bob官方下载链接越来越受到重视。在深刻认识到自然灾害和突发事件对社会经济造成的巨大影响和给企业带来的业务瘫痪、信誉丢失基至破产倒闭等种种灾难性后果的同时,人们注意到有些企业在灾难发生过程中的表现相当出色,究其原因是由于引入了BCM(业务连续性管理),把灾难后果的影响降到最低甚至化险为夷。
通过实施ISO 22301业务连续性管理体系,帮助了很多企业在面临疫情突发事件时的业务可持续。一个个鲜活的案例,引起了更多企业对业务持续管理的关注,将ISO22301这一国际标准推向了前所未有的高度。
1、2003年,BSI发布PAS 56:2003《业务连续性管理指南》,是全球较早发布的BCM标准之一,影响了随后一系列国家和国际标准的制定;
2、2006年,BSI发布BS 25999-1《业务连续性管理 第一部分:实用规则》,它确立了BCM的流程、原则和术语,给出了一个可参考的BCM的系统;
3、2007年,BSI发布BS 25999-2《业务连续性管理 第二部分:规范》,它正式提出了业务连续性管理体系的概念,规定了建立和管理一个有效的BCMS的要求。
由于汇聚了涵盖各行各业的标准制定者,BS 25999一经发布就成为当时适用性最广、接受度最高的BCM标准。在接下来的几年中,BS 25999在100多个国家得到实践,并在43个国家获得认证认可;
4、2007年,ISO发布ISO/PAS 22399《社会安全 事件准备和运营连续性管理指南》;
1、ISO 22301,作为要求类标准,是ISO 22301系列标准的核心,它基于ISO高层结构(ISO High Level Structure)规定了实施、保持和改进BCMS的一系列要求(最新版的ISO 22301:2019提出了90项具体要求),组织可以据此标准获得认证;
3、ISO 22317(业务影响分析)、ISO 22318(供应链连续性)、ISO 22330(人员方面)、ISO 22331(业务连续性策略)和ISO 22332(业务连续性计划和程序)等技术规范,为业务连续性管理工作提出更为详细和专业的建议;
ISO 22301适用于所有行业中的大、中、小型公有及私有组织,并且特别适用于处于高风险和高度监管环境下的行业,例如金融业、IT通信业、制造业等。各行各业的企业面对国际及中国地区不断频发的自然灾害及人为事故,其业务运作的不确定性和风险都被大幅度增加,而加强企业业务连续性管理则成为了打造最佳企业应急预案的必备选择。
ISO 22301:2019标准分为10个主要章节,前三章节分别是范围、规范性文献、术语和定义,下面介绍该标准的其他章节的内容。
简化了强制要求,与高层结构保持一致。如,在“4.1 了解组织及其环境”部分,2012版规定了组织要“做……”并形成文件,2019版仅指出“确定内外部事项”的要求,而不再具体说明要做什么,也不再要形成文件。
不再使用术语“风险偏好”,2012版将“风险偏好”定义为“组织愿意接受或承担的风险的数量和类别”,bob官方下载链接2019版取消了该术语。因为重要的不是组织愿意接受或承担的风险,而是组织不可接受的(活动不恢复的)影响。
简化了强制要求,与高层结构保持一致。2019版和2012版都要求最高管理者证明对BCMS的领导作用和承诺,但2019版更关注对BCMS的有效管理,而2012版强调对活动的直接参与如“积极参与演练和测试”。
对“5.2方针”部分重组结构和内容排序,以更易于理解和使用。为消除重复,删除评审方针适用性的要求(保留相关要求在管理评审输入部分(9.3.2.e))。
对“6.1 应对风险和机会的措施”和“6.2 业务连续性目标和实现计划”部分的内容重组结构和内容排序,以更易于理解和使用。“6.1.2 应对风险和机会”部分明确指出,此处的风险和机会与BCMS的有效性相关,与业务中断相关的风险在8.2部分处理。
新增“6.3 策划BCMS的变更”,要求组织对BCMS的变更“以计划的方式进行”。在策划变更时,bob官方下载链接应考虑:变更的目的和可能的后果,BCMS的完整性,资源可用性,责任和权限的分配和再分配。从形式上看,2019版新增了该要求,但从保持BCMS的有效性角度看,bob官方下载链接其内容是显而易见的(隐含在2012版)。
简化了强制要求,与高层结构保持一致。“7.4 沟通”部分,2019版仅指出“确定与BCMS有关的内外部沟通”的要求,删除了2012版中关于中断期间确保通信手段可用性要求的部分(与8.4.3.1重复)。
进行重大修改,将几乎所有与业务连续性相关的内容全部纳入该部分,新增第8.6节,重组结构并对内容排序。
8.2 业务影响分析和风险评估 根据ISO 22317 (BIA)和ISO 22318 (supply chain continuity)进行了扩展,2019版对业务影响分析过程的要求更明确(基本可以按要求逐步实施)。从定义影响类型开始,明确了活动的不可接受的影响、最大可容忍中断时间(MTPD)以及优先时间范围(RTO)之间的关系,并使用BIA确定优先活动。此外,需要注意,2019版中没有对业务影响分析过程成文的要求。
“8.2.3 风险评估”部分删除了“风险偏好”的提法(但在“4.1 了解组织及其环境”的注释和“8.3.3 选择策略和解决方案”中仍隐含了此内容)。
8.3 业务连续性策略(strategy)更名为业务连续性策略和解决方案(strategies and solutions),明确暗示不止一个策略,并通过一个或多个方案实现策略。2019版要求组织不只是制定高层级的策略,还要针对特定风险和影响寻找解决方案。对于最高管理者而言,这是最重大的变化,因为确定所需的资源变为与选定的解决方案(见8.3.4)而非策略相关。根据解决方案确定资源比根据策略确定资源要精确地多,对预算规划的要求也会更加刚性。2019版还要求“实施和保持选定的业务连续性解决方案,以便在需要时启用它们”(见8.3.5)。
8.4 建立和实施业务连续性程序更名为业务连续性计划和程序,该部分值得关注的部分包括:基于所选策略和解决方案的输出,确定和编制业务连续性计划和程序;进行结构设计以使一个或多个团队负责响应中断;清楚说明各团队之间的关系,以及他们的角色和职责;每个团队必须确定包括“候补人员”在内的人员,并说明履行指定角色所需的责任、权限和能力;有关如何管理中断直接后果(包括对环境的影响)的详细信息;每个计划必须包括退出流程(见8.4.4.3 h);每个计划应在需要的时间和地点可使用和可得到。
8.5 演练和测试更名为演练方案(exercise programme),明确了实施和保持演练和测试方案的要求。从演练和测试角度看,2019版要求直接验证业务连续性策略和解决方案(而不再是2012版中的业务连续性安排)。
新增“8.6 业务连续性文档和能力的评价”,强调定期评价和更新文档的重要性,其主要内容原在2012版“第9章 绩效评价”中。明确对相关合作伙伴和供应商的业务连续性能力进行评估的要求。
简化了相关要求,与高层结构保持一致。本章只关注业务连续性管理体系,而不再关注业务连续性文档和能力(该部分移到8.6)。
在2019版中的监视、测量、分析和评价中,不仅要确定何时进行监视和测量、何时对结果进行分析和评价,还要包括由谁进行。此外,对绩效指标的相关提法已删除。
通过对企业的组织架构、管理流程、业务运作模式和IT支持系统进行考察和调研,以确定业务持续性管理(BCM)过程或功能的需求。
确定可能造成机构及其设施中断和灾难、具有负面影响的突发事件和周边环境因素,以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。
确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相互依赖性以便确定恢复时间目标。
在本阶段,结合以上各阶段的分析成果,以及在容灾上的投入能力,制订企业系统短期、长期范围内的容灾策略和目标,并有意识地将本身的人员组成和组织架构做出调整以适应策略要求。
根据容灾策略,以及业务连续性计划和各系统的RTO和RPO指标,考虑成本和收益平衡原则,分别设计容灾方案。
对容灾中心的设施资源进行详细的规划和设计,容灾中心的建筑工程、中心环境(外部与内部)、机房结构、物理安全、交通流向组织、电力供应与保障等环节都要按照容灾的实际需求进行科学的分析,最终达到容灾的实际要求。
业务恢复团队和业务恢复团队分别执行应急响应计划、灾难恢复计划、业务恢复计划,运营管理团队负责容灾系统的运营管理和日常维护、问题收集和解决、系统变申和测试演练等工作,后勤保障和人力资源保障提供支持,从而达到容灾设计的目标。
对预案和预案间的协调性进行演练、并评估和记录预案演练的结果。制定维持持续性能力和 BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证 BCP的效率,并使用简明的语言报告验证的结果。
10、如合同或协议的承诺,在可接受的预先定义的级别,及时和有序应对事件和业务中断,保证业务连续运营;
6、建立的业务连续性管理体系文件包括:方针、目标、范围、组织为过程运行及沟通而保持的信息,须提供:组织简介、组织架构、人员情况和职能分工、过程路线图/工艺流程图/过程描述及其有关的过程文件。
