2022/04/26
隨著自然災害和人為事故的頻繁發生,企業的業務連續性管理(Business Continuity Management,BCM)越來越受到重視。在深刻認識到自然災害和突發事件對社會經濟造成的巨大影響和給企業帶來的業務癱瘓、信譽丟失基至破產倒閉等種種災難性后果的同時,人們注意到有些企業在災難發生過程中的表現相當出色,究其原因是由于引入了BCM(業務連續性管理),把災難后果的影響降到最低甚至化險為夷。
通過實施ISO 22301業務連續性管理體系,幫助了很多企業在面臨疫情突發事件時的業務可持續。一個個鮮活的案例,引起了更多企業對業務持續管理的關注,將ISO22301這一國際標準推向了前所未有的高度。
一、ISO22301概述
ISO22301業務連續性管理體系國際標準,是由ISO/TC 223(公共安全技術委員會Societal Security Technical Committee)制定發布的。ISO/TC 223成立時間為2007年11月,2015年1月ISO/TC 292(安全與韌性技術委員會Security and Resilience Technical Committee)成立,替代ISO/TC 223。
業務連續性管理標準的發展歷史:
1、2003年,BSI發布PAS 56:2003《業務連續性管理指南》,是全球較早發布的BCM標準之一,影響了隨后一系列國家和國際標準的制定;
2、2006年,BSI發布BS 25999-1《業務連續性管理 第一部分:實用規則》,它確立了BCM的流程、原則和術語,給出了一個可參考的BCM的系統;
3、2007年,BSI發布BS 25999-2《業務連續性管理 第二部分:規范》,它正式提出了業務連續性管理體系的概念,規定了建立和管理一個有效的BCMS的要求。
由于匯聚了涵蓋各行各業的標準制定者,BS 25999一經發布就成為當時適用性最廣、接受度最高的BCM標準。在接下來的幾年中,BS 25999在100多個國家得到實踐,并在43個國家獲得認證認可;
4、2007年,ISO發布ISO/PAS 22399《社會安全 事件準備和運營連續性管理指南》;
5、2012年,ISO發布SO 22301:2012《社會安全 業務連續性管理體系 要求》;
6、2019年,ISO發布ISO 22301:2019《安全與韌性 業務連續性管理體系 要求》。
ISO陸續發布了一系列的BCMS相關標準,主要包括:
1、ISO 22301,作為要求類標準,是ISO 22301系列標準的核心,它基于ISO高層結構(ISO High Level Structure)規定了實施、保持和改進BCMS的一系列要求(最新版的ISO 22301:2019提出了90項具體要求),組織可以據此標準獲得認證;
2、ISO 22313,作為ISO 22301的應用指南,為實現ISO 22301規定的要求提供了實施指導;
3、ISO 22317(業務影響分析)、ISO 22318(供應鏈連續性)、ISO 22330(人員方面)、ISO 22331(業務連續性策略)和ISO 22332(業務連續性計劃和程序)等技術規范,為業務連續性管理工作提出更為詳細和專業的建議;
4、ISO 22300,為包括ISO TC292制定的所有標準建立專業詞匯表。
目前,ISO 22301和ISO 22313已分別于2019和2020年修訂為第2版,ISO 22300于2021年發布第3版,ISO 22317和ISO 22318正在進行修訂。
二、ISO22301的適用范圍
ISO22301業務連續性管理體系標準適用于以下所有類型和規模的組織:
1、實施,維護和改進BCMS;
2、尋求確保符合規定的業務連續性政策;
3、在中斷期間必須能夠繼續以可接受的預定容量交付產品和服務;
4、尋求通過有效應用BCMS來增強其彈性。
ISO 22301適用于所有行業中的大、中、小型公有及私有組織,并且特別適用于處于高風險和高度監管環境下的行業,例如金融業、IT通信業、制造業等。各行各業的企業面對國際及中國地區不斷頻發的自然災害及人為事故,其業務運作的不確定性和風險都被大幅度增加,而加強企業業務連續性管理則成為了打造最佳企業應急預案的必備選擇。
三、ISO 22301:2019主要內容介紹
ISO 22301:2019標準分為10個主要章節,前三章節分別是范圍、規范性文獻、術語和定義,下面介紹該標準的其他章節的內容。
【圖:ISO22301雙循環結構】
第4章 組織環境
簡化了強制要求,與高層結構保持一致。如,在“4.1 了解組織及其環境”部分,2012版規定了組織要“做……”并形成文件,2019版僅指出“確定內外部事項”的要求,而不再具體說明要做什么,也不再要形成文件。
不再使用術語“風險偏好”,2012版將“風險偏好”定義為“組織愿意接受或承擔的風險的數量和類別”,2019版取消了該術語。因為重要的不是組織愿意接受或承擔的風險,而是組織不可接受的(活動不恢復的)影響。
第5章 領導作用
簡化了強制要求,與高層結構保持一致。2019版和2012版都要求最高管理者證明對BCMS的領導作用和承諾,但2019版更關注對BCMS的有效管理,而2012版強調對活動的直接參與如“積極參與演練和測試”。
對“5.2方針”部分重組結構和內容排序,以更易于理解和使用。為消除重復,刪除評審方針適用性的要求(保留相關要求在管理評審輸入部分(9.3.2.e))。
第6章 策劃
對“6.1 應對風險和機會的措施”和“6.2 業務連續性目標和實現計劃”部分的內容重組結構和內容排序,以更易于理解和使用。“6.1.2 應對風險和機會”部分明確指出,此處的風險和機會與BCMS的有效性相關,與業務中斷相關的風險在8.2部分處理。
新增“6.3 策劃BCMS的變更”,要求組織對BCMS的變更“以計劃的方式進行”。在策劃變更時,應考慮:變更的目的和可能的后果,BCMS的完整性,資源可用性,責任和權限的分配和再分配。從形式上看,2019版新增了該要求,但從保持BCMS的有效性角度看,其內容是顯而易見的(隱含在2012版)。
第7章 支持
簡化了強制要求,與高層結構保持一致。“7.4 溝通”部分,2019版僅指出“確定與BCMS有關的內外部溝通”的要求,刪除了2012版中關于中斷期間確保通信手段可用性要求的部分(與8.4.3.1重復)。
第8章 運行
進行重大修改,將幾乎所有與業務連續性相關的內容全部納入該部分,新增第8.6節,重組結構并對內容排序。
8.2 業務影響分析和風險評估 根據ISO 22317 (BIA)和ISO 22318 (supply chain continuity)進行了擴展,2019版對業務影響分析過程的要求更明確(基本可以按要求逐步實施)。從定義影響類型開始,明確了活動的不可接受的影響、最大可容忍中斷時間(MTPD)以及優先時間范圍(RTO)之間的關系,并使用BIA確定優先活動。此外,需要注意,2019版中沒有對業務影響分析過程成文的要求。
“8.2.3 風險評估”部分刪除了“風險偏好”的提法(但在“4.1 了解組織及其環境”的注釋和“8.3.3 選擇策略和解決方案”中仍隱含了此內容)。
8.3 業務連續性策略(strategy)更名為業務連續性策略和解決方案(strategies and solutions),明確暗示不止一個策略,并通過一個或多個方案實現策略。2019版要求組織不只是制定高層級的策略,還要針對特定風險和影響尋找解決方案。對于最高管理者而言,這是最重大的變化,因為確定所需的資源變為與選定的解決方案(見8.3.4)而非策略相關。根據解決方案確定資源比根據策略確定資源要精確地多,對預算規劃的要求也會更加剛性。2019版還要求“實施和保持選定的業務連續性解決方案,以便在需要時啟用它們”(見8.3.5)。
8.4 建立和實施業務連續性程序更名為業務連續性計劃和程序,該部分值得關注的部分包括:基于所選策略和解決方案的輸出,確定和編制業務連續性計劃和程序;進行結構設計以使一個或多個團隊負責響應中斷;清楚說明各團隊之間的關系,以及他們的角色和職責;每個團隊必須確定包括“候補人員”在內的人員,并說明履行指定角色所需的責任、權限和能力;有關如何管理中斷直接后果(包括對環境的影響)的詳細信息;每個計劃必須包括退出流程(見8.4.4.3 h);每個計劃應在需要的時間和地點可使用和可得到。
8.5 演練和測試更名為演練方案(exercise programme),明確了實施和保持演練和測試方案的要求。從演練和測試角度看,2019版要求直接驗證業務連續性策略和解決方案(而不再是2012版中的業務連續性安排)。
增加了一些新提法,需要考慮,如“培訓團隊合作精神、能力、信心和知識”。
新增“8.6 業務連續性文檔和能力的評價”,強調定期評價和更新文檔的重要性,其主要內容原在2012版“第9章 績效評價”中。明確對相關合作伙伴和供應商的業務連續性能力進行評估的要求。
第9章 績效評價
簡化了相關要求,與高層結構保持一致。本章只關注業務連續性管理體系,而不再關注業務連續性文檔和能力(該部分移到8.6)。
在2019版中的監視、測量、分析和評價中,不僅要確定何時進行監視和測量、何時對結果進行分析和評價,還要包括由誰進行。此外,對績效指標的相關提法已刪除。
第10章 改進
“10.2 持續改進”得到了一定擴展,強調通過“定性和定量措施”持續改進。
四、ISO22301業務連續管理體系建設流程
1、啟動調研
通過對企業的組織架構、管理流程、業務運作模式和IT支持系統進行考察和調研,以確定業務持續性管理(BCM)過程或功能的需求。
2、風險評估
確定可能造成機構及其設施中斷和災難、具有負面影響的突發事件和周邊環境因素,以及事件可能造成的損失、防止或減少潛在損失影響的控制措施。提供成本效益分析以調整控制措施方面的投資達到消減風險的目的。
3、業務影響分析
確定由于中斷和預期災難可能對機構造成的影響以及用來定量和定性分析這種影響的技術。確定關鍵功能、其恢復優先順序和相互依賴性以便確定恢復時間目標。
4、容災策略制定
在本階段,結合以上各階段的分析成果,以及在容災上的投入能力,制訂企業系統短期、長期范圍內的容災策略和目標,并有意識地將本身的人員組成和組織架構做出調整以適應策略要求。
5、容災技術方案設計
根據容災策略,以及業務連續性計劃和各系統的RTO和RPO指標,考慮成本和收益平衡原則,分別設計容災方案。
6、容災設施資源及 IT 系統建設或整改
對容災中心的設施資源進行詳細的規劃和設計,容災中心的建筑工程、中心環境(外部與內部)、機房結構、物理安全、交通流向組織、電力供應與保障等環節都要按照容災的實際需求進行科學的分析,最終達到容災的實際要求。
7、業務連續性計劃及災難恢復計劃的制定與維護
業務恢復團隊和業務恢復團隊分別執行應急響應計劃、災難恢復計劃、業務恢復計劃,運營管理團隊負責容災系統的運營管理和日常維護、問題收集和解決、系統變申和測試演練等工作,后勤保障和人力資源保障提供支持,從而達到容災設計的目標。
8、容災系統運行維護
運行業務連續性計劃,包括日常管理和首次演練等。并建立相應的管理制度。
9、演練及測試
對預案和預案間的協調性進行演練、并評估和記錄預案演練的結果。制定維持持續性能力和 BCP文檔更新狀態的方法使其與機構的策略方向保持一致。通過與適當標準的比較來驗證 BCP的效率,并使用簡明的語言報告驗證的結果。
10、審核/審計
培訓內審員,進行內部審核,并在適當時機邀請外部審核機構對業務連續性管理體系進行審核/審計。
五、ISO22301業務連續性管理體系建設的意義及目標
1、組織內識別和理解關鍵業務過程及其中斷的影響;
2、增強組織的彈性、恢復能力及持續生存能力水平;
3、具備超越彈性較弱的競爭對手的優勢;
4、正面的訊息傳達給媒體和利益相關者,以應對危機處理;
5、提升保險公司對組織風險管理的印象,從而降低保費;
6、符合監管機構、保險公司、商業伙伴和其他主要利益相關者的期望;
7、在事故、破壞甚至災難發生時顯著降低財務影響;
8、增加組織和員工雙方的生存機會;
9、通過展示具備專業的管理中斷的方法而保持甚至提升聲譽;
10、如合同或協議的承諾,在可接受的預先定義的級別,及時和有序應對事件和業務中斷,保證業務連續運營;
11、鼓勵跨團隊和跨組織的協調;
12、通過場景演練,展示可信的響應能力;
13、以可見的證據證明整體風險管理的管理承諾。
六、ISO22301認證的必備條件:
1、組織法律地位證明文件(如企業法人營業執照、社團法人登記證等);
2、適用時,取得相關法律法規規定的行政許可文件;
3、按標準建立“業務連續性管理體系”,并運行三個月;
4、已充分的識別了風險并評估了對業務的影響程度,如業務影響分析報告、風險評估報告;
5、已制定完備的業務連續性計劃并有效實施;
6、建立的業務連續性管理體系文件包括:方針、目標、范圍、組織為過程運行及溝通而保持的信息,須提供:組織簡介、組織架構、人員情況和職能分工、過程路線圖/工藝流程圖/過程描述及其有關的過程文件。
七、企航顧問在ICT領域提供的服務項目有:
ISO/IEC 20000 : 信息技術服務管理體系
ISO/IEC 27001 : 信息安全管理體系
ISO/IEC 27701 : 隱私信息管理體系
ISO/IEC 27017 : 云服務信息安全規范
ISO/IEC 27018 : 公共云個人信息(PII)處理者的信息安全控制規范
ISO/IEC 29151 : 個人信息保護的行為準則
ISO 22301 : 業務連續性管理體系
TISAX :可信信息安全評估交流機制
ISO/SAE 21434 : 汽車網絡安全管理體系
TL 9000 : 通訊行業質量管理體系
……