業(yè)務(wù)連續(xù)性管理體系簡稱BCMS，ISO22301標(biāo)準(zhǔn)是全球首部業(yè)務(wù)連續(xù)性管理的國際標(biāo)準(zhǔn)，旨在幫助組織建立預(yù)案和確保其業(yè)務(wù)在面對外部威脅時(shí)能夠持續(xù)。ISO22301業(yè)務(wù)連續(xù)性管理體系廣泛適用于信息安全、信息技術(shù)服務(wù)、公共服務(wù)、社會(huì)組織等社會(huì)服務(wù)行業(yè)，同時(shí)還適用于各種規(guī)模的商業(yè)、金融業(yè)、加工制造業(yè)等風(fēng)險(xiǎn)級(jí)別較高的組織。
文章目錄
一、什么是業(yè)務(wù)連續(xù)性管理體系 二、ISO22301業(yè)務(wù)連續(xù)性管理體系標(biāo)準(zhǔn) 三、ISO22301業(yè)務(wù)連續(xù)性管理體系實(shí)施流程 四、ISO22301業(yè)務(wù)連續(xù)性管理體系認(rèn)證條件及所需資料清單 一、什么是業(yè)務(wù)連續(xù)性管理體系 業(yè)務(wù)連續(xù)性管理體系（BusinessContinuityManagementSystems）簡稱BCMS，業(yè)務(wù)連續(xù)性管理標(biāo)準(zhǔn)是全球首部業(yè)務(wù)連續(xù)性管理(BCM)的國際標(biāo)準(zhǔn)，旨在幫助組織建立預(yù)案和確保其業(yè)務(wù)在面對外部威脅時(shí)能夠持續(xù)，例如自然災(zāi)害或者信息安全漏洞。這些日益增長的威脅可能會(huì)導(dǎo)致供應(yīng)鏈中斷，人員流失，或?qū)編齑婊蜇?cái)產(chǎn)造成損害，最終會(huì)越過你的底線。
“業(yè)務(wù)連續(xù)性”的概念來源于計(jì)算機(jī)技術(shù)中的“容災(zāi)”和“恢復(fù)計(jì)劃”，是一個(gè)組織整體或部分過程持續(xù)運(yùn)行能力的指標(biāo)。經(jīng)過多年發(fā)展，“業(yè)務(wù)連續(xù)性”已廣泛應(yīng)用于各種規(guī)模的生產(chǎn)型和服務(wù)型組織，并進(jìn)一步發(fā)展成為“業(yè)務(wù)連續(xù)性管理體系”，成為各個(gè)組織整體管理體系中的核心部分。 BCMS采用PDCA的過程方法，通過對風(fēng)險(xiǎn)的識(shí)別、分析和預(yù)警來幫助組織規(guī)避潛在事件的發(fā)生，并且制定完備的“業(yè)務(wù)連續(xù)性計(jì)劃“，有效的應(yīng)對中斷發(fā)生后的快速恢復(fù)，保持核心功能正常運(yùn)行，將損失和恢復(fù)成本降至最低。 BCMS是多個(gè)過程的集合，它將組織管理體系中的各個(gè)環(huán)節(jié)聯(lián)系并統(tǒng)一起來，為識(shí)別的風(fēng)險(xiǎn)制定適宜的風(fēng)險(xiǎn)策略和風(fēng)險(xiǎn)計(jì)劃，并且為組織制定一套有效的業(yè)務(wù)連續(xù)性計(jì)劃演練和測量方案。 BCMS廣泛適用于信息安全、信息技術(shù)服務(wù)、公共服務(wù)、社會(huì)組織等社會(huì)服務(wù)行業(yè)，同時(shí)還適用于各種規(guī)模的商業(yè)、金融業(yè)、加工制造業(yè)等風(fēng)險(xiǎn)級(jí)別較高的組織。 二、ISO22301業(yè)務(wù)連續(xù)性管理體系標(biāo)準(zhǔn) 其實(shí)，ISO22301并不是一個(gè)新的標(biāo)準(zhǔn)，早在2012年國家標(biāo)準(zhǔn)化組織發(fā)布ISO 22301:2012標(biāo)準(zhǔn)時(shí)就已經(jīng)全球已經(jīng)有4000多個(gè)組織已經(jīng)持有了ISO22301的證書。隨著該標(biāo)準(zhǔn)在不同的行業(yè)中傳播，被越來越多的人所熟知。
現(xiàn)行的業(yè)務(wù)連續(xù)性管理體系標(biāo)準(zhǔn)是ISO22301:2019，也就是國際標(biāo)準(zhǔn)化組織（ISO）于2019年10月發(fā)布的ISO22301:2019標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)用以替代ISO22301:2012標(biāo)準(zhǔn)。
業(yè)務(wù)連續(xù)性管理體系常用的有兩個(gè)標(biāo)準(zhǔn)：
ISO 22301:2019 公共安全 業(yè)務(wù)連續(xù)性管理體系 要求 ISO 22313:2020 公共安全 業(yè)務(wù)連續(xù)性管理體系 指南 （一）、ISO22301:2019標(biāo)準(zhǔn)構(gòu)成： 1.范圍：解釋該標(biāo)準(zhǔn)適用于任何類型的組織。
2.規(guī)范性引用文件：引用ISO22300作為標(biāo)準(zhǔn)，其中對ISO22301:2019中使用的某些術(shù)語進(jìn)行了定義。
3.術(shù)語和定義：再次參考ISO22300。
4.組織的背景：此部分是PDCA周期中計(jì)劃階段的一部分，并定義了了解外部和內(nèi)部問題，相關(guān)方及其要求以及定義BCMS范圍的要求。
4.1對組織及其背景的理解
4.2了解有關(guān)方面的需求和期望
4.3確定業(yè)務(wù)連續(xù)性管理系統(tǒng)的范圍
4.4業(yè)務(wù)連續(xù)性管理系統(tǒng)
5.領(lǐng)導(dǎo)力：此部分是PDCA周期計(jì)劃階段的一部分，定義高層管理人員的職責(zé)，設(shè)置角色，職責(zé)和權(quán)限以及高層業(yè)務(wù)連續(xù)性策略的內(nèi)容。
5.1領(lǐng)導(dǎo)和承諾
5.2政策
5.3角色，職責(zé)和權(quán)限
6.計(jì)劃：此部分是PDCA周期中計(jì)劃階段的一部分，它定義了解決風(fēng)險(xiǎn)和機(jī)遇，設(shè)置業(yè)務(wù)連續(xù)性目標(biāo)以及計(jì)劃對BCMS進(jìn)行更改的要求。
6.1應(yīng)對風(fēng)險(xiǎn)和機(jī)遇的行動(dòng)
6.2業(yè)務(wù)連續(xù)性目標(biāo)和實(shí)現(xiàn)這些目標(biāo)的計(jì)劃
6.3規(guī)劃業(yè)務(wù)連續(xù)性管理系統(tǒng)的變更
7.支持：此部分是PDCA周期中計(jì)劃階段的一部分，并定義了對資源可用性，能力，意識(shí)，溝通和文件和記錄控制的要求。
7.1資源
7.2能力
7.3意識(shí)
7.4溝通
7.5文件信息
8.運(yùn)營：此部分是PDCA周期中Do階段的一部分，定義了業(yè)務(wù)影響分析，風(fēng)險(xiǎn)評估和處理，業(yè)務(wù)連續(xù)性策略，解決方案，計(jì)劃和程序，練習(xí)程序以及業(yè)務(wù)連續(xù)性文檔和評估的實(shí)施。實(shí)現(xiàn)業(yè)務(wù)連續(xù)性目標(biāo)的能力。
8.1運(yùn)作計(jì)劃與控制
8.2業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評估
8.3業(yè)務(wù)連續(xù)性策略和解決方案
8.4業(yè)務(wù)連續(xù)性計(jì)劃和程序
8.5鍛煉計(jì)劃
8.6業(yè)務(wù)連續(xù)性文檔和功能的評估
9.績效評估：此部分是PDCA周期檢查階段的一部分，并定義了監(jiān)視，度量，分析，評估，內(nèi)部審核和管理評審的要求。
9.1監(jiān)控，測量，分析和評估
9.2內(nèi)部審核
9.3管理評審
10.改進(jìn)：此部分是PDCA周期中法案階段的一部分，它定義了不合格，糾正，糾正措施和持續(xù)改進(jìn)的要求。
10.1不合格和糾正措施
10.2持續(xù)改進(jìn)
（二）、ISO22301:2019標(biāo)準(zhǔn)的“術(shù)語和定義” 1.業(yè)務(wù)連續(xù)性businesscontinuity
在中斷事件發(fā)生后，組織在預(yù)先確定的可接受的水平上連續(xù)交付產(chǎn)品或提供服務(wù)的能力。
2.業(yè)務(wù)連續(xù)性管理businesscontinuitymanagement
識(shí)別對組織的潛在威脅以及這些威脅一旦發(fā)生可能對業(yè)務(wù)運(yùn)行帶來的影響的一整套管理過程。該過程為組織建立有效應(yīng)對威脅的自我恢復(fù)能力提供了框架，以保護(hù)關(guān)鍵相關(guān)方的利益、聲譽(yù)、品牌和創(chuàng)造價(jià)值的活動(dòng)
3.業(yè)務(wù)連續(xù)管理體系
用于建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)業(yè)務(wù)連續(xù)性，是一個(gè)組織整個(gè)管理體系的一部分。
4.業(yè)務(wù)連續(xù)性計(jì)劃
用于指導(dǎo)組織在業(yè)務(wù)中斷時(shí)進(jìn)行響應(yīng)、恢復(fù)、重新開始和還原到預(yù)先確定的業(yè)務(wù)運(yùn)行水平的形式文件的程序
5.業(yè)務(wù)影響分析（BIA）
分析活動(dòng)和業(yè)務(wù)中斷可能帶來的影響的過程
6.事件icident
可能或?qū)?dǎo)致中斷、損失、緊急情況或危機(jī)的情況
7.最長可接受中斷事件MAO
不能提供產(chǎn)品/服務(wù)，或者活動(dòng)無法進(jìn)行可能帶來的負(fù)面影響，變得不能接受之前的時(shí)間。
8.最長可容忍中斷時(shí)間MTPD
不能提供產(chǎn)品/服務(wù)，或者活動(dòng)無法進(jìn)行可能帶來的負(fù)面影響，變得不能容忍之前額時(shí)間。
9.最小業(yè)務(wù)連續(xù)性目標(biāo)MBCO
在中斷中組織為達(dá)到其業(yè)務(wù)連續(xù)性目標(biāo)可以接受的最低標(biāo)準(zhǔn)的服務(wù)和（或）產(chǎn)品。
10.互助協(xié)議mutualaidagreement
兩個(gè)或多個(gè)實(shí)體為了互相幫助而預(yù)先達(dá)成的共識(shí)
11.恢復(fù)點(diǎn)目標(biāo)recoverypointobjective;RPO
為使活動(dòng)能夠恢復(fù)進(jìn)行，而必須將該活動(dòng)所用的信息恢復(fù)到某時(shí)間點(diǎn)。
12.恢復(fù)時(shí)間目標(biāo)recoverytimeobjective;RTO
事件發(fā)生后到下列活動(dòng)完成之間的時(shí)間段。產(chǎn)品或服務(wù)必須恢復(fù)，或活動(dòng)必須恢復(fù)，或資源必須復(fù)原，
三、ISO22301業(yè)務(wù)連續(xù)性管理體系實(shí)施流程 BCMS采用PDCA的過程方法，通過對風(fēng)險(xiǎn)的識(shí)別、分析和預(yù)警來幫助組織規(guī)避潛在事件的發(fā)生，并且制定完備的“業(yè)務(wù)連續(xù)性計(jì)劃“，有效的應(yīng)對中斷發(fā)生后的快速恢復(fù)，保持核心功能正常運(yùn)行，將損失和恢復(fù)成本降至最低。
“業(yè)務(wù)影響分析”（簡稱BIA）是BCMS的核心過程之一，它通過評估組織的產(chǎn)品或服務(wù)活動(dòng)發(fā)生中斷時(shí)所產(chǎn)生的影響程度，來確定產(chǎn)品或服務(wù)的優(yōu)先級(jí)、恢復(fù)順序和指標(biāo)。BIA包括業(yè)務(wù)范圍界定和數(shù)據(jù)采集分析、業(yè)務(wù)重要性分析、資源分析、確定優(yōu)先級(jí)和恢復(fù)順序等幾個(gè)步驟。
以IT服務(wù)企業(yè)為例，BIA首先要確定BCMS的覆蓋范圍，包括SLAs、多場所，并通過人員訪談、討論和問卷調(diào)查等方法收集組織內(nèi)部及相關(guān)方中曾經(jīng)發(fā)生和有可能發(fā)生的影響IT服務(wù)“業(yè)務(wù)連續(xù)性“的因素和過程，包括軟硬件配置、人員能力、法律法規(guī)、客戶需求、電力和消防等支持系統(tǒng)。然后使用定性分析和定量分析相結(jié)合的方法，依據(jù)收集來的因素和過程對IT服務(wù)功能和中斷的影響程度進(jìn)行分析，初步確定各項(xiàng)服務(wù)的重要程度，如關(guān)鍵服務(wù)、重要服務(wù)、可暫緩服務(wù)等。再然后分析正常運(yùn)行IT服務(wù)和中斷后恢復(fù)所必須的資源，和資源間的相互關(guān)系。最后確定服務(wù)的優(yōu)先級(jí)和恢復(fù)順序，以及服務(wù)恢復(fù)指標(biāo)，通常使用“恢復(fù)時(shí)間目標(biāo)”（RTO）和“恢復(fù)點(diǎn)目標(biāo)”（RPO）做為恢復(fù)指標(biāo)。
具體的實(shí)施流程如下： 1）組織與策劃 建立過程準(zhǔn)則 過程控制 為了確定流程按計(jì)劃執(zhí)行，在必要的范圍內(nèi)保留存檔信息 2）業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評估 ①組織應(yīng)建立、實(shí)施和保持一個(gè)正式的、形成文件的業(yè)務(wù)影響分析（BIA）和風(fēng)險(xiǎn)評估過程
建立評估的環(huán)境、確定標(biāo)準(zhǔn)和中斷事件的潛在影響 考慮組織遵從的法律要求和其他要求 包括系統(tǒng)的分析、風(fēng)險(xiǎn)處置優(yōu)先級(jí)以及相關(guān)的成本 明確業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評估所要求的輸出 提出輸出信息更新和波阿媽的要求。 ②BIA的活動(dòng)：
識(shí)別支持產(chǎn)品和服務(wù)額交付的活動(dòng) 評估這些活動(dòng)中斷后隨時(shí)間推移的影響 在最低可接受水平上制定業(yè)務(wù)恢復(fù)優(yōu)先級(jí)時(shí)間表，要考慮在某時(shí)間內(nèi)，沒有恢復(fù)這些業(yè)務(wù)所造成的影響是不可接受的。 識(shí)別這些活動(dòng)間的依賴關(guān)系及支持資源，包括供應(yīng)商、外包方和其他相關(guān)方 ③風(fēng)險(xiǎn)評估
識(shí)別、分析和評價(jià)中斷事件給組織帶來的風(fēng)險(xiǎn)。 備注：這里要說下筆者對于風(fēng)險(xiǎn)評估和BIA的關(guān)系：BIA分析的最終目的是要給業(yè)務(wù)連續(xù)性排優(yōu)先級(jí)，而優(yōu)先級(jí)的輸入是風(fēng)險(xiǎn)評估的結(jié)果（發(fā)生時(shí)間的影響和投入產(chǎn)出比）。
3）業(yè)務(wù)連續(xù)性策略 確定和選擇 建立資源要求 保護(hù)和緩解 此部分是根據(jù)BIA的結(jié)論選擇合理的（性價(jià)比高的）的措施，例如資源的保障（人、財(cái)、物）、實(shí)施備份措施（保護(hù)和緩解措施，風(fēng)險(xiǎn)應(yīng)對）、建立互惠協(xié)議（風(fēng)險(xiǎn)轉(zhuǎn)移）等等 4）建立和實(shí)施業(yè)務(wù)連續(xù)性程序 建立適當(dāng)?shù)膬?nèi)部和外部溝通協(xié)議 針對業(yè)務(wù)中斷期間需要采取的緊急步驟進(jìn)行詳細(xì)規(guī)定 靈活地應(yīng)對非預(yù)期的威脅和不斷變化的內(nèi)部和外部環(huán)境 關(guān)注可能導(dǎo)致潛在運(yùn)行中斷的事態(tài)影響 在已提出的假設(shè)和在相互依賴的關(guān)系分析的基礎(chǔ)上進(jìn)行開發(fā) 通過實(shí)施適當(dāng)?shù)臏p緩策略有效地將后果最小化 備注：此過程是針對業(yè)務(wù)的連續(xù)性一旦發(fā)生而假定的流程、步驟、配套資源。實(shí)際在事件一旦發(fā)生后，好的業(yè)務(wù)連續(xù)性管理，直接參考業(yè)務(wù)連續(xù)性開展相關(guān)工作，不好的就是兩張皮了。
ISO22301業(yè)務(wù)連續(xù)性管理體系實(shí)施過程和要求
①事件響應(yīng)機(jī)制：需要根據(jù)風(fēng)險(xiǎn)評估結(jié)果做好風(fēng)險(xiǎn)處置預(yù)案
②預(yù)警和溝通：需要設(shè)置風(fēng)險(xiǎn)預(yù)警指標(biāo)，以便在觸發(fā)風(fēng)險(xiǎn)預(yù)警時(shí)給啟動(dòng)風(fēng)險(xiǎn)處置預(yù)案留下反應(yīng)時(shí)間
③業(yè)務(wù)連續(xù)性計(jì)劃：組織應(yīng)建立響應(yīng)中斷事件，以及如何在預(yù)定的時(shí)間內(nèi)繼續(xù)或恢復(fù)其活動(dòng)的文件化程序。
確定在事件發(fā)生時(shí)和發(fā)生后相關(guān)人員和團(tuán)隊(duì)的角色和職責(zé) 一個(gè)啟動(dòng)響應(yīng)的過程 處理中斷時(shí)間所造成額直接后果的詳細(xì)說明。 如何以及在何種情況下組織與員工及其親屬、關(guān)鍵相關(guān)方、以及緊急聯(lián)絡(luò)人進(jìn)行溝通 組織獎(jiǎng)如何在預(yù)定的時(shí)間里繼續(xù)和恢復(fù)其優(yōu)先活動(dòng)。 事件發(fā)生后，組織的媒體響應(yīng)的詳細(xì)說明 事件一旦結(jié)束后的退出過程。 ④恢復(fù)：組織應(yīng)有用以在事件發(fā)生后從所采用的臨時(shí)措施中恢復(fù)并重新開始業(yè)務(wù)正常活動(dòng)的文件化程序。
⑤演練和測試：制定完相應(yīng)的預(yù)案后需要進(jìn)行演練和測試，通過測試找出其中的漏洞加以完善，通過演練，讓全員熟悉和適應(yīng)“應(yīng)急處置”狀態(tài)。
5）績效評估 ①監(jiān)視、測量、分析和評估
②內(nèi)部審核:組織應(yīng)按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審核，提供信息以表明業(yè)務(wù)連續(xù)性管理體系示范符合相關(guān)情況
③管理評審:最高管理者應(yīng)按計(jì)劃的時(shí)間間隔評審組織的BCMS，以確保其持續(xù)適宜、充分和有效
四、ISO22301業(yè)務(wù)連續(xù)性管理體系認(rèn)證條件及所需資料清單 1、認(rèn)證必備條件 （1）“業(yè)務(wù)連續(xù)性管理體系”運(yùn)行三個(gè)月；
（2）已充分的識(shí)別了風(fēng)險(xiǎn)并評估了對業(yè)務(wù)的影響程度；
（3）已制定完備的業(yè)務(wù)連續(xù)性計(jì)劃并有效實(shí)施。
2、認(rèn)證所需資料清單 （1）法律地位證明文件（如企業(yè)法人營業(yè)執(zhí)照、事業(yè)單位法人代碼證書、社團(tuán)法人登記證等），組織機(jī)構(gòu)代碼證復(fù)印件加蓋公章。存在時(shí)，應(yīng)提交分支機(jī)構(gòu)的營業(yè)執(zhí)照和組織機(jī)構(gòu)代碼證復(fù)印件加蓋公章；
（2）臨時(shí)場所清單（如工程建設(shè)施工組織在建項(xiàng)目清單、信息安全管理體系及信息技術(shù)服務(wù)管理體系的臨時(shí)服務(wù)點(diǎn)）；
（3）適用的法律法規(guī)的標(biāo)準(zhǔn)的清單；
（4）取得相關(guān)法規(guī)規(guī)定的行政許可文件(適用時(shí))；
（5）業(yè)務(wù)影響分析報(bào)告、風(fēng)險(xiǎn)評估報(bào)告和業(yè)務(wù)連續(xù)性計(jì)劃；
（6）BCMS體系文件，包括：方針、目標(biāo)、范圍、組織為過程運(yùn)行及溝通而保持的信息，必須提供：組織簡介、組織結(jié)構(gòu)（組織機(jī)構(gòu)圖）、人員情況和職能分工、過程路線圖/工藝流程圖/過程描述（應(yīng)明確說明關(guān)鍵過程和特殊過程）及其有關(guān)的過程文件；
（7）管理體系認(rèn)證申請書。


OHSAS標(biāo)準(zhǔn)要素與理解要點(diǎn)
軟件公司申請項(xiàng)目管理資格證書（PMP）基本條件及相關(guān)政策
國家高新技術(shù)企業(yè)認(rèn)定申請問題解答
知識(shí)產(chǎn)權(quán)行政保護(hù)措施主要有哪些
分清BRC認(rèn)證標(biāo)準(zhǔn)類別和申請認(rèn)證步驟
俄羅斯專利制度概況及特點(diǎn)
浙江iso9000？浙江iso9000體系
coc認(rèn)證申請條件,COC認(rèn)證測試哪些項(xiàng)目？