隨著自然災(zāi)害和人為事故的頻繁發(fā)生，企業(yè)的業(yè)務(wù)連續(xù)性管理（Business Continuity Management，BCM）越來越受到重視。在深刻認識到自然災(zāi)害和突發(fā)事件對社會經(jīng)濟造成的巨大影響和給企業(yè)帶來的業(yè)務(wù)癱瘓、信譽丟失基至破產(chǎn)倒閉等種種災(zāi)難性后果的同時，人們注意到有些企業(yè)在災(zāi)難發(fā)生過程中的表現(xiàn)相當出色，究其原因是由于引入了BCM（業(yè)務(wù)連續(xù)性管理），把災(zāi)難后果的影響降到最低甚至化險為夷。

通過實施ISO 22301業(yè)務(wù)連續(xù)性管理體系，幫助了很多企業(yè)在面臨疫情突發(fā)事件時的業(yè)務(wù)可持續(xù)。一個個鮮活的案例，引起了更多企業(yè)對業(yè)務(wù)持續(xù)管理的關(guān)注，將ISO22301這一國際標準推向了前所未有的高度。

一、ISO22301概述

ISO22301業(yè)務(wù)連續(xù)性管理體系國際標準，是由ISO/TC 223（公共安全技術(shù)委員會Societal Security Technical Committee）制定發(fā)布的。ISO/TC 223成立時間為2007年11月，2015年1月ISO/TC 292（安全與韌性技術(shù)委員會Security and Resilience Technical Committee）成立，替代ISO/TC 223。

業(yè)務(wù)連續(xù)性管理標準的發(fā)展歷史：

1、2003年，BSI發(fā)布PAS 56:2003《業(yè)務(wù)連續(xù)性管理指南》,是全球較早發(fā)布的BCM標準之一，影響了隨后一系列國家和國際標準的制定；

2、2006年，BSI發(fā)布BS 25999-1《業(yè)務(wù)連續(xù)性管理 第一部分：實用規(guī)則》，它確立了BCM的流程、原則和術(shù)語，給出了一個可參考的BCM的系統(tǒng)；

3、2007年，BSI發(fā)布BS 25999-2《業(yè)務(wù)連續(xù)性管理 第二部分：規(guī)范》，它正式提出了業(yè)務(wù)連續(xù)性管理體系的概念，規(guī)定了建立和管理一個有效的BCMS的要求。

由于匯聚了涵蓋各行各業(yè)的標準制定者，BS 25999一經(jīng)發(fā)布就成為當時適用性最廣、接受度最高的BCM標準。在接下來的幾年中，BS 25999在100多個國家得到實踐，并在43個國家獲得認證認可；

4、2007年，ISO發(fā)布ISO/PAS 22399《社會安全 事件準備和運營連續(xù)性管理指南》；

5、2012年，ISO發(fā)布SO 22301:2012《社會安全 業(yè)務(wù)連續(xù)性管理體系 要求》；

6、2019年，ISO發(fā)布ISO 22301:2019《安全與韌性 業(yè)務(wù)連續(xù)性管理體系 要求》。

ISO陸續(xù)發(fā)布了一系列的BCMS相關(guān)標準，主要包括：

1、ISO 22301，作為要求類標準，是ISO 22301系列標準的核心，它基于ISO高層結(jié)構(gòu)（ISO High Level Structure）規(guī)定了實施、保持和改進BCMS的一系列要求（最新版的ISO 22301:2019提出了90項具體要求），組織可以據(jù)此標準獲得認證；

2、ISO 22313，作為ISO 22301的應(yīng)用指南，為實現(xiàn)ISO 22301規(guī)定的要求提供了實施指導(dǎo)；

3、ISO 22317（業(yè)務(wù)影響分析）、ISO 22318（供應(yīng)鏈連續(xù)性）、ISO 22330（人員方面）、ISO 22331（業(yè)務(wù)連續(xù)性策略）和ISO 22332（業(yè)務(wù)連續(xù)性計劃和程序）等技術(shù)規(guī)范，為業(yè)務(wù)連續(xù)性管理工作提出更為詳細和專業(yè)的建議；

4、ISO 22300，為包括ISO TC292制定的所有標準建立專業(yè)詞匯表。

目前，ISO 22301和ISO 22313已分別于2019和2020年修訂為第2版，ISO 22300于2021年發(fā)布第3版，ISO 22317和ISO 22318正在進行修訂。

二、ISO22301的適用范圍

ISO22301業(yè)務(wù)連續(xù)性管理體系標準適用于以下所有類型和規(guī)模的組織：

1、實施，維護和改進BCMS；

2、尋求確保符合規(guī)定的業(yè)務(wù)連續(xù)性政策；

3、在中斷期間必須能夠繼續(xù)以可接受的預(yù)定容量交付產(chǎn)品和服務(wù)；

4、尋求通過有效應(yīng)用BCMS來增強其彈性。

ISO 22301適用于所有行業(yè)中的大、中、小型公有及私有組織，并且特別適用于處于高風險和高度監(jiān)管環(huán)境下的行業(yè)，例如金融業(yè)、IT通信業(yè)、制造業(yè)等。各行各業(yè)的企業(yè)面對國際及中國地區(qū)不斷頻發(fā)的自然災(zāi)害及人為事故，其業(yè)務(wù)運作的不確定性和風險都被大幅度增加，而加強企業(yè)業(yè)務(wù)連續(xù)性管理則成為了打造最佳企業(yè)應(yīng)急預(yù)案的必備選擇。

三、ISO 22301:2019主要內(nèi)容介紹

ISO 22301:2019標準分為10個主要章節(jié)，前三章節(jié)分別是范圍、規(guī)范性文獻、術(shù)語和定義，下面介紹該標準的其他章節(jié)的內(nèi)容。

【圖：ISO22301雙循環(huán)結(jié)構(gòu)】

第4章 組織環(huán)境

簡化了強制要求，與高層結(jié)構(gòu)保持一致。如，在“4.1 了解組織及其環(huán)境”部分，2012版規(guī)定了組織要“做……”并形成文件，2019版僅指出“確定內(nèi)外部事項”的要求，而不再具體說明要做什么，也不再要形成文件。

不再使用術(shù)語“風險偏好”，2012版將“風險偏好”定義為“組織愿意接受或承擔的風險的數(shù)量和類別”，2019版取消了該術(shù)語。因為重要的不是組織愿意接受或承擔的風險，而是組織不可接受的（活動不恢復(fù)的）影響。

第5章 領(lǐng)導(dǎo)作用

簡化了強制要求，與高層結(jié)構(gòu)保持一致。2019版和2012版都要求最高管理者證明對BCMS的領(lǐng)導(dǎo)作用和承諾，但2019版更關(guān)注對BCMS的有效管理，而2012版強調(diào)對活動的直接參與如“積極參與演練和測試”。

對“5.2方針”部分重組結(jié)構(gòu)和內(nèi)容排序，以更易于理解和使用。為消除重復(fù)，刪除評審方針適用性的要求（保留相關(guān)要求在管理評審輸入部分（9.3.2.e））。

第6章 策劃

對“6.1 應(yīng)對風險和機會的措施”和“6.2 業(yè)務(wù)連續(xù)性目標和實現(xiàn)計劃”部分的內(nèi)容重組結(jié)構(gòu)和內(nèi)容排序，以更易于理解和使用?！?.1.2 應(yīng)對風險和機會”部分明確指出，此處的風險和機會與BCMS的有效性相關(guān)，與業(yè)務(wù)中斷相關(guān)的風險在8.2部分處理。

新增“6.3 策劃BCMS的變更”，要求組織對BCMS的變更“以計劃的方式進行”。在策劃變更時，應(yīng)考慮：變更的目的和可能的后果，BCMS的完整性，資源可用性，責任和權(quán)限的分配和再分配。從形式上看，2019版新增了該要求，但從保持BCMS的有效性角度看，其內(nèi)容是顯而易見的（隱含在2012版）。

第7章 支持

簡化了強制要求，與高層結(jié)構(gòu)保持一致?！?.4 溝通”部分，2019版僅指出“確定與BCMS有關(guān)的內(nèi)外部溝通”的要求，刪除了2012版中關(guān)于中斷期間確保通信手段可用性要求的部分（與8.4.3.1重復(fù)）。

第8章 運行

進行重大修改，將幾乎所有與業(yè)務(wù)連續(xù)性相關(guān)的內(nèi)容全部納入該部分，新增第8.6節(jié)，重組結(jié)構(gòu)并對內(nèi)容排序。

8.2 業(yè)務(wù)影響分析和風險評估 根據(jù)ISO 22317 （BIA）和ISO 22318 （supply chain continuity）進行了擴展，2019版對業(yè)務(wù)影響分析過程的要求更明確（基本可以按要求逐步實施）。從定義影響類型開始，明確了活動的不可接受的影響、最大可容忍中斷時間（MTPD）以及優(yōu)先時間范圍（RTO）之間的關(guān)系，并使用BIA確定優(yōu)先活動。此外，需要注意，2019版中沒有對業(yè)務(wù)影響分析過程成文的要求。

“8.2.3 風險評估”部分刪除了“風險偏好”的提法（但在“4.1 了解組織及其環(huán)境”的注釋和“8.3.3 選擇策略和解決方案”中仍隱含了此內(nèi)容）。

8.3 業(yè)務(wù)連續(xù)性策略（strategy）更名為業(yè)務(wù)連續(xù)性策略和解決方案（strategies and solutions），明確暗示不止一個策略，并通過一個或多個方案實現(xiàn)策略。2019版要求組織不只是制定高層級的策略，還要針對特定風險和影響尋找解決方案。對于最高管理者而言，這是最重大的變化，因為確定所需的資源變?yōu)榕c選定的解決方案（見8.3.4）而非策略相關(guān)。根據(jù)解決方案確定資源比根據(jù)策略確定資源要精確地多，對預(yù)算規(guī)劃的要求也會更加剛性。2019版還要求“實施和保持選定的業(yè)務(wù)連續(xù)性解決方案，以便在需要時啟用它們”（見8.3.5）。

8.4 建立和實施業(yè)務(wù)連續(xù)性程序更名為業(yè)務(wù)連續(xù)性計劃和程序，該部分值得關(guān)注的部分包括：基于所選策略和解決方案的輸出，確定和編制業(yè)務(wù)連續(xù)性計劃和程序；進行結(jié)構(gòu)設(shè)計以使一個或多個團隊負責響應(yīng)中斷；清楚說明各團隊之間的關(guān)系，以及他們的角色和職責；每個團隊必須確定包括“候補人員”在內(nèi)的人員，并說明履行指定角色所需的責任、權(quán)限和能力；有關(guān)如何管理中斷直接后果（包括對環(huán)境的影響）的詳細信息；每個計劃必須包括退出流程（見8.4.4.3 h）；每個計劃應(yīng)在需要的時間和地點可使用和可得到。

8.5 演練和測試更名為演練方案（exercise programme），明確了實施和保持演練和測試方案的要求。從演練和測試角度看，2019版要求直接驗證業(yè)務(wù)連續(xù)性策略和解決方案（而不再是2012版中的業(yè)務(wù)連續(xù)性安排）。

增加了一些新提法，需要考慮，如“培訓(xùn)團隊合作精神、能力、信心和知識”。

新增“8.6 業(yè)務(wù)連續(xù)性文檔和能力的評價”，強調(diào)定期評價和更新文檔的重要性，其主要內(nèi)容原在2012版“第9章 績效評價”中。明確對相關(guān)合作伙伴和供應(yīng)商的業(yè)務(wù)連續(xù)性能力進行評估的要求。

第9章 績效評價

簡化了相關(guān)要求，與高層結(jié)構(gòu)保持一致。本章只關(guān)注業(yè)務(wù)連續(xù)性管理體系，而不再關(guān)注業(yè)務(wù)連續(xù)性文檔和能力（該部分移到8.6）。

在2019版中的監(jiān)視、測量、分析和評價中，不僅要確定何時進行監(jiān)視和測量、何時對結(jié)果進行分析和評價，還要包括由誰進行。此外，對績效指標的相關(guān)提法已刪除。

第10章 改進

“10.2 持續(xù)改進”得到了一定擴展，強調(diào)通過“定性和定量措施”持續(xù)改進。

四、ISO22301業(yè)務(wù)連續(xù)管理體系建設(shè)流程

1、啟動調(diào)研

通過對企業(yè)的組織架構(gòu)、管理流程、業(yè)務(wù)運作模式和IT支持系統(tǒng)進行考察和調(diào)研，以確定業(yè)務(wù)持續(xù)性管理（BCM）過程或功能的需求。

2、風險評估

確定可能造成機構(gòu)及其設(shè)施中斷和災(zāi)難、具有負面影響的突發(fā)事件和周邊環(huán)境因素，以及事件可能造成的損失、防止或減少潛在損失影響的控制措施。提供成本效益分析以調(diào)整控制措施方面的投資達到消減風險的目的。

3、業(yè)務(wù)影響分析

確定由于中斷和預(yù)期災(zāi)難可能對機構(gòu)造成的影響以及用來定量和定性分析這種影響的技術(shù)。確定關(guān)鍵功能、其恢復(fù)優(yōu)先順序和相互依賴性以便確定恢復(fù)時間目標。

4、容災(zāi)策略制定

在本階段，結(jié)合以上各階段的分析成果，以及在容災(zāi)上的投入能力，制訂企業(yè)系統(tǒng)短期、長期范圍內(nèi)的容災(zāi)策略和目標，并有意識地將本身的人員組成和組織架構(gòu)做出調(diào)整以適應(yīng)策略要求。

5、容災(zāi)技術(shù)方案設(shè)計

根據(jù)容災(zāi)策略，以及業(yè)務(wù)連續(xù)性計劃和各系統(tǒng)的RTO和RPO指標,考慮成本和收益平衡原則，分別設(shè)計容災(zāi)方案。

6、容災(zāi)設(shè)施資源及 IT 系統(tǒng)建設(shè)或整改

對容災(zāi)中心的設(shè)施資源進行詳細的規(guī)劃和設(shè)計，容災(zāi)中心的建筑工程、中心環(huán)境（外部與內(nèi)部）、機房結(jié)構(gòu)、物理安全、交通流向組織、電力供應(yīng)與保障等環(huán)節(jié)都要按照容災(zāi)的實際需求進行科學(xué)的分析，最終達到容災(zāi)的實際要求。

7、業(yè)務(wù)連續(xù)性計劃及災(zāi)難恢復(fù)計劃的制定與維護

業(yè)務(wù)恢復(fù)團隊和業(yè)務(wù)恢復(fù)團隊分別執(zhí)行應(yīng)急響應(yīng)計劃、災(zāi)難恢復(fù)計劃、業(yè)務(wù)恢復(fù)計劃，運營管理團隊負責容災(zāi)系統(tǒng)的運營管理和日常維護、問題收集和解決、系統(tǒng)變申和測試演練等工作，后勤保障和人力資源保障提供支持，從而達到容災(zāi)設(shè)計的目標。

8、容災(zāi)系統(tǒng)運行維護

運行業(yè)務(wù)連續(xù)性計劃，包括日常管理和首次演練等。并建立相應(yīng)的管理制度。

9、演練及測試

對預(yù)案和預(yù)案間的協(xié)調(diào)性進行演練、并評估和記錄預(yù)案演練的結(jié)果。制定維持持續(xù)性能力和 BCP文檔更新狀態(tài)的方法使其與機構(gòu)的策略方向保持一致。通過與適當標準的比較來驗證 BCP的效率，并使用簡明的語言報告驗證的結(jié)果。

10、審核/審計

培訓(xùn)內(nèi)審員，進行內(nèi)部審核，并在適當時機邀請外部審核機構(gòu)對業(yè)務(wù)連續(xù)性管理體系進行審核/審計。

五、ISO22301業(yè)務(wù)連續(xù)性管理體系建設(shè)的意義及目標

1、組織內(nèi)識別和理解關(guān)鍵業(yè)務(wù)過程及其中斷的影響；

2、增強組織的彈性、恢復(fù)能力及持續(xù)生存能力水平；

3、具備超越彈性較弱的競爭對手的優(yōu)勢；

4、正面的訊息傳達給媒體和利益相關(guān)者，以應(yīng)對危機處理；

5、提升保險公司對組織風險管理的印象，從而降低保費；

6、符合監(jiān)管機構(gòu)、保險公司、商業(yè)伙伴和其他主要利益相關(guān)者的期望；

7、在事故、破壞甚至災(zāi)難發(fā)生時顯著降低財務(wù)影響；

8、增加組織和員工雙方的生存機會；

9、通過展示具備專業(yè)的管理中斷的方法而保持甚至提升聲譽；

10、如合同或協(xié)議的承諾，在可接受的預(yù)先定義的級別，及時和有序應(yīng)對事件和業(yè)務(wù)中斷，保證業(yè)務(wù)連續(xù)運營；

11、鼓勵跨團隊和跨組織的協(xié)調(diào)；

12、通過場景演練，展示可信的響應(yīng)能力；

13、以可見的證據(jù)證明整體風險管理的管理承諾。

六、ISO22301認證的必備條件：

1、組織法律地位證明文件（如企業(yè)法人營業(yè)執(zhí)照、社團法人登記證等）；

2、適用時，取得相關(guān)法律法規(guī)規(guī)定的行政許可文件；

3、按標準建立“業(yè)務(wù)連續(xù)性管理體系”，并運行三個月；

4、已充分的識別了風險并評估了對業(yè)務(wù)的影響程度，如業(yè)務(wù)影響分析報告、風險評估報告；

5、已制定完備的業(yè)務(wù)連續(xù)性計劃并有效實施；

6、建立的業(yè)務(wù)連續(xù)性管理體系文件包括：方針、目標、范圍、組織為過程運行及溝通而保持的信息，須提供：組織簡介、組織架構(gòu)、人員情況和職能分工、過程路線圖/工藝流程圖/過程描述及其有關(guān)的過程文件。

七、企航顧問在ICT領(lǐng)域提供的服務(wù)項目有：

1、ISO/IEC 20000 ： 信息技術(shù)服務(wù)管理體系

2、ISO/IEC 27001 ： 信息安全管理體系

3、ISO/IEC 27701 ： 隱私信息管理體系

4、ISO/IEC 27017 ： 云服務(wù)信息安全規(guī)范

5、ISO/IEC 27018 ： 公共云個人信息（PII）處理者的信息安全控制規(guī)范

6、ISO/IEC 29151 ： 個人信息保護的行為準則

7、ISO 22301 ： 業(yè)務(wù)連續(xù)性管理體系

8、TISAX ：可信信息安全評估交流機制

9、ISO/SAE 21434 ： 汽車網(wǎng)絡(luò)安全管理體系

10、TL 9000 ： 通訊行業(yè)質(zhì)量管理體系

……