400-677-1258
2022/04/26
隨著自然災害和人為事故的頻繁發(fā)生,企業(yè)的業(yè)務連續(xù)性管理(Business Continuity Management,BCM)越來越受到重視。在深刻認識到自然災害和突發(fā)事件對社會經(jīng)濟造成的巨大影響和給企業(yè)帶來的業(yè)務癱瘓、信譽丟失基至破產(chǎn)倒閉等種種災難性后果的同時,人們注意到有些企業(yè)在災難發(fā)生過程中的表現(xiàn)相當出色,究其原因是由于引入了BCM(業(yè)務連續(xù)性管理),把災難后果的影響降到最低甚至化險為夷。
通過實施ISO 22301業(yè)務連續(xù)性管理體系,幫助了很多企業(yè)在面臨疫情突發(fā)事件時的業(yè)務可持續(xù)。一個個鮮活的案例,引起了更多企業(yè)對業(yè)務持續(xù)管理的關注,將ISO22301這一國際標準推向了前所未有的高度。
一、ISO22301概述
ISO22301業(yè)務連續(xù)性管理體系國際標準,是由ISO/TC 223(公共安全技術(shù)委員會Societal Security Technical Committee)制定發(fā)布的。ISO/TC 223成立時間為2007年11月,2015年1月ISO/TC 292(安全與韌性技術(shù)委員會Security and Resilience Technical Committee)成立,替代ISO/TC 223。
業(yè)務連續(xù)性管理標準的發(fā)展歷史:
1、2003年,BSI發(fā)布PAS 56:2003《業(yè)務連續(xù)性管理指南》,是全球較早發(fā)布的BCM標準之一,影響了隨后一系列國家和國際標準的制定;
2、2006年,BSI發(fā)布BS 25999-1《業(yè)務連續(xù)性管理 第一部分:實用規(guī)則》,它確立了BCM的流程、原則和術(shù)語,給出了一個可參考的BCM的系統(tǒng);
3、2007年,BSI發(fā)布BS 25999-2《業(yè)務連續(xù)性管理 第二部分:規(guī)范》,它正式提出了業(yè)務連續(xù)性管理體系的概念,規(guī)定了建立和管理一個有效的BCMS的要求。
由于匯聚了涵蓋各行各業(yè)的標準制定者,BS 25999一經(jīng)發(fā)布就成為當時適用性最廣、接受度最高的BCM標準。在接下來的幾年中,BS 25999在100多個國家得到實踐,并在43個國家獲得認證認可;
4、2007年,ISO發(fā)布ISO/PAS 22399《社會安全 事件準備和運營連續(xù)性管理指南》;
5、2012年,ISO發(fā)布SO 22301:2012《社會安全 業(yè)務連續(xù)性管理體系 要求》;
6、2019年,ISO發(fā)布ISO 22301:2019《安全與韌性 業(yè)務連續(xù)性管理體系 要求》。
ISO陸續(xù)發(fā)布了一系列的BCMS相關標準,主要包括:
1、ISO 22301,作為要求類標準,是ISO 22301系列標準的核心,它基于ISO高層結(jié)構(gòu)(ISO High Level Structure)規(guī)定了實施、保持和改進BCMS的一系列要求(最新版的ISO 22301:2019提出了90項具體要求),組織可以據(jù)此標準獲得認證;
2、ISO 22313,作為ISO 22301的應用指南,為實現(xiàn)ISO 22301規(guī)定的要求提供了實施指導;
3、ISO 22317(業(yè)務影響分析)、ISO 22318(供應鏈連續(xù)性)、ISO 22330(人員方面)、ISO 22331(業(yè)務連續(xù)性策略)和ISO 22332(業(yè)務連續(xù)性計劃和程序)等技術(shù)規(guī)范,為業(yè)務連續(xù)性管理工作提出更為詳細和專業(yè)的建議;
4、ISO 22300,為包括ISO TC292制定的所有標準建立專業(yè)詞匯表。
目前,ISO 22301和ISO 22313已分別于2019和2020年修訂為第2版,ISO 22300于2021年發(fā)布第3版,ISO 22317和ISO 22318正在進行修訂。
二、ISO22301的適用范圍
ISO22301業(yè)務連續(xù)性管理體系標準適用于以下所有類型和規(guī)模的組織:
1、實施,維護和改進BCMS;
2、尋求確保符合規(guī)定的業(yè)務連續(xù)性政策;
3、在中斷期間必須能夠繼續(xù)以可接受的預定容量交付產(chǎn)品和服務;
4、尋求通過有效應用BCMS來增強其彈性。
ISO 22301適用于所有行業(yè)中的大、中、小型公有及私有組織,并且特別適用于處于高風險和高度監(jiān)管環(huán)境下的行業(yè),例如金融業(yè)、IT通信業(yè)、制造業(yè)等。各行各業(yè)的企業(yè)面對國際及中國地區(qū)不斷頻發(fā)的自然災害及人為事故,其業(yè)務運作的不確定性和風險都被大幅度增加,而加強企業(yè)業(yè)務連續(xù)性管理則成為了打造最佳企業(yè)應急預案的必備選擇。
三、ISO 22301:2019主要內(nèi)容介紹
ISO 22301:2019標準分為10個主要章節(jié),前三章節(jié)分別是范圍、規(guī)范性文獻、術(shù)語和定義,下面介紹該標準的其他章節(jié)的內(nèi)容。
【圖:ISO22301雙循環(huán)結(jié)構(gòu)】
第4章 組織環(huán)境
簡化了強制要求,與高層結(jié)構(gòu)保持一致。如,在“4.1 了解組織及其環(huán)境”部分,2012版規(guī)定了組織要“做……”并形成文件,2019版僅指出“確定內(nèi)外部事項”的要求,而不再具體說明要做什么,也不再要形成文件。
不再使用術(shù)語“風險偏好”,2012版將“風險偏好”定義為“組織愿意接受或承擔的風險的數(shù)量和類別”,2019版取消了該術(shù)語。因為重要的不是組織愿意接受或承擔的風險,而是組織不可接受的(活動不恢復的)影響。
第5章 領導作用
簡化了強制要求,與高層結(jié)構(gòu)保持一致。2019版和2012版都要求最高管理者證明對BCMS的領導作用和承諾,但2019版更關注對BCMS的有效管理,而2012版強調(diào)對活動的直接參與如“積極參與演練和測試”。
對“5.2方針”部分重組結(jié)構(gòu)和內(nèi)容排序,以更易于理解和使用。為消除重復,刪除評審方針適用性的要求(保留相關要求在管理評審輸入部分(9.3.2.e))。
第6章 策劃
對“6.1 應對風險和機會的措施”和“6.2 業(yè)務連續(xù)性目標和實現(xiàn)計劃”部分的內(nèi)容重組結(jié)構(gòu)和內(nèi)容排序,以更易于理解和使用。“6.1.2 應對風險和機會”部分明確指出,此處的風險和機會與BCMS的有效性相關,與業(yè)務中斷相關的風險在8.2部分處理。
新增“6.3 策劃BCMS的變更”,要求組織對BCMS的變更“以計劃的方式進行”。在策劃變更時,應考慮:變更的目的和可能的后果,BCMS的完整性,資源可用性,責任和權(quán)限的分配和再分配。從形式上看,2019版新增了該要求,但從保持BCMS的有效性角度看,其內(nèi)容是顯而易見的(隱含在2012版)。
第7章 支持
簡化了強制要求,與高層結(jié)構(gòu)保持一致。“7.4 溝通”部分,2019版僅指出“確定與BCMS有關的內(nèi)外部溝通”的要求,刪除了2012版中關于中斷期間確保通信手段可用性要求的部分(與8.4.3.1重復)。
第8章 運行
進行重大修改,將幾乎所有與業(yè)務連續(xù)性相關的內(nèi)容全部納入該部分,新增第8.6節(jié),重組結(jié)構(gòu)并對內(nèi)容排序。
8.2 業(yè)務影響分析和風險評估 根據(jù)ISO 22317 (BIA)和ISO 22318 (supply chain continuity)進行了擴展,2019版對業(yè)務影響分析過程的要求更明確(基本可以按要求逐步實施)。從定義影響類型開始,明確了活動的不可接受的影響、最大可容忍中斷時間(MTPD)以及優(yōu)先時間范圍(RTO)之間的關系,并使用BIA確定優(yōu)先活動。此外,需要注意,2019版中沒有對業(yè)務影響分析過程成文的要求。
“8.2.3 風險評估”部分刪除了“風險偏好”的提法(但在“4.1 了解組織及其環(huán)境”的注釋和“8.3.3 選擇策略和解決方案”中仍隱含了此內(nèi)容)。
8.3 業(yè)務連續(xù)性策略(strategy)更名為業(yè)務連續(xù)性策略和解決方案(strategies and solutions),明確暗示不止一個策略,并通過一個或多個方案實現(xiàn)策略。2019版要求組織不只是制定高層級的策略,還要針對特定風險和影響尋找解決方案。對于最高管理者而言,這是最重大的變化,因為確定所需的資源變?yōu)榕c選定的解決方案(見8.3.4)而非策略相關。根據(jù)解決方案確定資源比根據(jù)策略確定資源要精確地多,對預算規(guī)劃的要求也會更加剛性。2019版還要求“實施和保持選定的業(yè)務連續(xù)性解決方案,以便在需要時啟用它們”(見8.3.5)。
8.4 建立和實施業(yè)務連續(xù)性程序更名為業(yè)務連續(xù)性計劃和程序,該部分值得關注的部分包括:基于所選策略和解決方案的輸出,確定和編制業(yè)務連續(xù)性計劃和程序;進行結(jié)構(gòu)設計以使一個或多個團隊負責響應中斷;清楚說明各團隊之間的關系,以及他們的角色和職責;每個團隊必須確定包括“候補人員”在內(nèi)的人員,并說明履行指定角色所需的責任、權(quán)限和能力;有關如何管理中斷直接后果(包括對環(huán)境的影響)的詳細信息;每個計劃必須包括退出流程(見8.4.4.3 h);每個計劃應在需要的時間和地點可使用和可得到。
8.5 演練和測試更名為演練方案(exercise programme),明確了實施和保持演練和測試方案的要求。從演練和測試角度看,2019版要求直接驗證業(yè)務連續(xù)性策略和解決方案(而不再是2012版中的業(yè)務連續(xù)性安排)。
增加了一些新提法,需要考慮,如“培訓團隊合作精神、能力、信心和知識”。
新增“8.6 業(yè)務連續(xù)性文檔和能力的評價”,強調(diào)定期評價和更新文檔的重要性,其主要內(nèi)容原在2012版“第9章 績效評價”中。明確對相關合作伙伴和供應商的業(yè)務連續(xù)性能力進行評估的要求。
第9章 績效評價
簡化了相關要求,與高層結(jié)構(gòu)保持一致。本章只關注業(yè)務連續(xù)性管理體系,而不再關注業(yè)務連續(xù)性文檔和能力(該部分移到8.6)。
在2019版中的監(jiān)視、測量、分析和評價中,不僅要確定何時進行監(jiān)視和測量、何時對結(jié)果進行分析和評價,還要包括由誰進行。此外,對績效指標的相關提法已刪除。
第10章 改進
“10.2 持續(xù)改進”得到了一定擴展,強調(diào)通過“定性和定量措施”持續(xù)改進。
四、ISO22301業(yè)務連續(xù)管理體系建設流程
1、啟動調(diào)研
通過對企業(yè)的組織架構(gòu)、管理流程、業(yè)務運作模式和IT支持系統(tǒng)進行考察和調(diào)研,以確定業(yè)務持續(xù)性管理(BCM)過程或功能的需求。
2、風險評估
確定可能造成機構(gòu)及其設施中斷和災難、具有負面影響的突發(fā)事件和周邊環(huán)境因素,以及事件可能造成的損失、防止或減少潛在損失影響的控制措施。提供成本效益分析以調(diào)整控制措施方面的投資達到消減風險的目的。
3、業(yè)務影響分析
確定由于中斷和預期災難可能對機構(gòu)造成的影響以及用來定量和定性分析這種影響的技術(shù)。確定關鍵功能、其恢復優(yōu)先順序和相互依賴性以便確定恢復時間目標。
4、容災策略制定
在本階段,結(jié)合以上各階段的分析成果,以及在容災上的投入能力,制訂企業(yè)系統(tǒng)短期、長期范圍內(nèi)的容災策略和目標,并有意識地將本身的人員組成和組織架構(gòu)做出調(diào)整以適應策略要求。
5、容災技術(shù)方案設計
根據(jù)容災策略,以及業(yè)務連續(xù)性計劃和各系統(tǒng)的RTO和RPO指標,考慮成本和收益平衡原則,分別設計容災方案。
6、容災設施資源及 IT 系統(tǒng)建設或整改
對容災中心的設施資源進行詳細的規(guī)劃和設計,容災中心的建筑工程、中心環(huán)境(外部與內(nèi)部)、機房結(jié)構(gòu)、物理安全、交通流向組織、電力供應與保障等環(huán)節(jié)都要按照容災的實際需求進行科學的分析,最終達到容災的實際要求。
7、業(yè)務連續(xù)性計劃及災難恢復計劃的制定與維護
業(yè)務恢復團隊和業(yè)務恢復團隊分別執(zhí)行應急響應計劃、災難恢復計劃、業(yè)務恢復計劃,運營管理團隊負責容災系統(tǒng)的運營管理和日常維護、問題收集和解決、系統(tǒng)變申和測試演練等工作,后勤保障和人力資源保障提供支持,從而達到容災設計的目標。
8、容災系統(tǒng)運行維護
運行業(yè)務連續(xù)性計劃,包括日常管理和首次演練等。并建立相應的管理制度。
9、演練及測試
對預案和預案間的協(xié)調(diào)性進行演練、并評估和記錄預案演練的結(jié)果。制定維持持續(xù)性能力和 BCP文檔更新狀態(tài)的方法使其與機構(gòu)的策略方向保持一致。通過與適當標準的比較來驗證 BCP的效率,并使用簡明的語言報告驗證的結(jié)果。
10、審核/審計
培訓內(nèi)審員,進行內(nèi)部審核,并在適當時機邀請外部審核機構(gòu)對業(yè)務連續(xù)性管理體系進行審核/審計。
五、ISO22301業(yè)務連續(xù)性管理體系建設的意義及目標
1、組織內(nèi)識別和理解關鍵業(yè)務過程及其中斷的影響;
2、增強組織的彈性、恢復能力及持續(xù)生存能力水平;
3、具備超越彈性較弱的競爭對手的優(yōu)勢;
4、正面的訊息傳達給媒體和利益相關者,以應對危機處理;
5、提升保險公司對組織風險管理的印象,從而降低保費;
6、符合監(jiān)管機構(gòu)、保險公司、商業(yè)伙伴和其他主要利益相關者的期望;
7、在事故、破壞甚至災難發(fā)生時顯著降低財務影響;
8、增加組織和員工雙方的生存機會;
9、通過展示具備專業(yè)的管理中斷的方法而保持甚至提升聲譽;
10、如合同或協(xié)議的承諾,在可接受的預先定義的級別,及時和有序應對事件和業(yè)務中斷,保證業(yè)務連續(xù)運營;
11、鼓勵跨團隊和跨組織的協(xié)調(diào);
12、通過場景演練,展示可信的響應能力;
13、以可見的證據(jù)證明整體風險管理的管理承諾。
六、ISO22301認證的必備條件:
1、組織法律地位證明文件(如企業(yè)法人營業(yè)執(zhí)照、社團法人登記證等);
2、適用時,取得相關法律法規(guī)規(guī)定的行政許可文件;
3、按標準建立“業(yè)務連續(xù)性管理體系”,并運行三個月;
4、已充分的識別了風險并評估了對業(yè)務的影響程度,如業(yè)務影響分析報告、風險評估報告;
5、已制定完備的業(yè)務連續(xù)性計劃并有效實施;
6、建立的業(yè)務連續(xù)性管理體系文件包括:方針、目標、范圍、組織為過程運行及溝通而保持的信息,須提供:組織簡介、組織架構(gòu)、人員情況和職能分工、過程路線圖/工藝流程圖/過程描述及其有關的過程文件。
七、企航顧問在ICT領域提供的服務項目有:
ISO/IEC 20000 : 信息技術(shù)服務管理體系
ISO/IEC 27001 : 信息安全管理體系
ISO/IEC 27701 : 隱私信息管理體系
ISO/IEC 27017 : 云服務信息安全規(guī)范
ISO/IEC 27018 : 公共云個人信息(PII)處理者的信息安全控制規(guī)范
ISO/IEC 29151 : 個人信息保護的行為準則
ISO 22301 : 業(yè)務連續(xù)性管理體系
TISAX :可信信息安全評估交流機制
ISO/SAE 21434 : 汽車網(wǎng)絡安全管理體系
TL 9000 : 通訊行業(yè)質(zhì)量管理體系
……
