常見問題&知識園地
ISO22301:2012《社會安全 業(yè)務連續(xù)性管理體系要求》,該標準由ISO/TC223組織制定,,適用于所有行業(yè)中的大,、中、小型公有及私有企業(yè),,其目的在于幫助企業(yè)對潛在的災難加以甄別與分析,,及早確定可能發(fā)生的沖擊對企業(yè)運作造成的威脅,并提供合理的管理機制有效地阻止或抵消這些不確定事件造成的威脅,,減少突發(fā)事件給企業(yè)帶來的損失,,保證企業(yè)日常業(yè)務運行的平穩(wěn)有序。
ISO 22301的前身——社會安全背景
ISO 22301由ISO/TC 223-社會安全,發(fā)展而來,。該技術委員會開發(fā)這個標準是為了保護社會,,應對社會事件、緊急情況以及一些故意或非故意造成的災難,、自然災害和技術故障,。這些危險的視角涵蓋適宜性以及在在破壞性時間發(fā)生之前、期間和之后的所有階段的策劃,,包括主動策劃和被動策劃,。社會安全是一個多學科領域,包括公共和私營部門,。
委員會已事先發(fā)布了以下標準和其他文件:
ISO 22300:2012,,社會安全——術語
ISO 22301:2012,社會安全——業(yè)務連續(xù)性管理體系要求
ISO 22320:2011,,社會安全——緊急情況管理--突發(fā)事件響應的要求
ISO/TR 22312:2011,,社會安全——技術能力
ISO/PAS 22399:2007,,社會安全——事故準備和業(yè)務持續(xù)性管理指南
以下項目正在開發(fā):
ISO 22311 社會安全-視頻監(jiān)控-互動性輸出
ISO 22313 社會安全-業(yè)務連續(xù)性管理系統(tǒng)-導則
ISO 22315 社會安全–大規(guī)模撤離
ISO 22322 社會安全-應急管理-公共預警
ISO 22323 組織彈性管理系統(tǒng)-要求及實施指南
ISO 22325 社會安全-組織應急能力評估導則
ISO 22351 社會安全-應急管理-共享的大局意識
ISO 22397 社會安全-公私伙伴關系–建立合作協(xié)議指導方針
ISO 22398 社會安全-演練和測試指南
ISO 22324 社會安全-應急管理——顏色警報
委員會已事先發(fā)布了以下標準和其他文件:
ISO 22300:2012,社會安全——術語
ISO 22301:2012,,社會安全——業(yè)務連續(xù)性管理體系要求
ISO 22320:2011,,社會安全——緊急情況管理--突發(fā)事件響應的要求
ISO/TR 22312:2011,社會安全——技術能力
ISO/PAS 22399:2007,,社會安全——事故準備和業(yè)務持續(xù)性管理指南
以下項目正在開發(fā):
ISO 22311 社會安全-視頻監(jiān)控-互動性輸出
ISO 22313 社會安全-業(yè)務連續(xù)性管理系統(tǒng)-導則
ISO 22315 社會安全–大規(guī)模撤離
ISO 22322 社會安全-應急管理-公共預警
ISO 22323 組織彈性管理系統(tǒng)-要求及實施指南
ISO 22325 社會安全-組織應急能力評估導則
ISO 22351 社會安全-應急管理-共享的大局意識
ISO 22397 社會安全-公私伙伴關系–建立合作協(xié)議指導方針
ISO 22398 社會安全-演練和測試指南
ISO 22324 社會安全-應急管理——顏色警報
ISO 22301標準釋義
ISO 22301是第二版管理體系標準,,為了融入ISO族標準,,該標準使用了新的組織構架和標準化文本,。這將確保和將來以及修訂后的管理體系標準一致,使一體化使用更加容易,,如ISO 9001(質(zhì)量),ISO 14001(環(huán)境)和ISO / IEC 27001(信息安全),。
組織背景
首先要了解這個組織,內(nèi)部和外部需求,,并確定管理體系的范圍,。特別需要要求組織明確其各相關方的具體要求,比如監(jiān)管機構,、顧客和員工,。它必須特別了解適用的法律法規(guī)要求。用來確定業(yè)務連續(xù)性管理系統(tǒng)的范圍,。
領導
ISO 22301特別強調(diào)業(yè)務連續(xù)性管理需要合適的領導,。這是為了最高管理層能夠確保提供適宜的資源、建立業(yè)務連續(xù)性管理系統(tǒng)方針,、任命業(yè)務連續(xù)性管理系統(tǒng)實施和維護的人員,。
策劃
這需要組織識別實施管理系統(tǒng)的風險,設立可測量的目標和運行準則,,用來衡量實施的成功與否,。
支持
由于實施需要資源支持,本條款介紹了能力的重要概念,。業(yè)務連續(xù)性實施的成功,,人的知識、技能和經(jīng)驗都必須到位,,有助于業(yè)務連續(xù)性管理系統(tǒng)的建立和事件發(fā)生時的應急響應,。同樣重要的是,所有的員工必須知道他們在應對和響應突發(fā)事件時所扮演的角色,,本條涉及上述所有領域,。業(yè)務連續(xù)性管理系統(tǒng)需要良好的溝通——例如告訴顧客,組織業(yè)務連續(xù)性管理到位——也涉及在事件發(fā)生后的溝通(當正常的溝通渠道可能被中斷),。
運行
本節(jié)包含了業(yè)務連續(xù)性運行主體的專業(yè)技能,。組織必須對業(yè)務影響進行分析,,了解其業(yè)務如何受干擾以及如何隨事件變化。風險評估試圖從結(jié)構方面了解業(yè)務風險,,這些信息可作為業(yè)務連續(xù)性策略的輸入,。在事件發(fā)生時,避免或減少事故發(fā)生的可能性是同時要采取的步驟,。因為不可能完全預測和預防所有的事件,,這種風險降低的平衡方法和規(guī)劃所有的可能性事件是互補的。換句話說:“往最好的努力,,做最壞的打算”,。ISO 22301強調(diào)的是建立一個明確的時間響應構架。這確保當事件發(fā)生時,響應及時升級,人們有權采取必要有效的措施,。強調(diào)生命的安全和一個特定的觀點是,,組織必須和外部有可能受到影響的相關方做有效的溝通,例如,,如果一個事件發(fā)生了,,其有毒或爆炸物的風險影響到周圍的公共區(qū)域。條款8也明確說明了業(yè)務連續(xù)性規(guī)劃的要求,。顯而易見的是,,用戶關注的文檔要比大的、笨重的文檔更適合于審核員,,因此相對于規(guī)模較大的計劃,,規(guī)模較小的計劃更迫切需要。在業(yè)務連續(xù)性標準中之前未解決的需求需要規(guī)劃并回歸正常業(yè)務,。隨著組織決定開始對最初的緊急情況做些什么的時候,,這個小的要求證明這種想法是錯誤的。條款8的最后部分涵蓋了演練和測試,,是業(yè)務連續(xù)管理的關鍵部分,。測試業(yè)務連續(xù)管理中的一些要素工作(通過)或者不(失敗),。例如,,測試發(fā)電機通過切換開關開始工作。一個演練通常包括測試,,但是通常是用更微妙的方式,模擬某些方面對事件做出的響應,。這通常會包括基礎的訓練和增強人們通過艱難的不尋常的特質(zhì)對事件進行處理,以及相關流程是否按預期運作,。演練和測試是ISO 22301的根本:只有通過結(jié)構化演練——才能拉近個人與團隊的參與——一個注冊可以確保目標實現(xiàn),,在需要時,其事先安排會按預期正常工作,。
評價
對于任何管理系統(tǒng),,安裝策劃進行評價均為最根本要求,。 ISO 22301因此要求組織參照適宜的運行準則選擇和測量其體系。內(nèi)審必須進行,,并且要求對BCMS進行管理評審,,對管理評審結(jié)果采取適當?shù)拇胧?/span>
改進
沒有管理系統(tǒng)在一開始就是完美的,并且組織和其環(huán)境也是不斷變化的,。第10條定義了要采取措施不斷改進BCMS,,并且確保審核、檢查,、演練等中不符合的糾正預防措施得到落實,。ISO22301的成功實施和良好實踐需要組織充分的理解其要求。每行每字的含義和相對重要性并不一定反應在致力于主題的詞匯數(shù)量上,。并不是簡單的一個項目或者一個“計劃”的策劃,,BCM是一個持續(xù)管理過程,需要能夠勝任的人員和適宜的資源和結(jié)構予以支持,。
ISO22301對需要形成的文件化信息進行了規(guī)定:
1了解組織和組織環(huán)境;
2法律和法規(guī)要求,;
3組織應通過確定BCMS的邊界和適用性來建立其范圍(存檔信息),;
4.方針(存檔信息);
5.業(yè)務連續(xù)性目標和實現(xiàn)計劃(存檔信息),;
6.能力(存檔信息),;
7.外來文件的識別和控制(存檔信息);
8.過程的策劃和控制(存檔信息),;
9.組織應建立,、實施和保持一個正式的,形成文件的業(yè)務影響分析和風險評估過程,;
10.業(yè)務影響分析,;
11.風險評估;
12.組織應以業(yè)務影響分析中已識別的恢復目標為基礎,,建立,、實施和保持業(yè)務連續(xù)性程序,來管理中斷事件和保證活動的連續(xù)性,。組織應將程序形成文件,,以確保活動的連續(xù)性和中斷事件的管理,;
13.事件響應機制,;
14.預警和溝通(存檔信息);
15.業(yè)務連續(xù)性計劃,;
16.恢復,;
17.監(jiān)視,、測量、分析和評價(存檔信息),;
18.業(yè)務連續(xù)性程序的評價(存檔信息/記錄其結(jié)果),;
19.內(nèi)部審核(存檔信息);
20.管理評審(存檔信息),;
21.不符合和糾正措施(存檔信息),。
ISO22301必須建立的過程
1組織應建立、實施和保持一個正式的,,形成文件的業(yè)務影響分析和風險評估過程,;
2業(yè)務影響分析;
3風險評估,;
4業(yè)務連續(xù)性計劃,;
ISO22301必須形成的書面程序:
1.法律和法規(guī)要求
2.溝通;
3.組織應以業(yè)務影響分析中已識別的恢復目標為基礎,,建立,、實施和保持業(yè)務連續(xù)性程序,來管理中斷事件和保證活動的連續(xù)性,。組織應將程序形成文件,,以確保活動的連續(xù)性和中斷事件的管理,;
4.事件響應機制,;
5.預警和溝通;
6.業(yè)務連續(xù)性計劃,;
7.恢復
8.監(jiān)視,、測量、分析和評價,;
9.內(nèi)部審核,。
關注卓越空間
關注卓越微博
關注卓越微信