【編者按】
(轉(zhuǎn))https://baijiahao.baidu.com/s?id=1705320716476107687&wfr=spider&for=pc
國(guó)際標(biāo)準(zhǔn)化組織ISO在2019、2020年先后發(fā)布ISO 22301和ISO 22313的第二個(gè)版本,反映了世界各國(guó)專家在業(yè)務(wù)連續(xù)性領(lǐng)域的最新共識(shí)�����,帶來(lái)了一些值得關(guān)注的變化��,有必要對(duì)《ISO 22301白皮書(shū)》進(jìn)行一次更新����。當(dāng)然,由于ISO 22301:2019并未增加新要求����,因此本文主要討論ISO 22301新版本的變化��,原白皮書(shū)中的其它內(nèi)容仍適用��。
ISO 22301:2019白皮書(shū)
1. ISO 22301系列標(biāo)準(zhǔn)的變化
ISO 22301在2012年首次發(fā)布����,到目前(截止2019年12月31日),已有1693張有效認(rèn)證證書(shū)����,涉及6231個(gè)場(chǎng)所(數(shù)據(jù)來(lái)自ISO統(tǒng)計(jì),詳見(jiàn)附錄1:ISO 22301認(rèn)證)�����。
近幾年來(lái),ISO 22301系列標(biāo)準(zhǔn)經(jīng)歷了多項(xiàng)更新�。目前,已發(fā)布和正在編寫(xiě)/修訂的業(yè)務(wù)連續(xù)性管理相關(guān)標(biāo)準(zhǔn)見(jiàn)下表:
表1 ISO 22301系列業(yè)務(wù)連續(xù)性相關(guān)標(biāo)準(zhǔn)
其中�,ISO 22301:2012、ISO 22313:2012�、ISO 22317:2015和ISO 22398:2013已等同轉(zhuǎn)化為我國(guó)國(guó)家標(biāo)準(zhǔn)。
ISO 22301:2019于2019年10月30日正式發(fā)布����,取代了之前發(fā)布的第一版—ISO 22301:2012。ISO TC292指出��,“新版本與2012版相比��,主要有3方面的變化”:
l 術(shù)語(yǔ)–最新的業(yè)務(wù)連續(xù)性管理相關(guān)術(shù)語(yǔ)�����,以反映世界各地專家的實(shí)踐�����;
l 結(jié)構(gòu)–合并和刪除重復(fù)內(nèi)容�,調(diào)整結(jié)構(gòu)以更清晰地區(qū)分業(yè)務(wù)連續(xù)性能力交付和管理體系的實(shí)施和保持(明確的雙循環(huán)結(jié)構(gòu));
l 內(nèi)容–未增加新要求(106項(xiàng)強(qiáng)制要求減少到90項(xiàng))�����,重組結(jié)構(gòu)并對(duì)內(nèi)容排序,使標(biāo)準(zhǔn)文本更易讀和使用��。
ISO 22313:2020于2020年2月20日正式發(fā)布���,取代了之前發(fā)布的第一版—ISO 22313:2012��,新版本對(duì)結(jié)構(gòu)和內(nèi)容進(jìn)行了修改以與ISO 22301的新版本保持一致�,闡述和澄清了ISO 22301中的關(guān)鍵概念����、術(shù)語(yǔ)和要求�����,并為按照ISO 22301的要求建立業(yè)務(wù)連續(xù)性管理體系提供了基于良好實(shí)踐的指南�����。
2. ISO高層結(jié)構(gòu)與管理體系方法
ISO高層結(jié)構(gòu)����,即ISO High Level Structure(可簡(jiǎn)稱為高層結(jié)構(gòu)或HLS)�,是國(guó)際標(biāo)準(zhǔn)化組織為減少不同領(lǐng)域管理體系標(biāo)準(zhǔn)實(shí)施中的重復(fù)���,提高管理體系的運(yùn)行效率�,在研究管理體系標(biāo)準(zhǔn)共同性的基礎(chǔ)上��,于2012年發(fā)布在ISO/IEC導(dǎo)則附錄中��。
國(guó)際標(biāo)準(zhǔn)化組織使用高層結(jié)構(gòu)規(guī)定了管理體系標(biāo)準(zhǔn)的相同的內(nèi)核����,包括:
(1) 相同的標(biāo)準(zhǔn)框架和條款標(biāo)題。高層結(jié)構(gòu)使用相同的標(biāo)準(zhǔn)條款和條款標(biāo)題��。特定的管理體系標(biāo)準(zhǔn)在相同的一級(jí)標(biāo)準(zhǔn)條款標(biāo)題下��,增加二級(jí)條款和三級(jí)����、四級(jí)條款;
(2) 相同的通用術(shù)語(yǔ)和核心定義���。在各管理體系標(biāo)準(zhǔn)中����,使用通用的術(shù)語(yǔ)和核心定義。如果通用術(shù)語(yǔ)和核心定義與特定管理體系標(biāo)準(zhǔn)中的術(shù)語(yǔ)和定義名稱相同但內(nèi)涵不同�,則需要在特定管理體系中加以說(shuō)明,如“風(fēng)險(xiǎn)”����。
(3) 相同的條款核心文本。高層結(jié)構(gòu)給出了相同的條款核心文本的格式���,在相同的條款核心文本的基礎(chǔ)上���,可為特定管理體系增加相應(yīng)的要求。
高層結(jié)構(gòu)可應(yīng)用于“要求”性(A類)和“指南”性(B類)兩類標(biāo)準(zhǔn)���?��!耙蟆毙詷?biāo)準(zhǔn)是指組織應(yīng)滿足標(biāo)準(zhǔn)中規(guī)定的內(nèi)容�,如ISO 9001《質(zhì)量管理體系 要求》;“指南”性標(biāo)準(zhǔn)是指組織可參考標(biāo)準(zhǔn)中給出的指南提示�����,選擇適合組織特點(diǎn)的內(nèi)容加以應(yīng)用�����,如ISO 9004《質(zhì)量管理體系 業(yè)務(wù)改進(jìn)指南》。也有標(biāo)準(zhǔn)把“要求”性和“指南”性兩類標(biāo)準(zhǔn)進(jìn)行了適當(dāng)?shù)暮喜?,把“要求”性?nèi)容列入正文,“指南”性內(nèi)容列入附錄��,附錄中的條款和正文中的條款是對(duì)應(yīng)的���,如ISO 14001:2015《環(huán)境管理體系 要求及使用指南》����,ISO 45001:2018《職業(yè)健康安全管理體系 要求及使用指南》等標(biāo)準(zhǔn)��。(ISO已多次更新ISO/IEC導(dǎo)則�����,下面以2020年第17版具體介紹高層結(jié)構(gòu))
高層結(jié)構(gòu)規(guī)定了適用于所有ISO管理體系標(biāo)準(zhǔn)的21個(gè)通用術(shù)語(yǔ)���,具體包括:組織���,相關(guān)方,要求,管理體系��,最高管理者���,有效性�����,方針����,目標(biāo)��,風(fēng)險(xiǎn)�,(人員)能力,成文信息���,過(guò)程��,績(jī)效�,外包��,監(jiān)視��,測(cè)量����,審核,符合��,不符合����,糾正措施,持續(xù)改進(jìn)�。
高層結(jié)構(gòu)的相同的框架和條款,包括10個(gè)一級(jí)條款共20個(gè)二級(jí)條款�����,具體如下表:
表2 ISO高層結(jié)構(gòu)框架條款說(shuō)明
本質(zhì)上�����,不同領(lǐng)域的管理體系標(biāo)準(zhǔn)來(lái)自世界各國(guó)(該領(lǐng)域的)專家對(duì)(該領(lǐng)域)良好實(shí)踐的總結(jié)和共識(shí)�,高層結(jié)構(gòu)是國(guó)際標(biāo)準(zhǔn)化組織對(duì)眾多領(lǐng)域管理方法進(jìn)行總結(jié)后提出的統(tǒng)一的管理方法論—可以稱之為“ISO管理體系方法”。高層結(jié)構(gòu)的推出�����,使多管理體系標(biāo)準(zhǔn)的集成變得更容易,有利于ISO管理體系標(biāo)準(zhǔn)的進(jìn)一步推廣(但要注意到����,高層結(jié)構(gòu)本身并不是一個(gè)共識(shí)性標(biāo)準(zhǔn))。
ISO 22301:2012是最早采用高層結(jié)構(gòu)的管理體系標(biāo)準(zhǔn)之一��,ISO 22301:2019在修訂中按照高層結(jié)構(gòu)的最新版進(jìn)行了調(diào)整�����,以與其它管理體系標(biāo)準(zhǔn)保持一致�����。
以下從術(shù)語(yǔ)�����、結(jié)構(gòu)和具體內(nèi)容三個(gè)方面探討ISO 22301:2019的變化��。
3. 術(shù)語(yǔ)的變化
ISO 22301:2012原有術(shù)語(yǔ)55項(xiàng)����,新版本新增2項(xiàng),移出26項(xiàng)(到ISO 22300中)�,因此,ISO 22301:2019現(xiàn)有術(shù)語(yǔ)31項(xiàng)��,主要的變化如下:
l 43項(xiàng)術(shù)語(yǔ)沒(méi)有變化(或只有輕微變化)�����,其中23項(xiàng)是保留在2019版中���,這其中又有21項(xiàng)是是高層結(jié)構(gòu)的通用術(shù)語(yǔ)��,另外2項(xiàng)分別是:業(yè)務(wù)連續(xù)性(business continuity)和資源(resource)�����;另外20項(xiàng)被移出到ISO 22300���,分別是:
l 12項(xiàng)術(shù)語(yǔ)被修改(有明顯變化),其中6項(xiàng)保留在新版標(biāo)準(zhǔn)中����,分別是:活動(dòng)(activity),業(yè)務(wù)連續(xù)性計(jì)劃(BCP),業(yè)務(wù)影響分析(BIA)����,事件(incident)�����,優(yōu)先活動(dòng)(prioritized activities)以及產(chǎn)品和服務(wù)(products and services)�����;另外6被項(xiàng)移出到ISO 22300中��,分別是:業(yè)務(wù)連續(xù)性管理(BCM)�����,文檔(document)����,最小業(yè)務(wù)連續(xù)性目標(biāo)(MBCO)�,績(jī)效評(píng)價(jià)(performance evaluation),記錄(record)以及測(cè)試(Testing)�����;
l 2項(xiàng)術(shù)語(yǔ)新增:中斷(disruption)和影響(impact)����。
以下介紹幾個(gè)值得關(guān)注的術(shù)語(yǔ)及其變化:
業(yè)務(wù)連續(xù)性管理(business continuity management)
ISO 22301:2019將“業(yè)務(wù)連續(xù)性管理”移出�����,ISO 22313:2020 3.1和ISO 22300:2021 3.1.20將其定義為“實(shí)施和保持業(yè)務(wù)連續(xù)性的過(guò)程”(process of implementing and maintaining business continuity)���,ISO 22301:2012 3.4將其定義為“識(shí)別對(duì)組織的潛在威脅以及這些威脅一旦發(fā)生可能對(duì)業(yè)務(wù)運(yùn)營(yíng)帶來(lái)影響的一整套管理過(guò)程��,該過(guò)程為建立有效響應(yīng)能力的組織韌性提供了框架���,以保護(hù)關(guān)鍵相關(guān)方的利益�����、聲譽(yù)��、品牌和創(chuàng)造價(jià)值的活動(dòng)”(holistic management process that identifies potential threats to an organization and the impacts to business operations those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability of an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities)����。
兩個(gè)版本的定義基本一致����,業(yè)務(wù)連續(xù)性管理是實(shí)施和保持業(yè)務(wù)連續(xù)性的一整套管理過(guò)程,它使組織為應(yīng)對(duì)可能妨礙實(shí)現(xiàn)其目標(biāo)的中斷做好準(zhǔn)備��,很明顯,新版本的定義更簡(jiǎn)潔���、明確���。
活動(dòng)(activity)和優(yōu)先活動(dòng)(prioritized activity)
ISO 22301:2019 3.1將“活動(dòng)”定義為“具有確定輸出的一個(gè)或多個(gè)任務(wù)的集合”(set of one or more tasks with a defined output),ISO 22301:2012 3.1將其定義為“由組織(或其代表)為生產(chǎn)或支持一個(gè)或多個(gè)產(chǎn)品和服務(wù)而執(zhí)行的過(guò)程或一組過(guò)程”(process or set of processes undertaken by an organization (or on its behalf) that produces or supports one or more products a)d services)���。對(duì)于ISO 22301:2012版定義中涉及的術(shù)語(yǔ)“過(guò)程”��,ISO 22301:2019 3.26和ISO 22301:2012 3.40均定義為“將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的一組活動(dòng)”(set of interrelated or interacting activities which transforms inputs into outputs)�����。
也就是說(shuō)�����,在ISO 22301:2012中��,過(guò)程是“……的一組活動(dòng)”��,活動(dòng)是“……的過(guò)程或一組過(guò)程”���,過(guò)程和活動(dòng)形成了一條“吞食自己尾巴的蛇”��,讓人很難理解���。而在ISO 22301:2019中,過(guò)程是“……的一組活動(dòng)”�,活動(dòng)則是“……一個(gè)或多個(gè)任務(wù)的集合”,“過(guò)程-活動(dòng)-任務(wù)”形成了一個(gè)明確的分級(jí)結(jié)構(gòu)(事實(shí)上��,APQC PCF流程分類分級(jí)模型就包含該結(jié)構(gòu))�����,術(shù)語(yǔ)活動(dòng)(activity)的變化為業(yè)務(wù)識(shí)別建立了確定的基礎(chǔ)��。
ISO 22301:2019 3.25將優(yōu)先活動(dòng)定義為“為避免中中斷期間對(duì)業(yè)務(wù)造成不可接受的影響而采取緊急措施的活動(dòng)”(activity to which urgency is given in order to avoid unacceptable impacts to the business during a disruption)����,ISO 22301:2012用的是“prioritized activities”���,并將其定義為“事件發(fā)生后為了減輕影響必須執(zhí)行的活動(dòng)”(activities to which priority must be given following an incident in order to mitigate impacts)��,并在注釋中指出���,描述此類活動(dòng)的常用術(shù)語(yǔ)包括:緊要的(critical)����、必要的(essential)�����、重要的(vital)��、緊急的(urgent)和關(guān)鍵的(key)�����。新版本的定義���,強(qiáng)調(diào)“中斷期間”���、“對(duì)業(yè)務(wù)不可接受的影響”和“采取緊急措施”,與新版本的其它部分保持一致����,并更能反映優(yōu)先活動(dòng)的本質(zhì)內(nèi)涵。
業(yè)務(wù)連續(xù)性計(jì)劃(business continuity plan)
ISO 22301:2019 3.4將“業(yè)務(wù)連續(xù)性計(jì)劃”定義為“指導(dǎo)組織響應(yīng)(respond to)中斷并重續(xù)(resume)����、恢復(fù)(recovery)和還原(restore)交付與其業(yè)務(wù)連續(xù)性目標(biāo)一致的產(chǎn)品和服務(wù)的成文信息”(documented information that guide an organization to respond to a disruption and resume, recover and restore the delivery of products and services consistent with its business continuity objectives)�����,ISO 22301:2012 3.6將其定義為“指導(dǎo)組織響應(yīng)�、恢復(fù)�����、重續(xù)和還原到中斷后預(yù)定運(yùn)行水平的成文程序”(documented procedures that guide organizations to respond, recover, resume, and restore to a pre-defined level of operation following disruption)���,并在隨后的注釋中指出�,業(yè)務(wù)連續(xù)性計(jì)劃通常包括確保關(guān)鍵業(yè)務(wù)功能的連續(xù)性所需的資源����、服務(wù)和活動(dòng)����。
也就是說(shuō),在ISO 22301:2019中���,業(yè)務(wù)連續(xù)性計(jì)劃是“……的成文信息”���;而在ISO 22301:2012中�,業(yè)務(wù)連續(xù)性計(jì)劃是“……的成文程序”����,隨后注釋又指出它包括“……資源、服務(wù)和活動(dòng)”��。我們知道�,業(yè)務(wù)連續(xù)性計(jì)劃并不只是成文程序,很明顯�����,兩個(gè)定義差異并不太大����,但ISO 22301:2019版的定義更簡(jiǎn)潔、清晰��,用詞也更準(zhǔn)確�。
業(yè)務(wù)影響分析(business continuity impact)
ISO 22301:2019 3.5和ISO 22300:2021 3.1.24將“業(yè)務(wù)影響分析”定義為“分析隨時(shí)間推移中斷對(duì)組織的影響的過(guò)程”(process of analysing the impact over time of a disruption on the organization),并在其后的注釋中指出“其結(jié)果是業(yè)務(wù)連續(xù)性要求的陳述和理由”(the outcome is a statement and justification of business continuity requirements)����。ISO 22301:2012 3.8將其定義為“分析活動(dòng)和業(yè)務(wù)中斷可能帶來(lái)的影響的過(guò)程”(process of analyzing activities and the effect that a business disruption might have upon them)。比較這兩個(gè)版本的定義,明顯��,ISO 22301:2019版的定義更簡(jiǎn)潔�����、明確����。
事件(incident)、事態(tài)(event)
ISO 22301:2019 3.14將“事件”定義為“可能導(dǎo)致中斷����、損失、突發(fā)事件或危機(jī)的事態(tài)”(event that can be, or could lead to, a disruption, loss, emergency or crisis)�����,ISO 22301:2012 3.19將其定義為“可能導(dǎo)致中斷�����、損失�����、突發(fā)事件或危機(jī)的情況”(situation that might be, or could lead to, a disruption, loss, emergency or crisis)��。因?yàn)槭聭B(tài)(ISO 22300:2021 3.1.96 event)也是一個(gè)基礎(chǔ)性的術(shù)語(yǔ)�,這個(gè)變化將“事件”明確為“可能導(dǎo)致……的事態(tài)”,建立起二者的聯(lián)系�。
中斷(disruption)、突發(fā)事件(emergency)和危機(jī)(crisis)
ISO 22301:2019 3.10和ISO 22300:2021 3.1.75將“中斷”定義為“造成產(chǎn)品和服務(wù)的期望交付相對(duì)于組織目標(biāo)非計(jì)劃負(fù)偏離的事件���,無(wú)論是預(yù)期的還是非預(yù)期的”(incident, whether anticipated or unanticipated, that causes an unplanned, negative deviation from the expected delivery of products and services according to an organization's objectives)����,這是ISO 22301:2019新增的術(shù)語(yǔ)��,明確了“中斷”是“造成……的事件”�。
ISO 22300:2021 3.1.87將“突發(fā)事件”定義為“突然的、緊急的�����、通常是意料之外的事情或需要立即采取行動(dòng)的事態(tài)”(sudden, urgent, usually unexpected occurrence or event requiring immediate action)��,并在注釋中指出“突發(fā)事件一般是一種中斷事件�,或通常可以預(yù)見(jiàn)或準(zhǔn)備���、但很少能準(zhǔn)確預(yù)測(cè)的情況”(an emergency is usually a disruption or condition that can often be anticipated or prepared for, but seldom exactly foreseen)����。
ISO 22300:2012 3.1.60將“危機(jī)”定義為“即將發(fā)生突然或重大變化、需要緊急關(guān)注和采取行動(dòng)以保護(hù)生命財(cái)產(chǎn)或環(huán)境的不穩(wěn)定狀態(tài)”(unstable condition involving an impending abrupt or significant change that requires urgent attention and action to protect life, assets, property or the environment)��。
綜合而言�,突發(fā)事件和中斷事件都是事件(incident),都可能導(dǎo)致危機(jī)狀態(tài)���。
此外�����,ISO 22301:2019在資源(resource)的定義及標(biāo)準(zhǔn)正文部分明確其包括但不限于:人員�����,信息和數(shù)據(jù)��,物理基礎(chǔ)設(shè)施(如建筑�����、工作場(chǎng)所或其它設(shè)施和相關(guān)的公共服務(wù))�,設(shè)備和易耗品�����,信息和通信技術(shù)(ICT)系統(tǒng)���,運(yùn)輸和物流���,財(cái)務(wù),合作伙伴和供應(yīng)商����。(ISO 22301術(shù)語(yǔ)變化匯總詳見(jiàn)附錄2)
4. 結(jié)構(gòu)的變化
ISO 22301:2019按照高層結(jié)構(gòu)最新版本進(jìn)行了修訂,在確保與其它ISO管理體系標(biāo)準(zhǔn)一致性的基礎(chǔ)上�,結(jié)合業(yè)務(wù)連續(xù)性領(lǐng)域的情況進(jìn)行了有益的調(diào)整。
4.1 BC�����、BCM和BCMS的關(guān)系
業(yè)務(wù)連續(xù)性是一種組織能力�����,ISO 22301:2019 3.3和ISO 22300:2021 3.1.19將其定義為“在中斷期間�,組織以預(yù)先確定的能力在可接受時(shí)間范圍內(nèi)持續(xù)交付產(chǎn)品和服務(wù)的能力”(capability of an organization to continuity the delivery of products and services within acceptable time frames at predefined capacity during a disruption)�����。
業(yè)務(wù)連續(xù)性管理是“實(shí)施和保持業(yè)務(wù)連續(xù)性”的一整套管理過(guò)程�,具體包括:運(yùn)行的策劃和控制����,業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估,業(yè)務(wù)連續(xù)性策略和解決方案���,業(yè)務(wù)連續(xù)性計(jì)劃和程序�����,演練方案��,業(yè)務(wù)連續(xù)性文檔和能力評(píng)估(見(jiàn)ISO 22301:2019 8.1.2)��。
業(yè)務(wù)連續(xù)性管理體系��,在ISO 22300:2021 3.1.21中被定義為“整體管理體系的一部分����,用以建立����、實(shí)施、運(yùn)行����、監(jiān)視、評(píng)審��、保持和改進(jìn)業(yè)務(wù)連續(xù)性”(part of the overall management system that establish, implements, operates, monitors, review, maintains and improves business continuity)��,并在隨后的注釋中指出�����,“管理體系包括組織結(jié)構(gòu)���、方針��、策略活動(dòng)�����、職責(zé)��、程序���、過(guò)程和資源”�。
因此�����,業(yè)務(wù)連續(xù)性管理體系是“建立�、實(shí)施、運(yùn)行����、監(jiān)視、評(píng)審���、保持和改進(jìn)”業(yè)務(wù)連續(xù)性的管理體系�����;業(yè)務(wù)連續(xù)性管理是“實(shí)施和保持業(yè)務(wù)連續(xù)性”的一整套管理過(guò)程�,是業(yè)務(wù)連續(xù)性管理體系的一部分��。(我在“業(yè)務(wù)連續(xù)性問(wèn)與答”系列中探討過(guò)���,業(yè)務(wù)連續(xù)性管理和業(yè)務(wù)連續(xù)性管理體系都是管理業(yè)務(wù)連續(xù)性的方法����,當(dāng)然,也存在其它有效的管理業(yè)務(wù)連續(xù)性的方法)
4.2 ISO 22301的雙循環(huán)結(jié)構(gòu)
ISO 22301為實(shí)施����、運(yùn)行和改進(jìn)一個(gè)業(yè)務(wù)連續(xù)性管理體系規(guī)定了要求�,并采用“建立(Plan),實(shí)施和運(yùn)行(Do)��,監(jiān)視和評(píng)審(Check)��,保持和改進(jìn)(Do)”即PDDCA循環(huán)來(lái)保障業(yè)務(wù)連續(xù)性管理體系的有效性�。
結(jié)合ISO 22301對(duì)業(yè)務(wù)連續(xù)性管理體系的定義和標(biāo)準(zhǔn)正文,可以看到:ISO 22301的核心是如下圖的“雙循環(huán)結(jié)構(gòu)”(dual cycle model)���,其外循環(huán)是如何“建立����,實(shí)施和運(yùn)行�����,監(jiān)視和評(píng)審,保持和改進(jìn)”一個(gè)業(yè)務(wù)連續(xù)性管理體系����,其內(nèi)循環(huán)是如何“建立,實(shí)施�,運(yùn)行,監(jiān)視����,評(píng)審、保持和改進(jìn)”業(yè)務(wù)連續(xù)性(主要體現(xiàn)在第8章中)�����。
圖1 ISO 22301雙循環(huán)結(jié)構(gòu)
在結(jié)構(gòu)上���,ISO 22301:2019對(duì)第8章進(jìn)行重大修改����,并將幾乎所有與業(yè)務(wù)連續(xù)性相關(guān)的部分納入���,如將原“9.1.2 業(yè)務(wù)連續(xù)性程序的評(píng)價(jià)”修改為“業(yè)務(wù)連續(xù)性文檔和能力的評(píng)價(jià)”�,調(diào)整成8.6條款�����,完善了內(nèi)循環(huán);在第6章新增“6.3 策劃BCMS的變更”(將相關(guān)要求和部分以前隱含的要求移入)���,進(jìn)一步充實(shí)了外循環(huán)��。
通過(guò)ISO 22301雙循環(huán)結(jié)構(gòu)生成和保持的業(yè)務(wù)連續(xù)性(能力)��,將用于應(yīng)對(duì)中斷造成的不可接受的影響以及可能導(dǎo)致活動(dòng)中斷的風(fēng)險(xiǎn)��,具體體現(xiàn)在:“保護(hù)(protect against),減少中斷發(fā)生的可能性(reduce the likelihood of the occurrence of)�����,準(zhǔn)備(prepare for)�����,以及當(dāng)中斷發(fā)生時(shí)響應(yīng)(respond)并恢復(fù)(recovery)”�。
5. 具體內(nèi)容變化
整體而言,ISO 22301:2019通過(guò)使用最新版高層結(jié)構(gòu)��,與其它管理體系標(biāo)準(zhǔn)保持一致性���;通過(guò)減少?gòu)?qiáng)制和成文(documented)要求(如下表3)���,引入了更大的靈活性�����;通過(guò)刪除重復(fù)內(nèi)容���、重組結(jié)構(gòu)和內(nèi)容排序,使標(biāo)準(zhǔn)文本更容易理解和使用�����。
表3 高層結(jié)構(gòu)����、ISO 222301 2012版及2019版強(qiáng)制要求(shall)比較
以下分章節(jié)介紹具體內(nèi)容變化:
第0章 引言
新增“0.2 業(yè)務(wù)連續(xù)性管理系統(tǒng)的收益”部分����,從業(yè)務(wù)����、財(cái)務(wù)����、相關(guān)方和內(nèi)部流程(運(yùn)營(yíng))4個(gè)方面列出BCMS的主要收益���,這是將BCMS“賣(mài)”給高級(jí)管理層以及組織其它部門(mén)的基礎(chǔ)���。
PDCA循環(huán)仍然存在,但不再象2012版那樣將每個(gè)章節(jié)(4-10)與PDCA階段對(duì)應(yīng)����,刪除了“應(yīng)用于BCMS過(guò)程的PDCA模型”圖。
第1章 范圍
不再?gòu)?qiáng)調(diào)業(yè)務(wù)連續(xù)性管理體系“成文”���。
第2章 引用文件
增加了對(duì)《ISO 22300 安全與韌性 – 詞匯表》的引用。
第3章 術(shù)語(yǔ)和定義
與高層結(jié)構(gòu)保持一致����,避免與其它管理體系標(biāo)準(zhǔn)矛盾和重復(fù);移除ISO 22300中提供的通用定義(包括BCM和BCMS)���,具體變化詳見(jiàn)本文第3部分“術(shù)語(yǔ)的變化”及“附錄2 ISO 22301:2019術(shù)語(yǔ)變化匯總表”���。
第4章 組織環(huán)境
簡(jiǎn)化了強(qiáng)制要求��,與高層結(jié)構(gòu)保持一致��。如�����,在“4.1 了解組織及其環(huán)境”部分�����,2012版規(guī)定了組織要“做……”并形成文件�����,2019版僅指出“確定內(nèi)外部事項(xiàng)”的要求�,而不再具體說(shuō)明要做什么����,也不再要形成文件。
不再使用術(shù)語(yǔ)“風(fēng)險(xiǎn)偏好”�����,2012版將“風(fēng)險(xiǎn)偏好”定義為“組織愿意接受或承擔(dān)的風(fēng)險(xiǎn)的數(shù)量和類別”,2019版取消了該術(shù)語(yǔ)�����。因?yàn)橹匾牟皇墙M織愿意接受或承擔(dān)的風(fēng)險(xiǎn)�,而是組織不可接受的(活動(dòng)不恢復(fù)的)影響。
第5章 領(lǐng)導(dǎo)作用
簡(jiǎn)化了強(qiáng)制要求�,與高層結(jié)構(gòu)保持一致。2019版和2012版都要求最高管理者證明對(duì)BCMS的領(lǐng)導(dǎo)作用和承諾���,但2019版更關(guān)注對(duì)BCMS的有效管理����,而2012版強(qiáng)調(diào)對(duì)活動(dòng)的直接參與如“積極參與演練和測(cè)試”����。
對(duì)“5.2方針”部分重組結(jié)構(gòu)和內(nèi)容排序,以更易于理解和使用�����。為消除重復(fù)�,刪除評(píng)審方針適用性的要求(保留相關(guān)要求在管理評(píng)審輸入部分(9.3.2.e))�����。
第6章 策劃
對(duì)“6.1 應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施”和“6.2 業(yè)務(wù)連續(xù)性目標(biāo)和實(shí)現(xiàn)計(jì)劃”部分的內(nèi)容重組結(jié)構(gòu)和內(nèi)容排序,以更易于理解和使用���?���!?/font>6.1.2 應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)”部分明確指出�����,此處的風(fēng)險(xiǎn)和機(jī)會(huì)與BCMS的有效性相關(guān)���,與業(yè)務(wù)中斷相關(guān)的風(fēng)險(xiǎn)在8.2部分處理�。
新增“6.3 策劃BCMS的變更”����,要求組織對(duì)BCMS的變更“以計(jì)劃的方式進(jìn)行”。在策劃變更時(shí)���,應(yīng)考慮:變更的目的和可能的后果���,BCMS的完整性���,資源可用性,責(zé)任和權(quán)限的分配和再分配��。從形式上看�����,2019版新增了該要求����,但從保持BCMS的有效性角度看,其內(nèi)容是顯而易見(jiàn)的(隱含在2012版)����。
第7章 支持
簡(jiǎn)化了強(qiáng)制要求,與高層結(jié)構(gòu)保持一致�。“7.4 溝通”部分,2019版僅指出“確定與BCMS有關(guān)的內(nèi)外部溝通”的要求�����,刪除了2012版中關(guān)于中斷期間確保通信手段可用性要求的部分(與8.4.3.1重復(fù))���。
第8章 運(yùn)行
進(jìn)行重大修改����,將幾乎所有與業(yè)務(wù)連續(xù)性相關(guān)的內(nèi)容全部納入該部分�,新增第8.6節(jié),重組結(jié)構(gòu)并對(duì)內(nèi)容排序�����。
8.2 業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估 根據(jù)ISO 22317 (BIA)和ISO 22318 (supply chain continuity)進(jìn)行了擴(kuò)展�,2019版對(duì)業(yè)務(wù)影響分析過(guò)程的要求更明確(基本可以按要求逐步實(shí)施)。從定義影響類型開(kāi)始�����,明確了活動(dòng)的不可接受的影響�����、最大可容忍中斷時(shí)間(MTPD)以及優(yōu)先時(shí)間范圍(RTO)之間的關(guān)系�,并使用BIA確定優(yōu)先活動(dòng)。此外��,需要注意��,2019版中沒(méi)有對(duì)業(yè)務(wù)影響分析過(guò)程成文的要求。
“8.2.3 風(fēng)險(xiǎn)評(píng)估”部分刪除了“風(fēng)險(xiǎn)偏好”的提法(但在“4.1 了解組織及其環(huán)境”的注釋和“8.3.3 選擇策略和解決方案”中仍隱含了此內(nèi)容)���。
8.3 業(yè)務(wù)連續(xù)性策略(strategy)更名為業(yè)務(wù)連續(xù)性策略和解決方案(strategies and solutions)���,明確暗示不止一個(gè)策略,并通過(guò)一個(gè)或多個(gè)方案實(shí)現(xiàn)策略�。2019版要求組織不只是制定高層級(jí)的策略,還要針對(duì)特定風(fēng)險(xiǎn)和影響尋找解決方案���。對(duì)于最高管理者而言�����,這是最重大的變化�����,因?yàn)榇_定所需的資源變?yōu)榕c選定的解決方案(見(jiàn)8.3.4)而非策略相關(guān)���。根據(jù)解決方案確定資源比根據(jù)策略確定資源要精確地多,對(duì)預(yù)算規(guī)劃的要求也會(huì)更加剛性�。2019版還要求“實(shí)施和保持選定的業(yè)務(wù)連續(xù)性解決方案,以便在需要時(shí)啟用它們”(見(jiàn)8.3.5)����。
8.4 建立和實(shí)施業(yè)務(wù)連續(xù)性程序更名為業(yè)務(wù)連續(xù)性計(jì)劃和程序��,該部分值得關(guān)注的部分包括:基于所選策略和解決方案的輸出,確定和編制業(yè)務(wù)連續(xù)性計(jì)劃和程序���;進(jìn)行結(jié)構(gòu)設(shè)計(jì)以使一個(gè)或多個(gè)團(tuán)隊(duì)負(fù)責(zé)響應(yīng)中斷����;清楚說(shuō)明各團(tuán)隊(duì)之間的關(guān)系��,以及他們的角色和職責(zé)���;每個(gè)團(tuán)隊(duì)必須確定包括“候補(bǔ)人員”在內(nèi)的人員����,并說(shuō)明履行指定角色所需的責(zé)任�、權(quán)限和能力;有關(guān)如何管理中斷直接后果(包括對(duì)環(huán)境的影響)的詳細(xì)信息����;每個(gè)計(jì)劃必須包括退出流程(見(jiàn)8.4.4.3 h);每個(gè)計(jì)劃應(yīng)在需要的時(shí)間和地點(diǎn)可使用和可得到�。
8.5 演練和測(cè)試更名為演練方案(exercise programme)���,明確了實(shí)施和保持演練和測(cè)試方案的要求。從演練和測(cè)試角度看����,2019版要求直接驗(yàn)證業(yè)務(wù)連續(xù)性策略和解決方案(而不再是2012版中的業(yè)務(wù)連續(xù)性安排)。
增加了一些新提法��,需要考慮�����,如“培訓(xùn)團(tuán)隊(duì)合作精神��、能力�����、信心和知識(shí)”���。
新增“8.6 業(yè)務(wù)連續(xù)性文檔和能力的評(píng)價(jià)”�����,強(qiáng)調(diào)定期評(píng)價(jià)和更新文檔的重要性����,其主要內(nèi)容原在2012版“第9章 績(jī)效評(píng)價(jià)”中。明確對(duì)相關(guān)合作伙伴和供應(yīng)商的業(yè)務(wù)連續(xù)性能力進(jìn)行評(píng)估的要求��。
第9章 績(jī)效評(píng)價(jià)
簡(jiǎn)化了相關(guān)要求��,與高層結(jié)構(gòu)保持一致�����。本章只關(guān)注業(yè)務(wù)連續(xù)性管理體系����,而不再關(guān)注業(yè)務(wù)連續(xù)性文檔和能力(該部分移到8.6)�����。
在2019版中的監(jiān)視��、測(cè)量�、分析和評(píng)價(jià)中,不僅要確定何時(shí)進(jìn)行監(jiān)視和測(cè)量����、何時(shí)對(duì)結(jié)果進(jìn)行分析和評(píng)價(jià)�,還要包括由誰(shuí)進(jìn)行�。此外,對(duì)績(jī)效指標(biāo)的相關(guān)提法已刪除�。
第10章 改進(jìn)
“10.2 持續(xù)改進(jìn)”得到了一定擴(kuò)展,強(qiáng)調(diào)通過(guò)“定性和定量措施”持續(xù)改進(jìn)����。
6. 過(guò)渡期安排
ISO 22301:2019于2019年10月30日正式發(fā)布,新版標(biāo)準(zhǔn)的轉(zhuǎn)換期為3年�����,至2022年10月30日結(jié)束����,根據(jù)IAF關(guān)于COVID-19(新冠疫情)爆發(fā)期間的FAQ,將轉(zhuǎn)換過(guò)渡期延長(zhǎng)6個(gè)月至2023年4月30日�,即2023年5月1日起,所有ISO 22301:2012版認(rèn)證證書(shū)均將失效��,不論其證書(shū)中標(biāo)識(shí)的有效期是否到期��。
因此�,如果你已經(jīng)獲得ISO 22301:2012版認(rèn)證證書(shū),應(yīng)在2023年5月1日前完成轉(zhuǎn)版審核工作�。如果你目前尚未取得并正在尋求獲得ISO 22301認(rèn)證證書(shū)�,建議你按照ISO 22301:2019版進(jìn)行管理體系實(shí)施和運(yùn)行�����,因?yàn)檎缜懊娼榻B�����,ISO 22301:2019更簡(jiǎn)單����、靈活���,易于理解和使用��,具體安排請(qǐng)與咨詢你選擇的認(rèn)證機(jī)構(gòu)����。
7. 主要參考
除本白皮書(shū)外�����,欲了解更多ISO 22301系列標(biāo)準(zhǔn)的相關(guān)知識(shí)�,可參考以下資料:
l ISO 22301白皮書(shū)��,主要內(nèi)容基于ISO 22301:2012��;
l ISO 22301:2019中文簡(jiǎn)譯���,ISO 22301:2019第4到10章中文翻譯;
l ISO 22313:2020中文簡(jiǎn)譯(上)����,ISO 22313:2020從前言到8.2部分中文翻譯;
l ISO 22313:2020中文簡(jiǎn)譯(下)��,ISO 22313:2020從8.3到10.2部分中文翻譯�。
