一、什么是ISO22301标准?

　　ISO 22301，全球首个基于组织业务连续性管理(Business Continuity Management，简称BCM)的国际标准，由ISO于2012年5月正式发布，一经推出便成为帮助组织最小化业务中断风险的得力工具。

　　BCM顾名思义是业务的持续运行，ISO22301提供了一种完整通用的BCM方法论，让企业能够达到国际上公认的最佳实践，防止和降低破坏性事件的出现几率，确保为客户提供持续性的产品和服务，并帮助客户从破坏性事件中得到恢复。

　　ISO 22301 业务连续性管理体系要求，是已开发的一套国际框架和基准，规定了策划、建立、实施、运行、监视、评审、保持和持续改进企业业务连续性管理体系的具体要求，用来引导企业识别公司关键业务功能的潜在威胁，并建立有效的备用体系和流程，从而最大限度地减轻突发事件造成的影响，以保障利益相关者的利益。BCMS的目的是计划、实施和运营控制措施和测量来管理组织管理中断事件的整体能力。

　　ISO 22301 标准的推出，能够为组织在业务连续性管理体系的建立和改进提供了一套完整的管理框架，可以帮助组织更好地辨别和分析潜在的灾难，并提供行之有效的管理机制来应对突发事件，减少灾难事件造成的业务中断给组织带来的损失。

　　二、标准的目标

　　业务连续性是指组织在灾难发生期间和之后维持恢复业务的能力。这里的灾难可能包括极其恶劣的气候、火灾、洪水、自然灾害、盗窃、IT故障、员工疾病或恐怖袭击。

　　据Continuity Insights(一家高度专业的业务连续性在线刊物)的调查报告显示：超过50%的被访者表示发生过需要启动业务恢复流程的中断事件。而DRLL(国际灾难恢复协会)的调查数据显示，93%的企业在经历了重大数据损失后5年之内倒闭，因此保证业务连续性的问题始终是企业运营首要面临的重要课题。

　　在深刻认识到自然灾害和突发事件对社会经济造成的巨大影响和给企业带来的业务瘫痪、信誉丢失基至破产倒闭等种种灾难性后果的同时，我们注意到有些企业在灾难发生过程中的表现相当出色，究其原因是由于引入了BCM(业务连续性管理)，把灾难后果的影响降到最低甚至化险为夷。

　　三、标准适用范围

　　1、ISO22301是BCM一系列ISO标准和技术规范中的第一个，包括：

　　2、ISO22301:2019 公共安全 业务连续性管理体系 要求

　　3、ISO22313:2020 公共安全 业务连续性管理体系 指南

　　4、ISO/TS22317:2015社会安全–业务连续性管理体系–业务影响分析准则

　　5、ISO/TS22318:2015社会安全–业务连续性管理体系–供应链连续性指南

　　6、ISO/TS22330:2018安全性和弹性–业务连续性管理体系–有关业务连续性的人员方面指南

　　7、ISO/TS22331:2018安全性和弹性–业务连续性管理体系–业务连续性策略指南

　　8、ISO/IEC/TS17021-6:2015合格评定–提供管理体系审核和认证的机构的要求–第6部分:业务连续性管理体系审核和认证的能力要求

　　ISO22301适用于所有行业中的大、中、小型公有及私有组织，尤其是对业务稳定性要求较高，且处于高风险和高度监管环境下的行业，例如金融业、IT通信业、制造业等。各行各业的企业面对国际及中国地区不断频发的自然灾害及人为事故，其业务运作的不确定性和风险都被大幅度增加，而加强企业业务连续性管理则成为了打造最佳企业应急预案的必备选择。以金融行业为例，目前我国中小型银行和其他金融机构，在业务连续性管理上与国际标准存在不小差距，急需得到提升，保证金融业务连续性成为金融机构不断增强服务品质并实现业务转型的关键。

　　四、实施IS022301标准认证的意义?

　　ISO22301认证活动有助于通过各层级有计划、有效的业务连续性管理改善业务，包括：

　　●组织内识别和理解关键业务过程及其中断的影响

　　●增强组织的弹性、恢复能力及持续生存能力的水平

　　●具备超越弹性较弱的竞争对手的优势

　　●正面的讯息传达给媒体和利益相关者，以应对危机处理

　　●提升保险公司对组织风险管理的印象，从而降低保费

　　●符合监管机构、保险公司、商业伙伴和其他主要利益相关者的期望

　　●在事故、破坏甚至灾难发生时显著降低财务影响

　　●增加组织和员工双方的生存机会

　　●通过展示具备专业的管理中断的方法而保持甚至提升声誉

　　●如合同或协议的承诺，在可接受的预先定义的级别，及时和有序应对事件和业务中断，保证业务连续运营

　　●鼓励跨团队和跨组织的协调

　　●通过场景演练，展示可信的相应能力

　　●以可见的证据证明整体风险管理的管理承诺

　　ISO22301有助于支持组织的战略目标、创造竞争优势、保护和提高您的声誉及信誉、增强组织恢复能力。同时也可以减少法律和财务风险、减少直接和间接的中断成本。更可以起到保护生命、财产和环境、迎合相关方期望、提升组织公信力的作用。除此之外，ISO 22301还可以优化内部流程，提高企业在中断期间仍然可以保持有效的业务能力、有效且主动地控制风险、解决操作上的漏洞。

　　五、IS022301管理的特点

　　业务连续性管理的模型和目的

　　模型：

　　MTPD 最大容忍中断时间 maximumtolerable period of disruptionRTO 恢复时间目标 recovery timeobjectiveRPO 恢复点目标 recovery point objective目的：识别和管理导致的组织业务中断的威胁(风险)预防为主，以减少和降低突发事件的影响保障组织在突发事件和危机时刻时核心业务正常运作确保在最短的时间内恢复业务正常运行可以证明组织对突发事件和危机的应变能力和恢复能力

　　整体BCM方案必须通过确定范围、风险评估、业务连续性管理战略、业务连续性目标、开发计划、教育训练、演习、测试、审查和持续改进等活动得到管理。

　　BCMS也应包括风险评估(RA)和业务影响分析(BIA)，这是ISO22301的内在组成部分和基本组成部分、是确定优先活动、受依赖和资源应支持的关键产品和服务，他们的失败将对组织产生的影响。

　　成本效益分析应该用来检讨所有业务连续性安排，如服务等级协议、共享空间、劳动力，紧急事件中或紧急事件后的替代工艺和技术。因为每年需要进行计划的基于业务优先级和风险的一系列演练，所以在此建议进行定期评审整体的管理中断事件的业务连续性能力。这样设计是为了突出任一弱点区域，给你一个更好的能力管理所有类型的潜在事故或灾难。

　　业务连续性管理体系案例

　　2001年9月11日，纽约世贸大厦双塔遭受恐怖袭击，导致双塔坍塌。摩根士丹利在灾难发生的30分钟后，就在其灾备中心建立了第二办公室，恢复了主要业务。第二天，全部业务恢复运行。

　　如何建立和实施业务连续性管体系

　　1、建立和维护业务连续性管理制度(体系文件)

　　2、建立组织架构(日常管理+应急处置管理)

　　3、开展业务影响分析(BIA)

　　4、建立和维护业务连续性计划(BCP)

　　5、建设和维护资源(备用场地、运营中断事件指挥中心、灾备中心、关键岗位)

　　6、开展业务连续性计划演练(至少三年一次，覆盖全部场景)

　　7、执行业务连续性管理体系评估(完整性、合理性、有效性，可认证)

　　8、运营中断事件应急处置

　　ISO 22301认证所需资料清单

　　1、法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等)，组织机构代码证复印件加盖公章。存在时，应提交分支机构的营业执照和组织机构代码证复印件加盖公章;

　　2、临时场所清单(如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点);

　　3、适用的法律法规的标准的清单;

　　4、取得相关法规规定的行政许可文件(适用时);

　　5、业务影响分析报告、风险评估报告和业务连续性计划;

　　6、BCMS体系文件，包括：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件;

　　7、管理体系认证申请书。

　　ISO 22301认证必备条件

　　1、“业务连续性管理体系”运行三个月;

　　2、已充分的识别了风险并评估了对业务的影响程度;

　　3、已制定完备的业务连续性计划并有效实施。

　　ISO 22301认证流程

　　提交申请 → 合同评审 → 签订合同 → 初审(文件审核-第一阶段审核-第二阶段审核)→ 认证决定 → 注册发证 → 监督审核 → 证书期满后的再认证

　　证书有效期限：

　　ISO认证证书是三年有效期，初次申请，每年监审。

　　年审周期：

　　获证后的12个月内至少进行一次监督审核，证书有效性通过获证后监督维持。

　　证书查询：

　　国家认证认可监督管理委员会

　　www.cnca.gov.cn

拓肯(北京)管理咨询有限公司

业务咨询：13552959587（微信同号）

固定电话：010-5605 4152

联系人：张老师

地址：北京市昌平区