了解ISO22301業(yè)務(wù)連續(xù)性管理體系認(rèn)證

Date10 6 月 2021

一、什么是業(yè)務(wù)持續(xù)性管理？
業(yè)務(wù)持續(xù)性管理（Business Continuity Management）即BCM，是一個整體的管理流程，將業(yè)務(wù)運作所面臨的風(fēng)險控制在最低水平，以及在業(yè)務(wù)運作中斷后立即恢復(fù)業(yè)務(wù)運作的業(yè)務(wù)管理流程。它識別威脅一個組織的潛在影響，并提供一個構(gòu)件恢復(fù)能力和有效的響應(yīng)能力的框架，以保護關(guān)鍵利益、相關(guān)的利益、組織的聲譽、品牌和價值創(chuàng)造活動。業(yè)務(wù)連續(xù)性管理一般包括啟動、需求分析、戰(zhàn)略規(guī)劃和實施以及運作管理四階段。

二、ISO22301業(yè)務(wù)連續(xù)性管理體系發(fā)展過程
BS25999標(biāo)準(zhǔn)已于2012年轉(zhuǎn)換成ISO22301業(yè)務(wù)連續(xù)性管理體系標(biāo)準(zhǔn)，并于2012年5月由ISO國際標(biāo)準(zhǔn)組織正式公布。此國際標(biāo)準(zhǔn)主要參考BS25999 part-2進而建立出一套更完整更健全的業(yè)務(wù)連續(xù)性管理體系架構(gòu)，并取代BS 25999成為全球公認(rèn)的業(yè)務(wù)連續(xù)性管理體系標(biāo)準(zhǔn)。而BS 25999已于2012年11月1日正式撤銷。

三、ISO22301標(biāo)準(zhǔn)主要條款介紹
ISO22301標(biāo)準(zhǔn)分為10個主要條款，前三款分別是范圍、規(guī)范性文獻、術(shù)語和定義，下面介紹該標(biāo)準(zhǔn)的其他主要條款要求。
4.1 第四款：組織
首先，組織應(yīng)了解內(nèi)部和外部需求，對管理體系的范圍劃定明確的界線。這尤其要求組織了解利益相關(guān)方的需求，如立法部門、顧客和員工的需求。組織尤其必須了解適宜的法律法規(guī)要求，這將保證組織確定業(yè)務(wù)連續(xù)性管理體系的范圍。
4.2 第五款：領(lǐng)導(dǎo)
ISO22301特別強調(diào)了對合格的業(yè)務(wù)持續(xù)性管理領(lǐng)導(dǎo)的需求。這使得最高管理者能保證提供合適的資源、制定政策并任命人員來實施和維護業(yè)務(wù)持續(xù)性管理體系。
4.3 第六款：策劃這一款要求組織識別業(yè)務(wù)持續(xù)性管理實施的風(fēng)險，并制定明確的目標(biāo)和標(biāo)準(zhǔn)用于測量其成效。
4.4 第七款：支撐
由于業(yè)務(wù)持續(xù)性管理體系的實施需要資源，第七款引入了“能力”這一重要概念。為了業(yè)務(wù)連續(xù)性獲得成功，必須具有相應(yīng)知識、技能和經(jīng)驗的人員從事業(yè)務(wù)持續(xù)性管理體系的管理并當(dāng)事故發(fā)生時作出應(yīng)對。在應(yīng)對事故方面，所有的員工認(rèn)識到自己的職責(zé)也是非常重要的，這一條款涉及這方面的所有內(nèi)容。這一條款也涵蓋業(yè)務(wù)持續(xù)性管理體系溝通的需求，如：告訴顧客組織有適宜的業(yè)務(wù)持續(xù)性管理在運行并做好事故發(fā)生時溝通的準(zhǔn)備（當(dāng)正常的渠道中斷時）。
4.5 第八款：運行
這一款包括業(yè)務(wù)連續(xù)性的主體-專門技能。組織必須進行業(yè)務(wù)影響分析，以了解其業(yè)務(wù)中斷產(chǎn)生的影響及隨時間發(fā)生的變化。風(fēng)險評估致力于識別業(yè)務(wù)在結(jié)構(gòu)方面的風(fēng)險，這些風(fēng)險對業(yè)務(wù)連續(xù)性戰(zhàn)略的制定將會產(chǎn)生影響。避免或降低事故發(fā)生的措施應(yīng)與事故發(fā)生時采取的措施同時制定。由于無法完全預(yù)測和防止所有事故，所以降低風(fēng)險和對不測作出應(yīng)對計劃對于所有意外事故來說是互補的，也就是通常所說的抱最好的愿望做最壞的打算。ISO22301強調(diào)需要很好地確定事故響應(yīng)結(jié)構(gòu)。這樣可保證事故發(fā)生時快速響應(yīng)，被授權(quán)的人能采取必要
的有效措施。該新標(biāo)準(zhǔn)還強調(diào)了生命安全，關(guān)鍵點是組織必須與外部可能遭受影響的相關(guān)方溝通，例如：如果事故給周邊公共區(qū)域帶來有毒或爆炸的風(fēng)險時。在條款八中也提出了業(yè)務(wù)連續(xù)性計劃的需求，適合用戶的簡明易懂的文件比供審核員使用的冗長晦澀的文件更有用。因此，小計劃比龐大的計劃可能更需要。第八款的最后-部分涉及運行和測試，這是業(yè)務(wù)持續(xù)性管理的關(guān)鍵部分。測試的目的是證明業(yè)務(wù)連續(xù)性管理的一些要素是否有效，例如：有可能測試發(fā)電機打開以后是否運行。運行可以包括測試，通常采用相近的方法模擬應(yīng)對事故，這通常包括培訓(xùn)要素和樹立應(yīng)對具有一定難度的異常破壞性事故的意識，同時要弄清程序是否如期運行。
4.6 第九款：評價
對任何管理體系而言，按照計劃評價性能至關(guān)重要。因此，ISO22301要求組織應(yīng)按照適宜的性能方法對自身進行評價。組織必須進行內(nèi)審，還要進行業(yè)務(wù)持續(xù)性管理體系的管理評審，并根據(jù)評審結(jié)果采取相應(yīng)措施。
4.7 第十款：改進
每個管理體系-開始都不可能盡善盡美，組織及其環(huán)境是不斷變化的。第十款提出了隨后改進業(yè)務(wù)持續(xù)性管理體系采取的措施，并保證通過審核、評審、運行等而提出糾正措施。

四、哪些機構(gòu)應(yīng)采用ISO22301業(yè)務(wù)連續(xù)性管理體系？
這項標(biāo)準(zhǔn)可于組織中提供有關(guān)了解、發(fā)展、及執(zhí)行業(yè)務(wù)連續(xù)性性的基礎(chǔ)。讓您有信心完成企業(yè)對企業(yè)間，以及企業(yè)對顧客間的各種交易。通過此項驗證，等于向重要利害關(guān)系人保證組織已完全做好準(zhǔn)備，同時也符合來自內(nèi)部、法規(guī)、及客戶的各種要求。
ISO22301業(yè)務(wù)連續(xù)性管理體系讓組織無論面臨何種影響，均可連續(xù)運營。即使面臨影響，ISO22301 也能協(xié)助組織持續(xù)運營。不論是何種規(guī)模企業(yè)、產(chǎn)業(yè)、公共或私人部門、制造業(yè)或服務(wù)業(yè)等，均適合采用符合ISO22301的業(yè)務(wù)連續(xù)性管理體系。其可提供全球機構(gòu)一種共通語言，尤其是供應(yīng)鏈既長且復(fù)雜的企業(yè)。
本項標(biāo)準(zhǔn)特別適合營運環(huán)境具有高度風(fēng)險的企業(yè)使用。在這類環(huán)境中，業(yè)務(wù)連續(xù)性的能力對于企業(yè)、顧客、及利害關(guān)系人均至關(guān)重要，包括能源、金融、通訊、運輸、及公共部門等產(chǎn)業(yè)。

五、實施ISO22301標(biāo)準(zhǔn)的目的和意義
ISO22301《公共安全-業(yè)務(wù)連續(xù)性管理體系-要求》將幫助所有的組織，無論其規(guī)模大小、地域或開展的活動如何，在處理任何類型的風(fēng)險時能更好地應(yīng)對并更具信心。在任何時候事故都能使組織的業(yè)務(wù)中斷，采用ISO22301標(biāo)準(zhǔn)將保證組織能夠應(yīng)對事故并保證其業(yè)務(wù)的持續(xù)運行。事故發(fā)生有多種類型，從嚴(yán)重的自然災(zāi)害和恐怖主義活動到與技術(shù)相關(guān)的事故和環(huán)境事故。然而，許多事故雖然小，但能產(chǎn)生嚴(yán)重的影響，這在任何時候都與業(yè)務(wù)連續(xù)性管理緊密相關(guān)。目前，業(yè)務(wù)連續(xù)性管理已經(jīng)引起全球的關(guān)注，無論是公共或私有部門的組織都必須了解如何準(zhǔn)備和應(yīng)對意外的破壞性的事故發(fā)生。ISO22301標(biāo)準(zhǔn)為業(yè)務(wù)連續(xù)性管理體系的策劃、建立、實施、運行、監(jiān)視、評審、保持和持續(xù)改進提供了框架。當(dāng)破壞性的事故發(fā)生時，該標(biāo)準(zhǔn)將有助于組織的防護、準(zhǔn)備、響應(yīng)和恢復(fù)。實施ISO22301標(biāo)準(zhǔn)的組織將能夠向立法部門、執(zhí)法部門、消費者和潛在消費者以及其他的利益相關(guān)方證明，他們滿足了業(yè)務(wù)持續(xù)性管理良好規(guī)范的要求。同時，該新標(biāo)準(zhǔn)也可用于組織內(nèi)部按照良好規(guī)范進行內(nèi)部檢查，并通過內(nèi)審員出具管理報告。ISO22301將幫助組織在設(shè)計業(yè)務(wù)持續(xù)性管理體系時適宜地滿足自身的要求和滿足其利益相關(guān)方的要求，這些要求涉及：法律法規(guī)、組織和行業(yè)因素、組織的產(chǎn)品和服務(wù)、組織的規(guī)模和結(jié)構(gòu)、組織的過程和其利益相關(guān)。