ISO22301：2012《社會(huì)安全 業(yè)務(wù)連續(xù)性管理體系要求》,，該標(biāo)準(zhǔn)由ISO／TC223組織制定,，適用于所有行業(yè)中的大,、中、小型公有及私有企業(yè),，其目的在于幫助企業(yè)對(duì)潛在的災(zāi)難加以甄別與分析,，及早確定可能發(fā)生的沖擊對(duì)企業(yè)運(yùn)作造成的威脅，并提供合理的管理機(jī)制有效地阻止或抵消這些不確定事件造成的威脅,，減少突發(fā)事件給企業(yè)帶來的損失,，保證企業(yè)日常業(yè)務(wù)運(yùn)行的平穩(wěn)有序。

ISO 22301的前身——社會(huì)安全背景

ISO 22301由ISO/TC 223-社會(huì)安全,發(fā)展而來,。該技術(shù)委員會(huì)開發(fā)這個(gè)標(biāo)準(zhǔn)是為了保護(hù)社會(huì),，應(yīng)對(duì)社會(huì)事件、緊急情況以及一些故意或非故意造成的災(zāi)難,、自然災(zāi)害和技術(shù)故障,。這些危險(xiǎn)的視角涵蓋適宜性以及在在破壞性時(shí)間發(fā)生之前、期間和之后的所有階段的策劃,，包括主動(dòng)策劃和被動(dòng)策劃,。社會(huì)安全是一個(gè)多學(xué)科領(lǐng)域，包括公共和私營部門,。

委員會(huì)已事先發(fā)布了以下標(biāo)準(zhǔn)和其他文件：

ISO 22300:2012,，社會(huì)安全——術(shù)語

ISO 22301:2012，社會(huì)安全——業(yè)務(wù)連續(xù)性管理體系要求

ISO 22320:2011,，社會(huì)安全——緊急情況管理--突發(fā)事件響應(yīng)的要求

ISO/TR 22312:2011,，社會(huì)安全——技術(shù)能力

ISO/PAS 22399:2007，社會(huì)安全——事故準(zhǔn)備和業(yè)務(wù)持續(xù)性管理指南

以下項(xiàng)目正在開發(fā)：

ISO 22311 社會(huì)安全-視頻監(jiān)控-互動(dòng)性輸出

ISO 22313 社會(huì)安全-業(yè)務(wù)連續(xù)性管理系統(tǒng)-導(dǎo)則

ISO 22315 社會(huì)安全–大規(guī)模撤離

ISO 22322 社會(huì)安全-應(yīng)急管理-公共預(yù)警

ISO 22323 組織彈性管理系統(tǒng)-要求及實(shí)施指南

ISO 22325 社會(huì)安全-組織應(yīng)急能力評(píng)估導(dǎo)則

ISO 22351 社會(huì)安全-應(yīng)急管理-共享的大局意識(shí)

ISO 22397 社會(huì)安全-公私伙伴關(guān)系–建立合作協(xié)議指導(dǎo)方針

ISO 22398 社會(huì)安全-演練和測(cè)試指南

ISO 22324 社會(huì)安全-應(yīng)急管理——顏色警報(bào)

委員會(huì)已事先發(fā)布了以下標(biāo)準(zhǔn)和其他文件：

ISO 22300:2012,，社會(huì)安全——術(shù)語

ISO 22301:2012,，社會(huì)安全——業(yè)務(wù)連續(xù)性管理體系要求

ISO 22320:2011，社會(huì)安全——緊急情況管理--突發(fā)事件響應(yīng)的要求

ISO/TR 22312:2011，社會(huì)安全——技術(shù)能力

ISO/PAS 22399:2007,，社會(huì)安全——事故準(zhǔn)備和業(yè)務(wù)持續(xù)性管理指南

以下項(xiàng)目正在開發(fā)：

ISO 22311 社會(huì)安全-視頻監(jiān)控-互動(dòng)性輸出

ISO 22313 社會(huì)安全-業(yè)務(wù)連續(xù)性管理系統(tǒng)-導(dǎo)則

ISO 22315 社會(huì)安全–大規(guī)模撤離

ISO 22322 社會(huì)安全-應(yīng)急管理-公共預(yù)警

ISO 22323 組織彈性管理系統(tǒng)-要求及實(shí)施指南

ISO 22325 社會(huì)安全-組織應(yīng)急能力評(píng)估導(dǎo)則

ISO 22351 社會(huì)安全-應(yīng)急管理-共享的大局意識(shí)

ISO 22397 社會(huì)安全-公私伙伴關(guān)系–建立合作協(xié)議指導(dǎo)方針

ISO 22398 社會(huì)安全-演練和測(cè)試指南

ISO 22324 社會(huì)安全-應(yīng)急管理——顏色警報(bào)

ISO 22301標(biāo)準(zhǔn)釋義

ISO 22301是第二版管理體系標(biāo)準(zhǔn),，為了融入ISO族標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)使用了新的組織構(gòu)架和標(biāo)準(zhǔn)化文本,。這將確保和將來以及修訂后的管理體系標(biāo)準(zhǔn)一致,，使一體化使用更加容易，如ISO 9001(質(zhì)量),ISO 14001(環(huán)境)和ISO / IEC 27001(信息安全),。

 組織背景

首先要了解這個(gè)組織,，內(nèi)部和外部需求，并確定管理體系的范圍,。特別需要要求組織明確其各相關(guān)方的具體要求,，比如監(jiān)管機(jī)構(gòu)、顧客和員工,。它必須特別了解適用的法律法規(guī)要求,。用來確定業(yè)務(wù)連續(xù)性管理系統(tǒng)的范圍,。

領(lǐng)導(dǎo)

ISO 22301特別強(qiáng)調(diào)業(yè)務(wù)連續(xù)性管理需要合適的領(lǐng)導(dǎo),。這是為了最高管理層能夠確保提供適宜的資源、建立業(yè)務(wù)連續(xù)性管理系統(tǒng)方針,、任命業(yè)務(wù)連續(xù)性管理系統(tǒng)實(shí)施和維護(hù)的人員,。

策劃

這需要組織識(shí)別實(shí)施管理系統(tǒng)的風(fēng)險(xiǎn)，設(shè)立可測(cè)量的目標(biāo)和運(yùn)行準(zhǔn)則,，用來衡量實(shí)施的成功與否,。

支持

由于實(shí)施需要資源支持，本條款介紹了能力的重要概念,。業(yè)務(wù)連續(xù)性實(shí)施的成功,，人的知識(shí)、技能和經(jīng)驗(yàn)都必須到位,，有助于業(yè)務(wù)連續(xù)性管理系統(tǒng)的建立和事件發(fā)生時(shí)的應(yīng)急響應(yīng),。同樣重要的是，所有的員工必須知道他們?cè)趹?yīng)對(duì)和響應(yīng)突發(fā)事件時(shí)所扮演的角色,，本條涉及上述所有領(lǐng)域,。業(yè)務(wù)連續(xù)性管理系統(tǒng)需要良好的溝通——例如告訴顧客，組織業(yè)務(wù)連續(xù)性管理到位——也涉及在事件發(fā)生后的溝通（當(dāng)正常的溝通渠道可能被中斷）,。

運(yùn)行

本節(jié)包含了業(yè)務(wù)連續(xù)性運(yùn)行主體的專業(yè)技能,。組織必須對(duì)業(yè)務(wù)影響進(jìn)行分析，了解其業(yè)務(wù)如何受干擾以及如何隨事件變化,。風(fēng)險(xiǎn)評(píng)估試圖從結(jié)構(gòu)方面了解業(yè)務(wù)風(fēng)險(xiǎn),，這些信息可作為業(yè)務(wù)連續(xù)性策略的輸入。在事件發(fā)生時(shí),，避免或減少事故發(fā)生的可能性是同時(shí)要采取的步驟,。因?yàn)椴豢赡芡耆A(yù)測(cè)和預(yù)防所有的事件,，這種風(fēng)險(xiǎn)降低的平衡方法和規(guī)劃所有的可能性事件是互補(bǔ)的。換句話說：“往最好的努力,，做最壞的打算”,。ISO 22301強(qiáng)調(diào)的是建立一個(gè)明確的時(shí)間響應(yīng)構(gòu)架。這確保當(dāng)事件發(fā)生時(shí),響應(yīng)及時(shí)升級(jí),人們有權(quán)采取必要有效的措施,。強(qiáng)調(diào)生命的安全和一個(gè)特定的觀點(diǎn)是,，組織必須和外部有可能受到影響的相關(guān)方做有效的溝通，例如,，如果一個(gè)事件發(fā)生了,，其有毒或爆炸物的風(fēng)險(xiǎn)影響到周圍的公共區(qū)域。條款8也明確說明了業(yè)務(wù)連續(xù)性規(guī)劃的要求,。顯而易見的是,，用戶關(guān)注的文檔要比大的、笨重的文檔更適合于審核員,，因此相對(duì)于規(guī)模較大的計(jì)劃,，規(guī)模較小的計(jì)劃更迫切需要。在業(yè)務(wù)連續(xù)性標(biāo)準(zhǔn)中之前未解決的需求需要規(guī)劃并回歸正常業(yè)務(wù),。隨著組織決定開始對(duì)最初的緊急情況做些什么的時(shí)候,，這個(gè)小的要求證明這種想法是錯(cuò)誤的。條款8的最后部分涵蓋了演練和測(cè)試,，是業(yè)務(wù)連續(xù)管理的關(guān)鍵部分,。測(cè)試業(yè)務(wù)連續(xù)管理中的一些要素工作（通過）或者不（失敗）,。例如,，測(cè)試發(fā)電機(jī)通過切換開關(guān)開始工作。一個(gè)演練通常包括測(cè)試,，但是通常是用更微妙的方式,模擬某些方面對(duì)事件做出的響應(yīng),。這通常會(huì)包括基礎(chǔ)的訓(xùn)練和增強(qiáng)人們通過艱難的不尋常的特質(zhì)對(duì)事件進(jìn)行處理，以及相關(guān)流程是否按預(yù)期運(yùn)作,。演練和測(cè)試是ISO 22301的根本：只有通過結(jié)構(gòu)化演練——才能拉近個(gè)人與團(tuán)隊(duì)的參與——一個(gè)注冊(cè)可以確保目標(biāo)實(shí)現(xiàn),，在需要時(shí)，其事先安排會(huì)按預(yù)期正常工作,。

評(píng)價(jià)

對(duì)于任何管理系統(tǒng),，安裝策劃進(jìn)行評(píng)價(jià)均為最根本要求。 ISO 22301因此要求組織參照適宜的運(yùn)行準(zhǔn)則選擇和測(cè)量其體系,。內(nèi)審必須進(jìn)行,，并且要求對(duì)BCMS進(jìn)行管理評(píng)審，對(duì)管理評(píng)審結(jié)果采取適當(dāng)?shù)拇胧?/span>

改進(jìn)

沒有管理系統(tǒng)在一開始就是完美的，并且組織和其環(huán)境也是不斷變化的,。第10條定義了要采取措施不斷改進(jìn)BCMS,，并且確保審核、檢查,、演練等中不符合的糾正預(yù)防措施得到落實(shí),。ISO22301的成功實(shí)施和良好實(shí)踐需要組織充分的理解其要求。每行每字的含義和相對(duì)重要性并不一定反應(yīng)在致力于主題的詞匯數(shù)量上,。并不是簡單的一個(gè)項(xiàng)目或者一個(gè)“計(jì)劃”的策劃,，BCM是一個(gè)持續(xù)管理過程，需要能夠勝任的人員和適宜的資源和結(jié)構(gòu)予以支持,。

ISO22301對(duì)需要形成的文件化信息進(jìn)行了規(guī)定：

1了解組織和組織環(huán)境,；

2法律和法規(guī)要求；

3組織應(yīng)通過確定BCMS的邊界和適用性來建立其范圍(存檔信息),；

4.方針(存檔信息),；

5.業(yè)務(wù)連續(xù)性目標(biāo)和實(shí)現(xiàn)計(jì)劃(存檔信息)；

6.能力(存檔信息),；

7.外來文件的識(shí)別和控制(存檔信息),；

8.過程的策劃和控制(存檔信息)；

9.組織應(yīng)建立,、實(shí)施和保持一個(gè)正式的,，形成文件的業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估過程；

10.業(yè)務(wù)影響分析,；

11.風(fēng)險(xiǎn)評(píng)估；

12.組織應(yīng)以業(yè)務(wù)影響分析中已識(shí)別的恢復(fù)目標(biāo)為基礎(chǔ),，建立,、實(shí)施和保持業(yè)務(wù)連續(xù)性程序，來管理中斷事件和保證活動(dòng)的連續(xù)性,。組織應(yīng)將程序形成文件,，以確保活動(dòng)的連續(xù)性和中斷事件的管理,；

13.事件響應(yīng)機(jī)制,；

14.預(yù)警和溝通(存檔信息)；

15.業(yè)務(wù)連續(xù)性計(jì)劃,；

16.恢復(fù),；

17.監(jiān)視、測(cè)量,、分析和評(píng)價(jià)(存檔信息),；

18.業(yè)務(wù)連續(xù)性程序的評(píng)價(jià)（存檔信息/記錄其結(jié)果）；

19.內(nèi)部審核(存檔信息)；

20.管理評(píng)審(存檔信息),；

21.不符合和糾正措施(存檔信息),。

ISO22301必須建立的過程

1組織應(yīng)建立、實(shí)施和保持一個(gè)正式的,，形成文件的業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估過程,；

2業(yè)務(wù)影響分析；

3風(fēng)險(xiǎn)評(píng)估,；

4業(yè)務(wù)連續(xù)性計(jì)劃,；

ISO22301必須形成的書面程序：

1.法律和法規(guī)要求

2.溝通；

3.組織應(yīng)以業(yè)務(wù)影響分析中已識(shí)別的恢復(fù)目標(biāo)為基礎(chǔ),，建立,、實(shí)施和保持業(yè)務(wù)連續(xù)性程序，來管理中斷事件和保證活動(dòng)的連續(xù)性,。組織應(yīng)將程序形成文件,，以確保活動(dòng)的連續(xù)性和中斷事件的管理,；

4.事件響應(yīng)機(jī)制,；

5.預(yù)警和溝通；

6.業(yè)務(wù)連續(xù)性計(jì)劃,；

7.恢復(fù)

8.監(jiān)視,、測(cè)量、分析和評(píng)價(jià),；

9.內(nèi)部審核,。