英国标准协会

英国标准协会

在正式的国际标准组织中，BSI代表

BSI共有五大业务部门，其中的英国标准部可谓是BSI的标准核心业务机构。它对内代表英国国家标准机构，通过与股东协作，制定标准和应用创新的标准化解决方案，满足公司和社会需求。对外，在正式国际组织中代表英国，确保英国对研发欧洲和国际正式标准的最大影响。作为世界上第一个国家标准组织，BSI管理着24万个现行的英国标准、2500个专业标准委员会，参加标准委员会的成员达23万多名，BSI正在进行着7000多个标准项目的研发。

BSI承担的英国国家标准组织的职责包括：服务于公共政策利益，是英国经济基础结构的组成部分;兼顾工业、政府和消费者等各方的不同利益;促进英国国家标准、欧洲标准和国际标准的研发;提供延伸的非正式产品和服务;作为国际标准化、欧洲标准化的重要桥梁。

BSI制定标准的业务领域并非包罗万象，主要专注于优势领域。其传统优势领域为：

BSI在长期的标准研发实践中，制定有一整套适应市场规律、科学的判别标准和工作程序。一个完整的标准项目的研发过程包括提议-接受-起草与编辑-公共质询-评价-批准-公布和出版等阶段。在接受一项新项目或提议前，首先必须回答如下问题：

效益：对企业界和其他利益相关方有何利益?

成本：需要多少人时和成本?

技能：需要何种技能?该技能能否得到?

资金来源：该项目是通过销售回收成本，还是获得基金的支持?

交付时间：何时需要交付?

创新性：该项目是否同新技术、新市场和新商业模式有关?

变化性：该项目的引进是否对现有商业模式带来重大的转变或者帮助商家适应变化的市场?

国际竞争性：该项目是否有助于商家开拓海外市场?

国际影响力：该项目是否能在海外促进社会进步和价值提升?

技能和知识库：该项目是否有助于理解技术(包括技术和知识转移)、商业实践、标准的应用或自身的标准化?

教育：该项目是否支持一项或多项正规的教育大纲?

产品和服务采购：该项目是否促进产品或服务的采购?

公共采购：该项目是否促进政府采购活动?

消费者利益：该项目是否促进为消费者提供更好的产品或服务?

可持续性：该项目是否促进产品或服务的可持续性生产和使用?

商业效率：该项目是否促进了商业经济、效率和管理?

兼容性：该项目是否保证在商业、工艺、产品和服务中的兼容?

法规条理：该项目是否支持新的或现有的英国和欧洲法律法规?是否促进健康、安全、环境或其他法律法规的执行?

公共政策：该项目是否支持新的或现有的英国、欧洲或国际公共政策，或促进公共政策的贯彻执行?

同小企业相关的问题：该项目是否包含有小企业生产、使用或销售的产品或服务?该项目对小企业的执行成本影响有多大?

①编制和销售专用的、全国性和国际性标准和支持信息，用以推广和分享最佳实践。制定和贯彻统一的英国标准(BS)。根据1982年的政府“白皮书”和政府与BSI的谅解备忘录，今后各部门将不再制定标准，在立法和贸易中要更多地采用BS标准;

②开展产品质量合格认证和安全认证，风筝标志测试和认证，以及英国、欧洲和国际标准的CE标志认证。BSI是15项欧盟新方法指令(New Approach Directives)的申请受理机构

③管理规范所有关键领域的第二方和第三方管理系统评估和认证，接受外国认证委托、按国外标准进行认证并颁发外国的认证证书和标志

④积极参与国际标准化活动，争取BSI更多更大的影响国际标准

⑤对中小企业提供技术咨询

⑥高风险、高复杂度的医疗设备认证

⑦绩效管理软件解决方案

⑧能够识别并缓解供应链风险的供应链安全解决方案

⑨支持标准实施和业务最佳实践方面的培训服务

BSI有工作人员 1200余人，设标准部、测试部、质量保证部、市场部、公共事务部等业务部门。标准部是标准化工作的管理和协调机构。

BSI是

在世贸组织规定的总体框架内，世界各国为了各自的利益，围绕标准的制定和国际市场的占领正展开激烈的竞争。发达国家都把国际标准竞争、控制国际标准的主导权作为经济竞争追求的最高目标，BSI就是典型代表之一。事实上，BSI标准部的主要工作基本都用在欧洲标准和国际标准上。长期以来，BSI凭借着世界对其历史的认同、广泛的基础、雄厚的实力和信誉，成为国际标准组织秘书处五大所在地之一(其他四个为：美国的ANSI、日本的JISC、德国的DIN和法国的AFNOR)，共有245个国际和欧洲标准组织秘书处设在BSI，是名副其实的英国通往国际标准和欧洲标准的主要通道。BSI在国际和欧洲标准组织的地位确保了英国的最大影响。

英国贸工部标准与技术法规司是制定标准、测试和认证政策的政府主管部门，但其仅负责政策层面的管理。具体的标准、测试和认证管理职能分别赋予两个机构：标准管理职能由BSI实施，测试和认证资格管理职能由英国认证服务局负责。如前所述，BSI共有标准研发、标准技术信息提供、产品测试、体系认证和商检服务五大业务。BSI仅仅在标准研发这一业务上拥有英国国家标准机构的职能，而其他业务，如产品测试、体系认证等，同社会上其他认证公司一样，必须通过英国认证服务局的资格认证，才有资格从事这些业务。

英国政府认为，标准的自愿性质决定了标准类文件应由非政府机构直接管理。政府应管理涉及国家安全、人类健康等应由政府强制执行的法规类文件，涉及技术问题的自愿性标准应由协会来管理。为此，英国政府以皇家宪章和签订备忘录的形式确定了政府与BSI的法律关系。

①BSI的皇家宪章

BSI的皇家宪章主要规定了BSI的独立法人地位、业务范围、董事会和会员的组成等。皇家宪章还特别规定，BSI的运营收入若有盈余，其盈余必须用于业务再投入，不得用于分红。规定的业务范围包括：研发、销售和推广标准，登记、批准和使用标准商标，从事系统评价服务、产品材料检验、测试和认证，以及培训等业务。

②BSI与政府签署的国家标准机构备忘录

在BSI行使国家标准机构的职能上，英国政府采取签署备忘录的形式承认BSI的英国国家标准机构地位。双方本着平等、独立和服务于公共利益的原则，在备忘录中规定了BSI作为英国国家标准机构的责任和权利的同时，也规定了政府应尽的责任。实践证明，英国政府的这种管理模式取得了很好的成效。

事实上，BSI在经营标准的过程中，也可带来一定的经济效益。2002和2003年BSI标准部的财务收入占了BSI整个集团收入的17%以上。

英国标准协会

专注于提供标准信息和动态服务，包括知识产权管理、个性化标准服务。商务信息咨询、研讨会与培训、电子化产品的开发、国际技术援助项目等。

主要包括

银监会BCM指引解读及落地123

作者：BSI毛宇

众所周知，银行业务对业务连续性方面的要求近乎苛刻，需要采用业内最高标准进行系统的规划，设计和构建。但近期发生的多次银行业务中断事件表明，尽管银行业的灾难恢复和数据保全方面已经非常完善，仍然不能避免业务中断事件的发生，而业务连续性管理所解决的就是“一旦灾难发生，企业能够在多长时间内恢复多少业务”的问题。

银监会对业务连续性方面的关注也从其陆续发布的系列指引可见一斑。早在2010年4月银监会发布的《商业银行数据中心监管指引》中，就已经提及了灾难恢复管理，并指出重要信息系统灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》 中定义的灾难恢复等级第5级(含)以上的要求;2011年12月28日银监会更是专门针对业务连续性管理下发了《商业银行业务连续性监管指引》(以下简称：指引)，足见银行业对业务连续性的重视。

从该指引的结构上来看，其主要要求覆盖了BS 25999标准中的全部主要内容，并针对银行业的具体情况对相关方面进行了量化的规定。

指引主要分为八个章节，其中第一章到第五章基本上与BS25999的3到6能够完全对应。第六章描述了所建立的业务连续性管理体系如何在中断事件中应用，第七章则提出了银监会在业务连续性方面的监管要求。

指引要求的落地，可以考虑参考被业界广泛认可的来自业务连续性协会BCI的《业务连续管理良好实践指南》,并基于BSI的业务连续管理生命周期模型来实现，共分为六部分工作。

一、方针和方案管理：

推动组织实施业务连续性管理需要组织在实施初期启动一个业务连续性Program，这一阶段的初始目的是成功的完成一个BCM的生命周期，但是BCM方案管理的长期目标是提高组织的BCM能力，并因此通过实现连续的BCM生命周期循环，加强组织的运营弹性。一旦实施，如果BCM方案有效，则应制定持续改善的周期对其进行管理，在指引中明确规定了持续改善的周期是3年。

二、将BCM融入组织文化：

指引第九条指出，商业银行应当将业务连续性管理融入到企业文化中，使其成为银行机构日常运营管理的有机组成部分。

实现文化融入的方法和途径在BS 25999的3.3有明确的叙述。

三、理解组织：

理解组织主要由业务影响分析BIA，风险评估RA和连续性资源分析CRA三部分组成。

由于指引针对的是银行这个特定行业，因此在指引中也具体规定了“重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时。”的具体要求。

四、确定BCM策略：

在商业银行具体实施指引过程中要求根据业务影响分析结果，依据业务恢复指标，制定差别化的业务恢复策略，主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。

五、制定和实施BCM响应：

指引中要求商业银行应该制定覆盖所有重要业务的业务连续性计划，并建立制定总体应急预案和重要业务专项应急预案。同时还强调了应当要求重要业务及信息系统的外部供应商建立业务连续性计划，证明其业务连续性计划的有效性，其业务恢复目标应当满足商业银行要求。另外根据银行业同业间的特点，特别强调了商业银行应当注重与金融同业单位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划的有效衔接问题。

六、演练、保持和评审:

指引强调商业银行应当开展业务连续性计划演练，以检验应急预案的完整性、可操作性和有效性，验证业务连续性资源的可用性，提高运营中断事件的综合处置能力。商业银行应当将外部供应商纳入演练范围并定期开展演练;同时，应当积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门等组织的业务连续性计划演练，确保应急和协调措施的有效性。指引要求商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。

指引的最后部分强调指出了银监会对业务连续性管理的监管要求。指引中要求商业银行应当于每年一季度向银监会或其派出机构提交业务连续性管理报告，包括上一年度业务连续性管理的评估报告与审计报告。此类报告的完成可以自行完成，但考虑到专业性和公信力的问题，银行也可以考虑请BSI这样对标准有深入理解，对行业有丰富经验的专业第三方公司或组织来进行。

今年5月15日第一个业务连续性管理国际标准ISO 22301正式发布，该标准是BSI对行业的再一个重大的贡献。作为行业的领先者BSI目前已经在100多个国家进行了ISO 22301的前身BS 25999相关服务的推广，并在43个国家开展了BS 25999的认证业务。借助BSI在业务连续性管理方面丰富的经验，必将为提升银行业业务连续性能力做出贡献

ISO 27001新版修订简介

作者：BSI王永霞

自2005年国际标准化组织(简称:ISO)将BS 7799转化为ISO 27001：2005发布以来，此标准在国际上获得了空前的认可，相当数量的组织采纳并进行了信息安全管理体系的认证, 至2011年底，国际上颁发的ISO 27001认证证书总数约为15625张(其中，BSI的市场占有率达约为45.65%)。在我国，自从2008年将ISO 27001:2005转化为国家标准GB/T 22080:2008以来，信息安全管理体系认证在国内进一步获得了全面推广，至2011年底，国内颁发认证证书数量是1107张。越来越多的行业和组织认识到信息安全的重要性，并把它作为基础管理工作之一开展起来。

然而过去的几年中， IT领域和通信行业发生了非常大的变革，出现了全面的业务和技术的融合。移动互联网蓬勃兴起、智能手机的广泛采用、云计算技术的风起云涌，带来了全新的网络威胁、数据泄漏和欺诈的风险。面对这样的变化和趋势，使得信息安全管理体系标准的更新也变得日益重要。

ISO对标准的更新，一般是以三年为一个周期,但因为ISO 27001：:2005标准发布后的巨大成功，以及ICT行业的飞跃发展，使得这个标准的更新变得非常谨慎，至今已有7年。从ISO组织发布的最新信息可以看到，ISO 27001标准的更新筹备实际上已经在2008年开始，任命了工作组(JTC 1/SC 27 WG 1);2009年正式启动更新。目前，处于该标准草案(Committee Draft)正在编写委员会讨论层面(30.20：2012-06-20)，预计新版发布时间会在 2013-10-19，那时我们就可以一睹它的全新面貌了。

从ISO 27001标准新版更新的一些说明材料中，可以看出这次ISO 27001标准改版将会具有以下几个特征：

采用ISO导则83ISO导则83，规范了今后ISO管理体系认证标准的基本框架;采用导则83颁布的第一个标准是今年5月发布的业务连续管理体系标准——ISO 22301:2012。

在这个框架下，明显的改变有如下几点：

标准第4-7章，说明管理体系的一般要求，包括： 组织的情境、领导力、策划和支持;标准第8章，描述ISMS实施要求，包括信息安全风险评估和处置;标准第9章，描述监视，测量和评审活动的要求;标准第10章，描述改善活动的要求;其中，取消了预防措施。信息安全风险管理与ISO 31000风险管理保持一致新版的ISO 27001标准中信息安全风险管理要求与ISO 31000:2009 (Risk management——Principles and guidelines) 保持一致，并遵从其中的定义。

在新版标准中明确了以下要求：

信息安全风险评估：组织应确定如何确定其信息安全风险评估和处置过程的可靠性。 信息安全风险处理：适用时，组织应调整信息安全风险评估和处置过程，以及采用的方法，以改善过程的可靠性。保留附录A控制措施与控制目标新版ISO 27001依然会保留SOA和附录A控制目标、控制措施的架构;因此，毫无疑问，ISO 27001的新版修订一定会与ISO 27002的修订同步进行。

事实上，关于控制措施和控制目标的修订，也是应对新的变化的信息安全威胁和风险必须的选择;这部分的更新，在修订项目中，接受了大量的修改建议，争论也相当大，目前还没有最后的结论。

持续发展27系列支持性标准ISO 27001从诞生第一天开始就不是孤立的，为了支持信息安全管理体系标准，ISO27系列发布了一系列普遍适用和行业适用的参考标准。

截止目前，一些支持性标准目前的状态如下表：

古希腊哲学家

BSI其实就是CMOS技术的一种，就是背照式

业务服务创新(Business Service Innovation，简称BSI)帮助您的企业从简单的IT管理和维护，向提供全新的创新型服务和解决方案转变。

不仅进行IT系统维护，还要推出创新型服务。

业务发展对IT提出了更高的要求。随着移动终端、社交媒体、云计算、分析工具等需求的提升，企业希望以更少的资源获得更快捷、更廉价、更安全的商业服务，同时还要继续为当前服务提供支持。IT必须通过自身变革来满足上述需求。