ISO22301社会安全业务连续性管理体系要求

老规矩

    ISO22301社会安全业务连续性管理体系要求

ISO22301：2012《社会安全 业务连续性管理体系要求》，该标准由ISO／TC223组织制定，适用于所有行业中的大、中、小型公有及私有企业，其目的在于帮助企业对潜在的灾难加以甄别与分析，及早确定可能发生的冲击对企业运作造成的威胁，并提供合理的管理机制有效地阻止或抵消这些不确定事件造成的威胁，减少突发事件给企业带来的损失，保证企业日常业务运行的平稳有序。

ISO 22301的前身——社会安全背景

    ISO 22301由ISO/TC 223-社会安全,发展而来。该技术委员会开发这个标准是为了保护社会，应对社会事件、紧急情况以及一些故意或非故意造成的灾难、自然灾害和技术故障。这些危险的视角涵盖适宜性以及在在破坏性时间发生之前、期间和之后的所有阶段的策划，包括主动策划和被动策划。社会安全是一个多学科领域，包括公共和私营部门。
委员会已事先发布了以下标准和其他文件：
    ISO 22300:2012，社会安全——术语
    ISO 22301:2012，社会安全——业务连续性管理体系要求
    ISO 22320:2011，社会安全——紧急情况管理--突发事件响应的要求
    ISO/TR 22312:2011，社会安全——技术能力
    ISO/PAS 22399:2007，社会安全——事故准备和业务持续性管理指南
以下项目正在开发：
    ISO 22311 社会安全-视频监控-互动性输出
    ISO 22313 社会安全-业务连续性管理系统-导则
    ISO 22315 社会安全–大规模撤离
    ISO 22322 社会安全-应急管理-公共预警
    ISO 22323 组织弹性管理系统-要求及实施指南
    ISO 22325 社会安全-组织应急能力评估导则
    ISO 22351 社会安全-应急管理-共享的大局意识
    ISO 22397 社会安全-公私伙伴关系–建立合作协议指导方针
    ISO 22398 社会安全-演练和测试指南
    ISO 22324 社会安全-应急管理——颜色警报

ISO 22301标准释义

    ISO 22301是第二版管理体系标准，为了融入ISO族标准，该标准使用了新的组织构架和标准化文本。这将确保和将来以及修订后的管理体系标准一致，使一体化使用更加容易，如ISO 9001(质量),ISO 14001(环境)和ISO / IEC 27001(信息安全)。

条款4 组织背景
    首先要了解这个组织，内部和外部需求，并确定管理体系的范围。特别需要要求组织明确其各相关方的具体要求，比如监管机构、顾客和员工。它必须特别了解适用的法律法规要求。用来确定业务连续性管理系统的范围。

条款5 领导
    ISO 22301特别强调业务连续性管理需要合适的领导。这是为了最高管理层能够确保提供适宜的资源、建立业务连续性管理系统方针、任命业务连续性管理系统实施和维护的人员。

条款6 策划
    这需要组织识别实施管理系统的风险，设立可测量的目标和运行准则，用来衡量实施的成功与否。

条款7 支持
    由于实施需要资源支持，本条款介绍了能力的重要概念。业务连续性实施的成功，人的知识、技能和经验都必须到位，有助于业务连续性管理系统的建立和事件发生时的应急响应。
    同样重要的是，所有的员工必须知道他们在应对和响应突发事件时所扮演的角色，本条涉及上述所有领域。业务连续性管理系统需要良好的沟通——例如告诉顾客，组织业务连续性管理到位——也涉及在事件发生后的沟通（当正常的沟通渠道可能被中断）。

条款8 运行
    本节包含了业务连续性运行主体的专业技能。组织必须对业务影响进行分析，了解其业务如何受干扰以及如何随事件变化。风险评估试图从结构方面了解业务风险，这些信息可作为业务连续性策略的输入。
    在事件发生时，避免或减少事故发生的可能性是同时要采取的步骤。因为不可能完全预测和预防所有的事件，这种风险降低的平衡方法和规划所有的可能性事件是互补的。换句话说：“往最好的努力，做最坏的打算”。ISO 22301强调的是建立一个明确的时间响应构架。
    这确保当事件发生时,响应及时升级,人们有权采取必要有效的措施。强调生命的安全和一个特定的观点是，组织必须和外部有可能受到影响的相关方做有效的沟通，例如，如果一个事件发生了，其有毒或爆炸物的风险影响到周围的公共区域。条款8也明确说明了业务连续性规划的要求。显而易见的是，用户关注的文档要比大的、笨重的文档更适合于审核员，因此相对于规模较大的计划，规模较小的计划更迫切需要。在业务连续性标准中之前未解决的需求需要规划并回归正常业务。随着组织决定开始对最初的紧急情况做些什么的时候，这个小的要求证明这种想法是错误的。条款8的最后部分涵盖了演练和测试，是业务连续管理的关键部分。测试业务连续管理中的一些要素工作（通过）或者不（失败）。例如，测试发电机通过切换开关开始工作。一个演练通常包括测试，但是通常是用更微妙的方式,模拟某些方面对事件做出的响应。这通常会包括基础的训练和增强人们通过艰难的不寻常的特质对事件进行处理，以及相关流程是否按预期运作。
    演练和测试是ISO 22301的根本：只有通过结构化演练——才能拉近个人与团队的参与——一个注册可以确保目标实现，在需要时，其事先安排会按预期正常工作。

条款9 评价
    对于任何管理系统，安装策划进行评价均为最根本要求。 ISO 22301因此要求组织参照适宜的运行准则选择和测量其体系。内审必须进行，并且要求对BCMS进行管理评审，对管理评审结果采取适当的措施。

条款10 改进
    没有管理系统在一开始就是完美的，并且组织和其环境也是不断变化的。第10条定义了要采取措施不断改进BCMS，并且确保审核、检查、演练等中不符合的纠正预防措施得到落实。ISO22301的成功实施和良好实践需要组织充分的理解其要求。每行每字的含义和相对重要性并不一定反应在致力于主题的词汇数量上。并不是简单的一个项目或者一个“计划”的策划，BCM是一个持续管理过程，需要能够胜任的人员和适宜的资源和结构予以支持。

老规矩

ISO22301对需要形成的文件化信息进行了规定：

一、4.1了解组织和组织环境；
二、4.2.2法律和法规要求；
三、4.3.1组织应通过确定BCMS的边界和适用性来建立其范围(存档信息)；
四、5.3方针(存档信息)；
五、6.2业务连续性目标和实现计划(存档信息)；
六、7.2能力(存档信息)；
七、7.5.3外来文件的识别和控制(存档信息)；
八、8.1过程的策划和控制(存档信息)；
九、8.2.1组织应建立、实施和保持一个正式的，形成文件的业务影响分析和风险评估过程；
十、8.2.2业务影响分析；
十一、8.2.3风险评估；
十二、8.4.1组织应以业务影响分析中已识别的恢复目标为基础，建立、实施和保持业务连续性程序，来管理中断事件和保证活动的连续性。组织应将程序形成文件，以确保活动的连续性和中断事件的管理；
十三、8.4.2事件响应机制；
十四、8.4.3预警和沟通(存档信息)；
十五、8.4.4业务连续性计划；
十六、8.4.5恢复；
十七、9.1监视、测量、分析和评价(存档信息)；
十八、9.1.2业务连续性程序的评价（存档信息/记录其结果）；
十九、9.2内部审核(存档信息)；
二十、9.3管理评审(存档信息)；
二十一、10.1不符合和纠正措施(存档信息)。

老规矩

ISO22301必须建立的过程：
一、8.2.1组织应建立、实施和保持一个正式的，形成文件的业务影响分析和风险评估过程；
二、8.2.2业务影响分析；
三、8.2.3风险评估；
四、8.4.4业务连续性计划；
ISO22301必须形成的书面程序：
一、4.2.2法律和法规要求
二、7.4沟通；
三、8.4.1组织应以业务影响分析中已识别的恢复目标为基础，建立、实施和保持业务连续性程序，来管理中断事件和保证活动的连续性。组织应将程序形成文件，以确保活动的连续性和中断事件的管理；
四、8.4.2事件响应机制；
五、8.4.3预警和沟通；
六、8.4.4业务连续性计划；
七、8.4.5恢复
八、9.1监视、测量、分析和评价；
九、9.2内部审核。