事件。随后的911事件让众多的企

业开始正视信息系统灾难恢复和业务持续管理工作的

重要意义。虽然，国内许多企业已经认识到了灾难恢

复和业务持续的重要性，开展了以信息系统为核心的

灾难恢复体系的建设，但是目前国内的灾难恢复和业

务持续工作还存在一些问题，例如：对灾难恢复和业

务持续体系建设的重要性和必要性认识不足，存在侥

幸心理；建设目标不明确，将灾难恢复和业务持续管

理作为技术问题忽略了业务需求和流程建制，混淆了

数据备份、灾难恢复和业务持续性的区别；只重建设

不重管理，无法保证灾难恢复体系的长期有效性；缺

乏统筹规划，重复建设，浪费资源; 建设方案缺乏评

估和验证，不能满足相关规范和业务恢复的要求; 缺

乏管理流程和制度保证，在灾难性事件发生时无法有

效的执行切换和恢复；人员培训和教育不足，缺少专

业管理人员，缺乏风险管理的意识，恢复操作的技能

和流程生疏；。

国内企业如何利用这些国内外的实践经验和标

准，结合本企业的实际情况建设符合企业自身特点和

要求的业务持续管理体系呢？

充分利用第三方专业服务，多快好省地建设

业务持续管理体系在专业领域依赖专业公司的专业服务已经在企

业管理和发展的各个方面证实是提升企业管理和服务

质量、水平的可靠渠道。在业务持续管理领域也不例

外。业务持续管理体系建设是一个高投入低产出的领

域，它所防范的是能够对企业持续稳定发展造成重大

损害的小概率偶发事件，却需要企业持续长期的投入

以保证体系的有效性。合理规划、资源共享、规范管

理是企业业务持续管理体系建设的必要原则。利用提

供专业服务的第三方资源是企业成功建立业务持续管

理体系的重要手段。

利用第三方专业服务

建设规范高效的业务持续管理体系

22 Business Standards

利用第三方专业服务可以提高工作工作效率，保证工

作结果的可行性和专业性

业务持续体系的规划包含以下主要内容：

在建设初期必须详细了解企业面临的风险和已有

的方法措施的有效性，了解企业的业务目标和突

发事件可能造成的损失，了解企业现有资源和保

障能力，确定企业业务持续管理领域必须遵循的

法律和行业规范，确定企业建设业务持续性体系

的建设目标和衡量标准。

在确定了总体目标后，企业应当根据总体目标按

照总体规划、量力而行、分步实施的原则确定业

务持续体系建设的阶段性目标和建设范围。，

在确定了实施步骤和总体要求后，必须规划所需

资源的获取策略，业务持续资源可能包括：人

力、基础设施、设备、信息沟通和传输网络、组

织流程保障及相关的行动计划、规章制度文档等

在规划阶段，企业面临的主要问题包括：

人员的稀缺，目前在国内，业务持续管理体系建

设刚刚兴起，企业几乎无法从国内获得拥有足够

业务持续管理体系建设和管理经验的人员，而从

国外获取又面临成本高昂和对国内情况不够了解

的问题。甚至在国外，也只有那些大型企业才会

安排专职的业务持续管理的职位和人员。人员和

经验不足是目前国内企业建设业务持续性体系的

最大障碍之一。

部门间协调困难，业务持续管理体系建设规划必

然会涉及不同业务管理、技术管理、后勤保障、

财务管理、公共关系协调等部门的需求和资源调

用，如何打破原有的部门间条块分割的界限统一

的协调需求和资源，是企业现有体系下难于解决

的问题。许多企业开展业务持续性体系建设多年

无法取得进展，部门、利益团体间难于协调是重

要因素之一。

缺少统一的规划方法体系，建设规划必须依据统

一的规划标准和方法体系才能够得到科学合理的

结果。在缺少专业人员并且难于协调部门间差异

的情况下，很难想象通过部门间分工甚至兼职的

协作能够执行一个统一的规划方法体系。

而通过专业服务公司就能够很好的解决以上问

题。首先，专业服务公司在于公司建立合作前就已经

有大量专业人员储备，而且这些专业人员不但获得了

基于国外最佳实践方法的严格培训，而且具有国内其

他相关企业业务持续管理体系规划实施的实战经验，

可以说既有理论基础又有实践经验，能够大大缩短企

业的建设周期减少不必要的周折和损耗。其次专业服

务公司作为企业外部资源，直接受命于最高管理层，

不易受部门间利益体系牵连，具有更好的中立性和

权威性。第三，专业服务方掌握了成功的统一的规划

方法体系、更容易实现规划方法体系的连贯性和一致

23质 量 经 营

性，能够获得更加科学合理的规划结果。

利用第三方专业服务可以提高资源使用效率

降低整体拥有成本由于灾难事件是小概率事件，各企业同时发生

灾害性问题的可能性很低，利用社会化资源实现资源

共享，降低企业建设使用成本的同时提高资源使用效

率，已经被国内国外的许多案例证明是建设灾难恢

复和业务持续性体系的最佳选择，在《国家信息化领

导小组关于加强信息安全保障工作的意见》和国务院

信息化办公室主持编制的《重要信息系统灾难恢复指

南》中也把资源共享作为重要原则进行了阐述。

利用社会化专业服务资源可以在以下几个方面实

现共享，

场地共享，例如：机房场地、办公场地、应急指

挥和会议、媒体接待等

设备共享，例如：环境保障设备、信息处理设

备、存储设备、办公设备、通信网络设备等

服务共享，例如：设备场地巡检服务、恢复支持

服务、演习演练支持、会务及通知通讯服务等。

利用社会化专业服务资源实现资源共享具有以下

好处

减少初期投入，灾难恢复和业务持续体系的建设

要求企业必须具备在灾难发生时能够使用的备用

资源，包括备用的人力资源、场地设施资源、数

据处理能力和设备、通信网络线路等。通过租用

的方式获得这些资源可以大大减轻企业一次性投

入的资金压力。并且能够在税收、财务报表核算

指标方面获得有利的地位。

缩短建设时间，与自建方式相比，利用社会化资

源可以通过一次商务谈判来解决，节省了土建、

装修、采购、安装、测试等一系列过程大大缩短

了资源建设和准备的时间。

获得高标准服务，社会化资源在长期对外服务过

程中形成了标准、规范的服务流程和服务质量管

理体系。相对而言自建设施从建设完成到形成稳

定服务能力不论是在时间开销上还是规范性上都

有较大差距。

更低的总体拥有成本和更高的使用效率，通过共

享不但可以提高资源使用效率，同时还能够分摊

使用成本，使企业以更低的总体拥有成本获得专

业的服务。

此外，通过社会化、专业化的资源共享还可以降

低企业机构复杂度、分摊风险和责任、提高企业自身

的专注度和管理效率。

24 Business Standards

综上所述，业务持续管理体系的建设是企

业获得持续稳定发展能力以及符合法令规范要

求的必要途径，通过选择合适的第三方专业服

务可以令企业能够充分利用已有的知识体系和

管理经验，缩短建设周期，降低建设和维护成

本，拥有规范高效的业务持续管理体系，保障

企业业务目标和社会责任的实现。

利用第三方专业服务有利于促进管理标准、

规范的实施和执行规范管理是企业业务持续管理保持持续有效的必

要保证，在企业获取了相应的资源后，并不意味着企

业就具有了防范和应对风险事件的能力，除了资源保

障外企业还必须在组织评估、机构设置、应急响应、

灾难恢复活动及流程、演习演练、人员培训、体系维

护，审计及改进，企业文化植入等方面建立规范的文

档、制度和流程。并根据P(lan)D(o)C(heck)A(ction)的

流程进行持续的改进和提高。

虽然，在这些方面已经有很多的最佳实践、

规范和标准可以参考（包括前面提到的PASS56，

BS25999）等，但是这些最佳实践、规范和标准等都

是按照普适性原则开发的，必须依据国内和企业的自

身情况进行调整和定制。通过第三方专业服务的协助

企业可以大大缩短制度和流程体系的开发周期，并可

以在第三方专业服务团队的帮助下完成制度、流程的

落地和实施，使企业能够快速的获得灾难性事件的应

对及恢复能力，保证企业持续稳定的发展。在此阶

段，第三方专业团队可协助企业完成以下工作：

管理体系的规划，第三方专业团队可以利用自己

的专业知识和丰富的经验协助企业建立起符合法

律规范要求和企业自身特点的业务持续管理体系

框架，保证管理体系框架的完整性和合规性，为

企业将来的自我完善和提高打好坚实的基础。

提供较详尽的样例、模版和使用指南，用户可以

利用已有的素材在一个相对完备的体系基础上进

行个性化的定制和开发，避免了大量的重复劳动

和人员开销。

人员的培训和知识技能的转移，可以通过与第三

方专业团队的共同工作和相关培训课程完成企业

内部专业人员和技能的培养，获得持续改进和提

高的能力。

演练指导和执行审计，第三方的专业团队可以为

企业提供更加专业的演习演练管理方法和组织人

员，帮助企业人员获得实践经验和操作技能，并

通过定期的审计，为企业提供更多的改进机会。

意识的教育与统一，业务持续必须表现为全体员

工具有统一意识的企业的整体意志才能够得到很

好的贯彻和执行。第三方专业团队可以提供成熟

有效的内部教育素材和手段协助用户完成业务持

续管理理念和企业文化的有机整合。

企业在选择第三方专业服务团队时应注意的

问题企业在选择第三方专业服务团队时也必须注意以

下问题：

专业服务团队的专业和专注，选择的服务方必须

具备专业的知识和专业的团队，业务持续管理涉

及了不同领域的多个专业，专业服务团队掌握的

知识和技能必须能够充分涵盖并且能够支持业务

持续管理体系的规划和实施。

专业服务团队的服务案例，通过考察服务方的案

例，可以增进企业对服务方在专业知识、客户所

处行业以及服务能力方面的了解，相关案例的规

模与数量直接说明了服务方服务团队的规模和专

业服务经验的多寡。

专业服务团队的市场美誉度，企业还应该通过不

同的渠道了解服务方的市场反映，有时服务方的

宣称和第三方传言并不可信，如果可能，应直接

与服务方的客户取得联系，了解实际的情况。

专业服务团队的中立性，由于业务持续体系的实

施可能会带来巨大的投入和长远的影响，专业服

务团队应保证其在工作过程中的公正性和独立

性，最大可能的代表企业方的长远利益，而与项

目利益的直接相关方，例如设备生产商或者个别

部门/团体利益代表者等可能会损害这种公正性

和独立性。

参考自BS 25999 Part 2

25质 量 经 营

“BS 25999这个产品之所以需要特别关注，主要源于它是一个面向高级管理层的产品，它和质量部门没有

多大关系，是一个新领域。我们需要做的是将该产品全球布局，提升社会关注度，这些对我们未来的成功

至关重要”

Flemming Norklit,

Global Managing Director of BSI Management Systems

“我曾经在市场上寻找有价值的知道方法，我发现BS 25999是唯一能够提供这方面帮助的标准，因此你们

不用再花时间去搜寻了”

默多克新闻集团业务持续管理总监

“BSI 推进了BS 25999这见要事的进程，并提升了它在美国企业的关注度”

克林顿总统私人助理

STOP

25质 量 经 营

26 Business Standards

ITIL风生水起BSI 潘蓉（计算机世界报 2008年01月07日第01期 B18）文

ITIL将与国际标准的发展趋势相融合，除了关注流程，将更加关注业务、业务的连续性和信息安全。

ITIL（IT Infrastructure Library，信息技术基础架构库）原本是最佳实践的指南，是对以往所有IT服务管理最佳

实践的总结。近几年，行业和信息技术都发生了很大变化，因此对IT服务管理也提出了新要求。为了保持ITIL的生命

力，就必须总结融入近几年的IT服务管理经验。

ITIL V3诞生

2007年5月，ITIL V3在大量用户的千呼万唤中终于正式发布了，带来版本改变的原因如下。新版ITIL是在大量追

随者的簇拥下闪亮登场了。那么，ITIL V3给我们带来了怎样的变化呢？

先来看它的构建组件，包括三大部分: （1）核心的五本书籍 (core books)， 在此引入了生命周期的概念，以服

务策略为核心，它贯穿了生命周期的各阶段; （2）补充材料（complimentary publication），针对不同行业和规模的

企业，提供案例、最佳实践、与其他管理框架（如CobiT）或方法论（如SixSigma）的映射关系和接口等; （3）Web

支持服务(Web support services)，提供增值产品，如模板和工作流程图。

从新发布的架构来看，ITIL V3给要实施或已实施的企业带来的影响如何呢？

一是对生命周期的影响。ITIL采用了服务生命周期的循环概念，而非流程的线性概念，希望能藉此增加ITIL架构

的弹性。

这个改变对于已经通过ISO20000认证的企业来说没有太大影响。生命周期的方法论不但强调持续改进，还包括

流程、组织、角色和职责的整体架构规划。没有按照ISO20000的内容要求实施的企业应该考虑定期地结合业务战略

回顾提供的服务内容，确保IT策略和业务需求同步，要求组织成员能参与了解业务发展，并对各流程的输出和绩效改

进提供相应的资源。

第二，流程依然存在。熟悉ITIL V2的人会担心，我按照原来10大流程做的实施有什么需要改变的吗？因为ITIL

V2的核心是流程的概念。

实际上，ITIL V3还是有流程的，许多流程还跨越了生命周期中的一个阶段。每个流程按照它的主要活动放在一

个特定的生命周期阶段里，或者说，流程与生命周期是交叉相交的。在ITIL V3中，流程的关键区域有些改变，但这

种改变只是使得实施更容易了。以事件管理与服务请求为例，在ITIL V2中都包括在事件管理流程中; 但ITIL V3把它们

分开了，服务请求作为“需求管理”的一个输入独立出来，直接与变更流程相联系，这就需要单独地区分和记录这

些服务请求。

第三，更加强调服务。作为基层的管理者也需要读核心的五本书。例如，在以往的ITIL版本中，服务管理往往

是CIO才会感兴趣; 而在ITIL V3中，服务战略这个主题的重要性获得了提升，基层管理者也要了解如何最好地使IT与业

务相适应，更好地理解服务生命周期的概念。

第四，实施更容易。对于组织来说，参照ITIL V3实施更加容易，ITIL V3将为组织提供丰富的业务案例样板、案

例研究、模板以及实施工作包。

比如，ITIL V2中推荐为服务层管理设置服务目录，但却没有说明目录中应包含什么以及如何开发这一目录。而

ITIL V3对服务目录是什么、应该包含什么内容以及能给公司带来什么商业价值提供了更多的信息，这些都使得组织

在设计解决方案时更加清楚应该做什么，而且也知道要怎么做。

第五，考虑了与其他标准的融合和法规遵从。ITIL V3里面加入了与业界其他标准的接口，如软件工程管理标准

CMMI、COBIT（IT治理控制框架）、6∑绩效考核和PPM项目管理方法等。在ITIL V3中考虑了如何与这些业界标准整

合，如哪些条目需要保留、哪些可以整合，都有详细的介绍。另外，对法规遵从提供了遵从和治理模型的指导。

第六，现有的个人ITIL认证依然有效。ITIL V3的考试认可机构从原来的 ITIL认证管理委员会（ICMB)变成了

APMG，其支持的成员单位变成了ISEB、EXIN和APMG本身。原来ITIL的个人证书持续有效，基于ITIL V2的认证将于

2008年年底停止，届时由APMG认可的新版ITIL V3的考试全面取代。

27质 量 经 营

28 Business Standards

2009

年BSI

管理学院（中国）公开课计划

课 程 名 称 天数 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月价格（元/人）

业务流程管理（BPM）精要

业务流程优化--以定制化培训为主

卓有成效的绩效考核与绩效管理实施

通向BSI绩效标杆--以定制化培训为主

6 SIGMA 管理模式

6 SIGMA 倡导者

产品型6 SIGMA绿带

产品型6 SIGMA黑带

交易型6 SIGMA绿带

交易型6 SIGMA黑带

精益6 SIGMA绿带

6 SIGMA设计 (DFSS)

2 3,200

—— ——

2 3,200

—— ——

—— ——

2 2,000

上海广州

广州上海

广州北京深圳

深圳

深圳

深圳

上海

上海

上海

上海

上海上海

北京 上海 深圳

流程审核——教你如何成为流程诊断专家

掌握审核秘诀：非常3+1（高级审核技巧）

现场审核实战演练--以定制化培训为主

2 2,100

2 1,800

—— ——

广州

广州广州

上海深圳

上海广州

广州

上海

上海天津深圳

深圳

质量管理系列 （Quality Management Sets）

通向卓越绩效的质量之路（中/高层经理质

量管理课程）--以定制化培训为主

质量经理人的领导力突破

非质量经理的质量管理

质量管理体系（ISO 9000:2008）转版

质量管理体系（ISO 9001:2008）标准精

要--以定制化培训为主

质量管理体系（ISO 9001:2008）建立与实

施--以定制化培训为主

通向卓越质量管理体系入门课程- 质量管理

体系（ISO 9001:2008）内审员

打造高价值质量管理体系专家-质量管理体

系（ISO 9001:2008）主任审核员（IRCA）

质量成本管理

供应商质量管理

—— ——

2 2,800

2 2,800

1 1,000

—— ——

—— ——

2 1,500

5 6,500

2 2,800

2 2,800

广州上海 深圳

深圳

天津上海上海 上海

广州天津

广州上海北京

广州上海北京

深圳上海天津

苏州深圳

北京上海

广州上海

广州上海

广州上海天津

广州北京

广州上海

广州/上海

广州上海

广州上海

广州上海

北京上海

北京深圳

北京深圳

广州上海

广州上海

青岛上海深圳

深圳上海北京

深圳上海北京

深圳上海北京

广州上海深圳

深圳/上海北京

深圳/上海天津

深圳/上海青岛

深圳天津

北京深圳

上海天津

广州北京深圳苏州

上海深圳

深圳苏州

广州/上海青岛

上海深圳

上海 上海

上海

上海

上海 上海 上海广州

上海 北京

上海

上海 上海

天津

上海广州

上海

上海 上海

上海 深圳

深圳

深圳

深圳

深圳

上海

深圳

深圳广州

广州

广州

广州

天津

天津

上海

广州

广州

广州 广州上海广州

深圳 深圳 深圳

上海 上海

深圳

北京

审核技能提高系列 （Audit Skills Improvement Sets）

环境管理体系（ISO 14001:2004）标准精

要--以定制化培训为主

环境管理体系（ISO 14001:2004）建立与

实施--以定制化培训为主

环境管理体系（ISO 14001:2004）内审员

打造高价值环境管理体系专家-环境管理体系

（ISO 14001:2004）主任审核员（IEMA）

职业健康安全管理体系（ B S O H S A S

18001:2007）标准精要--以定制化培训为主

新版职业健康安全管理体系

（BS OHSAS 18001:2007）转版精解

职 业 健 康 安 全 管 理 体 系 （ B S O H S A S

18001:2007）建立与实施 --以定制化培训为主

职业健康安全管理体系

（BS OHSAS 18001:2007）内审员

打造高价值职业健康安全管理体系专

家 -职业健康安全管理体系（BS OHSAS

18001:2007）主任审核员（IRCA）

EHS因素识别与风险评价

成功的环境职业健康安全 ( EHS ) 经理

环境职业健康安全 ( EHS) 经理人实务

—— ——

—— ——

2 1,500

5 6,800

—— ——

1 1,200

—— ——

2 2,100

5 8,000

2 2,100

2 2,800

2 2,800

环境/职业健康安全管理体系系列（Environmental，Occupational Health and Safety management System Sets）

整合管理体系系列 (Integrated Management System sets)

IMS (ISO 9001/ISO14001/OHSAS18001)内审员

IMS (ISO9001/ISO14001/OHSAS18001)实施

整合管理体系（PAS 99:2006）内审员

--以定制化培训为主

整合管理体系（PAS 99:2006）建立与实

施--以定制化培训为主

4 4,500

3 3,600

—— ——

—— ——

上海 上海深圳苏州

（不含辅导费）22,000

（不含辅导费）22,000

（不含辅导费）22,000

（不含辅导费）42,000

（不含辅导费）42,000

10

10

10

10 ——

20

20

持续改进服务系列（Business Improvement Sets）

29质 量 经 营

BSI华北区

李小姐

电话:(86-10)6515 7060转866传真:(86-10)6515 7060转888 Email：trainingcn@bsigroup.com BSI华东区

倪小姐

电话:(86-21)6431 2638转8813传真:(86-21)5466 0567Email: trainingcn@bsigroup.com

BSI华南区

林小姐（深圳）/ 何小姐（广州）

电话:(86-755)8351 0927（深圳） (86-20)3825 1296 （广州）

传真:(86-755)8351 5652（深圳）

（86-20)3825 1276 （广州）

Email: trainingcn@bsigroup.com

划“—”号课程仅提供企业内训。以

上课程均可根据客户要求提供内训

服务。详细请垂询BSI管理学院（中

国）各地培训部。敬请访问BSI中国

网站（www.bsigroup.cn）获得更多

培训信息和最新培训计划。解释权为

BSI管理学院（中国）所有。

上海北京

上海北京

深圳北京

广州北京

深圳上海

广州取消

深圳上海

深圳上海

深圳上海

深圳上海

深圳/上海天津

深圳上海深圳上海

广州北京

上海深圳

深圳北京

课 程 名 称 天数 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月价格（元/人）

信息安全风险评估与管理

信息安全管理体系（ISO 27001:2005)标准

精要 --以定制化培训为主

信息安全管理体系（ISO 27001:2005)建立

与实施--以定制化培训为主

信息安全管理体系（ISO 27001:2005)内审员

打造高价值信息安全管理专家-信息安全管

理体系（ISO 27001:2005)主任审核员

2 4,200

—— ——

—— ——

2 3,500

5 15,000

信息安全管理体系系列 (Information Security Management System Sets)

IT服务管理体系（ISO 20000:2005）标准精要--以定制化培训为主

IT服务管理体系（ISO 20000:2005）建立与实施 --以定制化培训为主

IT服务管理体系（ISO 20000:2005）内审员

打造高价值IT服务管理专家-IT服务管理体系

（ISO 20000:2005）主任审核员

ITIL Foundation V2-V3 Bridge

ITIL V3.0 Foundation

SEI授权的CMMI介绍

People CMM实践演练

People CMM实践演练

APQP 先期产品质量策划+PPAP 生产件批准

程序

MSA 测量系统分析

FMEA 失效模式及其后果分析

SPC 统计过程控制

五大核心工具 ( APQP/PPAP/MSA/FMEA/SPC )

QFD 质量功能展开--以定制化培训为主

质量管理7大工具--以定制化培训为主

8D手法--以定制化培训为主

DOE 试验设计--以定制化培训为主

工厂主管管理能力提升

敏捷化的生产计划与排产管理--以定制化培

训为主

5S实务技巧--以定制化培训为主

精益生产管理--以定制化培训为主

卓越服务——提升业绩的助力器

客户投诉管理体系（ISO 10002:2004）内

审员--以定制化培训为主

客户满意度管理

新经理训练营

技术精英的领导力发展

关注结果的教导-成就卓越的企业教练

培训师培训 (TTT)

时间与压力管理

专业的演讲与表达技巧

高效沟通技巧

—— ——

—— ——

2 3,500

5 15,000

2 1,800

1 1,000

2 1,800

2 1,800

5 5,000

—— ——

—— ——

—— ——

—— ——

3 3,200

—— ——

—— ——

—— ——

2 2,800

2 2,800

2 2,800

2 3,200

2 3,800

2 3,800

2 3,200

2 3,200

2 3,200

2 3,200

上海 上海 上海

上海

上海 上海

上海上海上海

上海广州

上海 上海 上海

上海上海

上海

深圳 上海

上海

上海 广州

上海

上海

上海

上海深圳

广州

广州

广州

上海

上海

广州

深圳

上海

上海深圳

上海

深圳

北京

北京

航空工业质量管理体系系列（Aerospace Quality Management System Sets）SAE AS9100 B版内审员

ISO/TS 16949 内审员

3 3,500

3 3,200

IT服务管理系列（IT Service Management System Sets）系列

质量管理工具系列（Quality Management Tool sets)

生产运作管理系列（Manufacturing and Operation Sets)

客户服务系列（Voice of customer sets)

中高层管理能力发展系列 （Management Capability Development Sets）

个人职业能力发展系列 （Personal Career Development Sets）

汽车行业管理体系系列 （Automotive Quality Management System Sets）

北京

成都上海

宁波 广州

北京

北京广州

广州 广州

广州

广州广州

北京 北京

北京

北京

上海广州北京

深圳上海

业务持续管理体系系列 (Business Continuity Management System Sets)

业务持续管理体系(BS 25999)标准精要

业务持续管理体系(BS 25999)建立与实施

业务持续管理体系(BS 25999)内审员

打造高价值业务持续管理专家-业务持续管

理体系(BS 25999)主任审核员

2 5,800

2 5,800

3 9,800

5 22,800

深圳 深圳

深圳

深圳深圳

深圳

深圳

广州

广州

广州

广州 广州

广州上海上海 上海

上海 上海

北京

北京

北京

北京

上海

上海上海

上海

（不含考试费） 2,700

（不含考试费） 7,000

1

3

3

2

4

15,000

4,000

6,000

BSI Group: Standards · Information · Training · Inspection · Testing · Assessment · Certification

B S I C h i n a R e g i o n N e t W o r kB S I 中国区网络

China(中国)

Website(网址): www.bsigroup.cn

E-mail(电邮): infochina@bsigroup.com

BSI HOT LINE(全国免费热线): 800 810 0045B

SI/C

N/6

2/B

SC/0

40

9/S

C/A

P

Jinan(济南)

Shanghai(上海)

Beijing(北京)

Shenzhen(深圳)Guangzhou(广州)

Nanjing(南京)

Chengdu(成都) Chongqing(重庆)

Beijing(北京)

Tel(电话): (86-10) 6515 7060

Shanghai(上海)

Tel(电话): (86-21) 6431 2638

The BSI certification mark can be used on your stationery, literature

and vehicles when you have successfully achieved certification.

Tianjin(天津)

Qingdao(青岛)Shijiazhuang(石家庄)

Suzhou(苏州)

Xiamen(厦门)

Hefei(合肥)

Ningbo(宁波)

Shenzhen(深圳)

Tel(电话): (86-755) 8351 6822

Guangzhou(广州)

Tel(电话): (86-20) 3825 1417