效益：对企业界和其他利益相关方有何利益？

成本：需要多少人时和成本？

技能：需要何种技能？该技能能否得到？

资金来源：该项目是通过销售回收成本，还是获得基金的支持？

交付时间：何时需要交付？

创新性：该项目是否同新技术、新市场和新商业模式有关？

变化性：该项目的引进是否对现有商业模式带来重大的转变或者帮助商家适应变化的市场？

国际竞争性：该项目是否有助于商家开拓海外市场？

国际影响力：该项目是否能在海外促进社会进步和价值提升？

技能和知识库：该项目是否有助于理解技术（包括技术和知识转移）、商业实践、标准的应用或自身的标准化？

教育：该项目是否支持一项或多项正规的教育大纲？

产品和服务采购：该项目是否促进产品或服务的采购？

公共采购：该项目是否促进政府采购活动？

消费者利益：该项目是否促进为消费者提供更好的产品或服务？

可持续性：该项目是否促进产品或服务的可持续性生产和使用？

商业效率：该项目是否促进了商业经济、效率和管理？

兼容性：该项目是否保证在商业、工艺、产品和服务中的兼容？

法规条理：该项目是否支持新的或现有的英国和欧洲法律法规？是否促进健康、安全、环境或其他法律法规的执行？

公共政策：该项目是否支持新的或现有的英国、欧洲或国际公共政策，或促进公共政策的贯彻执行？

同小企业相关的问题：该项目是否包含有小企业生产、使用或销售的产品或服务？该项目对小企业的执行成本影响有多大？

英国标准协会的主要任务是：

①编制和销售专用的、全国性和国际性标准和支持信息，用以推广和分享最佳实践。制定和贯彻统一的英国标准(BS)。根据1982年的政府“白皮书”和政府与BSI的谅解备忘录，今后各部门将不再制定标准，在立法和贸易中要更多地采用BS标准；

②开展产品质量合格认证和安全认证，风筝标志测试和认证，以及英国、欧洲和国际标准的CE标志认证。BSI是15项欧盟新方法指令（New Approach Directives）的申请受理机构

③管理规范所有关键领域的第二方和第三方管理系统评估和认证，接受外国认证委托、按国外标准进行认证并颁发外国的认证证书和标志

④积极参与国际标准化活动，争取BSI更多更大的影响国际标准

⑤对中小企业提供技术咨询

⑥高风险、高复杂度的医疗设备认证

⑦绩效管理软件解决方案

⑧能够识别并缓解供应链风险的供应链安全解决方案

⑨支持标准实施和业务最佳实践方面的培训服务

BSI有工作人员 1200余人，设标准部、测试部、质量保证部、市场部、公共事务部等业务部门。标准部是标准化工作的管理和协调机构。

BSI是国际标准化组织(ISO)、国际电工委员会(IEC)、欧洲标准化委员会(CEN)、欧洲电工标准化委员会（CENELEC）、欧洲电信标准学会(ETSI)创始成员之一, 并在其中发挥着重要作用。按承担TC/SC技术秘书处数量和资助额计算。BSI在ISO中的贡献率为17%,仅次于德国DIN(19%)居第二位;在 CEN/CENELEC中的贡献率为21%,居第三位(德国DIN为28%,法国AFNOR为22%)。根据1978年11月15日签订的《中华人民共和国和大不列颠及北爱尔兰联合王国政府科学技术合作协定》第二条规定,英国标准学会同中国标准化协会于1980年4月19日在北京签订了《中国标准化协会和英国标准学会合作协议》。双方开始了有益的合作。

在世贸组织规定的总体框架内，世界各国为了各自的利益，围绕标准的制定和国际市场的占领正展开激烈的竞争。发达国家都把国际标准竞争、控制国际标准的主导权作为经济竞争追求的最高目标，BSI就是典型代表之一。事实上，BSI标准部的主要工作基本都用在欧洲标准和国际标准上。长期以来，BSI凭借着世界对其历史的认同、广泛的基础、雄厚的实力和信誉，成为国际标准组织秘书处五大所在地之一（其他四个为：美国的ANSI、日本的JISC、德国的DIN和法国的AFNOR），共有245个国际和欧洲标准组织秘书处设在BSI，是名副其实的英国通往国际标准和欧洲标准的主要通道。BSI在国际和欧洲标准组织的地位确保了英国的最大影响。

5BSI与政府的关系

英国贸工部标准与技术法规司是制定标准、测试和认证政策的政府主管部门，但其仅负责政策层面的管理。具体的标准、测试和认证管理职能分别赋予两个机构：标准管理职能由BSI实施，测试和认证资格管理职能由英国认证服务局负责。如前所述，BSI共有标准研发、标准技术信息提供、产品测试、体系认证和商检服务五大业务。BSI仅仅在标准研发这一业务上拥有英国国家标准机构的职能，而其他业务，如产品测试、体系认证等，同社会上其他认证公司一样，必须通过英国认证服务局的资格认证，才有资格从事这些业务。

英国政府认为，标准的自愿性质决定了标准类文件应由非政府机构直接管理。政府应管理涉及国家安全、人类健康等应由政府强制执行的法规类文件，涉及技术问题的自愿性标准应由协会来管理。为此，英国政府以皇家宪章和签订备忘录的形式确定了政府与BSI的法律关系。

①BSI的皇家宪章

BSI的皇家宪章主要规定了BSI的独立法人地位、业务范围、董事会和会员的组成等。皇家宪章还特别规定，BSI的运营收入若有盈余，其盈余必须用于业务再投入，不得用于分红。规定的业务范围包括：研发、销售和推广标准，登记、批准和使用标准商标，从事系统评价服务、产品材料检验、测试和认证，以及培训等业务。

②BSI与政府签署的国家标准机构备忘录

在BSI行使国家标准机构的职能上，英国政府采取签署备忘录的形式承认BSI的英国国家标准机构地位。双方本着平等、独立和服务于公共利益的原则，在备忘录中规定了BSI作为英国国家标准机构的责任和权利的同时，也规定了政府应尽的责任。实践证明，英国政府的这种管理模式取得了很好的成效。

6标准部的经营情况

事实上，BSI在经营标准的过程中，也可带来一定的经济效益。2002和2003年BSI标准部的财务收入占了BSI整个集团收入的17%以上。

①商务信息服务

专注于提供标准信息和动态服务，包括知识产权管理、个性化标准服务。商务信息咨询、研讨会与培训、电子化产品的开发、国际技术援助项目等。

②管理体系认证服务

主要包括ISO9000质量管理系列标准、ISO14000环境管理标准和BS7799国际技术安全标准的认证、评价和培训。在100个国家拥有44万个注册用户，是世界上最大的管理系统登记机构。

③产品服务业务

主要提供产品测试服务，拥有17个在通讯、安全、消费品、建筑和照明领域的产品测试实验室。通过测试，授予风筝商标或CE商标。据统计，BSI的产品认证标记在英国有80%的人认同。

④验证检验服务

为全球商品市场和行业提供独立、综合的验证服务，包括检验、抽样、测试和认证等服务。

国家标准化战略框架

1为什么要制定国家标准化战略框架

虽然英国在标准和标准化方面一直走在世界前列，但正如英国政府最近发布的《英国10年科学与创新投入框架文件》指出的那样：英国要在高度激烈竞争的全球化经济中立于不败之地，只有保持强大的高技术和知识能力，吸引最优秀的人才和企业，将国家潜力通过创新转变成商业机会。这是新世纪繁荣的源泉，也是历史变迁的一次新机遇。围绕英国总体科技战略（要使英国成为全球经济的关键知识枢纽，同时成为将知识转换成新产品和服务的世界领先者）的要求，作为国家创新体系重要组成部分的标准，在实现这个总体战略过程中必将起到重要作用。

2国家标准化战略框架的主要内容

国家标准化战略框架由贸工部、标准协会和工业联合会共同制定，经过2002年广泛的公众参与和讨论不断完善，于2003年正式推出。整个框架包括战略方向和实施框架两大部分，是英国未来标准化行动的指南，是一个动态的战略框架。框架规定了英国国家标准化总体战略目标和战略任务，并进一步分解，从政府、企业界、基础支撑体系、国际化、创新和宣传六大方面，细化了各方的战略方向、战略任务和主要工作，并提出了成功与否的衡量标准。整个框架的实施分成三个阶段。

①国家标准化总体战略目标和战略任务

·总体战略目标：确保对标准和标准化的理解和使用方面具有实质性的进步，以造福于英国企业界、政府和社会。

·战略任务

使英国企业界通过战略性使用标准，增强竞争优势，推广最佳经验，打进新兴市场、促进企业创新；

使英国政府通过有效使用标准，满足公共政策、法律法规和社会目标的需要；

建立一个和谐、有效和满足所有标准使用者不同需求的基础支撑体系。

②各方的战略目标和任务

·企业界

提高英国企业界对标准的认识和使用率。将标准作为主要杠杆，在技术和战略层面提高竞争力和生产力；

甄别和确定标准化工作能为英国企业界创造机遇的优先技术、市场和工业领域；

使用标准打开国际市场，提高生产力，加快进入市场速度，提升竞争优势，鼓励创新，减少法规制定成本；

考虑到产业和市场结构的不同、生产服务类型的差异、技术发展速度的高低、产品生命周期的长短及其所处阶段的不同需求，应有足够的空间让企业界选择适当的正式标准或非正式标准，满足企业界的不同需求。

·政府

为提高英国商业竞争力和支撑社会公共利益提供支撑框架，在政策、法规和政府采购等方面促进公共机构更加有效地使用标准；

提升政府标准化工作的协调性，降低标准制定成本，保卫公共健康和安全，满足消费者需求，保障标准的有效实施；

将标准化工作同诸如创新、可持续发展等关键政策的制定紧密结合；

在政府采购工作中最大限度地使用标准，提高采购效率，增加中小企业在政府采购的市场机会。

·基础支撑体系

建立一个和谐、有效、具有持续资金来源的标准基础支撑体系。这个体系所制定的标准应能满足所有标准使用者的不同需求；

协调和管理各种因素，消除重复，最佳使用有限的资源；

提升英国基础支撑体系的总体能力，探索标准化工作的新模式，为用户提供及时和相关解决方案；

提高社会公众对标准化工作的参与度，保障标准对各利益方的有效平衡；

为英国国家标准机构和其他标准支撑组织提供稳定、持续的基金。

·国际化

以标准为手段，谋求更加开放的国际市场，减少技术壁垒；

跟踪主要贸易国标准工作新动向，评估对英国的影响，使英国能有效应对竞争威胁和贸易壁垒；

提高欧洲和国际标准化工作的效率；

宣传英国和欧洲标准政策与准则；

充分利用英国政府的驻外机构，通过标准提升英国的国际影响力；

为优先国家提供目标明确的技术支持，包括对发展中国家的适当支持。通过知识和技术转让，加强英国同这些国家的友好关系；

积极影响欧洲和国际标准，改进市场准入条款，减少对英国产品和服务的贸易技术壁垒。

·创新

促进技术创新，提高标准对新技术、新工艺、新方法的驾驭和扩散能力，通过创新生命周期，有效管理知识产权和获得市场的认可；

正确地应用标准于新兴领域，鼓励创新人员参与标准化工作；

通过协调使用专利、许可、标准及其其他知识产权管理工具，最大限度地获取创新所带来的商业利益；

利用标准促进新技术、新工艺和新方法的商业化。

·宣传

建立标准宣传体系，使全社会了解标准和标准的作用。开发有效使用标准的实用技术，将标准化工作植根于科技基础；

加强标准和标准化的宣传工作，使企业界和政府进一步将标准作为战略工具，使决策者充分了解标准的作用和效益，以及如何使用标准；

提高目前和未来标准使用者参加标准化工作的参与度。建立标准需求第一联系人制度，减少重叠工作；

将标准知识纳入商业基础技能政策体系。将标准化的概念纳入正规教育大纲，保障下一代标准开发和使用者对标准的认识达到适当的水平。

③国家标准化战略框架成功与否的衡量标准

战略框架的成功与否主要通过上述六大方面主要目标的进展情况来衡量。定量衡量标准可通过企业界参与标准化的程度、所制定标准的市场关联度、新兴领域标准化工作水平、标准化创造的新的商业机会的价值、标准资源的可获得性和可理解性、政府在政策法规和采购工作中使用标准的程度等指标进行衡量。当然，各项具体衡量指标因各领域的不同而有所不同，在战略框架中不可能一一列出。

④国家标准战略框架实施的三个阶段

整个国家标准战略框架的实施分成三个阶段，每一阶段都有不同的侧重目标，但没有列出时间表。

·第一阶段（打基础阶段）

开发两个宏观和微观（商用）标准经济模型；

建立并维护企业界联络网，确保英国和国际标准化工作的优先领域和专业领域有英国企业界的战略意见和呼声；

建立和管理专门针对中小企业的标准化工作，为中小企业特别关心的问题，如：烦琐拖拉的公务程序、实施成本、代表权等，提出解决方案；

及时研发标准，并保障用户能够获得；

对如何结合专利、标准和其他知识产权管理工具，最大限度地实现创新所带来的商业价值提出政策指南；为贯穿产品整个生命周期的创新工作提供帮助；

通过英国驻外使领馆，建立国际联络网，提高英国影响力，保障英国的商贸利益。

·第二阶段（提升阶段）

面对企业界、政府宣传标准化工作的好处，印发标准指南材料，为企业界各个层面、政府各级官员应用标准提供支持；

建立一个英国标准评价、优先领域的确定、各种资源的应用以及监测与管理的高效协作机制；

建立英国标准化基础体系长期可持续发展基金，促进标准化工作对国民经济的影响和标准化创造价值的认识；

提高国家标准体系的能力和透明度，使标准工作真正涵盖包括非正式标准在内的所有标准解决方案；

通过国际标准体系，以优先市场和国家为重点，最大限度的施加英国标准和贸易的影响；

解剖标准化工作的典型案例，处理好企业与政府的关系，加强同广大消费者的联系；

激发企业界、政府和社会各界使用标准和参与标准研发的动力；

研发教学工具和指导材料，寻求将标准纳入正规教学大纲的途径。提高社会各界对标准及其应用的认知；

提供使用标准和标准化工作的培训机会。

·第三阶段（出成效阶段）

各企业把标准纳入其战略规划，将标准作为提高竞争力和生产力的工具；

政府了解标准可应用的公共领域，怎样应用，鉴别更加有效应用标准的途径和最佳方式；

通过更为有效的英国国家标准组织和政府机构的互动，建立并协调系列标准选择方案，为政策和法规的实施中使用标准提供支持；

促进政府采购工作。通过标准的使用，提高采购效率，增加供应商和政府机构的透明度，并为中小企业提供更多的机会；

以英国国家标准组织确定的优先领域为基准，为发展中国家提供帮助；

从标准化工作角度，不断跟踪有益于新产业、新技术、新工艺和新商业方式的切入点，并鉴别具体机会。

银监会BCM指引解读及落地123

作者：BSI毛宇

众所周知，银行业务对业务连续性方面的要求近乎苛刻，需要采用业内最高标准进行系统的规划，设计和构建。但近期发生的多次银行业务中断事件表明，尽管银行业的灾难恢复和数据保全方面已经非常完善，仍然不能避免业务中断事件的发生，而业务连续性管理所解决的就是“一旦灾难发生，企业能够在多长时间内恢复多少业务”的问题。

银监会对业务连续性方面的关注也从其陆续发布的系列指引可见一斑。早在2010年4月银监会发布的《商业银行数据中心监管指引》中，就已经提及了灾难恢复管理，并指出重要信息系统灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》 中定义的灾难恢复等级第5级(含)以上的要求；2011年12月28日银监会更是专门针对业务连续性管理下发了《商业银行业务连续性监管指引》（以下简称：指引），足见银行业对业务连续性的重视。

从该指引的结构上来看，其主要要求覆盖了BS 25999标准中的全部主要内容，并针对银行业的具体情况对相关方面进行了量化的规定。

指引主要分为八个章节，其中第一章到第五章基本上与BS25999的3到6能够完全对应。第六章描述了所建立的业务连续性管理体系如何在中断事件中应用，第七章则提出了银监会在业务连续性方面的监管要求。

指引要求的落地，可以考虑参考被业界广泛认可的来自业务连续性协会BCI的《业务连续管理良好实践指南》,并基于BSI的业务连续管理生命周期模型来实现，共分为六部分工作。

一、方针和方案管理：

推动组织实施业务连续性管理需要组织在实施初期启动一个业务连续性Program，这一阶段的初始目的是成功的完成一个BCM的生命周期，但是BCM方案管理的长期目标是提高组织的BCM能力，并因此通过实现连续的BCM生命周期循环，加强组织的运营弹性。一旦实施，如果BCM方案有效，则应制定持续改善的周期对其进行管理，在指引中明确规定了持续改善的周期是3年。

二、将BCM融入组织文化：

指引第九条指出，商业银行应当将业务连续性管理融入到企业文化中，使其成为银行机构日常运营管理的有机组成部分。

实现文化融入的方法和途径在BS 25999的3.3有明确的叙述。

三、理解组织：

理解组织主要由业务影响分析BIA，风险评估RA和连续性资源分析CRA三部分组成。

由于指引针对的是银行这个特定行业，因此在指引中也具体规定了“重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时。”的具体要求。

四、确定BCM策略：

在商业银行具体实施指引过程中要求根据业务影响分析结果，依据业务恢复指标，制定差别化的业务恢复策略，主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。

五、制定和实施BCM响应：

指引中要求商业银行应该制定覆盖所有重要业务的业务连续性计划，并建立制定总体应急预案和重要业务专项应急预案。同时还强调了应当要求重要业务及信息系统的外部供应商建立业务连续性计划，证明其业务连续性计划的有效性，其业务恢复目标应当满足商业银行要求。另外根据银行业同业间的特点，特别强调了商业银行应当注重与金融同业单位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划的有效衔接问题。

六、演练、保持和评审:

指引强调商业银行应当开展业务连续性计划演练，以检验应急预案的完整性、可操作性和有效性，验证业务连续性资源的可用性，提高运营中断事件的综合处置能力。商业银行应当将外部供应商纳入演练范围并定期开展演练；同时，应当积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门等组织的业务连续性计划演练，确保应急和协调措施的有效性。指引要求商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。

指引的最后部分强调指出了银监会对业务连续性管理的监管要求。指引中要求商业银行应当于每年一季度向银监会或其派出机构提交业务连续性管理报告，包括上一年度业务连续性管理的评估报告与审计报告。此类报告的完成可以自行完成，但考虑到专业性和公信力的问题，银行也可以考虑请BSI这样对标准有深入理解，对行业有丰富经验的专业第三方公司或组织来进行。

第一个业务连续性管理国际标准ISO 22301正式发布，该标准是BSI对行业的再一个重大的贡献。作为行业的领先者BSI已经在100多个国家进行了ISO 22301的前身BS 25999相关服务的推广，并在43个国家开展了BS 25999的认证业务。借助BSI在业务连续性管理方面丰富的经验，必将为提升银行业业务连续性能力做出贡献

ISO 27001新版修订简介

作者：BSI王永霞

自2005年国际标准化组织(简称:ISO)将BS 7799转化为ISO 27001：2005发布以来，此标准在国际上获得了空前的认可，相当数量的组织采纳并进行了信息安全管理体系的认证, 至2011年底，国际上颁发的ISO 27001认证证书总数约为15625张（其中，BSI的市场占有率达约为45.65%）。在我国，自从2008年将ISO 27001:2005转化为国家标准GB/T 22080:2008以来，信息安全管理体系认证在国内进一步获得了全面推广，至2011年底，国内颁发认证证书数量是1107张。越来越多的行业和组织认识到信息安全的重要性，并把它作为基础管理工作之一开展起来。

然而过去的几年中，IT领域和通信行业发生了非常大的变革，出现了全面的业务和技术的融合。移动互联网蓬勃兴起、智能手机的广泛采用、云计算技术的风起云涌，带来了全新的网络威胁、数据泄漏和欺诈的风险。面对这样的变化和趋势，使得信息安全管理体系标准的更新也变得日益重要。

ISO对标准的更新，一般是以三年为一个周期,但因为ISO 27001：:2005标准发布后的巨大成功，以及ICT行业的飞跃发展，使得这个标准的更新变得非常谨慎，已有7年。从ISO组织发布的最新信息可以看到，ISO 27001标准的更新筹备实际上已经在2008年开始，任命了工作组（JTC 1/SC 27 WG 1）；2009年正式启动更新。处于该标准草案（Committee Draft）正在编写委员会讨论层面（30.20：2012-06-20），预计新版发布时间会在 2013-10-19，那时我们就可以一睹它的全新面貌了。

从ISO 27001标准新版更新的一些说明材料中，可以看出这次ISO 27001标准改版将会具有以下几个特征：

采用ISO导则83ISO导则83，规范了今后ISO管理体系认证标准的基本框架；采用导则83颁布的第一个标准发布的业务连续管理体系标准——ISO 22301:2012。

导则83对今后的标准提出了新的框架要求，标注了ISO27001新版与2005版结构的对比和差异：

在这个框架下，明显的改变有如下几点：

标准第4-7章，说明管理体系的一般要求，包括： 组织的情境、领导力、策划和支持；标准第8章，描述ISMS实施要求，包括信息安全风险评估和处置；标准第9章，描述监视，测量和评审活动的要求；标准第10章，描述改善活动的要求；其中，取消了预防措施。信息安全风险管理与ISO 31000风险管理保持一致新版的ISO 27001标准中信息安全风险管理要求与ISO 31000:2009 (Risk management——Principles and guidelines) 保持一致，并遵从其中的定义。

在新版标准中明确了以下要求：

信息安全风险评估：组织应确定如何确定其信息安全风险评估和处置过程的可靠性。 信息安全风险处理：适用时，组织应调整信息安全风险评估和处置过程，以及采用的方法，以改善过程的可靠性。保留附录A控制措施与控制目标新版ISO 27001依然会保留SOA和附录A控制目标、控制措施的架构；因此，毫无疑问，ISO 27001的新版修订一定会与ISO 27002的修订同步进行。

事实上，关于控制措施和控制目标的修订，也是应对新的变化的信息安全威胁和风险必须的选择；这部分的更新，在修订项目中，接受了大量的修改建议，争论也相当大，还没有最后的结论。

持续发展27系列支持性标准ISO 27001从诞生第一天开始就不是孤立的，为了支持信息安全管理体系标准，ISO27系列发布了一系列普遍适用和行业适用的参考标准。

一些支持性标准的状态如下表：

古希腊哲学家赫拉克利特因其作为辩证法的奠基人闻名于世，他曾经写道“一切皆流，无物常住”，过去几年中，国际上几乎所有行业和组织面临的信息安全风险的局势无不体现了赫氏的这一学说。变化和发展是永恒的，信息安全风险总是处在持续演进中，攻击者的手段依然会层出不穷。因此信息安全管理的实践和标准都在不断发展，我们唯一要做的就是保持警惕，随时准备抵御风险。

BSI其实就是CMOS技术的一种，就是背照式CMOS，拍照的时候在夜拍和高感的时候成像效果更好一些。

在传统CMOS感光元件中，感光二极管位于电路晶体管后方，进光量会因遮挡受到影响。所谓背照式CMOS就是将它掉转方向，让光线首先进入感光二极管，从而增大感光量，显著提高低光照条件下的拍摄效果。索尼的背照式CMOS传感器商品名称为Exmor R，首先在DV摄像机中得到应用。

Exmor R CMOS背面照明技术感光元件，改善了传统CMOS感光元件的感光度。Exmor R CMOS采用了和普通方法相反、向没有布线层的一面照射光线的背面照射技术，由于不受金属线路和晶体管的阻碍，开口率（光电转换部分在一个像素中所占的面积比例）可提高至近100%。与其以往1.75μm间隔的表面照射产品相比，背面照射产品在灵敏度（S/N）上具有很大优势。

诸如iphone4s、魅族mx都采用了背照式的摄像头。

业务服务创新（Business Service Innovation，简称BSI）帮助您的企业从简单的IT管理和维护，向提供全新的创新型服务和解决方案转变。

不仅进行IT系统维护，还要推出创新型服务。

业务发展对IT提出了更高的要求。随着移动终端、社交媒体、云计算、分析工具等需求的提升，企业希望以更少的资源获得更快捷、更廉价、更安全的商业服务，同时还要继续为当前服务提供支持。IT必须通过自身变革来满足上述需求。