2022/04/26
随着自然灾害和人为事故的频繁发生,企业的业务连续性管理(Business Continuity Management,BCM)越来越受到重视。在深刻认识到自然灾害和突发事件对社会经济造成的巨大影响和给企业带来的业务瘫痪、信誉丢失基至破产倒闭等种种灾难性后果的同时,人们注意到有些企业在灾难发生过程中的表现相当出色,究其原因是由于引入了BCM(业务连续性管理),把灾难后果的影响降到最低甚至化险为夷。
通过实施ISO 22301业务连续性管理体系,帮助了很多企业在面临疫情突发事件时的业务可持续。一个个鲜活的案例,引起了更多企业对业务持续管理的关注,将ISO22301这一国际标准推向了前所未有的高度。
一、ISO22301概述
ISO22301业务连续性管理体系国际标准,是由ISO/TC 223(公共安全技术委员会Societal Security Technical Committee)制定发布的。ISO/TC 223成立时间为2007年11月,2015年1月ISO/TC 292(安全与韧性技术委员会Security and Resilience Technical Committee)成立,替代ISO/TC 223。
业务连续性管理标准的发展历史:
1、2003年,BSI发布PAS 56:2003《业务连续性管理指南》,是全球较早发布的BCM标准之一,影响了随后一系列国家和国际标准的制定;
2、2006年,BSI发布BS 25999-1《业务连续性管理 第一部分:实用规则》,它确立了BCM的流程、原则和术语,给出了一个可参考的BCM的系统;
3、2007年,BSI发布BS 25999-2《业务连续性管理 第二部分:规范》,它正式提出了业务连续性管理体系的概念,规定了建立和管理一个有效的BCMS的要求。
由于汇聚了涵盖各行各业的标准制定者,BS 25999一经发布就成为当时适用性最广、接受度最高的BCM标准。在接下来的几年中,BS 25999在100多个国家得到实践,并在43个国家获得认证认可;
4、2007年,ISO发布ISO/PAS 22399《社会安全 事件准备和运营连续性管理指南》;
5、2012年,ISO发布SO 22301:2012《社会安全 业务连续性管理体系 要求》;
6、2019年,ISO发布ISO 22301:2019《安全与韧性 业务连续性管理体系 要求》。
ISO陆续发布了一系列的BCMS相关标准,主要包括:
1、ISO 22301,作为要求类标准,是ISO 22301系列标准的核心,它基于ISO高层结构(ISO High Level Structure)规定了实施、保持和改进BCMS的一系列要求(最新版的ISO 22301:2019提出了90项具体要求),组织可以据此标准获得认证;
2、ISO 22313,作为ISO 22301的应用指南,为实现ISO 22301规定的要求提供了实施指导;
3、ISO 22317(业务影响分析)、ISO 22318(供应链连续性)、ISO 22330(人员方面)、ISO 22331(业务连续性策略)和ISO 22332(业务连续性计划和程序)等技术规范,为业务连续性管理工作提出更为详细和专业的建议;
4、ISO 22300,为包括ISO TC292制定的所有标准建立专业词汇表。
目前,ISO 22301和ISO 22313已分别于2019和2020年修订为第2版,ISO 22300于2021年发布第3版,ISO 22317和ISO 22318正在进行修订。
二、ISO22301的适用范围
ISO22301业务连续性管理体系标准适用于以下所有类型和规模的组织:
1、实施,维护和改进BCMS;
2、寻求确保符合规定的业务连续性政策;
3、在中断期间必须能够继续以可接受的预定容量交付产品和服务;
4、寻求通过有效应用BCMS来增强其弹性。
ISO 22301适用于所有行业中的大、中、小型公有及私有组织,并且特别适用于处于高风险和高度监管环境下的行业,例如金融业、IT通信业、制造业等。各行各业的企业面对国际及中国地区不断频发的自然灾害及人为事故,其业务运作的不确定性和风险都被大幅度增加,而加强企业业务连续性管理则成为了打造最佳企业应急预案的必备选择。
三、ISO 22301:2019主要内容介绍
ISO 22301:2019标准分为10个主要章节,前三章节分别是范围、规范性文献、术语和定义,下面介绍该标准的其他章节的内容。
【图:ISO22301双循环结构】
第4章 组织环境
简化了强制要求,与高层结构保持一致。如,在“4.1 了解组织及其环境”部分,2012版规定了组织要“做……”并形成文件,2019版仅指出“确定内外部事项”的要求,而不再具体说明要做什么,也不再要形成文件。
不再使用术语“风险偏好”,2012版将“风险偏好”定义为“组织愿意接受或承担的风险的数量和类别”,2019版取消了该术语。因为重要的不是组织愿意接受或承担的风险,而是组织不可接受的(活动不恢复的)影响。
第5章 领导作用
简化了强制要求,与高层结构保持一致。2019版和2012版都要求最高管理者证明对BCMS的领导作用和承诺,但2019版更关注对BCMS的有效管理,而2012版强调对活动的直接参与如“积极参与演练和测试”。
对“5.2方针”部分重组结构和内容排序,以更易于理解和使用。为消除重复,删除评审方针适用性的要求(保留相关要求在管理评审输入部分(9.3.2.e))。
第6章 策划
对“6.1 应对风险和机会的措施”和“6.2 业务连续性目标和实现计划”部分的内容重组结构和内容排序,以更易于理解和使用。“6.1.2 应对风险和机会”部分明确指出,此处的风险和机会与BCMS的有效性相关,与业务中断相关的风险在8.2部分处理。
新增“6.3 策划BCMS的变更”,要求组织对BCMS的变更“以计划的方式进行”。在策划变更时,应考虑:变更的目的和可能的后果,BCMS的完整性,资源可用性,责任和权限的分配和再分配。从形式上看,2019版新增了该要求,但从保持BCMS的有效性角度看,其内容是显而易见的(隐含在2012版)。
第7章 支持
简化了强制要求,与高层结构保持一致。“7.4 沟通”部分,2019版仅指出“确定与BCMS有关的内外部沟通”的要求,删除了2012版中关于中断期间确保通信手段可用性要求的部分(与8.4.3.1重复)。
第8章 运行
进行重大修改,将几乎所有与业务连续性相关的内容全部纳入该部分,新增第8.6节,重组结构并对内容排序。
8.2 业务影响分析和风险评估 根据ISO 22317 (BIA)和ISO 22318 (supply chain continuity)进行了扩展,2019版对业务影响分析过程的要求更明确(基本可以按要求逐步实施)。从定义影响类型开始,明确了活动的不可接受的影响、最大可容忍中断时间(MTPD)以及优先时间范围(RTO)之间的关系,并使用BIA确定优先活动。此外,需要注意,2019版中没有对业务影响分析过程成文的要求。
“8.2.3 风险评估”部分删除了“风险偏好”的提法(但在“4.1 了解组织及其环境”的注释和“8.3.3 选择策略和解决方案”中仍隐含了此内容)。
8.3 业务连续性策略(strategy)更名为业务连续性策略和解决方案(strategies and solutions),明确暗示不止一个策略,并通过一个或多个方案实现策略。2019版要求组织不只是制定高层级的策略,还要针对特定风险和影响寻找解决方案。对于最高管理者而言,这是最重大的变化,因为确定所需的资源变为与选定的解决方案(见8.3.4)而非策略相关。根据解决方案确定资源比根据策略确定资源要精确地多,对预算规划的要求也会更加刚性。2019版还要求“实施和保持选定的业务连续性解决方案,以便在需要时启用它们”(见8.3.5)。
8.4 建立和实施业务连续性程序更名为业务连续性计划和程序,该部分值得关注的部分包括:基于所选策略和解决方案的输出,确定和编制业务连续性计划和程序;进行结构设计以使一个或多个团队负责响应中断;清楚说明各团队之间的关系,以及他们的角色和职责;每个团队必须确定包括“候补人员”在内的人员,并说明履行指定角色所需的责任、权限和能力;有关如何管理中断直接后果(包括对环境的影响)的详细信息;每个计划必须包括退出流程(见8.4.4.3 h);每个计划应在需要的时间和地点可使用和可得到。
8.5 演练和测试更名为演练方案(exercise programme),明确了实施和保持演练和测试方案的要求。从演练和测试角度看,2019版要求直接验证业务连续性策略和解决方案(而不再是2012版中的业务连续性安排)。
增加了一些新提法,需要考虑,如“培训团队合作精神、能力、信心和知识”。
新增“8.6 业务连续性文档和能力的评价”,强调定期评价和更新文档的重要性,其主要内容原在2012版“第9章 绩效评价”中。明确对相关合作伙伴和供应商的业务连续性能力进行评估的要求。
第9章 绩效评价
简化了相关要求,与高层结构保持一致。本章只关注业务连续性管理体系,而不再关注业务连续性文档和能力(该部分移到8.6)。
在2019版中的监视、测量、分析和评价中,不仅要确定何时进行监视和测量、何时对结果进行分析和评价,还要包括由谁进行。此外,对绩效指标的相关提法已删除。
第10章 改进
“10.2 持续改进”得到了一定扩展,强调通过“定性和定量措施”持续改进。
四、ISO22301业务连续管理体系建设流程
1、启动调研
通过对企业的组织架构、管理流程、业务运作模式和IT支持系统进行考察和调研,以确定业务持续性管理(BCM)过程或功能的需求。
2、风险评估
确定可能造成机构及其设施中断和灾难、具有负面影响的突发事件和周边环境因素,以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。
3、业务影响分析
确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相互依赖性以便确定恢复时间目标。
4、容灾策略制定
在本阶段,结合以上各阶段的分析成果,以及在容灾上的投入能力,制订企业系统短期、长期范围内的容灾策略和目标,并有意识地将本身的人员组成和组织架构做出调整以适应策略要求。
5、容灾技术方案设计
根据容灾策略,以及业务连续性计划和各系统的RTO和RPO指标,考虑成本和收益平衡原则,分别设计容灾方案。
6、容灾设施资源及 IT 系统建设或整改
对容灾中心的设施资源进行详细的规划和设计,容灾中心的建筑工程、中心环境(外部与内部)、机房结构、物理安全、交通流向组织、电力供应与保障等环节都要按照容灾的实际需求进行科学的分析,最终达到容灾的实际要求。
7、业务连续性计划及灾难恢复计划的制定与维护
业务恢复团队和业务恢复团队分别执行应急响应计划、灾难恢复计划、业务恢复计划,运营管理团队负责容灾系统的运营管理和日常维护、问题收集和解决、系统变申和测试演练等工作,后勤保障和人力资源保障提供支持,从而达到容灾设计的目标。
8、容灾系统运行维护
运行业务连续性计划,包括日常管理和首次演练等。并建立相应的管理制度。
9、演练及测试
对预案和预案间的协调性进行演练、并评估和记录预案演练的结果。制定维持持续性能力和 BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证 BCP的效率,并使用简明的语言报告验证的结果。
10、审核/审计
培训内审员,进行内部审核,并在适当时机邀请外部审核机构对业务连续性管理体系进行审核/审计。
五、ISO22301业务连续性管理体系建设的意义及目标
1、组织内识别和理解关键业务过程及其中断的影响;
2、增强组织的弹性、恢复能力及持续生存能力水平;
3、具备超越弹性较弱的竞争对手的优势;
4、正面的讯息传达给媒体和利益相关者,以应对危机处理;
5、提升保险公司对组织风险管理的印象,从而降低保费;
6、符合监管机构、保险公司、商业伙伴和其他主要利益相关者的期望;
7、在事故、破坏甚至灾难发生时显著降低财务影响;
8、增加组织和员工双方的生存机会;
9、通过展示具备专业的管理中断的方法而保持甚至提升声誉;
10、如合同或协议的承诺,在可接受的预先定义的级别,及时和有序应对事件和业务中断,保证业务连续运营;
11、鼓励跨团队和跨组织的协调;
12、通过场景演练,展示可信的响应能力;
13、以可见的证据证明整体风险管理的管理承诺。
六、ISO22301认证的必备条件:
1、组织法律地位证明文件(如企业法人营业执照、社团法人登记证等);
2、适用时,取得相关法律法规规定的行政许可文件;
3、按标准建立“业务连续性管理体系”,并运行三个月;
4、已充分的识别了风险并评估了对业务的影响程度,如业务影响分析报告、风险评估报告;
5、已制定完备的业务连续性计划并有效实施;
6、建立的业务连续性管理体系文件包括:方针、目标、范围、组织为过程运行及沟通而保持的信息,须提供:组织简介、组织架构、人员情况和职能分工、过程路线图/工艺流程图/过程描述及其有关的过程文件。
七、企航顾问在ICT领域提供的服务项目有:
ISO/IEC 20000 : 信息技术服务管理体系
ISO/IEC 27001 : 信息安全管理体系
ISO/IEC 27701 : 隐私信息管理体系
ISO/IEC 27017 : 云服务信息安全规范
ISO/IEC 27018 : 公共云个人信息(PII)处理者的信息安全控制规范
ISO/IEC 29151 : 个人信息保护的行为准则
ISO 22301 : 业务连续性管理体系
TISAX :可信信息安全评估交流机制
ISO/SAE 21434 : 汽车网络安全管理体系
TL 9000 : 通讯行业质量管理体系
……