ISO 22301的定义
ISO 22301.全球首个基于组织业务连续性管理(Business Continuity Management,简称BCM)的国际标准,由ISO于2012年5月正式发布,一经推出便成为帮助组织最小化业务中断风险的得力工具。
BCM顾名思义是业务的持续运行,ISO 22301提供了一种完整通用的BCM方法论,让企业能够达到国际上公认的最佳实践,防止和降低破坏性事件的出现几率,确保为客户提供持续性的产品和服务,并帮助客户从破坏性事件中得到恢复。
在企业业务的运行过程中,会受到各种内在或外在因素的影响,都有可能引发业务的不稳定,严重时甚至会中断业务,而意外的中断会给企业带来重大损失。
据Continuity Insights(一家高度专业的业务连续性在线刊物)的调查报告显示:超过50%的被访者表示发生过需要启动业务恢复流程的中断事件。而DRLL(国际灾难恢复协会)的调查数据显示,93%的企业在经历了重大数据损失后5年之内倒闭,因此保证业务连续性的问题始终是企业运营首要面临的重要课题。
ISO 22301适用范围
广泛适用于信息安全、信息技术服务、公共服务、社会组织等社会服务行业,同时还适用于各种规模的商业,金融业,加工制造业等风险级别较高的组织。
认证所需资料清单
法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证复印件加盖公章。存在时,应提交分支机构的营业执照和组织机构代码证复印件加盖公章;
临时场所清单(如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点);
适用的法律法规的标准的清单;
取得相关法规规定的行政许可文件(适用时);
业务影响分析报告、风险评估报告和业务连续性计划;
BCMS体系文件,包括:方针、目标、范围、组织为过程运行及沟通而保持的信息,必须提供:组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件;
管理体系认证申请书。
ISO 22301的好处
ISO 22301 标准的推出,能够为组织在业务连续性管理体系的建立和改进提供了一套完整的管理框架,可以帮助组织更好地辨别和分析潜在的灾难,并提供行之有效的管理机制来应对突发事件,减少灾难事件造成的业务中断给组织带来的损失。
ISO 22301认证活动有助于通过各层级有计划、有效的业务连续性管理改善业务,包括:
●组织内识别和理解关键业务过程及其中断的影响
●增强组织的弹性、恢复能力及持续生存能力的水平
●具备超越弹性较弱的竞争对手的优势
●正面的讯息传达给媒体和利益相关者,以应对危机处理
●提升保险公司对组织风险管理的印象,从而降低保费
●符合监管机构、保险公司、商业伙伴和其他主要利益相关者的期望
●在事故、破坏甚至灾难发生时显著降低财务影响
●增加组织和员工双方的生存机会
●通过展示具备专业的管理中断的方法而保持甚至提升声誉
●如合同或协议的承诺,在可接受的预先定义的级别,及时和有序应对事件和业务中断,保证业务连续运营
●鼓励跨团队和跨组织的协调
●通过场景演练,展示可信的相应能力
●以可见的证据证明整体风险管理的管理承诺
ISO 22301适用的对象
ISO 22301适用于所有行业中的大、中、小型公有及私有组织,并且特别适用于处于高风险和高度监管环境下的行业,例如金融业、IT通信业、制造业等。各行各业的企业面对国际及中国地区不断频发的自然灾害及人为事故,其业务运作的不确定性和风险都被大幅度增加,而加强企业业务连续性管理则成为了打造最佳企业应急预案的必备选择。以金融行业为例,目前我国中小型银行和其他金融机构,在业务连续性管理上与国际标准存在不小差距,急需得到提升,保证金融业务连续性成为金融机构不断增强服务品质并实现业务转型的关键。
