業務連續性管理體系簡稱BCMS，ISO22301標準是全球首部業務連續性管理的國際標準，旨在幫助組織建立預案和確保其業務在面對外部威脅時能夠持續。ISO22301業務連續性管理體系廣泛適用于信息安全、信息技術服務、公共服務、社會組織等社會服務行業，同時還適用于各種規模的商業、金融業、加工制造業等風險級別較高的組織。

文章目錄

一、什么是業務連續性管理體系

業務連續性管理體系（BusinessContinuityManagementSystems）簡稱BCMS，業務連續性管理標準是全球首部業務連續性管理(BCM)的國際標準，旨在幫助組織建立預案和確保其業務在面對外部威脅時能夠持續，例如自然災害或者信息安全漏洞。這些日益增長的威脅可能會導致供應鏈中斷，人員流失，或對公司庫存或財產造成損害，最終會越過你的底線。

1. “業務連續性”的概念來源于計算機技術中的“容災”和“恢復計劃”，是一個組織整體或部分過程持續運行能力的指標。經過多年發展，“業務連續性”已廣泛應用于各種規模的生產型和服務型組織，并進一步發展成為“業務連續性管理體系”，成為各個組織整體管理體系中的核心部分。
2. BCMS采用PDCA的過程方法，通過對風險的識別、分析和預警來幫助組織規避潛在事件的發生，并且制定完備的“業務連續性計劃“，有效的應對中斷發生后的快速恢復，保持核心功能正常運行，將損失和恢復成本降至最低。
3. BCMS是多個過程的集合，它將組織管理體系中的各個環節聯系并統一起來，為識別的風險制定適宜的風險策略和風險計劃，并且為組織制定一套有效的業務連續性計劃演練和測量方案。
4. BCMS廣泛適用于信息安全、信息技術服務、公共服務、社會組織等社會服務行業，同時還適用于各種規模的商業、金融業、加工制造業等風險級別較高的組織。

二、ISO22301業務連續性管理體系標準

其實，ISO22301并不是一個新的標準，早在2012年國家標準化組織發布ISO 22301:2012標準時就已經全球已經有4000多個組織已經持有了ISO22301的證書。隨著該標準在不同的行業中傳播，被越來越多的人所熟知。

現行的業務連續性管理體系標準是ISO22301:2019，也就是國際標準化組織（ISO）于2019年10月發布的ISO22301:2019標準，該標準用以替代ISO22301:2012標準。

業務連續性管理體系常用的有兩個標準：

• ISO 22301:2019 公共安全 業務連續性管理體系  要求
• ISO 22313:2020 公共安全 業務連續性管理體系  指南

（一）、ISO22301:2019標準構成：

1.范圍：解釋該標準適用于任何類型的組織。

2.規范性引用文件：引用ISO22300作為標準，其中對ISO22301:2019中使用的某些術語進行了定義。

3.術語和定義：再次參考ISO22300。

4.組織的背景：此部分是PDCA周期中計劃階段的一部分，并定義了了解外部和內部問題，相關方及其要求以及定義BCMS范圍的要求。

4.1對組織及其背景的理解

4.2了解有關方面的需求和期望

4.3確定業務連續性管理系統的范圍

4.4業務連續性管理系統

5.領導力：此部分是PDCA周期計劃階段的一部分，定義高層管理人員的職責，設置角色，職責和權限以及高層業務連續性策略的內容。

5.1領導和承諾

5.2政策

5.3角色，職責和權限

6.計劃：此部分是PDCA周期中計劃階段的一部分，它定義了解決風險和機遇，設置業務連續性目標以及計劃對BCMS進行更改的要求。

6.1應對風險和機遇的行動

6.2業務連續性目標和實現這些目標的計劃

6.3規劃業務連續性管理系統的變更

7.支持：此部分是PDCA周期中計劃階段的一部分，并定義了對資源可用性，能力，意識，溝通和文件和記錄控制的要求。

7.1資源

7.2能力

7.3意識

7.4溝通

7.5文件信息

8.運營：此部分是PDCA周期中Do階段的一部分，定義了業務影響分析，風險評估和處理，業務連續性策略，解決方案，計劃和程序，練習程序以及業務連續性文檔和評估的實施。實現業務連續性目標的能力。

8.1運作計劃與控制

8.2業務影響分析和風險評估

8.3業務連續性策略和解決方案

8.4業務連續性計劃和程序

8.5鍛煉計劃

8.6業務連續性文檔和功能的評估

9.績效評估：此部分是PDCA周期檢查階段的一部分，并定義了監視，度量，分析，評估，內部審核和管理評審的要求。

9.1監控，測量，分析和評估

9.2內部審核

9.3管理評審

10.改進：此部分是PDCA周期中法案階段的一部分，它定義了不合格，糾正，糾正措施和持續改進的要求。

10.1不合格和糾正措施

10.2持續改進

（二）、ISO22301:2019標準的“術語和定義”

1.業務連續性businesscontinuity

在中斷事件發生后，組織在預先確定的可接受的水平上連續交付產品或提供服務的能力。

2.業務連續性管理businesscontinuitymanagement

識別對組織的潛在威脅以及這些威脅一旦發生可能對業務運行帶來的影響的一整套管理過程。該過程為組織建立有效應對威脅的自我恢復能力提供了框架，以保護關鍵相關方的利益、聲譽、品牌和創造價值的活動

3.業務連續管理體系

用于建立、實施、運行、監視、評審、保持和改進業務連續性，是一個組織整個管理體系的一部分。

4.業務連續性計劃

用于指導組織在業務中斷時進行響應、恢復、重新開始和還原到預先確定的業務運行水平的形式文件的程序

5.業務影響分析（BIA）

分析活動和業務中斷可能帶來的影響的過程

6.事件icident

可能或將導致中斷、損失、緊急情況或危機的情況

7.最長可接受中斷事件MAO

不能提供產品/服務，或者活動無法進行可能帶來的負面影響，變得不能接受之前的時間。

8.最長可容忍中斷時間MTPD

不能提供產品/服務，或者活動無法進行可能帶來的負面影響，變得不能容忍之前額時間。

9.最小業務連續性目標MBCO

在中斷中組織為達到其業務連續性目標可以接受的最低標準的服務和（或）產品。

10.互助協議mutualaidagreement

兩個或多個實體為了互相幫助而預先達成的共識

11.恢復點目標recoverypointobjective;RPO

為使活動能夠恢復進行，而必須將該活動所用的信息恢復到某時間點。

12.恢復時間目標recoverytimeobjective;RTO

事件發生后到下列活動完成之間的時間段。產品或服務必須恢復，或活動必須恢復，或資源必須復原，

三、ISO22301業務連續性管理體系實施流程

BCMS采用PDCA的過程方法，通過對風險的識別、分析和預警來幫助組織規避潛在事件的發生，并且制定完備的“業務連續性計劃“，有效的應對中斷發生后的快速恢復，保持核心功能正常運行，將損失和恢復成本降至最低。

“業務影響分析”（簡稱BIA）是BCMS的核心過程之一，它通過評估組織的產品或服務活動發生中斷時所產生的影響程度，來確定產品或服務的優先級、恢復順序和指標。BIA包括業務范圍界定和數據采集分析、業務重要性分析、資源分析、確定優先級和恢復順序等幾個步驟。

以IT服務企業為例，BIA首先要確定BCMS的覆蓋范圍，包括SLAs、多場所，并通過人員訪談、討論和問卷調查等方法收集組織內部及相關方中曾經發生和有可能發生的影響IT服務“業務連續性“的因素和過程，包括軟硬件配置、人員能力、法律法規、客戶需求、電力和消防等支持系統。然后使用定性分析和定量分析相結合的方法，依據收集來的因素和過程對IT服務功能和中斷的影響程度進行分析，初步確定各項服務的重要程度，如關鍵服務、重要服務、可暫緩服務等。再然后分析正常運行IT服務和中斷后恢復所必須的資源，和資源間的相互關系。最后確定服務的優先級和恢復順序，以及服務恢復指標，通常使用“恢復時間目標”（RTO）和“恢復點目標”（RPO）做為恢復指標。

具體的實施流程如下：

1）組織與策劃

• 建立過程準則
• 過程控制
• 為了確定流程按計劃執行，在必要的范圍內保留存檔信息

2）業務影響分析和風險評估

①組織應建立、實施和保持一個正式的、形成文件的業務影響分析（BIA）和風險評估過程

• 建立評估的環境、確定標準和中斷事件的潛在影響
• 考慮組織遵從的法律要求和其他要求
• 包括系統的分析、風險處置優先級以及相關的成本
• 明確業務影響分析和風險評估所要求的輸出
• 提出輸出信息更新和波阿媽的要求。

②BIA的活動：

• 識別支持產品和服務額交付的活動
• 評估這些活動中斷后隨時間推移的影響
• 在最低可接受水平上制定業務恢復優先級時間表，要考慮在某時間內，沒有恢復這些業務所造成的影響是不可接受的。
• 識別這些活動間的依賴關系及支持資源，包括供應商、外包方和其他相關方

③風險評估

• 識別、分析和評價中斷事件給組織帶來的風險。

備注：這里要說下筆者對于風險評估和BIA的關系：BIA分析的最終目的是要給業務連續性排優先級，而優先級的輸入是風險評估的結果（發生時間的影響和投入產出比）。

3）業務連續性策略

• 確定和選擇
• 建立資源要求
• 保護和緩解
• 此部分是根據BIA的結論選擇合理的（性價比高的）的措施，例如資源的保障（人、財、物）、實施備份措施（保護和緩解措施，風險應對）、建立互惠協議（風險轉移）等等

4）建立和實施業務連續性程序

• 建立適當的內部和外部溝通協議
• 針對業務中斷期間需要采取的緊急步驟進行詳細規定
• 靈活地應對非預期的威脅和不斷變化的內部和外部環境
• 關注可能導致潛在運行中斷的事態影響
• 在已提出的假設和在相互依賴的關系分析的基礎上進行開發
• 通過實施適當的減緩策略有效地將后果最小化

備注：此過程是針對業務的連續性一旦發生而假定的流程、步驟、配套資源。實際在事件一旦發生后，好的業務連續性管理，直接參考業務連續性開展相關工作，不好的就是兩張皮了。

ISO22301業務連續性管理體系實施過程和要求

①事件響應機制：需要根據風險評估結果做好風險處置預案

②預警和溝通：需要設置風險預警指標，以便在觸發風險預警時給啟動風險處置預案留下反應時間

③業務連續性計劃：組織應建立響應中斷事件，以及如何在預定的時間內繼續或恢復其活動的文件化程序。

• 確定在事件發生時和發生后相關人員和團隊的角色和職責
• 一個啟動響應的過程
• 處理中斷時間所造成額直接后果的詳細說明。
• 如何以及在何種情況下組織與員工及其親屬、關鍵相關方、以及緊急聯絡人進行溝通
• 組織獎如何在預定的時間里繼續和恢復其優先活動。
• 事件發生后，組織的媒體響應的詳細說明
• 事件一旦結束后的退出過程。

④恢復：組織應有用以在事件發生后從所采用的臨時措施中恢復并重新開始業務正?；顒拥奈募绦颉?/p>

⑤演練和測試：制定完相應的預案后需要進行演練和測試，通過測試找出其中的漏洞加以完善，通過演練，讓全員熟悉和適應“應急處置”狀態。

5）績效評估

①監視、測量、分析和評估

②內部審核:組織應按照計劃的時間間隔進行內部審核，提供信息以表明業務連續性管理體系示范符合相關情況

③管理評審:最高管理者應按計劃的時間間隔評審組織的BCMS，以確保其持續適宜、充分和有效

四、ISO22301業務連續性管理體系認證條件及所需資料清單

1、認證必備條件

（1）“業務連續性管理體系”運行三個月；

（2）已充分的識別了風險并評估了對業務的影響程度；

（3）已制定完備的業務連續性計劃并有效實施。

2、認證所需資料清單

（1）法律地位證明文件（如企業法人營業執照、事業單位法人代碼證書、社團法人登記證等），組織機構代碼證復印件加蓋公章。存在時，應提交分支機構的營業執照和組織機構代碼證復印件加蓋公章；

（2）臨時場所清單（如工程建設施工組織在建項目清單、信息安全管理體系及信息技術服務管理體系的臨時服務點）；

（3）適用的法律法規的標準的清單；

（4）取得相關法規規定的行政許可文件(適用時)；

（5）業務影響分析報告、風險評估報告和業務連續性計劃；

（6）BCMS體系文件，包括：方針、目標、范圍、組織為過程運行及溝通而保持的信息，必須提供：組織簡介、組織結構（組織機構圖）、人員情況和職能分工、過程路線圖/工藝流程圖/過程描述（應明確說明關鍵過程和特殊過程）及其有關的過程文件；

（7）管理體系認證申請書。

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202310/ccaa_55667.html