ISO22301_2012业务连续性管理体系标准解读

中国 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 化 2012年第9期 / 总第432期 76 ISO 22301:2012业务连续性管理 体系标准解读 ■ 范洲平 （中国标准化杂志社） 摘 要：本文主要介绍了ISO 22301:2012《公共安全—业务连续性管理体系-要求》标准的制定背景及目的意义,阐述了该标 准重要条款的内容要求。 关键词： ISO 22301:2012 标准 业务连续性管理体系（BCMS） 标准要求 Interpretation of ISO 22301:2012 Societal Security – Business Continuity Management Systems – Requirements FAN Zhou-ping (China Standardzation Press, Beijing,100101) Abstract: This Paper introduces the background and significance of ISO 22301:2012 Societal security – Business continuity management systems – Requirements, and explaines it's requirements. Keywords: ISO 22301:2012 standard, business continuity management system (BCMS), requirements of standard 1 前言 当前，由于自然灾害及人为事故频繁发生，企 业业务运作的不确定性和风险大幅度增加，而加强 企业的业务连续性管理则成为打造最佳企业应急 预案的必然选择。 为了满足企业对统一的业务连续性管理国际 标准的需求，ISO公共安全技术委员会ISO/TC 223， 制定了ISO 22301:2012《公共安全—业务连续性管 理体系-要求》标准。该国际标准采纳了全球利益 相关方、合作者等各方意见和建议，于最近发布 实施。 ISO 22301:2012致力于使公共或私有部门的组 织更具有适应性，其管理体系框架能够帮助企业制 定一套一体化的管理流程 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 ，使企业对潜在的灾 难加以辨别分析，帮助其确定可能发生的冲击对企 标准评介 中国标准化 2012年第9期 / 总第432期 77 业的运作造成的威胁，并提供一个有效的管理机制 来阻止或抵消这些威胁，减少灾难事件给企业带来 的损失。 本文主要介绍ISO 22301:2012的制定背景、目 的、意义以及重要条款内容，以对我国相关企业采 用该标准提供帮助。 2 背景 在上世纪80年代至90年代初，应急计划和灾 难恢复很大程度上依靠信息技术，以对影响业务的 自然灾害和恐怖主义作出响应。后来，人们越来越 认识到应急计划和灾难恢复应该成为业务主导的 过程并包含应对各种类型的灾害。因此，业务连续 性管理(BCM)成为一门学科。 由于政府部门和立法部门开始认识到业务连 续性在降低社会破坏性事故方面的作用，他们不断 致力于安排适宜的业务连续性关键人员；同样，行 业认识到，他们应相互依靠，即使事故发生时，他们 也要努力保证关键供应商和合作伙伴能持续提供 关键产品和服务。 因此，需要一个公认的BCM良好规范基准和针 对该问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 的一些国家标准，这得到了澳大利亚、新 加坡、英国和美国的支持。英国发布了管理体系标 准BS 25999，使组织能在第一时间获得认可的证书。 ISO于2006年在意大利佛罗伦萨召开了“应急 响应”研讨会，ISO 22301标准制定工作就此开始启 动。同时许多专家认为，其国家标准最适合制定成为 一项国际标准。这显然是行不通的，所以，ISO将所有 主要专家聚集在一起来识别标准之间的相似性，这 种协调一致的精神促进了称之为ISO/PAS 22399:2007 《事故应对和连续性管理》指南文件的发布。 在制定ISO 22301时面临挑战，因为有许多有关 此学科的国家文件，这在协调时遇到了困难。于是， ISO技术委员会在最初制定的草案文本中采用了一些 国家标准的建议，并逐步细化成为一个全世界都适 用的新的协调一致的良好规范文件。新的ISO 22301 标准采纳了来自澳大利亚、法国、德国、日本、朝鲜、 新加坡、瑞典、泰国、英国和美国的重要建议，以及 许多其他利益相关方的建议，因此可以说，ISO 22301 标准的发布是真正的国际性参与和建议的成果。 3 目的和意义 ISO22301：2012《公共安全—业务连续性管理 体系-要求》将帮助所有的组织，无论其规模大小、 地域或开展的活动如何，在处理任何类型的风险时 能更好地应对并更具信心。 在任何时候事故都能使组织的业务中断，采用 ISO 22301标准将保证组织能够应对事故并保证其 业务的持续运行。事故发生有多种类型，从严重的 自然灾害和恐怖主义活动到与技术相关的事故和环 境事故。然而，许多事故虽然小，但能产生严重的影 响，这在任何时候都与业务连续性管理紧密相关。 目前，业务连续性管理已经引起全球的关注， 无论是公共或私有部门的组织都必须了解如何准备 和应对意外的破坏性的事故发生。ISO 22301标准 为业务连续性管理体系(BCMS)的策划、建立、实施、 运行、监视、评审、保持和持续改进提供了框架。当 破坏性的事故发生时，该标准将有助于组织的防护、 准备、响应和恢复。 实施ISO 22301标准的组织将能够向立法部门、 执法部门、消费者和潜在消费者以及其他的利益相 关方证明，他们满足了BCM良好规范的要求。同时， 该新标准也可用于组织内部按照良好规范进行内部 检查，并通过内审员出具管理报告。 ISO 22301将帮助组织在 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 BCMS时适宜地 满足自身的要求和满足其利益相关方的要求，这些要 求涉及：法律法规、组织和行业因素、组织的产品和 服务、组织的规模和结构、组织的过程和其利益相关 方。为了使组织更好地运行，ISO 22301标准要求组织 应完全理解其要求，而不仅仅是一个项目或制定“一 项计划”。BCM是一个连续的管理过程，需要有能力 的人员来运作，当需要时，应提供适当的支持。 范洲平：ISO 22301:2012业务连续性管理体系标准解读 中国标准化 2012年第9期 / 总第432期 78 ISO 22301是符合新的ISO管理体系标准编写 格式的第一个标准。这将有助于对标准内容的理解， 并保证与其他管理体系，如ISO 9001 (质量管理体系)、 ISO 14001 (环境管理体系) 和ISO/IEC 27001 (信息安 全管理体系) 的一致性。ISO 22301是用于BCM的管 理体系标准，适用于所有规模和类型的组织第三方 认证以及自我评价。这些组织将能够获得符合该标 准要求的全球承认的证书，从而向立法部门、执法 部门、顾客、潜在顾客和其他利益相关方证明，他们 满足了BCM良好规范要求。ISO 22301标准也能使业 务连续性经理向最高管理者表明，已经满足了国际 标准要求。为了帮助用户更好地理解标准，该新标 准对BCM关键要素作了简要介绍。 在每一个企业，业务的连续性都有重要的作用， ISO 22301标准在全世界有具大的潜力。目前许多 国家已经开始采用ISO 22301标准，如新加坡和英国， 他们用ISO 22301替代了现行的国家标准。这表明 该标准用户基础潜力巨大并可取得预期收益。ISO 22301是ISO/TC 223公共安全技术委员会所制定的 系列标准之一，例如：称之为ISO 22313的补充文件正 在制定，并有望于2013年年初发布。这个ISO 22313 标准包括实施ISO 22301标准的指南，以对ISO 22301 的每一个要求提供更为详细的指导。 4 主要内容 ISO 22301标准分为10个主要条款，前三款分 别是范围、规范性文献、术语和定义，下面介绍该标 准的其他主要条款要求。 4.1 第四款：组织 首先，组织应了解内部和外部需求，对管理体 系的范围划定明确的界线。这尤其要求组织了解利 益相关方的需求，如立法部门、顾客和员工的需求。 组织尤其必须了解适宜的法律法规要求，这将保证 组织确定业务连续性管理体系(BCMS)的范围。 4.2 第五款：领导 ISO 22301特别强调了对合格的BCM领导的需 求。这使得最高管理者能保证提供合适的资源、制 定政策并任命人员来实施和维护BCMS。 4.3 第六款：策划 这一款要求组织识别BCMS实施的风险,并制 定明确的目标和标准用于测量其成效。 4.4 第七款：支撑 由于BCMS的实施需要资源,第七款引入了“能 力”这一重要概念。为了业务连续性获得成功，必 须具有相应知识、技能和经验的人员从事BCMS 的管理并当事故发生时作出应对。在应对事故方 面，所有的员工认识到自己的职责也是非常重要 的，这一条款涉及这方面的所有内容。这一条款也 涵盖BCMS沟通的需求，如：告诉顾客组织有适宜的 BCM在运行并做好事故发生时沟通的准备（当正常 的渠道中断时）。 4.5 第八款：运行 这一款包括业务连续性的主体——专门技能。 组织必须进行业务影响分析，以了解其业务中断产 生的影响及随时间发生的变化。风险评估致力于识 别业务在结构方面的风险，这些风险对业务连续性 战略的制定将会产生影响。避免或降低事故发生的 措施应与事故发生时采取的措施同时制定。由于无 法完全预测和防止所有事故，所以降低风险和对不 测作出应对计划对于所有意外事故来说是互补的， 也就是通常所说的抱最好的愿望做最坏的打算。 ISO 22301强调需要很好地确定事故响应结 构。这样可保证事故发生时快速响应，被授权的人 能采取必要的有效措施。该新标准还强调了生命安 全，关键点是组织必须与外部可能遭受影响的相关 方沟通，例如：如果事故给周边公共区域带来有毒 或爆炸的风险时。 在条款八中也提出了业务连续性计划的需求， 适合用户的简明易懂的文件比供审核员使用的冗长 晦涩的文件更有用。因此，小计划比庞大的计划可 能更需要。 第八款的最后一部分涉及运行和测试，这是 BCM的关键部分。测试的目的是证明业务连续性管 范洲平：ISO 22301:2012业务连续性管理体系标准解读 中国标准化 2012年第9期 / 总第432期 79 理的一些要素是否有效，例如：有可能测试发电机 打开以后是否运行。运行可以包括测试，通常采用 相近的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 模拟应对事故，这通常包括培训要素和 树立应对具有一定难度的异常破坏性事故的意识， 同时要弄清程序是否如期运行。 4.6 第九款：评价 对任何管理体系而言，按照计划评价性能至 关重要。因此，ISO 22301要求组织应按照适宜的 性能方法对自身进行评价。组织必须进行内审， 还要进行BCMS的管理评审，并根据评审结果采取 相应措施。 4.7 第十款：改进 每个管理体系一开始都不可能尽善尽美，组 织及其环境是不断变化的。第十款提出了随后改进 BCMS采取的措施，并保证通过审核、评审、运行等 而提出纠正措施。 5 结语 ISO 22301：2012是以其他管理体系标准所依 据的“计划-执行-检查-行动”PDCA循环模式为 基础创建的，其主要特点有：规定了业务连续性管 理体系（BCMS）的要求； BCMS的采用和取得对标 准实施的认证，可以证明企业已做好准备，可以应 对灾难性事件的发生并且应该能够持续保持现状； 规定的要求具有广泛的适用性，可以适用于任何类 型或规模的企业；可以将危机和灾难性事件造成的 财务影响最小化。 目前，ISO 22301标准已得到国际上的认可，它 强调制定目标、监测性能和指标,对企业的管理层 提出了更高的期望，对业务连续性计划的制定提出 了更高的要求。按照ISO22301：2012的规定推广应 用BCMS要求，将可以使企业向员工、顾客、供应商、 股东等利益相关方证明，企业已经做好应对危机和 灾难性事件的准备，否则，可能会严重影响企业目标 的实现。企业如果没有建立与运行BCMS，面对灾难 性的事件时将会措手不及，将会造成严重的后果,如： 客户流失、声誉受损、资金损失，甚至可能倒闭。 在当今经济全球化的背景下，面对巨大的商业 和社会变化，以及各种灾害和事故因素的挑战，理 解业务连续性管理体系（BCMS）的目的和价值具有 重要意义。我国企业应很好地了解ISO 22301:2012标 准的要求和内涵，建立BCMS管理体系，并且将实施 BCMS作为一个切实可靠的策略，用以保护企业利 益相关方的利益，同时将危机和灾难性事件造成的 负面影响降至最低。 参考文献 [1] ISO publishes new standard for business continuity management. [2] Business continuity - ISO 22301 when things go seriously wrong. 范洲平：ISO 22301:2012业务连续性管理体系标准解读 社会安全系列国际标准制定情况 ISO/TC223之前制定了以下系列标准： ● ISO22300:2012《社会安全-术语》 ● ISO22320：2011《社会安全-应急管理-事 故响应要求》 ● ISO/TR22312:2011《社会安全－技术能力》 ● ISO/PAS22399:2007《社会安全-事故准备 和运行连续性管理指南》 ISO/TC224正在制定以下标准： ● ISO22311《社会安全-录像监控-输出的互 操作性》 ● ISO22313《社会安全－业务连续性管理体 系－指南》 ● ISO22315《社会安全－大规模疏散》 ● ISO22322《社会安全－应急管理－公众预警》 ● ISO22323《社会安全－组织恢复能力管理 体系－指南实施要求》 ● ISO22325《社会安全－组织应急能力评估指南》 ● ISO22351《社会安全－应急管理－现状认识 共享》 ● ISO22397《社会安全-公私合作-建立合作 协议指南》 ● ISO22398《社会安全－实践与实验指南》 ● ISO22324《社会安全－应急管理－颜色－警 报代码》