ISO22301公共安全业务连续性管理体系条款解读

华菱企业管理咨询有限公司（北京、上海、苏州、西安、杭州、广州、合肥、江西）1一、范围本标准为有下列需求的组织规定了质量管理体系要求:1.1需要证实其具有稳定地提供满足顾客要求和适用法律法规要求的产品和服务的能力；1.2通过体系的有效应用，包括体系持续改进的过程，以及保证符合顾客和适用的法律法规要求，旨在增强顾客满意。注1:在本标准中,术语”产品”仅适用于-预期提供给顾客或顾客所要求的产品和服务，-运行过程所产生的任何预期输出。注2:法律法规要求可称作法定要求.二、组织环境2.1了解组织和组织环境组织应确定与其意图相关且影响其达到BCMS预期结果能力的外部和内部情况。在建立，实施和保持组织的BCMS时，这些情况应被考虑。组织应识别以下内容并形成文件：a）组织的活动、职能、服务、产品、合作方、供应链、与相关方的关系以及与中断事件有关的潜在影响；b）业务连续性方针和组织目标以及其他方针，包括其总体风险管理策略间的联系；c）组织的风险偏好。在构建环境时，组织应：a）阐明其目标包括与业务连续性有关的目标；b）确定会造成增加风险不确定性的外部和内部因素；c）根据风险偏好设定风险准则；d）确定BCMS的目的。2.2理解相关方的需求和期望2.2.1总则在建立BCMS时，组织应确定：a）与BCMS有关的相关方；b）这些相关方的要求（即阐明的、通常隐含的或强制性的需求和期望）。2.2.2法律和法规要求组织应建立、实施和保持一个程序（或多个程序）用以识别、利用和评估与业务运行、产品华菱企业管理咨询有限公司（北京、上海、苏州、西安、杭州、广州、合肥、江西）2和服务，以及相关方连续性要求相关的适用的法律和法规的要求。组织应确保在建立、实施和保持其BCMS时考虑这些适用的法律、法规和经组织认同的其他要求。组织应将这些信息形成文件并保持更新。应与受影响的员工和其他相关方沟通新制定或变更的法律、法规和其他要求。2.3确定业务连续性管理体系的范围2.3.1总则组织应通过确定BCMS的边界和适用性来建立其范围。组织在确定其范围时应考虑：-在4.1中涉及的外部和内部因素。-在4.2中涉及的要求。该范围应为可获得的存档信息。2.3.2BCMS的范围组织应：a）确定组织中被包含在BCMS范围内的部分；b）在考虑组织的任务、目标、内部和外部职责（包括与相关方有关的）以及法律和法规方面的责任下，建立BCMS的要求；c）识别BCMS范围内的产品、服务和相关活动；d）考虑相关方的需求和利益，例如客户投资者、股东、供应链、公共和/或社区的投入和需求、期望和利益（如适用时）；e）按照组织规模、性质和复杂性确定合适的BCMS范围。在定义范围时，组织应将删减理由形成文件，任何删减应不影响组织提供达到BCMS要求的业务和运行连续性的能力和职责，删减是由业务影响分析或风险评估和适用的法律或法规要求确定的。2.4业务连续性管理体系组织应根据本标准的要求，建立、实施、保持和改进BCMS，包括所需的过程个过程建的相互作用。三、领导力3.1领导力和承诺整个组织的最高管理者和其他相关管理人员应证明他们在BCMS方面的领导力。华菱企业管理咨询有限公司（北京、上海、苏州、西安、杭州、广州、合肥、江西）3例如：领导力和承诺能够通过激励和授权员工为BCMS的有效性做出贡献来体现。3.2管理承诺最高管理者应通过以下方式来证明其在BCMS方面的领导力和承诺：-确保已经为业务连续性管理体系制定了方针和目标与组织的战略方向是一致的；-确保业务连续性管理体系的要求纳入组织的业务过程中；-确保业务连续性管理体系所需的资源可用；-就业务连续性管理的有效性和符合BCMS要求的重要性进行传达；-确保业务连续性管理体系达到预期效果；-指导和支持员工为BCMS的有效性做贡献；-推动持续改进；-支持其他相关管理角色在其职责领域内展示其领导作用和承诺。注1：本标准中的“业务”从广义上解释为对于组织的存在而言具有核心价值的活。最高管理者应通过以下活动为建立、实施、运行、监视、评审、保持和改进BCMS的承诺提供证据：-建立业务连续性方针；-确保BCMS目标和计划已被制定；-为业务连续性管理确定角色、职责和能力；-任命一名或多名具有适当权限和能力的BCMS负责人员来负责实施和保持BCMS。注2：这些人员在组织内部可以承担其他职责。最高管理者应通过以下方式确保相关角色的职责和职权在组织内被授权和传达：-确定风险接受准则和可接受的风险级别；-积极参与演练和测试；-确保BCMS的内部审核被执行；-实施BCMS的管理评审；-证明其对持续改进的承诺。3.3方针最高管理者应建立业务连续性方针，该方针应：a）符合组织的宗旨；b）为业务连续性目标的制定提供框架；c）包含满足适应要求的承诺；华菱企业管理咨询有限公司（北京、上海、苏州、西安、杭州、广州、合肥、江西）4d）包含对BCMS进行持续改进的承诺。BCMS方针应：-为可获得的存档信息；-在组织内部传达；-适当时使相关方能够获得；-在规定的时间间隔内或当重大变化发生时对持续适用性进行评审。组织应保留业务连续性方针方面的存档信息。3.4组织的角色、职责和权力最高管理者应该确保相关角色的职责和权限在组织内部被授权和传达。最高管理者应分配职责和职权以：a）确保管理体系符合本标准的要求；b）向最高管理者报告BCMS的绩效。四、策划4.1应对风险和机会的措施当进行BCMS的策划时，组织应考虑4.1提到的因素和4.2提到的要求，以确定需要应对的风险和机会以：a）确保管理体系能够达到预期结果；b）防止或减少不良影响；c）实现持续改进；组织应策划：a）应对风险和机会的措施；b）如何：1）将这些措施在BCMS的过程中进行整合和实施（见8.1）；2）评估这些措施的有效性（见9.1）。4.2业务连续性目标和实现计划最高管理者应确保制定业务连续性目标并将其传达给组织内具有相关职责的人员。业务连续性目标应：a）与业务连续性方针保持一致；b）考虑组织为实现目标所能接受的产品和服务的最低级别；华菱企业管理咨询有限公司（北京、上海、苏州、西安、杭州、广州、合肥、江西）5c）是可测量的；d）考虑适用的要求；e）进行监视和适当的更新。组织应保留与业务连续性目标有关的存档信息。为了达到业务连续性目标，组织应确定：-谁将负责；-要做什么；-需要什么资源；-什么时候完成；-怎样评估结果。五、支持5.1资源组织应确定并提供建立、实施、保持和持续改进BCMS所需的资源。5.2能力组织应：a）根据绩效影响，确定其管理下的工作人员应具备的必要能力；b）确保人员在适当的教育、培训和实践经验的基础上能够胜任；c）在适用的情况下，采取措施以获得必要的能力，并评估所采取措施的有效性；d）保留适当的存档信息作为能力的证据。注：适用的措施包括：提供培训、指导、重新分配当前工作人员或聘任有能力的人。5.3意识在组织管理下的工作人员应了解：a）业务连续性方针；b）他们对BCMS有效性的贡献，包括改进业务连续性管理绩效带来的益处；c）不符合BCMS要求的后果；d）在发生中断事件时各自的角色。5.4沟通组织应确定与BCMS有关的内部和外部沟通的需求，包括：a）沟通的内容；华菱企业管理咨询有限公司（北京、上海、苏州、西安、杭州、广州、合肥、江西）6b）沟通的时机；c）沟通的对象。组织应建立、实施和保持一个程序（或多个程序）以实现：-与组织的相关方和雇员之间的内部沟通；-与顾客、合作方、当地社区和包括媒体在内的其他相关方的外部沟通；-收集、存档、和回应来自相关方的信息；-在适当的情况下，采用和纳入国家或地区的威胁预警体系（或类似的体系），供规划和运行使用；-发生中断事件时，确保沟通手段的可用性；-在合适的情况下，促进与相关政府机构进行有组织的沟通，确保多个响应机构和人员之间的协作；-对于正常通信中断期间所需要的备用通信方式进行操作和测试。注：关于应对事件的更多沟通要求，见6.4.3.5.5存档信息5.5.1总则组织的BCMS应包括：-本标准所要求的存档信息；-由组织确定的为实现BCMS绩效而必须的存档信息。注：BCMS的存档信息范围因组织而异：-组组长的规模以及它的活动、过程、产品和服务的类型；-过程及相互作用的复杂性；-人员能力5.5.2创建和更新在创建和更新存档信息时，组织应确保合适的：a）标识和描述（如标题、日期、作者或编号）；b）格式（例如语言、软件版本、图形）、介质（例如纸质、电子的）以及对适宜性和充分性的评审和审批。5.5.3存档信息的管理BCMS和本标准所要求的存档信息应受控以确保：a）在需要使用的地点和时间是可用的和适宜的；b）得到切实的保护（例如丧失机密性、使用不当或失去完整性）。华菱企业管理咨询有限公司（北京、上海、苏州、西安、杭州、广州、合肥、江西）7适当时，组织应采取以下措施对存档信息进行控制：-分发、访问、获取和使用；-存储和保存，包括保护可读性；-变更控制（例如版本控制）；-保留和处置；-获取和使用；-可读性（即清晰可读）的保持；-防止作废文件的非预期使用。根据具体情况，组织确定的在BCMS的策划和运行中所必须的外来存档信息应被识别和控制。建立存档信息的控制时，组织应确保对存档信息进行充分的保护（例如避免信息泄露、未授权修改或删除）。注：信息获取权是指有关存档信息浏览许可的决定，或浏览和改变存档信息的许可和权力。六、实施6.1实施的策划和控制组织应通过以下方式策划、实施和控制为满足要求所需要的过程，并实施6.1中所确定的措施。a）建立过程准则；b）按照准则执行这些过程的控制；c）为了确定流程按计划进行，在必要的范围内保留存档信息。组织应控制计划内的变更以及评审非预期的变更带来的结果，必要时采取行动减轻负面影响。组织应确保外包过程的受控。6.2业务影响分析和风险评估6.2.1总则组织应建立、实施和保持一个正式的、形成文件的业务影响分析和风险评估过程。a）建立评估的环境、确定标准和评估中断事件的潜在影响；b）考虑组织遵从的法律要求和其他要求；c）包括系统的分析、风险处置优先级以及相关的成本；d）明确业务影响分析和风险评估所要求的输出；e）提出输出信息更新和保密的要求。注：不同的业务影响分析和风险评估方法会决定上述活动的执行顺序。华菱企业管理咨询有限公司（北京、上海、苏州、西安、杭州、广州、合肥、江西）86.2.2业务影响分析组织应建立、实施、保持一个正式的、形成文件的确定连续性和恢复优先级、目标和指标的评价过程。这个过程应包括对支持该组织的产品和服务活动中断所造成的影响的评估。业务影响分析应包括以下内容：a）识别支持产品和服务交付的活动；b）评估这些活动中断后随时间推移的影响；c）在最低可接受水平上制定业务恢复优先级时间表，要考虑在某时间内，没有恢复这些业务所造成的影响是不可接受的；d）识别这些活动间的依赖关系及资源支持，包括供应商、外包方和其他相关方。6.2.3风险评估组织应建立、实施和保持一个正式的形成文件的风险评估过程。该过程能系统地识别、分析和评价中断事件给组织带来的风险。注：这一过程可以参考ISO31000来制定。组织应：a）识别中断对于组织的优先活动以及过程、系统、信息、人员、资产、外包方和其他支持资源所带来的风险；b）系统地分析风险；c）评价哪种中断风险需要处理；d）识别与业务连续性目标相符以及与组织的风险偏好一致的处理措施。注：组织必须意识到特定金融或政府部门会对这些风险披露的详细程度有要求。另外，特定的社会需求也要求在适当程度上共享此类信息。6.3业务连续性策略6.3.1确定和选择策略的确定和选择应以业务影响分析和风险评估的输出结果为基础。组织应确定一个适当的业务连续性策略以：a）保护优先活动；b）稳定、连续、重启和恢复优先活动以及该活动所依赖的活动和支持资源；c）减轻、响应和管理影响。策略的确定应该包括批准活动恢复的优先级时间表。华菱企业管理咨询有限公司（北京、上海、苏州、西安、杭州、广州、合肥、江西）9组织应对供应商的业务连续能力进行评价。6.3.2建立资源要求组织应为执行所选择的策略设置资源要求。所需考虑的资