Introduction to BCI’s Good Practice Guidelines
2018 Lite Edition
The business continuity (BC) profession continues to evolve as its value is recognised by a wider audience. The world in
2018 continues to be challenged by socio-economic and geo-political change. Organizations must respond and adapt to
familiar challenges such as the increasing dominance of technology and the internet, as well as new disruptive threats
arising from the globalisation of terrorism and the rapid increase in cyber threats.
Tuyên bố kinh doanh liên tục tiếp tục phát triển khi giá trị của nó được cơng nhận bởi nhiều đối tượng. Kinh
tế thế giới năm 2018 tiếp tục chịu nhiều thách thức bởi những biến động về kinh tế - xã hội và địa lý – chính
trị. Các tổ chức phải ứng phó và thích nghi với những thách thức quen thuộc như sự thống trị ngày càng gia
tăng của công nghệ và internet, cũng như các mối đe dọa mới gia tăng từ sự tồn cầu hóa của chủ nghĩa
khủng bố và sự gia tăng nhanh chóng trong các mối đe dọa trên không gian mạng.
The increasing awareness of the importance of enhancing organizational resilience reinforces the value of building
effective business continuity capabilities, and is central to the purpose of BCI.
Sự gia tăng nhận thức về tầm quan trọng của việc nâng cao khả năng phục hồi nhanh chóng của tổ chức
củng cố giá trí của việc xây dựng khả năng kinh doanh liên tục hiệu quả, và là trọng tâm của mục đích BCI.
The business continuity management lifecycle is central to improved organizational resilience. Through collaboration
with other management disciplines, for example, risk management, communications, emergency management, crisis
management, health and safety, facilities management and human resources, BCI aims to promote and create a more
resilient world.
Chu trình quản lý kinh doanh liên tục là trọng tâm để cải thiện khả năng phục hồi nhanh chóng của tổ chức.
Thơng qua sự kết hợp với các lĩnh vực quản lý khác, chẳng hạn nhưm quản lý rủi ro, truyền thông, quản lý tình
trạng khẩn cấp, quản lý khủng hoảng, an tồn và sức khỏe, quản lý cơ sở vật chất và nguồn nhân lực, BCI
hướng đến thúc đẩy và tạo ra một mơi trường phục hồi nhanh chóng hơn.
About BCI.
BCI is the world’s leading professional association responsible for improving organizational resilience through building
business continuity capability and professional development of individuals all over the world.
BCI là hiệp hội nghề nghiệp hàng đầu thế giới chịu trách nhiệm về cải tiến khả năng phục hồi nhanh chóng của
tổ chức thơng qua khả năng kinh doanh liên tục và phát triển nghề nghiệp cho các cá nhân trên toàn thế giới.
BCI’s vision is a world where all organizations, communities and societies become more resilient.
Sứ mệnh của BCI là một môi trường nơi mà tất cả các tổ chức cộng đồng và xã hội trở nên kiên cường hơn.
BCI is built on the principle of professionalising business continuity practice, and continues to be the authoritative and
reliable source of information on all aspects of business continuity theory and practice for professionals, and offers a
wealth of online resources via www.thebci.org. The Good Practice Guidelines have been revised as part of BCI’s process of
continual improvement and ongoing development of our body of knowledge to remain relevant to professionals
worldwide.
BCI được xây dựng dựa trên nguyên tắc chuyên nghiệp hóa hoạt động kinh doanh liên tục, và tiếp tục là nguồn thơng tin
đáng tin cậy và có thể tin tưởng trong tất cả các khía cạnh lý thuyết và thực tiễn cho các chuyên gia về kinh doanh liên
tục, và cung cấp một nguồn tài nguyên trực tuyến phong phú thông qua www.thebci.org. Nguyên tắc thực hành tốt được
sửa đổi như một phần của cải tiến liên tục và phát triển không ngừng của doanh nghiệp về nhận thức để ln phù hợp với
các chun gia trên tồn thế giới.
What is Business Continuity?
Business continuity is the key discipline that sits at the heart of building and improving the resilience of organizations.
Tính liên tục trong kinh doanh là nguyên tắc then chốt nằm ở trung tâm của việc xây dựng và cải thiện khả
năng phục hồi của các tổ chức.
It is a tried and tested methodology that an organization should adopt as part of its overall approach to managing risks
and threats. Business continuity management identifies an organization’s priorities and prepares solutions to address
disruptive threats. An effective business continuity programme supports the strategic objectives of the organization
and pro- actively builds the capability to continue business operations in the event of disruption. The programme
includes the identification of risks and threats, the creation of response structures and plans to address incidents and
crises, and promotes validation and continuous improvement.
Đó là một phương pháp đã được thử nghiệm và kiểm tra mà một tổ chức nên áp dụng như một phần trong cách tiếp cận tổng
thể của mình để quản lý rủi ro và các mối đe dọa. Quản lý kinh doanh liên tục xác định các ưu tiên của tổ chức và chuẩn bị
các giải pháp để giải quyết các mối đe dọa gây rối. Một chương trình kinh doanh liên tục hiệu quả hỗ trợ các mục tiêu chiến
lược của tổ chức và chủ động xây dựng khả năng tiếp tục hoạt động kinh doanh trong trường hợp gián đoạn. Chương trình bao
gồm xác định rủi ro và các mối đe dọa, tạo ra cơ chế và kế hoạch ứng phó để giải quyết các sự cố và khủng hoảng.
What is the difference between the Full and Lite Editions of the Good Practice
Guidelines 2018?
The Good Practice Guidelines 2018 Edition provides a full and comprehensive breakdown of business continuity
management. The business continuity management lifecycle provides a framework to structure the approach to business
continuity. It gives readers the understanding and knowledge to sit our Certificate of BCI (CBCI) examination and progress
their careers within business continuity and the wider resilience landscape.
Nguyên tắc Thực hành Tốt Phiên bản 2018 cung cấp phân tích đầy đủ và tồn diện về quản lý kinh doanh liên
tục. Chu trình quản lý linh doanh liên tục cung cấp một khung để sắp xếp và quản lý phương pháp tiếp cận vớii
hoạt động kinh doanh liên tục. Nó cung cấp cho người đọc sự hiểu biết và kiến thức để tham gia kỳ thi Chứng
chỉ BCI (CBCI) của chúng tôi và phát triển sự nghiệp của họ trong bối cảnh kinh doanh liên tục và bối cảnh sự
hồi phục nhanh chóng rộng lớn.
The Lite Edition provides you with an overview of the six Professional Practices. It is the perfect tool for organizations
to inform staff of good practice, and for professionals to understand the Professional Practices before they enroll on the
full CBCI course.
Ấn bán rút gọn cung cấp cho bạn tổng quan về sáu Thực hành Chuyên nghiệp. Đây là công cụ hồn hảo để các tổ
chức thơng báo cho nhân viên về thực hành tốt và để các chuyên gia hiểu về Thực hành Chuyên nghiệp trước khi họ
đăng ký tham gia khóa học CBCI đầy đủ.
Who is the Good Practice Guidelines 2018 Lite Edition for? (Thực hành tốt này
dành cho ai?)
The GPG 2018 Lite Edition is for any professional or organization looking to take their first steps towards improved
organizational resilience. The GPG and GPG Lite are relevant to anyone with a business continuity or resilience related
role, which can include, but is not limited to, those working in risk management, information security, physical security,
emergency management, facilities management, health and safety, communications, and human resources.
Ấn bản rút gọn dành cho bất kỳ chuyên gia hay tổ chức nào đang muốn thực hiện những bước đầu tiên để cải thiện
khả năng phục hồi của tổ chức. Ấn bán đầy đủ và rút gọn phù hợp với bất kỳ ai có vai trị liên quan đến sự phục hồi
hoặc duy trì hoạt động sxkd liên tục của một doanh nghiệp, có thể bao gồm nhưng không giới hạn, những người làm
việc trong lĩnh vực quản lý rủi ro, bảo mật thông tin, bảo vệ tài sản, quản lý trường hợp khẩn cấp, quản lý cơ sở vật
chất, ao tồn và sức khỏe, truyền thơng và nguồn nhân lực.
The
BCM
Lifecycle:
organizational resilience.
Building
The following Professional Practices form the basis for the
business continuity management lifecycle. These are the
stages required to improve organizational resilience.
The Professional Practices 2018
Management practices
PP1 Policy & Programme Management
PP1 Chính sách và Chương trình quản lý
PP2 Embedding
PP2 Q trình nhận thức và đưa vào thực tiễn
Technical practices
PP3 Analysis (Phân tích)
PP4 Design (Thiết kế)
PP5 Implementation (Thực hiện)
PP6 Validation (Xác minh)
Once you understand the purpose of these Professional Practices, you can read the Good Practice Guidelines 2018
Edition in full to understand how to review or revise an existing programme as well as initiate a new business
continuity programme.
Sau khi hiểu mục đích của các Thực hành Chun nghiệp này, bạn có thể đọc toàn bộ bản đầy đủ để hiểu cách
xem xét hoặc sửa đổi một chương trình hiện có cũng như bắt đầu một chương trình kinh doanh liên tục mới.
To reflect the evolving business continuity discipline, the use of terminology in the GPG 2018 Edition has been carefully
considered and in most cases BCI has adopted ISO terms and definitions.
Để phản ánh nguyên tắc phát triển kinh doanh liên tục, việc sử dụng các thuật ngữ trong ấn bản đã được xem xét cẩn thận
và hầu hết các trường hợp BCI đã áp dụng các định nghĩa và điều kiện theo ISO.
Permission to reproduce extracts from ISO 22301:2012 and ISO/TS 22317:2015 is granted by BSI. British Standards can
be obtained in PDF or hard copy formats from the BSI online shop:
BSI cho phép sao chép các đoạn trích từ ISO 22301:2012 và ISO/TS 22317:2015. Có thể lấy Tiêu chuẩn Anh ở
định dạng PDF hoặc bản cứng từ cửa hàng trực tuyến của BSI:
Glossary of Terms
The following terms may not be present in the GPG 2018 Lite Edition; however, they are relevant to all professionals
looking to improve resilience capabilities.
Term
Definition
Source
Activity or activities
One or more tasks undertaken by, or for an organization, that produces or
supports the delivery of one or more products and services.
GPG 2018
Analysis (PP3)
Analysis is the Professional Practice within the business continuity management
lifecycle that reviews and assesses an organization to identify its objectives,
how it functions and the constraints of its operating environment.
GPG 2018
Xem xét và đánh giá một tổ chức để xác định các mục tiêu của nó, cách thức
hoạt động của nó và những hạn chế của mơi trường hoạt động
Audit
A systematic, independent and documented process for obtaining audit
evidence and evaluating it objectively to determine the extent to which the
audit criteria are fulfilled.
ISO
22301:2012
Một quy trình có hệ thống, độc lập và được ghi lại để thu thập bằng
chứng kiểm toán và đánh giá nó một cách khách quan nhằm xác định
mức độ đáp ứng các tiêu chí đánh giá.
Business
Continuity (BC)
The capability of the organization to continue delivery of products or
services at acceptable pre-defined levels following disruptive incident.
Khả năng của tổ chức để tiếp tục phân phối sản phẩm hoặc dịch vụ ở
mức xác định trước có thể chấp nhận được sau sự cố gây gián đoạn.
Business continuity
management
A holistic management process that identifies potential threats to an
organization and the impacts to business operations those threats, if realized,
might cause, and which provides a framework for building organizational
resilience with the capability of an effective response that safeguards the
interests of its key stakeholders, reputation, brand and value-creating
activities.
Một quy trình quản lý tổng thể xác định các mối đe dọa tiềm ẩn đối với
một tổ chức và các tác động đối với hoạt động kinh doanh mà các mối
ISO
22300:2012
ISO
22301:2012
đe dọa đó, nếu nhận ra, có thể gây ra và cung cấp một khuôn khổ để
xây dựng khả năng phục hồi của tổ chức với khả năng ứng phó hiệu quả
nhằm bảo vệ lợi ích của các bên liên quan chính của tổ chức danh tiếng,
thương hiệu và các hoạt động tạo giá trị.
Business
Continuity
Management
(BCM) Lifecycle
Business Continuity
Management
System (BCMS)
Business
continuity plan
(BCP)
Business continuity
programme
The ongoing cycle of activities of the business continuity programme, that
build organizational resilience.
Chu kỳ hoạt động liên tục của chương trình kinh doanh liên tục, giúp
xây dựng khả năng phục hồi của tổ chức.
Part of the overall management system that establishes, implements,
operates, monitors, reviews, maintains and improves business continuity.
Một phần của hệ thống quản lý tổng thể nhằm thiết lập, thực hiện, vận hành,
giám sát, đánh giá, duy trì và cải thiện tính liên tục của hoạt động kinh doanh.
Documented procedures that guide organizations to respond, recover, resume,
and restore to a pre-defined level of operation following disruption.
Văn bản hóa các thủ tục hướng dẫn tổ chức ứng phó, khơi phục, tiếp tục
và phục hồi lại mức độ hoạt động được xác định trước về sau khi bị gián
đoạn.
The ongoing management and governance process supported by top
management and appropriately resourced to implement and maintain
business continuity management.
GPG 2018
ISO
22301:2012
ISO
22301:2012
ISO
22301:2012
Quá trình quản lý và điều hành liên tục được hỗ trợ bởi ban lãnh đạo cao
nhất và được cung cấp nguồn lực phù hợp để thực hiện và duy trì quản
lý kinh doanh liên tục.
Business continuity
requirements
The time frames and resources, and capabilities necessary to continue to
deliver the prioritised products, services, processes, and activities following a
disruption.
GPG 2018
Khung thời gian, nguồn lực và khả năng cần thiết để tiếp tục cung cấp
các sản phẩm, dịch vụ, quy trình và hoạt động được ưu tiên sau khi bị
gián đoạn.
Business
impact
analysis (BIA)
The process of analysing activities and the effect that a business disruption
might have upon them.
Competence
The ability to apply knowledge and skills to achieve intended results.
Continual
improveme
nt
A recurring activity to enhance performance.
Một hoạt động lặp đi lặp lại để nâng cao hiệu quả.
Crisis
Q trình phân tích các hoạt động và ảnh hưởng mà sự gián đoạn kinh
doanh có thể gây ra cho chúng.
A situation with a high level of uncertainty that disrupts the core activities
and/or credibility of an organization and requires urgent action.
Một tình huống có mức độ khơng chắc chắn cao làm gián đoạn các hoạt
động cốt lõi và/hoặc uy tín của một tổ chức và yêu cầu hành động khẩn
cấp.
Design (PP4)
Design is the Professional Practice within the business continuity management
lifecycle that identifies and selects appropriate solutions to determine how
continuity can be achieved in the event of an incident
ISO
22300:2012
ISO
22301:2012
ISO
22301:2012
ISO
22300:2012
GPG 2018
Thiết kế là Thực hành Chuyên nghiệp trong quy trình quản lý sản xuất
kinh doanh liên tục nhằm xác định và lựa chọn các giải pháp phù hợp để
xác định mức độ đạt được tính liên tục trong trường hợp xảy ra sự cố.
Embedding is the Professional Practice that defines how to integrate business
Embedding (PP2)
continuity awareness and practice into business as usual activities.
Quy trình nhận thức và
đưa vào thực tiễn hoạt Thực hành Chuyên nghiệp xác định cách tích hợp nhận thức và thực
hành kinh doanh liên tục vào hoạt động kinh doanh thông thường.
động,
Exercise
The process to train for, assess, practice, and improve performance in an
organization.
Quá trình đào tạo, đánh giá, thực hành và cải thiện hiệu suất trong một
tổ chức.
GPG 2018
ISO
22301:2012
Implementation is the Professional Practice within the business continuity
Implementation (PP5) management lifecycle that implements the solutions agreed in the Design
stage. It also includes developing the business continuity plans and a response
structure.
Incident
A situation that might be, or could lead to, a disruption, loss, emergency or
crisis.
GPG 2018
ISO
22300:2012
Một tình huống có thể hoặc có thể dẫn đến sự gián đoạn, mất mát,
trường hợp khẩn cấp hoặc khủng hoảng.
Interested party
Các bên liên quan
A person or organization that can affect, be affected by, or perceive themselves
to be affected by a decision or activity.
ISO
22301:2012
Một người hoặc một tổ chức có thể ảnh hưởng, bị ảnh hưởng, hoặc nhận thức
mình bị ảnh hưởng bởi một quyết định hoặc hoạt động.
Invocation
Sự cần khẩn
The act of declaring that an organization's business continuity arrangements
need to be put into effect in order to continue delivery of key products or
services.
ISO
22301:2012
Hành động tuyên bố rằng các kế hoạch hành động kinh doanh liên tục của một
tổ chức cần bắt đầu thực hiện để tiếp tục phân phối các sản phẩm hoặc dịch vụ
chính.
Maximum
acceptable outage
(MAO)
The time it would take for adverse impacts, which might arise as a result of not
providing a product/service or performing an activity, to become unacceptable.
See also MTPD.
ISO
22301:2012
Khoảng thời gian tối đa mà các ảnh hưởng bất lợi, có thể phát sinh do kết quả
của việc không cung cấp sản phẩm/dịch vụ hoặc thực hiện hoạt động, tới lúc nó
khơng thể chấp nhận được nữa.
Maximum tolerable The time it would take for adverse impacts, which might arise as a result of not
period of disruption providing a product/service or performing an activity, to become unacceptable.
(MTPD)
See also MAO.
ISO
22301:2012
Khoảng thời gian
Khoảng thời gian tối đa mà các ảnh hưởng bất lợi, có thể phát sinh do kết quả
gián đoạn tối đa có của việc không cung cấp sản phẩm/dịch vụ hoặc thực hiện hoạt động, tới lúc nó
thể được chấp nhận khơng thể chấp nhận được nữa.
Minimum Business
Continuity
Objective (MBCO)
The minimum level of services and/or products that is acceptable to the
organization to achieve its business objectives during a disruption.
Organization
The person or group of people that has its own functions with responsibilities,
authorities and relationships to achieve its objectives.
ISO
22301:2012
Organizational
resilience (Khả
năng thích ứng)
The ability of an organization to absorb and adapt in a changing environment.
ISO
22316:2017
Organizational
culture
The values, attitudes and behaviour of an organization that contribute to the
unique social and psychological environment in which it operates.
ISO
22316:2017
People working for and under the control of the organization.
ISO
22301:2012
Personnel
Mức độ dịch vụ và/hoặc sản phẩm tối thiểu mà tổ chức có thể chấp nhận để đạt
được các mục tiêu kinh doanh của mình trong thời gian gián đoạn.
Khả năng của một tổ chức để hấp thụ và thích nghi trong một mơi trường thay
đổi.
The business continuity policy provides the intentions and direction of an
organization as formally expressed by its top management.
Policy
ISO
22301:2012
ISO
22301:2012
Policy and
Policy and Programme management is the Professional Practice that establishes
Programme
the organization's policy relating to business continuity and defines how the
management (PP1) policy should be implemented throughout the business continuity programme.
GPG 2018
Prioritised activities The activities to which priority must be given following an incident in order to
mitigate impacts.
ISO
22300:2012
Các hoạt động cần được ưu tiên sau một sự cố để giảm thiểu tác động.
Process
A set of interrelated or interacting activities which transforms inputs into
outputs.
ISO
22301:2012
Products and
services
Beneficial outcomes provided by an organization to its customers, recipients
and interested parties.
ISO
22301:2012
Recovery point
objective (RPO)
The point to which information used by an activity must be restored to enable
the activity to operate on resumption.
ISO
22301:2012
Điểm cốt yếu mà thông tin được sử dụng bởi một hoạt động phải được khơi phục
để có thể hoạt động trở lại.
Recovery time
objective (RTO)
The period of time following an incident within which a product or service must
be resumed, or activity must be resumed, or resources must be recovered.
ISO
22301:2012
Khoảng thời gian sau một sự cố mà trong đó sản phẩm hoặc dịch vụ phải được
khôi phục hoặc hoạt động phải được khôi phục hoặc tài nguyên phải được khôi
phục.
Resources
All assets, people, skills, information, technology (including plant and
equipment), premises, and supplies and information (whether electronic or not)
that an organization has to have available to use, when needed, in order to
operate and meet its objective.
Risk
The effect of uncertainty on objectives.
ISO/IEC
73
Guide
Risk assessment
The overall process of risk identification, risk analysis and risk evaluation.
ISO/IEC
73
Guide
Risk management
Coordinated activities to direct and control an organization with regard to risk.
ISO/IEC
73
Guide
Test
An exercise whose aim is to obtain an expected, measurable pass/fail outcome.
ISO
22300:2012
Threat
A potential cause of an unwanted incident, which can result in harm to
individuals, the environment or the community.
ISO
22300:2012
Top management
A person or group of people who directs and controls an organization at the
highest level.
ISO
22301:2012
Validation is the Professional Practice within the business continuity
management lifecycle that confirms that the business continuity programme
meets the objectives set in the policy and that the plans and procedures in
place are effective. It includes exercising, maintenance and review activities.
GPG 2018
Validation (PP6)
ISO
22301:2012
Nhằm xác nhận chương trình kinh doanh liên tục đáp ứng được các mục tiêu đặt
ra trong chính sách, ké hoạch và thủ tục hoạt động hiệu quả. Nó bao gồm thực
hiện, duy trì và đánh giá
PPI: Policy and Programme Management
Policy and Programme Management is the Professional Practice that establishes the organization’s policy relating to
business continuity. It defines how this policy should be implemented, through an ongoing cycle of activities within a
business continuity programme.
Quản lý chương trình và chính sách là thực hành chuyên nghiệp thiết lập chính sách của tổ chức liên quan tới
hoạt động kinh doanh liên tục. Nó xác định cách mà các chính sách được áp dụng, thơng qua một chu trình
hoạt động liên tục trong chương trình kinh doanh liên tục.
This stage of the business continuity management lifecycle requires top management action, support, and commitment to
set up, draft and review the policy relating to business continuity and the programme used to implement it.
Giai đoạn này của chu trình quản lý hoạt động kinh doanh liên tục địi hỏi quản lý cấp cao nhất phải có hành
động, hỗ trợ và cam kết để thiết lập, soạn thảo và xem xét chính sách liên quan đến tính liên tục của hoạt
động kinh doanh và chương trình được sử dụng để triển khai chính sách đó.
The business continuity policy is the key document that sets out the purpose, context, scope, and governance of the
business continuity programme.
Chính sách kinh doanh liên tục là tài liệu chính đặt ra mục đích, bối cảnh, phạm vi và quản trị của chương trình
kinh doanh liên tục.
The business continuity programme is an ongoing cycle of activities that implements the policy. These activities are
carried out by following the business continuity management lifecycle.
Chương trình kinh doanh liên tục là một chu kỳ liên tục của các hoạt động thực hiện chính sách. Các hoạt động
này được thực hiện bằng cách tuân chu trình quản lý kinh doanh liên tục.
Successfully establishing the business continuity programme is the result of several planning stages as defined below.
Việc thiết lập thành cơng chương trình kinh doanh liên tục là kết quả của một số giai đoạn lập kế hoạch như
được xác định dưới đây.
Establishing the Business Continuity Policy
This sets the boundaries and requirements for the BC programme and states the reasons why it is being implemented.
It defines the guiding principles which the organization measures its performance against, as well as defining how to
continue delivering products and services in the event of an incident.
Điều này đặt ra ranh giới và các yêu cầu cho chương trình kinh doanh liên tục và nêu rõ lý do tại sao nó
đang được triển khai. Nó xác định các nguyên tắc hướng dẫn tổ chức đo lường hiệu quả phịng vệ của mình,
cũng như cách thức tiếp tục phân phối sản phẩm và dịch vụ khi có sự cố.
Defining the Scope of the Business Continuity Programme
This includes consideration of the organization’s products and services to be included in the programme.
Điều này bao gồm việc xem xét các sản phẩm và dịch vụ của tổ chức sẽ được đưa vào chương trình.
Establishing Governance
This activity provides a central point of accountability for implementation and continuous monitoring of an
organization’s activities in accordance with the business continuity policy.
Hoạt động này cung cấp điểm chính về trách nhiệm thực hiện và giám sát liên tục theo chính sách kinh doanh
liên tục của tổ chức.
Assigning Roles and Responsibilities (Phân công vai trò và trách nhiệm)
This is the early identification of roles, responsibilities, and authorities required to manage the programme.
Đây là việc xác định sớm vai trò, trách nhiệm và quyền hạn cần thiết để quản lý chương trình.
The Business Continuity Programme
Once the scope, governance, and roles and responsibilities are defined, the BC programme is put in place.
Sau khi xác định phạm vi, quản trị, vai trò và trách nhiệm, chương trình BC sẽ được triển khai.
PP2: Embedding Business Continnuity (Nhận thức và đưa kinh doanh liên tục vào
thực tế)
Embedding business continuity is the Professional Practice that defines how to integrate business continuity awareness
and practice into business as usual activities and organizational culture. Embedding business continuity should be a
collaborative approach between related management disciplines to improve overall organizational resilience.
Nhận thức và đưa hoạt động kinh doanh liên tục vào thực tiễn là thực hành chuyên nghiệp xác định cách thức
tích hợp nhận thức về hoạt động kinh doanh liên tục và ứng dụng vào hoạt động sản xuất kinh doanh thơng
thường và văn hóa tổ chức. Nó là một phương pháp tiếp cận phối hợp giữa các quy tắc quản lý liên quan để cải
thiện khả năng thích ứng chung.
Embedding business continuity includes: (Nhận thức và đưa kinh doanh liên tục vào thực tiễn bao gồm)
•Raising awareness about business continuity through communication.
•Nâng cao nhận thức về kinh doanh liên tục thơng qua truyền thơng.
•Encouraging buy-in from interested parties.
•Khuyến khích sự chấp thuận từ các bên liên quan.
•Ensuring required competencies and skills are in place.
•Đảm bảo có đủ năng lực và kỹ năng cần thiết.
•Ensuring appropriate training and learning opportunities are provided.
•Đảm bảo cung cấp các cơ hội học tập và đào tạo phù hợp.
Successfully embedding business continuity is the result of the following activities;
Understanding and Influencing Organizational Culture (Sự hiểu biết và đưa vào văn hóa tổ chức)
This includes considering your current capabilities and ensuring an understanding of current practice and what skills are
required to improve the organization’s culture.
Điều này bao gồm việc xem xét các khả năng hiện tại của bạn và đảm bảo hiểu biết về hoạt động thực tiễn và những kỹ
năng cần thiết để cải thiện văn hóa của tổ chức.
Competencies and Skills
This means ensuring all staff with business continuity related roles have appropriate education, training and experience to
develop and implement the BC policy.
Điều này nghĩa là đảm bảo tất cả các nhân viên có vai trò liên quan đến kinh doanh liên tục được giáo dục, đào tạo và
kinh nghiệm phù hợp để phát triển và thực hiện chính sách BC.
Training and awareness
This involves responding to the competencies and skills identified, and ensuring training and awareness requirements
are responded to.
Điều này liên quan đến việc đáp ứng các năng lực và kỹ năng đã xác định, đồng thời đảm bảo đáp ứng các
yêu cầu về đào tạo và nâng cao nhận thức.
PP3: Analysis (Phân tích)
Analysis is the Professional Practice within the business continuity management lifecycle that reviews and assesses an
organization to identify its objectives, how it functions and the constraints of its operating environment.
Phân tích là thực hành chuyên nghiệp trong chu trình quản lý kinh doanh liên tục nhằm xem xét và đánh giá
một tổ chức để xác định mục tiêu, cách thức hoạt động của tổ chức và các hạn chế về môi trường hoạt động.
The main technique used for the analysis of an organization for business continuity purposes is the business impact
analysis (BIA). The business continuity professional uses the BIA to determine the organization’s business continuity
requirements. There are four types of BIA:
Kỹ thuật chính được sử dụng để phân tích một tổ chức nhằm mục đích kinh doanh liên tục là phân tích tác
động kinh doanh (BIA). Chuyên gia về tính liên tục trong kinh doanh sử dụng BIA để xác định các yêu cầu về
tính liên tục trong kinh doanh của tổ chức. Có bốn loại BIA:
1.
2.
3.
4.
An initial BIA: To provide a high-level analysis that can be used to develop a framework for the more detailed BIAs
BIA ban đầu: Để cung cấp phân tích cấp cao có thể được sử dụng để phát triển khn khổ cho các BIA chi
tiết hơn
A product and service BIA: To identify and prioritise products and services at a strategic level.
BIA sản phẩm và dịch vụ: Để xác định và ưu tiên các sản phẩm và dịch vụ ở cấp độ chiến lược.
A process BIA: To determine the process or processes required for the delivery of the prioritised products and
services.
BIA quy trình: Để xác định quy trình hoặc các quy trình cần thiết để cung cấp các sản phẩm và dịch vụ
được ưu tiên.
An activity BIA: To identify and prioritise the activities that deliver the most urgent products and services.
Một hoạt động BIA: Để xác định và ưu tiên các hoạt động cung cấp các sản phẩm và dịch vụ khẩn cấp
nhất.
The BIA identifies business continuity requirements, providing information to determine the most appropriate
business continuity solutions. The BIA identifies the urgency of each activity undertaken by the organization by
assessing the impact over time caused by any potential or actual disruption to this activity on the delivery of products
and services.
BIA xác định các yêu cầu đối với SXKD liên tục, cung cấp thông tin để xác định giải pháp kinh doanh liên tục phù hợp
nhất. BIA xác định mức độ khẩn cấp của mỗi hoạt động mà doanh nghiệp thực hiện bằng cách đánh giá tác động
theo thời gian gây ra bởi bất kỳ sự gián đoạn tiềm tàng hay thực tế nào với hoạt động phân phối sản phẩm và dịch
vụ.
Business continuity requirements can be defined as the time frames, resources, and capabilities necessary to continue to
deliver the prioritised products, services, processes, and activities following a disruption.
Các yêu cầu về tính liên tục trong kinh doanh có thể được định nghĩa là khung thời gian, nguồn lực và khả
năng cần thiết để tiếp tục cung cấp các sản phẩm, dịch vụ, quy trình và hoạt động được ưu tiên sau khi bị gián
đoạn.
The following are general principles to analysis;
Business Impact Analysis (Phân tích ảnh hưởng kinh doanh)
The BIA can initially help to clarify the scope of the business continuity programme, and then be used to determine
and select business continuity solutions.
BIA ban đầu có thể giúp làm rõ phạm vi của chương trình kinh doanh liên tục, sau đó được sử dụng để xác định
và lựa chọn các giải pháp kinh doanh liên tục.
Risk and Threat Assessment (Đánh giá rủi ro và cái mối đe dọa)
This is used to identify unacceptable levels of risk and single points of failure. Risk and threat assessments enable
effective solutions and mitigation measures to be designed.
Được sử dụng để xác định các mức độ rủi ro không thể chấp nhận được và các điểm mấu chốt đơn lẻ của thất
bại. Đánh giá rủi ro và các mối đe dọa cho phép thiết kế các giải pháp phù hợp và giải pháp giảm thiểu hiệu
quả.
Final Analysis and Consolidation (Phân tích cuối cùng và thống nhất)
Once all BIAs have been undertaken, final analysis and consolidation is used to validate the
information.
Khi tất cả các BIA đã được thực hiện, phân tích và thống nhất cuối cùng được sử dụng để xác thực thông tin.
PP4: Design (Thiết kế)
Design is the Professional Practice within the business continuity management lifecycle that identifies and selects
appropriate solutions to determine how continuity can be achieved in the event of an incident.
Thiết kế là xác định và lựa chọn giải pháp phù hợp để xác định làm thế nào để duy trì tính liên tục khi có sự cố.
At this stage in the business continuity management lifecycle, the business continuity professional should design
solutions that enable the organization to respond to an incident, and continue to provide its prioritised activities, as
identified in the Analysis stage.
Các chuyên gia nên thiết kế giải pháp cho phép tổ chức ứng phó với các sự cố và tiếp tục cung cấp các hoạt động ưu tiên,
như xác định ở giia đoạn phân tích.
An important part of this stage of the business continuity management lifecycle is to consolidate the se lected
solutions to ensure that opportunities for organization-wide collaboration are considered prior to progressing to the
implementation stage.
Một phần quan trọng trong giai đoạn này là thống nhất các giải pháp đã chọn để đảm bảo rằng các cơ hội hợp
tác trong toàn tổ chức được xem xét trước khi chuyển sang giai đoạn thực hiện.
The following should be considered when designing business continuity solutions;
Những điều sau đây cần được xem xét khi thiết kế các giải pháp kinh doanh liên tục;
Designing Business Continuity Solutions
These solutions are based on the outcomes of the risk and threat assessments. Price versus performance and cost versus
benefit are often used when designing solutions.
Các giải pháp dựa trên kết quả của việc đánh giá rủi ro và các mối đe dọa. Giá so với hiệu suất và chi phí so với lợi ích
thường được sử dụng khi thiết kế các giải pháp.
Risk and Threat Mitigation Measures (Biện pháp giảm thiểu rủi ro và các mối đe dọa)
These are identified and implemented to reduce the impact of a disruption to the organization’s prioritised activities.
Collaboration with risk, physical security, and information security professionals should be undertaken at this stage.
Những điều này được xác định và thực hiện để giảm tác động của sự gián đoạn đối với các hoạt động ưu tiên
của tổ chức. Việc hợp tác với các chuyên gia về rủi ro, bảo mật vật lý và bảo mật thông tin nên được thực hiện
ở giai đoạn này.
PP5: Implementaition (Triển khai)
Implementation is the Professional Practice within the business continuity management lifecycle that implements the
solutions agreed in the Design stage. Implementation is achieved by developing business continuity plans to meet the
organization’s agreed business continuity requirements and solutions identified in the Analysis and Design stage of the
lifecycle. The Implementation stage also includes the development of a response structure that defines the necessary roles,
authority and skills required to manage an incident.
Triển khai là thực hiện các giải pháp được chấp nhận trong giai đoạn thiết kế. Việc triển khai đạt được bằng
cách phát triển các kế hoạch kinh doanh liên tục để đáp ứng các yêu cầu kinh doanh liện tục được chấp nhận
của tổ chức và các giải pháp được xác định trong giai đoạn phân tích và thiết kế. Giai đoạn triển khai cũng bao
gồm sự phát triển về các cơ chế ứng phó xác định các kỹ năng, thẩm quyền và vai trò cần thiết để quản lý sự
cố.
The term ‘business continuity plan’ (BCP) suggests a single document. However, a variety of plans can exist at any
organizational level. The BCP may in fact comprise several documents. It can cover a complete organization or part of an
organization and can be structured according to the size, complexity, and type, for example, by products, services,
locations, divisions, or departments.
Thuật ngữ 'kế hoạch kinh doanh liên tục' (BCP) đề xuất một tài liệu duy nhất. Tuy nhiên, nhiều kế hoạch có thể
tồn tại ở bất kỳ cấp độ tổ chức nào. Trên thực tế, BCP có thể bao gồm một số tài liệu. Nó có thể bao gồm tồn
bộ tổ chức hoặc một phần của tổ chức và có thể được cấu trúc theo quy mô, độ phức tạp và loại, ví dụ: theo
sản phẩm, dịch vụ, địa điểm, bộ phận hoặc phòng ban.
The three levels of plans are as follows:
Strategic Plans; This is a high-level plan that defines how strategic issues resulting from an incident should be
addressed and managed.
Kế hoạch chiến lược; Đây là một kế hoạch cấp cao xác định cách giải quyết và quản lý các vấn đề chiến lược
do sự cố gây ra.
Tactical Plans; This plan focuses on coordinating the response to an incident and facilitating the continuity of
prioritised activities.
Kế Hoạch Chiến Thuật; Kế hoạch này tập trung vào việc phối hợp ứng phó với một sự cố và tạo điều kiện
cho sự liên tục của các hoạt động ưu tiên
Operational Plans; This plan determines the individual departments involved in the incident response.
Kế hoạch hoạt động; Kế hoạch này xác định các bộ phận riêng lẻ tham gia ứng phó sự cố.
The plans need to be flexible enough to be adapted to the specific incident that has occurred and the opportunities it
may have created. However, in some circumstances, incident specific plans are appropriate to address a significant
threat or risk, for example, a pandemic plan, or a product recall plan. Plans developed to address a specific threat or
risk are often called contingency plans.
Các kế hoạch cần đủ linh hoạt để thích ứng với sự cố cụ thể đã xảy ra và những cơ hội mà nó có thể tạo ra.
Tuy nhiên, trong một số trường hợp, các kế hoạch cụ thể về sự cố là phù hợp để giải quyết mối đe dọa hoặc rủi
ro đáng kể, ví dụ: kế hoạch đại dịch hoặc kế hoạch thu hồi sản phẩm. Các kế hoạch được phát triển để giải
quyết một mối đe dọa hoặc rủi ro cụ thể thường được gọi là kế hoạch dự phòng.
Many organizations may have existing procedures in place that address the response to various types of disruption. For
example, plans for evacuation, health and safety, ICT service continuity, physical security, crisis communication, and
information security.
Nhiều tổ chức có thể có các quy trình hiện có để giải quyết phản ứng đối với các loại gián đoạn khác nhau. Ví
dụ: kế hoạch sơ tán, sức khỏe và an tồn, tính liên tục của dịch vụ CNTT, an ninh vật lý, liên lạc trong khủng
hoảng và bảo mật thông tin.
An effective organizational response capability can be achieved if business continuity professionals collaborate with
other professionals who are accountable for managing the response in their respective management disciplines.
Khả năng ứng phó hiệu quả của tổ chức có thể đạt được nếu các chuyên gia kinh doanh liên tục cộng tác với
các chuyên gia khác chịu trách nhiệm quản lý ứng phó trong các lĩnh vực quản lý tương ứng của họ.
The following are elements of the Implementation stage;
Response Structure (Cơ chế ứng phó)
This process established command, control and communication systems to ensure that the organization has a clearly
documented and well understood mechanism for responding to an incident, regardless of its cause.
Quá trình này đã thiết lập các hệ thống chỉ huy, kiểm soát và liên lạc để đảm bảo rằng tổ chức có một cơ chế
được ghi chép rõ ràng và được hiểu rõ để ứng phó với sự cố, bất kể nguyên nhân của sự cố.
Developing and Managing Plans
Business continuity plans can be created to address the strategic, tactical, and operational requirements of the
organization. The plans should be determined by the response structure and business continuity solutions agreed in the
Design stage.
Kế hoạch kinh doanh liên tục có thể được tạo ra để giải quyết các yêu cầu chiến lược, chiến thuật và hoạt động
của tổ chức. Các kế hoạch phải được xác định bởi các cơ chế ứng phó và các giải pháp kinh doanh liên tục đã
được thống nhất trong giai đoạn Thiết kế.
PP6: Validation
Validation is the Professional Practice within the business continuity management lifecycle that confirms the business
continuity programme meets the objectives set in the policy and that the plans and procedures in place are effective.
Xác minh là xác nhận chương trình kinh doanh liên tục đáp ứng được các mục tiêu thiết lập trong chính sách và các thủ tục,
kế hoạch đặt ra có hiệu quả.
The purpose of Validation is to ensure that the business continuity solutions and response structure reflects the size,
complexity, and type of the organization and that the plans are current, accurate, effective, and complete. There should be
a process in place to continually improve the overall level of organizational resilience.
Mục đích của việc xác minh để đảm bảo các giải pháp kinh doanh liên tục và cơ chế ứng phó phản ánh quy
mơ, độ phức tạp và loại hình doanh nghiệp và các kế hoạch thì hiện hữu, chính xác, hiệu quả và đầy đủ. Cần
có một quy trình để liên tục cải thiện mức độ tổng thể về khả năng phục hồi của tổ chức.
Validation is achieved through a combination of the following three activities:
Xác minh có được thơng qua sự phối hợp 3 hoạt động sau:
Exercising (Diễn tập)
A process to train for, test, assess, practice, and improve the business continuity capability of the organization.
Một quá trình để đào tạo, kiểm tra, đánh giá, thực hành và cải tiến khả năng kinh doanh liên tục của tổ chức.
Maintenance (Duy trì)
A process to ensure that the organization’s business continuity arrangements and plans are kept relevant, up- to-date,
and operationally ready to respond.
Một quy trình để đảm bảo rằng các sắp xếp và kế hoạch kinh doanh liên tục của tổ chức được duy trì phù hợp,
cập nhật và sẵn sàng hoạt động để ứng phó.
Review (Đánh giá)
A process for assessing the suitability, adequacy, and effectiveness of the business continuity programme and identifying
opportunities for improvement.
Một quy trình để đánh giá sự phù hợp, đầy đủ và hiệu quả của chương trình kinh doanh liên tục và xác định
các cơ hội cải tiến.
The following are key activities in the Validation stage; (Say đây là các hoạt động chính của q
trình xác minh)
Developing an Exercise Programme (Chương trình diễn tập và phát triển)
In order to be validated, the selected solution or plan must be exercised. The goal is continuous improvement of business
continuity management capabilities through ongoing validation.
Để được xác nhận, giải pháp hoặc kế hoạch đã chọn phải được thực hiện. Mục tiêu là cải tiến liên tục khả năng
quản lý kinh doanh liên tục thông qua xác nhận liên tục.
Developing an Exercise
Individual exercises within the exercise programme should be planned like a project, to justify the resource
requirements.
Các diễn tập cá nhân trong chương trình tập luyện nên được lên kế hoạch giống như một dự án, để chứng minh
các yêu cầu về nguồn lực.
Maintenance
Maintenance of the business continuity programme ensures that the organization remains ready to respond to incident,
despite organizational change over time.
Việc duy trì chương trình kinh doanh liên tục đảm bảo rằng tổ chức ln sẵn sàng ứng phó với sự cố, bất chấp
sự thay đổi của tổ chức theo thời gian.
Review
This stage evaluates the business continuity policy and programme for continuity suitability, adequacy and
effectiveness.
Giai đoạn này đánh giá chính sách và chương trình kinh doanh liên tục về tính phù hợp, đầy đủ và hiệu quả của tính liên tục.