ISO22301业务连续性管理体系标准
GB/T 30146-2013/ISO 22301:2012 业务连续性管理体系(BCMS——Business Continuity Management System)是国内同等转换ISO业务连续性管理体系的国家标准。
“业务连续性”的概念来源于计算机技术中的“容灾”和“恢复计划”,是一个组织整体或部分过程持续运行能力的指标。经过多年发展,“业务连续性”已广泛应用于各种规模的生产型和服务型组织,并进一步发展成为“业务连续性管理体系”(简称BCMS),成为各个组织整体管理体系中的核心部分。BCMS采用PDCA的过程方法,通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生,并且制定完备的“业务连续性计划“,有效的应对中断发生后的快速恢复,保持核心功能正常运行,将损失和恢复成本降至最低。
BCMS是多个过程的集合,它将组织管理体系中的各个环节连系并统一起来,为识别的风险制定适宜的风险策略和风险计划,并且为组织制定一套有效的业务连续性计划演练和测量方案。BCMS广泛适用于信息安全、信息技术服务、公共服务、社会组织等社会服务行业,同时还适用于各种规模的商业、金融业、加工制造业等风险级别较高的组织。
认证机构
认准Ta(中国检验认证集团有限公司&中国质量认证中心)在业务连续性管理体系(ISO22301)认证领域具有悠久的历史,是ISO22301业务连续性管理体系认证行业领先的检验认证服务提供商.
必备条件
(1)“业务连续性管理体系”运行三个月;
(2)已充分的识别了风险并评估了对业务的影响程度;
(3)已制定完备的业务连续性计划并有效实施。
资料清单
(1)法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证复印件加盖公章。存在时,应提交分支机构的营业执照和组织机构代码证复印件加盖公章;
(2)临时场所清单(如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点);
(3)适用的法律法规的标准的清单;
(4)取得相关法规规定的行政许可文件(适用时);
(5)业务影响分析报告、风险评估报告和业务连续性计划;
(6)BCMS体系文件,包括:方针、目标、范围、组织为过程运行及沟通而保持的信息,必须提供:组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件;
(7)管理体系认证申请书。
注意事项
“业务连续性管理体系”认证证书有效期是三年,期间每年要接受发证机构的监督审核,三年证书到期后,要接受认证机构的再认证。
ISO22301业务连续性管理体系标准条款
业务持续性管理(Business Continuity Management)即BCM,是一个整体的管理流程,将业务运作所面临的风险控制在最低水平,以及在业务运作中断后立即恢复业务运作的业务管理流程。它识别威胁一个组织的潜在影响,并提供一个构件恢复能力和有效的响应能力的框架,以保护关键利益、相关的利益、组织的声誉、品牌和价值创造活动。业务连续性管理一般包括启动、需求分析、战略规划和实施以及运作管理四阶段。
ISO22301标准分为10个主要条款,前三款分别是范围、规范性文献、术语和定义,下面介绍该标准的其他主要条款要求。
4.1 第四款:组织
首先,组织应了解内部和外部需求,对管理体系的范围划定明确的界线。这尤其要求组织了解利益相关方的需求,如立法部门、顾客和员工的需求。组织尤其必须了解适宜的法律法规要求,这将保证组织确定业务连续性管理体系的范围。
4.2 第五款:领导
ISO22301特别强调了对合格的业务持续性管理领导的需求。这使得最高管理者能保证提供合适的资源、制定政策并任命人员来实施和维护业务持续性管理体系。
4.3 第六款:策划这一款要求组织识别业务持续性管理实施的风险,并制定明确的目标和标准用于测量其成效。
4.4 第七款:支撑
由于业务持续性管理体系的实施需要资源,第七款引入了“能力”这一重要概念。为了业务连续性获得成功,必须具有相应知识、技能和经验的人员从事业务持续性管理体系的管理并当事故发生时作出应对。在应对事故方面,所有的员工认识到自己的职责也是非常重要的,这一条款涉及这方面的所有内容。这一条款也涵盖业务持续性管理体系沟通的需求,如:告诉顾客组织有适宜的业务持续性管理在运行并做好事故发生时沟通的准备(当正常的渠道中断时)。
4.5 第八款:运行
这一款包括业务连续性的主体——专门技能。组织必须进行业务影响分析,以了解其业务中断产生的影响及随时间发生的变化。风险评估致力于识别业务在结构方面的风险,这些风险对业务连续性战略的制定将会产生影响。避免或降低事故发生的措施应与事故发生时采取的措施同时制定。由于无法完全预测和防止所有事故,所以降低风险和对不测作出应对计划对于所有意外事故来说是互补的,也就是通常所说的抱最好的愿望做最坏的打算。
ISO22301强调需要很好地确定事故响应结构。这样可保证事故发生时快速响应,被授权的人能采取必要的有效措施。该新标准还强调了生命安全,关键点是组织必须与外部可能遭受影响的相关方沟通,例如:如果事故给周边公共区域带来有毒或爆炸的风险时。
在条款八中也提出了业务连续性计划的需求,适合用户的简明易懂的文件比供审核员使用的冗长晦涩的文件更有用。因此,小计划比庞大的计划可能更需要。第八款的最后一部分涉及运行和测试,这是业务持续性管理的关键部分。测试的目的是证明业务连续性管理的一些要素是否有效,例如:有可能测试发电机打开以后是否运行。运行可以包括测试,通常采用相近的方法模拟应对事故,这通常包括培训要素和树立应对具有一定难度的异常破坏性事故的意识,同时要弄清程序是否如期运行。
4.6 第九款:评价
对任何管理体系而言,按照计划评价性能至关重要。因此,ISO22301要求组织应按照适宜的性能方法对自身进行评价。组织必须进行内审,还要进行业务持续性管理体系的管理评审,并根据评审结果采取相应措施。
4.7 第十款:改进
每个管理体系一开始都不可能尽善尽美,组织及其环境是不断变化的。第十款提出了随后改进业务持续性管理体系采取的措施,并保证通过审核、评审、运行等而提出纠正措施。
