国产高清在线A视频大全,亚洲制服丝袜自拍中文字幕,日韩精品一区二区三区在线观看l

全國服務熱線:

400-677-1258

企航服務

SERVICE

聯(lián)系我們

400-677-1258

上海市長寧區(qū)番禺路390號時代大廈21層

[email protected]

新聞資訊 >更多
專業(yè)資訊

當前位置: 首頁 > 專業(yè)資訊

企航顧問ISO22301業(yè)務連續(xù)性管理體系服務

2022/04/26

隨著自然災害和人為事故的頻繁發(fā)生,企業(yè)的業(yè)務連續(xù)性管理(Business Continuity Management,BCM)越來越受到重視。在深刻認識到自然災害和突發(fā)事件對社會經(jīng)濟造成的巨大影響和給企業(yè)帶來的業(yè)務癱瘓、信譽丟失基至破產(chǎn)倒閉等種種災難性后果的同時,人們注意到有些企業(yè)在災難發(fā)生過程中的表現(xiàn)相當出色,究其原因是由于引入了BCM(業(yè)務連續(xù)性管理),把災難后果的影響降到最低甚至化險為夷。

 

通過實施ISO 22301業(yè)務連續(xù)性管理體系,幫助了很多企業(yè)在面臨疫情突發(fā)事件時的業(yè)務可持續(xù)。一個個鮮活的案例,引起了更多企業(yè)對業(yè)務持續(xù)管理的關注,將ISO22301這一國際標準推向了前所未有的高度。

【圖0-1】.jpg


一、ISO22301概述

ISO22301業(yè)務連續(xù)性管理體系國際標準,是由ISO/TC 223(公共安全技術(shù)委員會Societal Security Technical Committee)制定發(fā)布的。ISO/TC 223成立時間為2007年11月,2015年1月ISO/TC 292安全與韌性技術(shù)委員會Security and Resilience Technical Committee)成立,替代ISO/TC 223。

 

業(yè)務連續(xù)性管理標準的發(fā)展歷史:

【圖1】.png

1、2003年,BSI發(fā)布PAS 56:2003《業(yè)務連續(xù)性管理指南》,是全球較早發(fā)布的BCM標準之一,影響了隨后一系列國家和國際標準的制定;

2、2006年,BSI發(fā)布BS 25999-1《業(yè)務連續(xù)性管理 第一部分:實用規(guī)則》,它確立了BCM的流程、原則和術(shù)語,給出了一個可參考的BCM的系統(tǒng)

3、2007年,BSI發(fā)布BS 25999-2《業(yè)務連續(xù)性管理 第二部分:規(guī)范》,它正式提出了業(yè)務連續(xù)性管理體系的概念,規(guī)定了建立和管理一個有效的BCMS的要求。

由于匯聚了涵蓋各行各業(yè)的標準制定者,BS 25999一經(jīng)發(fā)布就成為當時適用性最廣、接受度最高的BCM標準。在接下來的幾年中,BS 25999在100多個國家得到實踐,并在43個國家獲得認證認可;

4、2007年,ISO發(fā)布ISO/PAS 22399《社會安全 事件準備和運營連續(xù)性管理指南》;

5、2012年,ISO發(fā)布SO 22301:2012《社會安全 業(yè)務連續(xù)性管理體系 要求》;

6、2019年,ISO發(fā)布ISO 22301:2019《安全與韌性 業(yè)務連續(xù)性管理體系 要求》。

 

ISO陸續(xù)發(fā)布了一系列的BCMS相關標準,主要包括:

1、ISO 22301,作為要求類標準,是ISO 22301系列標準的核心,它基于ISO高層結(jié)構(gòu)(ISO High Level Structure)規(guī)定了實施、保持和改進BCMS的一系列要求(最新版的ISO 22301:2019提出了90項具體要求),組織可以據(jù)此標準獲得認證;

2、ISO 22313,作為ISO 22301的應用指南,為實現(xiàn)ISO 22301規(guī)定的要求提供了實施指導;

3、ISO 22317(業(yè)務影響分析)、ISO 22318(供應鏈連續(xù)性)、ISO 22330(人員方面)、ISO 22331(業(yè)務連續(xù)性策略)和ISO 22332(業(yè)務連續(xù)性計劃和程序)等技術(shù)規(guī)范,為業(yè)務連續(xù)性管理工作提出更為詳細和專業(yè)的建議;

4、ISO 22300,為包括ISO TC292制定的所有標準建立專業(yè)詞匯表。

目前,ISO 22301和ISO 22313已分別于2019和2020年修訂為第2版,ISO 22300于2021年發(fā)布第3版,ISO 22317和ISO 22318正在進行修訂。

 【圖0】.jpg


二、ISO22301的適用范圍

ISO22301業(yè)務連續(xù)性管理體系標準適用于以下所有類型和規(guī)模的組織:

1、實施,維護和改進BCMS;

2、尋求確保符合規(guī)定的業(yè)務連續(xù)性政策;

3、在中斷期間必須能夠繼續(xù)以可接受的預定容量交付產(chǎn)品和服務;

4、尋求通過有效應用BCMS來增強其彈性。

 

ISO 22301適用于所有行業(yè)中的大、中、小型公有及私有組織,并且特別適用于處于高風險和高度監(jiān)管環(huán)境下的行業(yè),例如金融業(yè)、IT通信業(yè)、制造業(yè)等。各行各業(yè)的企業(yè)面對國際及中國地區(qū)不斷頻發(fā)的自然災害及人為事故,其業(yè)務運作的不確定性和風險都被大幅度增加,而加強企業(yè)業(yè)務連續(xù)性管理則成為了打造最佳企業(yè)應急預案的必備選擇。

 【圖0-6】.jpg


三、ISO 22301:2019主要內(nèi)容介紹

ISO 22301:2019標準分為10個主要章節(jié),前三章節(jié)分別是范圍、規(guī)范性文獻、術(shù)語和定義,下面介紹該標準的其他章節(jié)的內(nèi)容

【圖4:ISO22301雙循環(huán)結(jié)構(gòu)】.jpg

【圖:ISO22301雙循環(huán)結(jié)構(gòu)】

4章 組織環(huán)境

簡化了強制要求,與高層結(jié)構(gòu)保持一致。如,在“4.1 了解組織及其環(huán)境”部分,2012版規(guī)定了組織要“做……”并形成文件,2019版僅指出“確定內(nèi)外部事項”的要求,而不再具體說明要做什么,也不再要形成文件。

不再使用術(shù)語“風險偏好”,2012版將“風險偏好”定義為“組織愿意接受或承擔的風險的數(shù)量和類別”,2019版取消了該術(shù)語。因為重要的不是組織愿意接受或承擔的風險,而是組織不可接受的活動不恢復的影響。

 

5章 領導作用

簡化了強制要求,與高層結(jié)構(gòu)保持一致。2019版和2012版都要求最高管理者證明對BCMS的領導作用和承諾,但2019版更關注對BCMS的有效管理,而2012版強調(diào)對活動的直接參與如“積極參與演練和測試”。

“5.2方針”部分重組結(jié)構(gòu)和內(nèi)容排序,以更易于理解和使用。為消除重復,刪除評審方針適用性的要求保留相關要求在管理評審輸入部分9.3.2.e))

 

6章 策劃

“6.1 應對風險和機會的措施”和“6.2 業(yè)務連續(xù)性目標和實現(xiàn)計劃”部分的內(nèi)容重組結(jié)構(gòu)和內(nèi)容排序,以更易于理解和使用。“6.1.2 應對風險和機會”部分明確指出,此處的風險和機會與BCMS的有效性相關,與業(yè)務中斷相關的風險在8.2部分處理。

新增“6.3 策劃BCMS的變更”,要求組織對BCMS的變更“以計劃的方式進行”。在策劃變更時,應考慮:變更的目的和可能的后果,BCMS的完整性,資源可用性,責任和權(quán)限的分配和再分配。從形式上看,2019版新增了該要求,但從保持BCMS的有效性角度看,其內(nèi)容是顯而易見的隱含在2012版

 

7章 支持

簡化了強制要求,與高層結(jié)構(gòu)保持一致。“7.4 溝通”部分,2019版僅指出“確定與BCMS有關的內(nèi)外部溝通”的要求,刪除了2012版中關于中斷期間確保通信手段可用性要求的部分8.4.3.1重復

 

8章 運行

進行重大修改,將幾乎所有與業(yè)務連續(xù)性相關的內(nèi)容全部納入該部分,新增第8.6節(jié),重組結(jié)構(gòu)并對內(nèi)容排序。

【圖5】.jpg

8.2 業(yè)務影響分析和風險評估 根據(jù)ISO 22317 BIAISO 22318 supply chain continuity進行了擴展,2019版對業(yè)務影響分析過程的要求更明確基本可以按要求逐步實施。從定義影響類型開始,明確了活動的不可接受的影響、最大可容忍中斷時間MTPD以及優(yōu)先時間范圍RTO之間的關系,并使用BIA確定優(yōu)先活動。此外,需要注意,2019版中沒有對業(yè)務影響分析過程成文的要求。

“8.2.3 風險評估”部分刪除了“風險偏好”的提法但在“4.1 了解組織及其環(huán)境”的注釋和“8.3.3 選擇策略和解決方案”中仍隱含了此內(nèi)容

 

8.3 業(yè)務連續(xù)性策略strategy更名為業(yè)務連續(xù)性策略和解決方案strategies and solutions,明確暗示不止一個策略,并通過一個或多個方案實現(xiàn)策略。2019版要求組織不只是制定高層級的策略,還要針對特定風險和影響尋找解決方案。對于最高管理者而言,這是最重大的變化,因為確定所需的資源變?yōu)榕c選定的解決方案8.3.4而非策略相關。根據(jù)解決方案確定資源比根據(jù)策略確定資源要精確地多,對預算規(guī)劃的要求也會更加剛性。2019版還要求“實施和保持選定的業(yè)務連續(xù)性解決方案,以便在需要時啟用它們”8.3.5

 

8.4 建立和實施業(yè)務連續(xù)性程序更名為業(yè)務連續(xù)性計劃和程序,該部分值得關注的部分包括:基于所選策略和解決方案的輸出,確定和編制業(yè)務連續(xù)性計劃和程序;進行結(jié)構(gòu)設計以使一個或多個團隊負責響應中斷;清楚說明各團隊之間的關系,以及他們的角色和職責;每個團隊必須確定包括“候補人員”在內(nèi)的人員,并說明履行指定角色所需的責任、權(quán)限和能力;有關如何管理中斷直接后果包括對環(huán)境的影響的詳細信息;每個計劃必須包括退出流程8.4.4.3 h;每個計劃應在需要的時間和地點可使用和可得到。

 

8.5 演練和測試更名為演練方案exercise programme,明確了實施和保持演練和測試方案的要求。從演練和測試角度看,2019版要求直接驗證業(yè)務連續(xù)性策略和解決方案而不再是2012版中的業(yè)務連續(xù)性安排

增加了一些新提法,需要考慮,如“培訓團隊合作精神、能力、信心和知識”。

 

新增“8.6 業(yè)務連續(xù)性文檔和能力的評價”,強調(diào)定期評價和更新文檔的重要性,其主要內(nèi)容原在2012版“第9章 績效評價”中。明確對相關合作伙伴和供應商的業(yè)務連續(xù)性能力進行評估的要求。

 

9章 績效評價

簡化了相關要求,與高層結(jié)構(gòu)保持一致。本章只關注業(yè)務連續(xù)性管理體系,而不再關注業(yè)務連續(xù)性文檔和能力該部分移到8.6

2019版中的監(jiān)視、測量、分析和評價中,不僅要確定何時進行監(jiān)視和測量、何時對結(jié)果進行分析和評價,還要包括由誰進行。此外,對績效指標的相關提法已刪除。

 

10章 改進

“10.2 持續(xù)改進”得到了一定擴展,強調(diào)通過“定性和定量措施”持續(xù)改進。

 

四、ISO22301業(yè)務連續(xù)管理體系建設流程

【圖3】.png

1、啟動調(diào)研

通過對企業(yè)的組織架構(gòu)、管理流程、業(yè)務運作模式和IT支持系統(tǒng)進行考察和調(diào)研,以確定業(yè)務持續(xù)性管理(BCM)過程或功能的需求。

 

2、風險評估

確定可能造成機構(gòu)及其設施中斷和災難、具有負面影響的突發(fā)事件和周邊環(huán)境因素,以及事件可能造成的損失、防止或減少潛在損失影響的控制措施。提供成本效益分析以調(diào)整控制措施方面的投資達到消減風險的目的。

 

3、業(yè)務影響分析

確定由于中斷和預期災難可能對機構(gòu)造成的影響以及用來定量和定性分析這種影響的技術(shù)。確定關鍵功能、其恢復優(yōu)先順序和相互依賴性以便確定恢復時間目標。

 

4、容災策略制定

在本階段,結(jié)合以上各階段的分析成果,以及在容災上的投入能力,制訂企業(yè)系統(tǒng)短期、長期范圍內(nèi)的容災策略和目標,并有意識地將本身的人員組成和組織架構(gòu)做出調(diào)整以適應策略要求。

 

5、容災技術(shù)方案設計

根據(jù)容災策略,以及業(yè)務連續(xù)性計劃和各系統(tǒng)的RTO和RPO指標,考慮成本和收益平衡原則,分別設計容災方案。

 

6、容災設施資源及 IT 系統(tǒng)建設或整改

對容災中心的設施資源進行詳細的規(guī)劃和設計,容災中心的建筑工程、中心環(huán)境(外部與內(nèi)部)、機房結(jié)構(gòu)、物理安全、交通流向組織、電力供應與保障等環(huán)節(jié)都要按照容災的實際需求進行科學的分析,最終達到容災的實際要求。

 

7、業(yè)務連續(xù)性計劃及災難恢復計劃的制定與維護

業(yè)務恢復團隊和業(yè)務恢復團隊分別執(zhí)行應急響應計劃、災難恢復計劃、業(yè)務恢復計劃,運營管理團隊負責容災系統(tǒng)的運營管理和日常維護、問題收集和解決、系統(tǒng)變申和測試演練等工作,后勤保障和人力資源保障提供支持,從而達到容災設計的目標。

 

8、容災系統(tǒng)運行維護

運行業(yè)務連續(xù)性計劃,包括日常管理和首次演練等。并建立相應的管理制度。

 

9、演練及測試

對預案和預案間的協(xié)調(diào)性進行演練、并評估和記錄預案演練的結(jié)果。制定維持持續(xù)性能力和 BCP文檔更新狀態(tài)的方法使其與機構(gòu)的策略方向保持一致。通過與適當標準的比較來驗證 BCP的效率,并使用簡明的語言報告驗證的結(jié)果。

 

10、審核/審計

培訓內(nèi)審員,進行內(nèi)部審核,并在適當時機邀請外部審核機構(gòu)對業(yè)務連續(xù)性管理體系進行審核/審計。

 

五、ISO22301業(yè)務連續(xù)性管理體系建設的意義及目標

【圖2】.jpg

1、組織內(nèi)識別和理解關鍵業(yè)務過程及其中斷的影響;

2、增強組織的彈性、恢復能力及持續(xù)生存能力水平; 

3、具備超越彈性較弱的競爭對手的優(yōu)勢; 

4、正面的訊息傳達給媒體和利益相關者,以應對危機處理; 

5、提升保險公司對組織風險管理的印象,從而降低保費; 

6、符合監(jiān)管機構(gòu)、保險公司、商業(yè)伙伴和其他主要利益相關者的期望;

7、在事故、破壞甚至災難發(fā)生時顯著降低財務影響;

8、增加組織和員工雙方的生存機會;

9、通過展示具備專業(yè)的管理中斷的方法而保持甚至提升聲譽;

10、如合同或協(xié)議的承諾,在可接受的預先定義的級別,及時和有序應對事件和業(yè)務中斷,保證業(yè)務連續(xù)運營; 

11、鼓勵跨團隊和跨組織的協(xié)調(diào);

12、通過場景演練,展示可信的響應能力;

13、以可見的證據(jù)證明整體風險管理的管理承諾。

 【圖0-2】.jpg


六、ISO22301認證的必備條件:

1、組織法律地位證明文件(如企業(yè)法人營業(yè)執(zhí)照、社團法人登記證等);

2、適用時,取得相關法律法規(guī)規(guī)定的行政許可文件;

3、按標準建立“業(yè)務連續(xù)性管理體系”,并運行三個月;

4、已充分的識別了風險并評估了對業(yè)務的影響程度,如業(yè)務影響分析報告、風險評估報告;

5、已制定完備的業(yè)務連續(xù)性計劃并有效實施;

6、建立的業(yè)務連續(xù)性管理體系文件包括:方針、目標、范圍、組織為過程運行及溝通而保持的信息,須提供:組織簡介、組織架構(gòu)、人員情況和職能分工、過程路線圖/工藝流程圖/過程描述及其有關的過程文件。

 【圖0-5】.jpg


七、企航顧問在ICT領域提供的服務項目有:

  1. ISO/IEC 20000 : 信息技術(shù)服務管理體系

  2. ISO/IEC 27001 : 信息安全管理體系

  3. ISO/IEC 27701 : 隱私信息管理體系

  4. ISO/IEC 27017 : 云服務信息安全規(guī)范

  5. ISO/IEC 27018 : 公共云個人信息(PII)處理者的信息安全控制規(guī)范

  6. ISO/IEC 29151 : 個人信息保護的行為準則

  7. ISO 22301 : 業(yè)務連續(xù)性管理體系

  8. TISAX :可信信息安全評估交流機制

  9. ISO/SAE 21434  汽車網(wǎng)絡安全管理體系

  10. TL 9000 : 通訊行業(yè)質(zhì)量管理體系

    ……

企航顧問產(chǎn)品體系(logo).jpg

關于我們 /ABOUT US
上海企航科技咨詢有限公司【中文簡稱:企航顧問or企航咨詢、英文簡稱:SQT】 企航顧問 是從事卓越績效、精益生產(chǎn)、六西格瑪、管理體系的咨詢和培訓的管理顧問公司,是面向廣大企事業(yè)單位傳遞無文化障礙的先進管理理念與技術(shù)、提供國際化與本土化完美結(jié)合的管理咨詢和培訓的專業(yè)服務機構(gòu)。 企航顧問 從1999年3月23日成立至今,為6,000...

友情鏈接:

微信平臺

線上課程

網(wǎng)站首頁| 關于我們| 企航服務| 新聞資訊| 學員展示| 專業(yè)資訊| 聯(lián)系我們| 熱門課程|

    <center id="wm0ol"></center>
    1. 主站蜘蛛池模板: 建瓯市| 奈曼旗| 扎囊县| 临城县| 岱山县| 太仆寺旗| 泗阳县| 滦平县| 湄潭县| 那坡县| 高雄市| 通州市| 邵阳市| 宿松县| 北海市| 扬中市| 南部县| 剑阁县| 平远县| 万州区| 巴彦县| 海安县| 翁牛特旗| 宁津县| 高平市| 怀集县| 绥棱县| 台北市| 临沧市| 平塘县| 武山县| 永定县| 吉林市| 镇江市| 丹江口市| 万源市| 古浪县| 苏尼特左旗| 霞浦县| 万年县| 阜南县|