1前言
當前�,由于自然災害及人為事故頻繁發生�,企業業務運作的不確定性和風險大幅度增加����,而加強企業的業務連續性管理則成為打造最佳企業應急預案的必然選擇���。
為了滿足企業對統一的業務連續性管理國際標準的需求����,ISO公共安全技術委員會ISO/TC223����,制定了ISO
22301:2012《公共安全—業務連續性管理體系-要求》標準��。該國際標準采納了全球利益相關方�、合作者等各方意見和建議�����,于最近發布實施�����。
ISO
22301:2012致力于使公共或私有部門的組織更具有適應性�����,其管理體系框架能夠幫助企業制定一套一體化的管理流程計劃���,使企業對潛在的災難加以辨別分析����,幫助其確定可能發生的沖擊對企業的運作造成的威脅��,并提供一個有效的管理機制來阻止或抵消這些威脅��,減少災難事件給企業帶來的損失�����。
本文主要介紹ISO22301:2012的制定背景�、目的��、意義以及重要條款內容�����,以對我國相關企業采用該標準提供幫助��。
2背景
在上世紀80年代至90年代初����,應急計劃和災難恢復很大程度上依靠信息技術��,以對影響業務的自然災害和恐怖主義作出響應�。后來����,人們越來越認識到應急計劃和災難恢復應該成為業務主導的過程并包含應對各種類型的災害��。因此�����,業務連續性管理(BCM)成為一門學科�����。
由于政府部門和立法部門開始認識到業務連續性在降低社會破壞性事故方面的作用�����,他們不斷致力于安排適宜的業務連續性關鍵人員;同樣�,行業認識到����,他們應相互依靠�����,即使事故發生時���,他們也要努力保證關鍵供應商和合作伙伴能持續提供關鍵產品和服務��。
因此�����,需要一個公認的BCM良好規范基準和針對該問題的一些國家標準���,這得到了澳大利亞���、新加坡���、英國和美國的支持���。英國發布了管理體系標準BS
25999�,使組織能在第一時間獲得認可的證書��。 ISO于2006年在意大利佛羅倫薩召開了“應急響應”研討會����,ISO
22301標準制定工作就此開始啟動�����。同時許多專家認為�����,其國家標準最適合制定成為一項國際標準�。這顯然是行不通的����,所以����,ISO將所有主要專家聚集在一起來識別標準之間的相似性��,這種協調一致的精神促進了稱之為ISO/PAS
22399:2007《事故應對和連續性管理》指南文件的發布���。 在制定ISO 22301時面臨挑戰�,因為有許多有關
此學科的國家文件�,這在協調時遇到了困難���。于是�����,ISO技術委員會在最初制定的草案文本中采用了一些國家標準的建議���,并逐步細化成為一個全世界都適用的新的協調一致的良好規范文件��。新的ISO
22301
標準采納了來自澳大利亞��、法國�、德國�����、日本�、朝鮮��、新加坡��、瑞典����、泰國����、英國和美國的重要建議�,以及許多其他利益相關方的建議��,因此可以說�����,ISO22301標準的發布是真正的國際性參與和建議的成果�。
3 目的和意義
ISO22301:2012《公共安全—業務連續性管理體系-要求》將幫助所有的組織���,無論其規模大小�、地域或開展的活動如何���,在處理任何類型的風險時能更好地應對并更具信心����。
在任何時候事故都能使組織的業務中斷�,采用ISO
22301標準將保證組織能夠應對事故并保證其業務的持續運行��。事故發生有多種類型�����,從嚴重的自然災害和恐怖主義活動到與技術相關的事故和環境事故�����。然而�,許多事故雖然小�,但能產生嚴重的影響����,這在任何時候都與業務連續性管理緊密相關��。
目前��,業務連續性管理已經引起全球的關注��,無論是公共或私有部門的組織都必須了解如何準備和應對意外的破壞性的事故發生�。ISO
22301標準為業務連續性管理體系(BCMS)的策劃�����、建立���、實施�、運行��、監視���、評審���、保持和持續改進提供了框架�����。當破壞性的事故發生時��,該標準將有助于組織的防護����、準備����、響應和恢復��。
實施ISO
22301標準的組織將能夠向立法部門��、執法部門�����、消費者和潛在消費者以及其他的利益相關方證明����,他們滿足了BCM良好規范的要求�。同時�,該新標準也可用于組織內部按照良好規范進行內部檢查��,并通過內審員出具管理報告�。
ISO
22301將幫助組織在設計BCMS時適宜地滿足自身的要求和滿足其利益相關方的要求�,這些要求涉及:法律法規��、組織和行業因素��、組織的產品和服務�����、組織的規模和結構�����、組織的過程和其利益相關方��。為了使組織更好地運行���,ISO
22301標準要求組織應完全理解其要求��,而不僅僅是一個項目或制定“一項計劃”�。BCM是一個連續的管理過程��,需要有能力的人員來運作����,當需要時����,應提供適當的支持�����。
ISO 22301是符合新的ISO管理體系標準編寫格式的第一個標準����。這將有助于對標準內容的理解���,并保證與其他管理體系��,如ISO 9001
(質量管理體系)��、ISO 14001 (環境管理體系) 和ISO/IEC 27001 (信息安全管理體系) 的一致性���。ISO
22301是用于BCM的管理體系標準����,適用于所有規模和類型的組織第三方認證以及自我評價�����。這些組織將能夠獲得符合該標準要求的全球承認的證書�����,從而向立法部門�、執法部門�、顧客����、潛在顧客和其他利益相關方證明�,他們滿足了BCM良好規范要求����。ISO
22301標準也能使業務連續性經理向最高管理者表明���,已經滿足了國際標準要求�。為了幫助用戶更好地理解標準���,該新標準對BCM關鍵要素作了簡要介紹�。
ISO 22301是符合新的ISO管理體系標準編寫格式的第一個標準�����。這將有助于對標準內容的理解��,并保證與其他管理體系���,如ISO 9001
(質量管理體系)����、ISO 14001 (環境管理體系) 和ISO/IEC 27001 (信息安全管理體系) 的一致性�。ISO
22301是用于BCM的管理體系標準�����,適用于所有規模和類型的組織第三方認證以及自我評價��。這些組織將能夠獲得符合該標準要求的全球承認的證書�,從而向立法部門�、執法部門����、顧客���、潛在顧客和其他利益相關方證明�,他們滿足了BCM良好規范要求��。ISO
22301標準也能使業務連續性經理向最高管理者表明�����,已經滿足了國際標準要求���。為了幫助用戶更好地理解標準�����,該新標準對BCM關鍵要素作了簡要介紹�����。
4 主要內容
ISO 22301標準分為10個主要條款�,前三款分別是范圍�����、規范性文獻��、術語和定義��,下面介紹該標準的其他主要條款要求�。
4.1 第四款:組織
首先�,組織應了解內部和外部需求�,對管理體系的范圍劃定明確的界線��。這尤其要求組織了解利益相關方的需求���,如立法部門�、顧客和員工的需求�����。組織尤其必須了解適宜的法律法規要求��,這將保證組織確定業務連續性管理體系(BCMS)的范圍��。
4.2 第五款:領導
ISO 22301特別強調了對合格的BCM領導的需求����。這使得最高管理者能保證提供合適的資源����、制定政策并任命人員來實施和維護BCMS��。4.3
第六款:策劃這一款要求組織識別BCMS實施的風險,并制定明確的目標和標準用于測量其成效���。
4.4 第七款:支撐
由于BCMS的實施需要資源,第七款引入了“能力”這一重要概念���。為了業務連續性獲得成功���,必須具有相應知識��、技能和經驗的人員從事BCMS的管理并當事故發生時作出應對����。在應對事故方面����,所有的員工認識到自己的職責也是非常重要的��,這一條款涉及這方面的所有內容�����。這一條款也涵蓋BCMS溝通的需求����,如:告訴顧客組織有適宜的BCM在運行并做好事故發生時溝通的準備(當正常的渠道中斷時)��。
4.5 第八款:運行
這一款包括業務連續性的主體——專門技能��。組織必須進行業務影響分析����,以了解其業務中斷產生的影響及隨時間發生的變化��。風險評估致力于識別業務在結構方面的風險��,這些風險對業務連續性戰略的制定將會產生影響��。避免或降低事故發生的措施應與事故發生時采取的措施同時制定�。由于無法完全預測和防止所有事故���,所以降低風險和對不測作出應對計劃對于所有意外事故來說是互補的����,也就是通常所說的抱最好的愿望做最壞的打算�。
ISO
22301強調需要很好地確定事故響應結構�。這樣可保證事故發生時快速響應��,被授權的人能采取必要的有效措施���。該新標準還強調了生命安全��,關鍵點是組織必須與外部可能遭受影響的相關方溝通���,例如:如果事故給周邊公共區域帶來有毒或爆炸的風險時�����。
在條款八中也提出了業務連續性計劃的需求��,適合用戶的簡明易懂的文件比供審核員使用的冗長晦澀的文件更有用����。因此�����,小計劃比龐大的計劃可能更需要�����。第八款的最后一部分涉及運行和測試��,這是BCM的關鍵部分�����。測試的目的是證明業務連續性管理的一些要素是否有效����,例如:有可能測試發電機打開以后是否運行����。運行可以包括測試����,通常采用相近的方法模擬應對事故�,這通常包括培訓要素和樹立應對具有一定難度的異常破壞性事故的意識�,同時要弄清程序是否如期運行�����。
4.6 第九款:評價
對任何管理體系而言�����,按照計劃評價性能至關重要���。因此����,ISO
22301要求組織應按照適宜的性能方法對自身進行評價�����。組織必須進行內審�����,還要進行BCMS的管理評審��,并根據評審結果采取相應措施��。
4.7 第十款:改進
每個管理體系一開始都不可能盡善盡美�����,組織及其環境是不斷變化的�����。第十款提出了隨后改進BCMS采取的措施����,并保證通過審核�、評審��、運行等而提出糾正措施����。
5 結語
ISO
22301:2012是以其他管理體系標準所依據的“計劃-執行-檢查-行動”PDCA循環模式為基礎創建的�����,其主要特點有:規定了業務連續性管理體系(BCMS)的要求;
BCMS的采用和取得對標準實施的認證��,可以證明企業已做好準備���,可以應對災難性事件的發生并且應該能夠持續保持現狀;規定的要求具有廣泛的適用性�����,可以適用于任何類型或規模的企業;可以將危機和災難性事件造成的財務影響最小化����。
目前���,ISO
22301標準已得到國際上的認可�����,它強調制定目標�����、監測性能和指標,對企業的管理層提出了更高的期望����,對業務連續性計劃的制定提出了更高的要求�����。按照ISO22301:2012的規定推廣應用BCMS要求����,將可以使企業向員工�、顧客����、供應商�、股東等利益相關方證明��,企業已經做好應對危機和災難性事件的準備��,否則�����,可能會嚴重影響企業目標的實現����。企業如果沒有建立與運行BCMS����,面對災難性的事件時將會措手不及��,將會造成嚴重的后果,如:客戶流失���、聲譽受損����、資金損失����,甚至可能倒閉����。
在當今經濟全球化的背景下��,面對巨大的商業和社會變化�,以及各種災害和事故因素的挑戰����,理解業務連續性管理體系(BCMS)的目的和價值具有重要意義��。我國企業應很好地了解ISO
22301:2012標準的要求和內涵�����,建立BCMS管理體系���,并且將實施BCMS作為一個切實可靠的策略�,用以保護企業利益相關方的利益�,同時將危機和災難性事件造成的負面影響降至最低�。
