業(yè)務(wù)連續(xù)性管理體系簡稱BCMS，ISO22301標(biāo)準(zhǔn)是全球首部業(yè)務(wù)連續(xù)性管理的國際標(biāo)準(zhǔn)，旨在幫助組織建立預(yù)案和確保其業(yè)務(wù)在面對外部威脅時能夠持續(xù)。ISO22301業(yè)務(wù)連續(xù)性管理體系廣泛適用于信息安全、信息技術(shù)服務(wù)、公共服務(wù)、社會組織等社會服務(wù)行業(yè)，同時還適用于各種規(guī)模的商業(yè)、金融業(yè)、加工制造業(yè)等風(fēng)險級別較高的組織。

文章目錄

一、什么是業(yè)務(wù)連續(xù)性管理體系

業(yè)務(wù)連續(xù)性管理體系（BusinessContinuityManagementSystems）簡稱BCMS，業(yè)務(wù)連續(xù)性管理標(biāo)準(zhǔn)是全球首部業(yè)務(wù)連續(xù)性管理(BCM)的國際標(biāo)準(zhǔn)，旨在幫助組織建立預(yù)案和確保其業(yè)務(wù)在面對外部威脅時能夠持續(xù)，例如自然災(zāi)害或者信息安全漏洞。這些日益增長的威脅可能會導(dǎo)致供應(yīng)鏈中斷，人員流失，或?qū)編齑婊蜇敭a(chǎn)造成損害，最終會越過你的底線。

1. “業(yè)務(wù)連續(xù)性”的概念來源于計算機(jī)技術(shù)中的“容災(zāi)”和“恢復(fù)計劃”，是一個組織整體或部分過程持續(xù)運行能力的指標(biāo)。經(jīng)過多年發(fā)展，“業(yè)務(wù)連續(xù)性”已廣泛應(yīng)用于各種規(guī)模的生產(chǎn)型和服務(wù)型組織，并進(jìn)一步發(fā)展成為“業(yè)務(wù)連續(xù)性管理體系”，成為各個組織整體管理體系中的核心部分。
2. BCMS采用PDCA的過程方法，通過對風(fēng)險的識別、分析和預(yù)警來幫助組織規(guī)避潛在事件的發(fā)生，并且制定完備的“業(yè)務(wù)連續(xù)性計劃“，有效的應(yīng)對中斷發(fā)生后的快速恢復(fù)，保持核心功能正常運行，將損失和恢復(fù)成本降至最低。
3. BCMS是多個過程的集合，它將組織管理體系中的各個環(huán)節(jié)聯(lián)系并統(tǒng)一起來，為識別的風(fēng)險制定適宜的風(fēng)險策略和風(fēng)險計劃，并且為組織制定一套有效的業(yè)務(wù)連續(xù)性計劃演練和測量方案。
4. BCMS廣泛適用于信息安全、信息技術(shù)服務(wù)、公共服務(wù)、社會組織等社會服務(wù)行業(yè)，同時還適用于各種規(guī)模的商業(yè)、金融業(yè)、加工制造業(yè)等風(fēng)險級別較高的組織。

二、ISO22301業(yè)務(wù)連續(xù)性管理體系標(biāo)準(zhǔn)

其實，ISO22301并不是一個新的標(biāo)準(zhǔn)，早在2012年國家標(biāo)準(zhǔn)化組織發(fā)布ISO 22301:2012標(biāo)準(zhǔn)時就已經(jīng)全球已經(jīng)有4000多個組織已經(jīng)持有了ISO22301的證書。隨著該標(biāo)準(zhǔn)在不同的行業(yè)中傳播，被越來越多的人所熟知。

現(xiàn)行的業(yè)務(wù)連續(xù)性管理體系標(biāo)準(zhǔn)是ISO22301:2019，也就是國際標(biāo)準(zhǔn)化組織（ISO）于2019年10月發(fā)布的ISO22301:2019標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)用以替代ISO22301:2012標(biāo)準(zhǔn)。

業(yè)務(wù)連續(xù)性管理體系常用的有兩個標(biāo)準(zhǔn)：

• ISO 22301:2019 公共安全 業(yè)務(wù)連續(xù)性管理體系  要求
• ISO 22313:2020 公共安全 業(yè)務(wù)連續(xù)性管理體系  指南

（一）、ISO22301:2019標(biāo)準(zhǔn)構(gòu)成：

1.范圍：解釋該標(biāo)準(zhǔn)適用于任何類型的組織。

2.規(guī)范性引用文件：引用ISO22300作為標(biāo)準(zhǔn)，其中對ISO22301:2019中使用的某些術(shù)語進(jìn)行了定義。

3.術(shù)語和定義：再次參考ISO22300。

4.組織的背景：此部分是PDCA周期中計劃階段的一部分，并定義了了解外部和內(nèi)部問題，相關(guān)方及其要求以及定義BCMS范圍的要求。

4.1對組織及其背景的理解

4.2了解有關(guān)方面的需求和期望

4.3確定業(yè)務(wù)連續(xù)性管理系統(tǒng)的范圍

4.4業(yè)務(wù)連續(xù)性管理系統(tǒng)

5.領(lǐng)導(dǎo)力：此部分是PDCA周期計劃階段的一部分，定義高層管理人員的職責(zé)，設(shè)置角色，職責(zé)和權(quán)限以及高層業(yè)務(wù)連續(xù)性策略的內(nèi)容。

5.1領(lǐng)導(dǎo)和承諾

5.2政策

5.3角色，職責(zé)和權(quán)限

6.計劃：此部分是PDCA周期中計劃階段的一部分，它定義了解決風(fēng)險和機(jī)遇，設(shè)置業(yè)務(wù)連續(xù)性目標(biāo)以及計劃對BCMS進(jìn)行更改的要求。

6.1應(yīng)對風(fēng)險和機(jī)遇的行動

6.2業(yè)務(wù)連續(xù)性目標(biāo)和實現(xiàn)這些目標(biāo)的計劃

6.3規(guī)劃業(yè)務(wù)連續(xù)性管理系統(tǒng)的變更

7.支持：此部分是PDCA周期中計劃階段的一部分，并定義了對資源可用性，能力，意識，溝通和文件和記錄控制的要求。

7.1資源

7.2能力

7.3意識

7.4溝通

7.5文件信息

8.運營：此部分是PDCA周期中Do階段的一部分，定義了業(yè)務(wù)影響分析，風(fēng)險評估和處理，業(yè)務(wù)連續(xù)性策略，解決方案，計劃和程序，練習(xí)程序以及業(yè)務(wù)連續(xù)性文檔和評估的實施。實現(xiàn)業(yè)務(wù)連續(xù)性目標(biāo)的能力。

8.1運作計劃與控制

8.2業(yè)務(wù)影響分析和風(fēng)險評估

8.3業(yè)務(wù)連續(xù)性策略和解決方案

8.4業(yè)務(wù)連續(xù)性計劃和程序

8.5鍛煉計劃

8.6業(yè)務(wù)連續(xù)性文檔和功能的評估

9.績效評估：此部分是PDCA周期檢查階段的一部分，并定義了監(jiān)視，度量，分析，評估，內(nèi)部審核和管理評審的要求。

9.1監(jiān)控，測量，分析和評估

9.2內(nèi)部審核

9.3管理評審

10.改進(jìn)：此部分是PDCA周期中法案階段的一部分，它定義了不合格，糾正，糾正措施和持續(xù)改進(jìn)的要求。

10.1不合格和糾正措施

10.2持續(xù)改進(jìn)

（二）、ISO22301:2019標(biāo)準(zhǔn)的“術(shù)語和定義”

1.業(yè)務(wù)連續(xù)性businesscontinuity

在中斷事件發(fā)生后，組織在預(yù)先確定的可接受的水平上連續(xù)交付產(chǎn)品或提供服務(wù)的能力。

2.業(yè)務(wù)連續(xù)性管理businesscontinuitymanagement

識別對組織的潛在威脅以及這些威脅一旦發(fā)生可能對業(yè)務(wù)運行帶來的影響的一整套管理過程。該過程為組織建立有效應(yīng)對威脅的自我恢復(fù)能力提供了框架，以保護(hù)關(guān)鍵相關(guān)方的利益、聲譽、品牌和創(chuàng)造價值的活動

3.業(yè)務(wù)連續(xù)管理體系

用于建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)業(yè)務(wù)連續(xù)性，是一個組織整個管理體系的一部分。

4.業(yè)務(wù)連續(xù)性計劃

用于指導(dǎo)組織在業(yè)務(wù)中斷時進(jìn)行響應(yīng)、恢復(fù)、重新開始和還原到預(yù)先確定的業(yè)務(wù)運行水平的形式文件的程序

5.業(yè)務(wù)影響分析（BIA）

分析活動和業(yè)務(wù)中斷可能帶來的影響的過程

6.事件icident

可能或?qū)?dǎo)致中斷、損失、緊急情況或危機(jī)的情況

7.最長可接受中斷事件MAO

不能提供產(chǎn)品/服務(wù)，或者活動無法進(jìn)行可能帶來的負(fù)面影響，變得不能接受之前的時間。

8.最長可容忍中斷時間MTPD

不能提供產(chǎn)品/服務(wù)，或者活動無法進(jìn)行可能帶來的負(fù)面影響，變得不能容忍之前額時間。

9.最小業(yè)務(wù)連續(xù)性目標(biāo)MBCO

在中斷中組織為達(dá)到其業(yè)務(wù)連續(xù)性目標(biāo)可以接受的最低標(biāo)準(zhǔn)的服務(wù)和（或）產(chǎn)品。

10.互助協(xié)議mutualaidagreement

兩個或多個實體為了互相幫助而預(yù)先達(dá)成的共識

11.恢復(fù)點目標(biāo)recoverypointobjective;RPO

為使活動能夠恢復(fù)進(jìn)行，而必須將該活動所用的信息恢復(fù)到某時間點。

12.恢復(fù)時間目標(biāo)recoverytimeobjective;RTO

事件發(fā)生后到下列活動完成之間的時間段。產(chǎn)品或服務(wù)必須恢復(fù)，或活動必須恢復(fù)，或資源必須復(fù)原，

三、ISO22301業(yè)務(wù)連續(xù)性管理體系實施流程

BCMS采用PDCA的過程方法，通過對風(fēng)險的識別、分析和預(yù)警來幫助組織規(guī)避潛在事件的發(fā)生，并且制定完備的“業(yè)務(wù)連續(xù)性計劃“，有效的應(yīng)對中斷發(fā)生后的快速恢復(fù)，保持核心功能正常運行，將損失和恢復(fù)成本降至最低。

“業(yè)務(wù)影響分析”（簡稱BIA）是BCMS的核心過程之一，它通過評估組織的產(chǎn)品或服務(wù)活動發(fā)生中斷時所產(chǎn)生的影響程度，來確定產(chǎn)品或服務(wù)的優(yōu)先級、恢復(fù)順序和指標(biāo)。BIA包括業(yè)務(wù)范圍界定和數(shù)據(jù)采集分析、業(yè)務(wù)重要性分析、資源分析、確定優(yōu)先級和恢復(fù)順序等幾個步驟。

以IT服務(wù)企業(yè)為例，BIA首先要確定BCMS的覆蓋范圍，包括SLAs、多場所，并通過人員訪談、討論和問卷調(diào)查等方法收集組織內(nèi)部及相關(guān)方中曾經(jīng)發(fā)生和有可能發(fā)生的影響IT服務(wù)“業(yè)務(wù)連續(xù)性“的因素和過程，包括軟硬件配置、人員能力、法律法規(guī)、客戶需求、電力和消防等支持系統(tǒng)。然后使用定性分析和定量分析相結(jié)合的方法，依據(jù)收集來的因素和過程對IT服務(wù)功能和中斷的影響程度進(jìn)行分析，初步確定各項服務(wù)的重要程度，如關(guān)鍵服務(wù)、重要服務(wù)、可暫緩服務(wù)等。再然后分析正常運行IT服務(wù)和中斷后恢復(fù)所必須的資源，和資源間的相互關(guān)系。最后確定服務(wù)的優(yōu)先級和恢復(fù)順序，以及服務(wù)恢復(fù)指標(biāo)，通常使用“恢復(fù)時間目標(biāo)”（RTO）和“恢復(fù)點目標(biāo)”（RPO）做為恢復(fù)指標(biāo)。

具體的實施流程如下：

1）組織與策劃

• 建立過程準(zhǔn)則
• 過程控制
• 為了確定流程按計劃執(zhí)行，在必要的范圍內(nèi)保留存檔信息

2）業(yè)務(wù)影響分析和風(fēng)險評估

①組織應(yīng)建立、實施和保持一個正式的、形成文件的業(yè)務(wù)影響分析（BIA）和風(fēng)險評估過程

• 建立評估的環(huán)境、確定標(biāo)準(zhǔn)和中斷事件的潛在影響
• 考慮組織遵從的法律要求和其他要求
• 包括系統(tǒng)的分析、風(fēng)險處置優(yōu)先級以及相關(guān)的成本
• 明確業(yè)務(wù)影響分析和風(fēng)險評估所要求的輸出
• 提出輸出信息更新和波阿媽的要求。

②BIA的活動：

• 識別支持產(chǎn)品和服務(wù)額交付的活動
• 評估這些活動中斷后隨時間推移的影響
• 在最低可接受水平上制定業(yè)務(wù)恢復(fù)優(yōu)先級時間表，要考慮在某時間內(nèi)，沒有恢復(fù)這些業(yè)務(wù)所造成的影響是不可接受的。
• 識別這些活動間的依賴關(guān)系及支持資源，包括供應(yīng)商、外包方和其他相關(guān)方

③風(fēng)險評估

• 識別、分析和評價中斷事件給組織帶來的風(fēng)險。

備注：這里要說下筆者對于風(fēng)險評估和BIA的關(guān)系：BIA分析的最終目的是要給業(yè)務(wù)連續(xù)性排優(yōu)先級，而優(yōu)先級的輸入是風(fēng)險評估的結(jié)果（發(fā)生時間的影響和投入產(chǎn)出比）。

3）業(yè)務(wù)連續(xù)性策略

• 確定和選擇
• 建立資源要求
• 保護(hù)和緩解
• 此部分是根據(jù)BIA的結(jié)論選擇合理的（性價比高的）的措施，例如資源的保障（人、財、物）、實施備份措施（保護(hù)和緩解措施，風(fēng)險應(yīng)對）、建立互惠協(xié)議（風(fēng)險轉(zhuǎn)移）等等

4）建立和實施業(yè)務(wù)連續(xù)性程序

• 建立適當(dāng)?shù)膬?nèi)部和外部溝通協(xié)議
• 針對業(yè)務(wù)中斷期間需要采取的緊急步驟進(jìn)行詳細(xì)規(guī)定
• 靈活地應(yīng)對非預(yù)期的威脅和不斷變化的內(nèi)部和外部環(huán)境
• 關(guān)注可能導(dǎo)致潛在運行中斷的事態(tài)影響
• 在已提出的假設(shè)和在相互依賴的關(guān)系分析的基礎(chǔ)上進(jìn)行開發(fā)
• 通過實施適當(dāng)?shù)臏p緩策略有效地將后果最小化

備注：此過程是針對業(yè)務(wù)的連續(xù)性一旦發(fā)生而假定的流程、步驟、配套資源。實際在事件一旦發(fā)生后，好的業(yè)務(wù)連續(xù)性管理，直接參考業(yè)務(wù)連續(xù)性開展相關(guān)工作，不好的就是兩張皮了。

ISO22301業(yè)務(wù)連續(xù)性管理體系實施過程和要求

①事件響應(yīng)機(jī)制：需要根據(jù)風(fēng)險評估結(jié)果做好風(fēng)險處置預(yù)案

②預(yù)警和溝通：需要設(shè)置風(fēng)險預(yù)警指標(biāo)，以便在觸發(fā)風(fēng)險預(yù)警時給啟動風(fēng)險處置預(yù)案留下反應(yīng)時間

③業(yè)務(wù)連續(xù)性計劃：組織應(yīng)建立響應(yīng)中斷事件，以及如何在預(yù)定的時間內(nèi)繼續(xù)或恢復(fù)其活動的文件化程序。

• 確定在事件發(fā)生時和發(fā)生后相關(guān)人員和團(tuán)隊的角色和職責(zé)
• 一個啟動響應(yīng)的過程
• 處理中斷時間所造成額直接后果的詳細(xì)說明。
• 如何以及在何種情況下組織與員工及其親屬、關(guān)鍵相關(guān)方、以及緊急聯(lián)絡(luò)人進(jìn)行溝通
• 組織獎如何在預(yù)定的時間里繼續(xù)和恢復(fù)其優(yōu)先活動。
• 事件發(fā)生后，組織的媒體響應(yīng)的詳細(xì)說明
• 事件一旦結(jié)束后的退出過程。

④恢復(fù)：組織應(yīng)有用以在事件發(fā)生后從所采用的臨時措施中恢復(fù)并重新開始業(yè)務(wù)正?；顒拥奈募绦颉?/p>

⑤演練和測試：制定完相應(yīng)的預(yù)案后需要進(jìn)行演練和測試，通過測試找出其中的漏洞加以完善，通過演練，讓全員熟悉和適應(yīng)“應(yīng)急處置”狀態(tài)。

5）績效評估

①監(jiān)視、測量、分析和評估

②內(nèi)部審核:組織應(yīng)按照計劃的時間間隔進(jìn)行內(nèi)部審核，提供信息以表明業(yè)務(wù)連續(xù)性管理體系示范符合相關(guān)情況

③管理評審:最高管理者應(yīng)按計劃的時間間隔評審組織的BCMS，以確保其持續(xù)適宜、充分和有效

四、ISO22301業(yè)務(wù)連續(xù)性管理體系認(rèn)證條件及所需資料清單

1、認(rèn)證必備條件

（1）“業(yè)務(wù)連續(xù)性管理體系”運行三個月；

（2）已充分的識別了風(fēng)險并評估了對業(yè)務(wù)的影響程度；

（3）已制定完備的業(yè)務(wù)連續(xù)性計劃并有效實施。

2、認(rèn)證所需資料清單

（1）法律地位證明文件（如企業(yè)法人營業(yè)執(zhí)照、事業(yè)單位法人代碼證書、社團(tuán)法人登記證等），組織機(jī)構(gòu)代碼證復(fù)印件加蓋公章。存在時，應(yīng)提交分支機(jī)構(gòu)的營業(yè)執(zhí)照和組織機(jī)構(gòu)代碼證復(fù)印件加蓋公章；

（2）臨時場所清單（如工程建設(shè)施工組織在建項目清單、信息安全管理體系及信息技術(shù)服務(wù)管理體系的臨時服務(wù)點）；

（3）適用的法律法規(guī)的標(biāo)準(zhǔn)的清單；

（4）取得相關(guān)法規(guī)規(guī)定的行政許可文件(適用時)；

（5）業(yè)務(wù)影響分析報告、風(fēng)險評估報告和業(yè)務(wù)連續(xù)性計劃；

（6）BCMS體系文件，包括：方針、目標(biāo)、范圍、組織為過程運行及溝通而保持的信息，必須提供：組織簡介、組織結(jié)構(gòu)（組織機(jī)構(gòu)圖）、人員情況和職能分工、過程路線圖/工藝流程圖/過程描述（應(yīng)明確說明關(guān)鍵過程和特殊過程）及其有關(guān)的過程文件；

（7）管理體系認(rèn)證申請書。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202310/ccaa_55667.html