企航顧問(wèn)ISO22301業(yè)務(wù)連續(xù)性管理體系服務(wù)

2022/04/26

隨著自然災(zāi)害和人為事故的頻繁發(fā)生，企業(yè)的業(yè)務(wù)連續(xù)性管理（Business Continuity Management，BCM）越來(lái)越受到重視。在深刻認(rèn)識(shí)到自然災(zāi)害和突發(fā)事件對(duì)社會(huì)經(jīng)濟(jì)造成的巨大影響和給企業(yè)帶來(lái)的業(yè)務(wù)癱瘓、信譽(yù)丟失基至破產(chǎn)倒閉等種種災(zāi)難性后果的同時(shí)，人們注意到有些企業(yè)在災(zāi)難發(fā)生過(guò)程中的表現(xiàn)相當(dāng)出色，究其原因是由于引入了BCM（業(yè)務(wù)連續(xù)性管理），把災(zāi)難后果的影響降到最低甚至化險(xiǎn)為夷。

通過(guò)實(shí)施ISO 22301業(yè)務(wù)連續(xù)性管理體系，幫助了很多企業(yè)在面臨疫情突發(fā)事件時(shí)的業(yè)務(wù)可持續(xù)。一個(gè)個(gè)鮮活的案例，引起了更多企業(yè)對(duì)業(yè)務(wù)持續(xù)管理的關(guān)注，將ISO22301這一國(guó)際標(biāo)準(zhǔn)推向了前所未有的高度。

一、ISO22301概述

ISO22301業(yè)務(wù)連續(xù)性管理體系國(guó)際標(biāo)準(zhǔn)，是由ISO/TC 223（公共安全技術(shù)委員會(huì)Societal Security Technical Committee）制定發(fā)布的。ISO/TC 223成立時(shí)間為2007年11月，2015年1月ISO/TC 292（安全與韌性技術(shù)委員會(huì)Security and Resilience Technical Committee）成立，替代ISO/TC 223。

業(yè)務(wù)連續(xù)性管理標(biāo)準(zhǔn)的發(fā)展歷史：

1、2003年，BSI發(fā)布PAS 56:2003《業(yè)務(wù)連續(xù)性管理指南》,是全球較早發(fā)布的BCM標(biāo)準(zhǔn)之一，影響了隨后一系列國(guó)家和國(guó)際標(biāo)準(zhǔn)的制定；

2、2006年，BSI發(fā)布BS 25999-1《業(yè)務(wù)連續(xù)性管理 第一部分：實(shí)用規(guī)則》，它確立了BCM的流程、原則和術(shù)語(yǔ)，給出了一個(gè)可參考的BCM的系統(tǒng)；

3、2007年，BSI發(fā)布BS 25999-2《業(yè)務(wù)連續(xù)性管理 第二部分：規(guī)范》，它正式提出了業(yè)務(wù)連續(xù)性管理體系的概念，規(guī)定了建立和管理一個(gè)有效的BCMS的要求。

由于匯聚了涵蓋各行各業(yè)的標(biāo)準(zhǔn)制定者，BS 25999一經(jīng)發(fā)布就成為當(dāng)時(shí)適用性最廣、接受度最高的BCM標(biāo)準(zhǔn)。在接下來(lái)的幾年中，BS 25999在100多個(gè)國(guó)家得到實(shí)踐，并在43個(gè)國(guó)家獲得認(rèn)證認(rèn)可；

4、2007年，ISO發(fā)布ISO/PAS 22399《社會(huì)安全 事件準(zhǔn)備和運(yùn)營(yíng)連續(xù)性管理指南》；

5、2012年，ISO發(fā)布SO 22301:2012《社會(huì)安全 業(yè)務(wù)連續(xù)性管理體系 要求》；

6、2019年，ISO發(fā)布ISO 22301:2019《安全與韌性 業(yè)務(wù)連續(xù)性管理體系 要求》。

ISO陸續(xù)發(fā)布了一系列的BCMS相關(guān)標(biāo)準(zhǔn)，主要包括：

1、ISO 22301，作為要求類標(biāo)準(zhǔn)，是ISO 22301系列標(biāo)準(zhǔn)的核心，它基于ISO高層結(jié)構(gòu)（ISO High Level Structure）規(guī)定了實(shí)施、保持和改進(jìn)BCMS的一系列要求（最新版的ISO 22301:2019提出了90項(xiàng)具體要求），組織可以據(jù)此標(biāo)準(zhǔn)獲得認(rèn)證；

2、ISO 22313，作為ISO 22301的應(yīng)用指南，為實(shí)現(xiàn)ISO 22301規(guī)定的要求提供了實(shí)施指導(dǎo)；

3、ISO 22317（業(yè)務(wù)影響分析）、ISO 22318（供應(yīng)鏈連續(xù)性）、ISO 22330（人員方面）、ISO 22331（業(yè)務(wù)連續(xù)性策略）和ISO 22332（業(yè)務(wù)連續(xù)性計(jì)劃和程序）等技術(shù)規(guī)范，為業(yè)務(wù)連續(xù)性管理工作提出更為詳細(xì)和專業(yè)的建議；

4、ISO 22300，為包括ISO TC292制定的所有標(biāo)準(zhǔn)建立專業(yè)詞匯表。

目前，ISO 22301和ISO 22313已分別于2019和2020年修訂為第2版，ISO 22300于2021年發(fā)布第3版，ISO 22317和ISO 22318正在進(jìn)行修訂。

二、ISO22301的適用范圍

ISO22301業(yè)務(wù)連續(xù)性管理體系標(biāo)準(zhǔn)適用于以下所有類型和規(guī)模的組織：

1、實(shí)施，維護(hù)和改進(jìn)BCMS；

2、尋求確保符合規(guī)定的業(yè)務(wù)連續(xù)性政策；

3、在中斷期間必須能夠繼續(xù)以可接受的預(yù)定容量交付產(chǎn)品和服務(wù)；

4、尋求通過(guò)有效應(yīng)用BCMS來(lái)增強(qiáng)其彈性。

ISO 22301適用于所有行業(yè)中的大、中、小型公有及私有組織，并且特別適用于處于高風(fēng)險(xiǎn)和高度監(jiān)管環(huán)境下的行業(yè)，例如金融業(yè)、IT通信業(yè)、制造業(yè)等。各行各業(yè)的企業(yè)面對(duì)國(guó)際及中國(guó)地區(qū)不斷頻發(fā)的自然災(zāi)害及人為事故，其業(yè)務(wù)運(yùn)作的不確定性和風(fēng)險(xiǎn)都被大幅度增加，而加強(qiáng)企業(yè)業(yè)務(wù)連續(xù)性管理則成為了打造最佳企業(yè)應(yīng)急預(yù)案的必備選擇。

三、ISO 22301:2019主要內(nèi)容介紹

ISO 22301:2019標(biāo)準(zhǔn)分為10個(gè)主要章節(jié)，前三章節(jié)分別是范圍、規(guī)范性文獻(xiàn)、術(shù)語(yǔ)和定義，下面介紹該標(biāo)準(zhǔn)的其他章節(jié)的內(nèi)容。

【圖：ISO22301雙循環(huán)結(jié)構(gòu)】

第4章 組織環(huán)境

簡(jiǎn)化了強(qiáng)制要求，與高層結(jié)構(gòu)保持一致。如，在“4.1 了解組織及其環(huán)境”部分，2012版規(guī)定了組織要“做……”并形成文件，2019版僅指出“確定內(nèi)外部事項(xiàng)”的要求，而不再具體說(shuō)明要做什么，也不再要形成文件。

不再使用術(shù)語(yǔ)“風(fēng)險(xiǎn)偏好”，2012版將“風(fēng)險(xiǎn)偏好”定義為“組織愿意接受或承擔(dān)的風(fēng)險(xiǎn)的數(shù)量和類別”，2019版取消了該術(shù)語(yǔ)。因?yàn)橹匾牟皇墙M織愿意接受或承擔(dān)的風(fēng)險(xiǎn)，而是組織不可接受的（活動(dòng)不恢復(fù)的）影響。

第5章 領(lǐng)導(dǎo)作用

簡(jiǎn)化了強(qiáng)制要求，與高層結(jié)構(gòu)保持一致。2019版和2012版都要求最高管理者證明對(duì)BCMS的領(lǐng)導(dǎo)作用和承諾，但2019版更關(guān)注對(duì)BCMS的有效管理，而2012版強(qiáng)調(diào)對(duì)活動(dòng)的直接參與如“積極參與演練和測(cè)試”。

對(duì)“5.2方針”部分重組結(jié)構(gòu)和內(nèi)容排序，以更易于理解和使用。為消除重復(fù)，刪除評(píng)審方針適用性的要求（保留相關(guān)要求在管理評(píng)審輸入部分（9.3.2.e））。

第6章 策劃

對(duì)“6.1 應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施”和“6.2 業(yè)務(wù)連續(xù)性目標(biāo)和實(shí)現(xiàn)計(jì)劃”部分的內(nèi)容重組結(jié)構(gòu)和內(nèi)容排序，以更易于理解和使用。“6.1.2 應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)”部分明確指出，此處的風(fēng)險(xiǎn)和機(jī)會(huì)與BCMS的有效性相關(guān)，與業(yè)務(wù)中斷相關(guān)的風(fēng)險(xiǎn)在8.2部分處理。

新增“6.3 策劃BCMS的變更”，要求組織對(duì)BCMS的變更“以計(jì)劃的方式進(jìn)行”。在策劃變更時(shí)，應(yīng)考慮：變更的目的和可能的后果，BCMS的完整性，資源可用性，責(zé)任和權(quán)限的分配和再分配。從形式上看，2019版新增了該要求，但從保持BCMS的有效性角度看，其內(nèi)容是顯而易見(jiàn)的（隱含在2012版）。

第7章 支持

簡(jiǎn)化了強(qiáng)制要求，與高層結(jié)構(gòu)保持一致。“7.4 溝通”部分，2019版僅指出“確定與BCMS有關(guān)的內(nèi)外部溝通”的要求，刪除了2012版中關(guān)于中斷期間確保通信手段可用性要求的部分（與8.4.3.1重復(fù)）。

第8章 運(yùn)行

進(jìn)行重大修改，將幾乎所有與業(yè)務(wù)連續(xù)性相關(guān)的內(nèi)容全部納入該部分，新增第8.6節(jié)，重組結(jié)構(gòu)并對(duì)內(nèi)容排序。

8.2 業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估 根據(jù)ISO 22317 （BIA）和ISO 22318 （supply chain continuity）進(jìn)行了擴(kuò)展，2019版對(duì)業(yè)務(wù)影響分析過(guò)程的要求更明確（基本可以按要求逐步實(shí)施）。從定義影響類型開(kāi)始，明確了活動(dòng)的不可接受的影響、最大可容忍中斷時(shí)間（MTPD）以及優(yōu)先時(shí)間范圍（RTO）之間的關(guān)系，并使用BIA確定優(yōu)先活動(dòng)。此外，需要注意，2019版中沒(méi)有對(duì)業(yè)務(wù)影響分析過(guò)程成文的要求。

“8.2.3 風(fēng)險(xiǎn)評(píng)估”部分刪除了“風(fēng)險(xiǎn)偏好”的提法（但在“4.1 了解組織及其環(huán)境”的注釋和“8.3.3 選擇策略和解決方案”中仍隱含了此內(nèi)容）。

8.3 業(yè)務(wù)連續(xù)性策略（strategy）更名為業(yè)務(wù)連續(xù)性策略和解決方案（strategies and solutions），明確暗示不止一個(gè)策略，并通過(guò)一個(gè)或多個(gè)方案實(shí)現(xiàn)策略。2019版要求組織不只是制定高層級(jí)的策略，還要針對(duì)特定風(fēng)險(xiǎn)和影響尋找解決方案。對(duì)于最高管理者而言，這是最重大的變化，因?yàn)榇_定所需的資源變?yōu)榕c選定的解決方案（見(jiàn)8.3.4）而非策略相關(guān)。根據(jù)解決方案確定資源比根據(jù)策略確定資源要精確地多，對(duì)預(yù)算規(guī)劃的要求也會(huì)更加剛性。2019版還要求“實(shí)施和保持選定的業(yè)務(wù)連續(xù)性解決方案，以便在需要時(shí)啟用它們”（見(jiàn)8.3.5）。

8.4 建立和實(shí)施業(yè)務(wù)連續(xù)性程序更名為業(yè)務(wù)連續(xù)性計(jì)劃和程序，該部分值得關(guān)注的部分包括：基于所選策略和解決方案的輸出，確定和編制業(yè)務(wù)連續(xù)性計(jì)劃和程序；進(jìn)行結(jié)構(gòu)設(shè)計(jì)以使一個(gè)或多個(gè)團(tuán)隊(duì)負(fù)責(zé)響應(yīng)中斷；清楚說(shuō)明各團(tuán)隊(duì)之間的關(guān)系，以及他們的角色和職責(zé)；每個(gè)團(tuán)隊(duì)必須確定包括“候補(bǔ)人員”在內(nèi)的人員，并說(shuō)明履行指定角色所需的責(zé)任、權(quán)限和能力；有關(guān)如何管理中斷直接后果（包括對(duì)環(huán)境的影響）的詳細(xì)信息；每個(gè)計(jì)劃必須包括退出流程（見(jiàn)8.4.4.3 h）；每個(gè)計(jì)劃應(yīng)在需要的時(shí)間和地點(diǎn)可使用和可得到。

8.5 演練和測(cè)試更名為演練方案（exercise programme），明確了實(shí)施和保持演練和測(cè)試方案的要求。從演練和測(cè)試角度看，2019版要求直接驗(yàn)證業(yè)務(wù)連續(xù)性策略和解決方案（而不再是2012版中的業(yè)務(wù)連續(xù)性安排）。

增加了一些新提法，需要考慮，如“培訓(xùn)團(tuán)隊(duì)合作精神、能力、信心和知識(shí)”。

新增“8.6 業(yè)務(wù)連續(xù)性文檔和能力的評(píng)價(jià)”，強(qiáng)調(diào)定期評(píng)價(jià)和更新文檔的重要性，其主要內(nèi)容原在2012版“第9章 績(jī)效評(píng)價(jià)”中。明確對(duì)相關(guān)合作伙伴和供應(yīng)商的業(yè)務(wù)連續(xù)性能力進(jìn)行評(píng)估的要求。

第9章 績(jī)效評(píng)價(jià)

簡(jiǎn)化了相關(guān)要求，與高層結(jié)構(gòu)保持一致。本章只關(guān)注業(yè)務(wù)連續(xù)性管理體系，而不再關(guān)注業(yè)務(wù)連續(xù)性文檔和能力（該部分移到8.6）。

在2019版中的監(jiān)視、測(cè)量、分析和評(píng)價(jià)中，不僅要確定何時(shí)進(jìn)行監(jiān)視和測(cè)量、何時(shí)對(duì)結(jié)果進(jìn)行分析和評(píng)價(jià)，還要包括由誰(shuí)進(jìn)行。此外，對(duì)績(jī)效指標(biāo)的相關(guān)提法已刪除。

第10章 改進(jìn)

“10.2 持續(xù)改進(jìn)”得到了一定擴(kuò)展，強(qiáng)調(diào)通過(guò)“定性和定量措施”持續(xù)改進(jìn)。

四、ISO22301業(yè)務(wù)連續(xù)管理體系建設(shè)流程

1、啟動(dòng)調(diào)研

通過(guò)對(duì)企業(yè)的組織架構(gòu)、管理流程、業(yè)務(wù)運(yùn)作模式和IT支持系統(tǒng)進(jìn)行考察和調(diào)研，以確定業(yè)務(wù)持續(xù)性管理（BCM）過(guò)程或功能的需求。

2、風(fēng)險(xiǎn)評(píng)估

確定可能造成機(jī)構(gòu)及其設(shè)施中斷和災(zāi)難、具有負(fù)面影響的突發(fā)事件和周邊環(huán)境因素，以及事件可能造成的損失、防止或減少潛在損失影響的控制措施。提供成本效益分析以調(diào)整控制措施方面的投資達(dá)到消減風(fēng)險(xiǎn)的目的。

3、業(yè)務(wù)影響分析

確定由于中斷和預(yù)期災(zāi)難可能對(duì)機(jī)構(gòu)造成的影響以及用來(lái)定量和定性分析這種影響的技術(shù)。確定關(guān)鍵功能、其恢復(fù)優(yōu)先順序和相互依賴性以便確定恢復(fù)時(shí)間目標(biāo)。

4、容災(zāi)策略制定

在本階段，結(jié)合以上各階段的分析成果，以及在容災(zāi)上的投入能力，制訂企業(yè)系統(tǒng)短期、長(zhǎng)期范圍內(nèi)的容災(zāi)策略和目標(biāo)，并有意識(shí)地將本身的人員組成和組織架構(gòu)做出調(diào)整以適應(yīng)策略要求。

5、容災(zāi)技術(shù)方案設(shè)計(jì)

根據(jù)容災(zāi)策略，以及業(yè)務(wù)連續(xù)性計(jì)劃和各系統(tǒng)的RTO和RPO指標(biāo),考慮成本和收益平衡原則，分別設(shè)計(jì)容災(zāi)方案。

6、容災(zāi)設(shè)施資源及 IT 系統(tǒng)建設(shè)或整改

對(duì)容災(zāi)中心的設(shè)施資源進(jìn)行詳細(xì)的規(guī)劃和設(shè)計(jì)，容災(zāi)中心的建筑工程、中心環(huán)境（外部與內(nèi)部）、機(jī)房結(jié)構(gòu)、物理安全、交通流向組織、電力供應(yīng)與保障等環(huán)節(jié)都要按照容災(zāi)的實(shí)際需求進(jìn)行科學(xué)的分析，最終達(dá)到容災(zāi)的實(shí)際要求。

7、業(yè)務(wù)連續(xù)性計(jì)劃及災(zāi)難恢復(fù)計(jì)劃的制定與維護(hù)

業(yè)務(wù)恢復(fù)團(tuán)隊(duì)和業(yè)務(wù)恢復(fù)團(tuán)隊(duì)分別執(zhí)行應(yīng)急響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃、業(yè)務(wù)恢復(fù)計(jì)劃，運(yùn)營(yíng)管理團(tuán)隊(duì)負(fù)責(zé)容災(zāi)系統(tǒng)的運(yùn)營(yíng)管理和日常維護(hù)、問(wèn)題收集和解決、系統(tǒng)變申和測(cè)試演練等工作，后勤保障和人力資源保障提供支持，從而達(dá)到容災(zāi)設(shè)計(jì)的目標(biāo)。

8、容災(zāi)系統(tǒng)運(yùn)行維護(hù)

運(yùn)行業(yè)務(wù)連續(xù)性計(jì)劃，包括日常管理和首次演練等。并建立相應(yīng)的管理制度。

9、演練及測(cè)試

對(duì)預(yù)案和預(yù)案間的協(xié)調(diào)性進(jìn)行演練、并評(píng)估和記錄預(yù)案演練的結(jié)果。制定維持持續(xù)性能力和 BCP文檔更新?tīng)顟B(tài)的方法使其與機(jī)構(gòu)的策略方向保持一致。通過(guò)與適當(dāng)標(biāo)準(zhǔn)的比較來(lái)驗(yàn)證 BCP的效率，并使用簡(jiǎn)明的語(yǔ)言報(bào)告驗(yàn)證的結(jié)果。

10、審核/審計(jì)

培訓(xùn)內(nèi)審員，進(jìn)行內(nèi)部審核，并在適當(dāng)時(shí)機(jī)邀請(qǐng)外部審核機(jī)構(gòu)對(duì)業(yè)務(wù)連續(xù)性管理體系進(jìn)行審核/審計(jì)。

五、ISO22301業(yè)務(wù)連續(xù)性管理體系建設(shè)的意義及目標(biāo)

1、組織內(nèi)識(shí)別和理解關(guān)鍵業(yè)務(wù)過(guò)程及其中斷的影響；

2、增強(qiáng)組織的彈性、恢復(fù)能力及持續(xù)生存能力水平； 

3、具備超越彈性較弱的競(jìng)爭(zhēng)對(duì)手的優(yōu)勢(shì)； 

4、正面的訊息傳達(dá)給媒體和利益相關(guān)者，以應(yīng)對(duì)危機(jī)處理； 

5、提升保險(xiǎn)公司對(duì)組織風(fēng)險(xiǎn)管理的印象，從而降低保費(fèi)； 

6、符合監(jiān)管機(jī)構(gòu)、保險(xiǎn)公司、商業(yè)伙伴和其他主要利益相關(guān)者的期望；

7、在事故、破壞甚至災(zāi)難發(fā)生時(shí)顯著降低財(cái)務(wù)影響；

8、增加組織和員工雙方的生存機(jī)會(huì)；

9、通過(guò)展示具備專業(yè)的管理中斷的方法而保持甚至提升聲譽(yù)；

10、如合同或協(xié)議的承諾，在可接受的預(yù)先定義的級(jí)別，及時(shí)和有序應(yīng)對(duì)事件和業(yè)務(wù)中斷，保證業(yè)務(wù)連續(xù)運(yùn)營(yíng)； 

11、鼓勵(lì)跨團(tuán)隊(duì)和跨組織的協(xié)調(diào)；

12、通過(guò)場(chǎng)景演練，展示可信的響應(yīng)能力；

13、以可見(jiàn)的證據(jù)證明整體風(fēng)險(xiǎn)管理的管理承諾。

六、ISO22301認(rèn)證的必備條件：

1、組織法律地位證明文件（如企業(yè)法人營(yíng)業(yè)執(zhí)照、社團(tuán)法人登記證等）；

2、適用時(shí)，取得相關(guān)法律法規(guī)規(guī)定的行政許可文件；

3、按標(biāo)準(zhǔn)建立“業(yè)務(wù)連續(xù)性管理體系”，并運(yùn)行三個(gè)月；

4、已充分的識(shí)別了風(fēng)險(xiǎn)并評(píng)估了對(duì)業(yè)務(wù)的影響程度，如業(yè)務(wù)影響分析報(bào)告、風(fēng)險(xiǎn)評(píng)估報(bào)告；

5、已制定完備的業(yè)務(wù)連續(xù)性計(jì)劃并有效實(shí)施；

6、建立的業(yè)務(wù)連續(xù)性管理體系文件包括：方針、目標(biāo)、范圍、組織為過(guò)程運(yùn)行及溝通而保持的信息，須提供：組織簡(jiǎn)介、組織架構(gòu)、人員情況和職能分工、過(guò)程路線圖/工藝流程圖/過(guò)程描述及其有關(guān)的過(guò)程文件。

七、企航顧問(wèn)在ICT領(lǐng)域提供的服務(wù)項(xiàng)目有：

1. ISO/IEC 20000 ： 信息技術(shù)服務(wù)管理體系

2. ISO/IEC 27001 ： 信息安全管理體系

3. ISO/IEC 27701 ： 隱私信息管理體系

4. ISO/IEC 27017 ： 云服務(wù)信息安全規(guī)范

5. ISO/IEC 27018 ： 公共云個(gè)人信息（PII）處理者的信息安全控制規(guī)范

6. ISO/IEC 29151 ： 個(gè)人信息保護(hù)的行為準(zhǔn)則

7. ISO 22301 ： 業(yè)務(wù)連續(xù)性管理體系

8. TISAX ：可信信息安全評(píng)估交流機(jī)制

9. ISO/SAE 21434 ： 汽車網(wǎng)絡(luò)安全管理體系

10. TL 9000 ： 通訊行業(yè)質(zhì)量管理體系

    ……