企航顾问ISO22301业务连续性管理体系服务介绍

2022-04-26 08:32阅读：

http://blog.sina.cn/dpool/blog/u/6872048864

随着自然灾害和人为事故的频繁发生，企业的业务连续性管理（Business Continuity Management，BCM）越来越受到重视。在深刻认识到自然灾害和突发事件对社会经济造成的巨大影响和给企业带来的业务瘫痪、信誉丢失基至破产倒闭等种种灾难性后果的同时，人们注意到有些企业在灾难发生过程中的表现相当出色，究其原因是由于引入了BCM（业务连续性管理），把灾难后果的影响降到最低甚至化险为夷。

通过实施ISO 22301业务连续性管理体系，帮助了很多企业在面临疫情突发事件时的业务可持续。一个个鲜活的案例，引起了更多企业对业务持续管理的关注，将ISO22301这一国际标准推向了前所未有的高度。

一、ISO22301概述
ISO22301业务连续性管理体系国际标准，是由ISO/TC 223（公共安全技术委员会Societal Security Technical Committee）制定发布的。ISO/TC 223成立时间为2007年11月，2015年1月ISO/TC 292（安全与韧性技术委员会

Security and Resilience Technical Committee）成立，替代ISO/TC 223。

业务连续性管理标准的发展历史：

企航顾问ISO22301业务连续性管理体系服务介绍

1、2003年，BSI发布PAS 56:2003《业务连续性管理指南》,是全球较早发布的BCM标准之一，影响了随后一系列国家和国际标准的制定；
2、2006年，BSI发布BS 25999-1《业务连续性管理第一部分：实用规则》，它确立了BCM的流程、原则和术语，给出了一个可参考的BCM的系统；
3、2007年，BSI发布BS 25999-2《业务连续性管理第二部分：规范》，它正式提出了业务连续性管理体系的概念，规定了建立和管理一个有效的BCMS的要求。
由于汇聚了涵盖各行各业的标准制定者，BS 25999一经发布就成为当时适用性最广、接受度最高的BCM标准。在接下来的几年中，BS 25999在100多个国家得到实践，并在43个国家获得认证认可；
4、2007年，ISO发布ISO/PAS 22399《社会安全事件准备和运营连续性管理指南》；
5、2012年，ISO发布SO 22301:2012《社会安全业务连续性管理体系要求》；
6、2019年，ISO发布ISO 22301:2019《安全与韧性业务连续性管理体系要求》。

ISO陆续发布了一系列的BCMS相关标准，主要包括：
1、ISO 22301，作为要求类标准，是ISO 22301系列标准的核心，它基于ISO高层结构（ISO High Level Structure）规定了实施、保持和改进BCMS的一系列要求（最新版的ISO 22301:2019提出了90项具体要求），组织可以据此标准获得认证；
2、ISO 22313，作为ISO 22301的应用指南，为实现ISO 22301规定的要求提供了实施指导；
3、ISO 22317（业务影响分析）、ISO 22318（供应链连续性）、ISO 22330（人员方面）、ISO 22331（业务连续性策略）和ISO 22332（业务连续性计划和程序）等技术规范，为业务连续性管理工作提出更为详细和专业的建议；
4、ISO 22300，为包括ISO TC292制定的所有标准建立专业词汇表。
目前，ISO 22301和ISO 22313已分别于2019和2020年修订为第2版，ISO 22300于2021年发布第3版，ISO 22317和ISO 22318正在进行修订。

二、ISO22301的适用范围
ISO22301业务连续性管理体系标准适用于以下所有类型和规模的组织：
1、实施，维护和改进BCMS；
2、寻求确保符合规定的业务连续性政策；
3、在中断期间必须能够继续以可接受的预定容量交付产品和服务；
4、寻求通过有效应用BCMS来增强其弹性。

ISO 22301适用于所有行业中的大、中、小型公有及私有组织，并且特别适用于处于高风险和高度监管环境下的行业，例如金融业、IT通信业、制造业等。各行各业的企业面对国际及中国地区不断频发的自然灾害及人为事故，其业务运作的不确定性和风险都被大幅度增加，而加强企业业务连续性管理则成为了打造最佳企业应急预案的必备选择。

三、ISO 22301:2019主要内容介绍
ISO 22301:2019标准分为10个主要章节，前三章节分别是范围、规范性文献、术语和定义，下面介绍该标准的其他章节的内容。

企航顾问ISO22301业务连续性管理体系服务介绍

【图：ISO22301双循环结构】
第4章组织环境
简化了强制要求，与高层结构保持一致。如，在“4.1 了解组织及其环境”部分，2012版规定了组织要“做……”并形成文件，2019版仅指出“确定内外部事项”的要求，而不再具体说明要做什么，也不再要形成文件。
不再使用术语“风险偏好”，2012版将“风险偏好”定义为“组织愿意接受或承担的风险的数量和类别”，2019版取消了该术语。因为重要的不是组织愿意接受或承担的风险，而是组织不可接受的（活动不恢复的）影响。

第5章领导作用
简化了强制要求，与高层结构保持一致。2019版和2012版都要求最高管理者证明对BCMS的领导作用和承诺，但2019版更关注对BCMS的有效管理，而2012版强调对活动的直接参与如“积极参与演练和测试”。
对“5.2方针”部分重组结构和内容排序，以更易于理解和使用。为消除重复，删除评审方针适用性的要求（保留相关要求在管理评审输入部分（9.3.2.e））。

第6章策划
对“6.1 应对风险和机会的措施”和“6.2 业务连续性目标和实现计划”部分的内容重组结构和内容排序，以更易于理解和使用。“6.1.2 应对风险和机会”部分明确指出，此处的风险和机会与BCMS的有效性相关，与业务中断相关的风险在8.2部分处理。
新增“6.3 策划BCMS的变更”，要求组织对BCMS的变更“以计划的方式进行”。在策划变更时，应考虑：变更的目的和可能的后果，BCMS的完整性，资源可用性，责任和权限的分配和再分配。从形式上看，2019版新增了该要求，但从保持BCMS的有效性角度看，其内容是显而易见的（隐含在2012版）。

第7章支持
简化了强制要求，与高层结构保持一致。“7.4 沟通”部分，2019版仅指出“确定与BCMS有关的内外部沟通”的要求，删除了2012版中关于中断期间确保通信手段可用性要求的部分（与8.4.3.1重复）。

第8章运行
进行重大修改，将几乎所有与业务连续性相关的内容全部纳入该部分，新增第8.6节，重组结构并对内容排序。

企航顾问ISO22301业务连续性管理体系服务介绍

8.2 业务影响分析和风险评估根据ISO 22317 （BIA）和ISO 22318 （supply chain continuity）进行了扩展，2019版对业务影响分析过程的要求更明确（基本可以按要求逐步实施）。从定义影响类型开始，明确了活动的不可接受的影响、最大可容忍中断时间（MTPD）以及优先时间范围（RTO）之间的关系，并使用BIA确定优先活动。此外，需要注意，2019版中没有对业务影响分析过程成文的要求。
“8.2.3 风险评估”部分删除了“风险偏好”的提法（但在“4.1 了解组织及其环境”的注释和“8.3.3 选择策略和解决方案”中仍隐含了此内容）。

8.3 业务连续性策略（strategy）更名为业务连续性策略和解决方案（strategies and solutions），明确暗示不止一个策略，并通过一个或多个方案实现策略。2019版要求组织不只是制定高层级的策略，还要针对特定风险和影响寻找解决方案。对于最高管理者而言，这是最重大的变化，因为确定所需的资源变为与选定的解决方案（见8.3.4）而非策略相关。根据解决方案确定资源比根据策略确定资源要精确地多，对预算规划的要求也会更加刚性。2019版还要求“实施和保持选定的业务连续性解决方案，以便在需要时启用它们”（见8.3.5）。

8.4 建立和实施业务连续性程序更名为业务连续性计划和程序，该部分值得关注的部分包括：基于所选策略和解决方案的输出，确定和编制业务连续性计划和程序；进行结构设计以使一个或多个团队负责响应中断；清楚说明各团队之间的关系，以及他们的角色和职责；每个团队必须确定包括“候补人员”在内的人员，并说明履行指定角色所需的责任、权限和能力；有关如何管理中断直接后果（包括对环境的影响）的详细信息；每个计划必须包括退出流程（见8.4.4.3 h）；每个计划应在需要的时间和地点可使用和可得到。

8.5 演练和测试更名为演练方案（exercise programme），明确了实施和保持演练和测试方案的要求。从演练和测试角度看，2019版要求直接验证业务连续性策略和解决方案（而不再是2012版中的业务连续性安排）。
增加了一些新提法，需要考虑，如“培训团队合作精神、能力、信心和知识”。

新增“8.6 业务连续性文档和能力的评价”，强调定期评价和更新文档的重要性，其主要内容原在2012版“第9章绩效评价”中。明确对相关合作伙伴和供应商的业务连续性能力进行评估的要求。

第9章绩效评价
简化了相关要求，与高层结构保持一致。本章只关注业务连续性管理体系，而不再关注业务连续性文档和能力（该部分移到8.6）。
在2019版中的监视、测量、分析和评价中，不仅要确定何时进行监视和测量、何时对结果进行分析和评价，还要包括由谁进行。此外，对绩效指标的相关提法已删除。

第10章改进
“10.2 持续改进”得到了一定扩展，强调通过“定性和定量措施”持续改进。

四、ISO22301业务连续管理体系建设流程

企航顾问ISO22301业务连续性管理体系服务介绍

1、启动调研
通过对企业的组织架构、管理流程、业务运作模式和IT支持系统进行考察和调研，以确定业务持续性管理（BCM）过程或功能的需求。

2、风险评估
确定可能造成机构及其设施中断和灾难、具有负面影响的突发事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。

3、业务影响分析
确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相互依赖性以便确定恢复时间目标。

4、容灾策略制定

举报/Report

我的更多文章

下载客户端阅读体验更佳