|
|
 |
因为专业,所以选择
1前言
当前,由于自然灾害及人为事故频繁发生,企业业务运作的不确定性和风险大幅度增加,而加强企业的业务连续性管理则成为打造最佳企业应急预案的必然选择。 为了满足企业对统一的业务连续性管理国际标准的需求,ISO公共安全技术委员会ISO/TC223,制定了ISO 22301:2012《公共安全—业务连续性管理体系-要求》标准。该国际标准采纳了全球利益相关方、合作者等各方意见和建议,于最近发布实施。
ISO 22301:2012致力于使公共或私有部门的组织更具有适应性,其管理体系框架能够帮助企业制定一套一体化的管理流程计划,使企业对潜在的灾难加以辨别分析,帮助其确定可能发生的冲击对企业的运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来的损失。
本文主要介绍ISO22301:2012的制定背景、目的、意义以及重要条款内容,以对我国相关企业采用该标准提供帮助。
2背景
在上世纪80年代至90年代初,应急计划和灾难恢复很大程度上依靠信息技术,以对影响业务的自然灾害和恐怖主义作出响应。后来,人们越来越认识到应急计划和灾难恢复应该成为业务主导的过程并包含应对各种类型的灾害。因此,业务连续性管理(BCM)成为一门学科。 由于政府部门和立法部门开始认识到业务连续性在降低社会破坏性事故方面的作用,他们不断致力于安排适宜的业务连续性关键人员;同样,行业认识到,他们应相互依靠,即使事故发生时,他们也要努力保证关键供应商和合作伙伴能持续提供关键产品和服务。 因此,需要一个公认的BCM良好规范基准和针对该问题的一些国家标准,这得到了澳大利亚、新加坡、英国和美国的支持。英国发布了管理体系标准BS 25999,使组织能在第一时间获得认可的证书。 ISO于2006年在意大利佛罗伦萨召开了“应急响应”研讨会,ISO 22301标准制定工作就此开始启动。同时许多专家认为,其国家标准最适合制定成为一项国际标准。这显然是行不通的,所以,ISO将所有主要专家聚集在一起来识别标准之间的相似性,这种协调一致的精神促进了称之为ISO/PAS 22399:2007《事故应对和连续性管理》指南文件的发布。 在制定ISO 22301时面临挑战,因为有许多有关 此学科的国家文件,这在协调时遇到了困难。于是,ISO技术委员会在最初制定的草案文本中采用了一些国家标准的建议,并逐步细化成为一个全世界都适用的新的协调一致的良好规范文件。新的ISO 22301 标准采纳了来自澳大利亚、法国、德国、日本、朝鲜、新加坡、瑞典、泰国、英国和美国的重要建议,以及许多其他利益相关方的建议,因此可以说,ISO22301标准的发布是真正的国际性参与和建议的成果。
3 目的和意义
ISO22301:2012《公共安全—业务连续性管理体系-要求》将帮助所有的组织,无论其规模大小、地域或开展的活动如何,在处理任何类型的风险时能更好地应对并更具信心。
在任何时候事故都能使组织的业务中断,采用ISO 22301标准将保证组织能够应对事故并保证其业务的持续运行。事故发生有多种类型,从严重的自然灾害和恐怖主义活动到与技术相关的事故和环境事故。然而,许多事故虽然小,但能产生严重的影响,这在任何时候都与业务连续性管理紧密相关。
目前,业务连续性管理已经引起全球的关注,无论是公共或私有部门的组织都必须了解如何准备和应对意外的破坏性的事故发生。ISO 22301标准为业务连续性管理体系(BCMS)的策划、建立、实施、运行、监视、评审、保持和持续改进提供了框架。当破坏性的事故发生时,该标准将有助于组织的防护、准备、响应和恢复。
实施ISO 22301标准的组织将能够向立法部门、执法部门、消费者和潜在消费者以及其他的利益相关方证明,他们满足了BCM良好规范的要求。同时,该新标准也可用于组织内部按照良好规范进行内部检查,并通过内审员出具管理报告。
ISO 22301将帮助组织在设计BCMS时适宜地满足自身的要求和满足其利益相关方的要求,这些要求涉及:法律法规、组织和行业因素、组织的产品和服务、组织的规模和结构、组织的过程和其利益相关方。为了使组织更好地运行,ISO 22301标准要求组织应完全理解其要求,而不仅仅是一个项目或制定“一项计划”。BCM是一个连续的管理过程,需要有能力的人员来运作,当需要时,应提供适当的支持。
ISO 22301是符合新的ISO管理体系标准编写格式的第一个标准。这将有助于对标准内容的理解,并保证与其他管理体系,如ISO 9001 (质量管理体系)、ISO 14001 (环境管理体系) 和ISO/IEC 27001 (信息安全管理体系) 的一致性。ISO 22301是用于BCM的管理体系标准,适用于所有规模和类型的组织第三方认证以及自我评价。这些组织将能够获得符合该标准要求的全球承认的证书,从而向立法部门、执法部门、顾客、潜在顾客和其他利益相关方证明,他们满足了BCM良好规范要求。ISO 22301标准也能使业务连续性经理向最高管理者表明,已经满足了国际标准要求。为了帮助用户更好地理解标准,该新标准对BCM关键要素作了简要介绍。
ISO 22301是符合新的ISO管理体系标准编写格式的第一个标准。这将有助于对标准内容的理解,并保证与其他管理体系,如ISO 9001 (质量管理体系)、ISO 14001 (环境管理体系) 和ISO/IEC 27001 (信息安全管理体系) 的一致性。ISO 22301是用于BCM的管理体系标准,适用于所有规模和类型的组织第三方认证以及自我评价。这些组织将能够获得符合该标准要求的全球承认的证书,从而向立法部门、执法部门、顾客、潜在顾客和其他利益相关方证明,他们满足了BCM良好规范要求。ISO 22301标准也能使业务连续性经理向最高管理者表明,已经满足了国际标准要求。为了帮助用户更好地理解标准,该新标准对BCM关键要素作了简要介绍。
4 主要内容
ISO 22301标准分为10个主要条款,前三款分别是范围、规范性文献、术语和定义,下面介绍该标准的其他主要条款要求。
4.1 第四款:组织
首先,组织应了解内部和外部需求,对管理体系的范围划定明确的界线。这尤其要求组织了解利益相关方的需求,如立法部门、顾客和员工的需求。组织尤其必须了解适宜的法律法规要求,这将保证组织确定业务连续性管理体系(BCMS)的范围。
4.2 第五款:领导
ISO 22301特别强调了对合格的BCM领导的需求。这使得最高管理者能保证提供合适的资源、制定政策并任命人员来实施和维护BCMS。4.3 第六款:策划这一款要求组织识别BCMS实施的风险,并制定明确的目标和标准用于测量其成效。
4.4 第七款:支撑
由于BCMS的实施需要资源,第七款引入了“能力”这一重要概念。为了业务连续性获得成功,必须具有相应知识、技能和经验的人员从事BCMS的管理并当事故发生时作出应对。在应对事故方面,所有的员工认识到自己的职责也是非常重要的,这一条款涉及这方面的所有内容。这一条款也涵盖BCMS沟通的需求,如:告诉顾客组织有适宜的BCM在运行并做好事故发生时沟通的准备(当正常的渠道中断时)。
4.5 第八款:运行
这一款包括业务连续性的主体——专门技能。组织必须进行业务影响分析,以了解其业务中断产生的影响及随时间发生的变化。风险评估致力于识别业务在结构方面的风险,这些风险对业务连续性战略的制定将会产生影响。避免或降低事故发生的措施应与事故发生时采取的措施同时制定。由于无法完全预测和防止所有事故,所以降低风险和对不测作出应对计划对于所有意外事故来说是互补的,也就是通常所说的抱最好的愿望做最坏的打算。
ISO 22301强调需要很好地确定事故响应结构。这样可保证事故发生时快速响应,被授权的人能采取必要的有效措施。该新标准还强调了生命安全,关键点是组织必须与外部可能遭受影响的相关方沟通,例如:如果事故给周边公共区域带来有毒或爆炸的风险时。
在条款八中也提出了业务连续性计划的需求,适合用户的简明易懂的文件比供审核员使用的冗长晦涩的文件更有用。因此,小计划比庞大的计划可能更需要。第八款的最后一部分涉及运行和测试,这是BCM的关键部分。测试的目的是证明业务连续性管理的一些要素是否有效,例如:有可能测试发电机打开以后是否运行。运行可以包括测试,通常采用相近的方法模拟应对事故,这通常包括培训要素和树立应对具有一定难度的异常破坏性事故的意识,同时要弄清程序是否如期运行。
4.6 第九款:评价
对任何管理体系而言,按照计划评价性能至关重要。因此,ISO 22301要求组织应按照适宜的性能方法对自身进行评价。组织必须进行内审,还要进行BCMS的管理评审,并根据评审结果采取相应措施。
4.7 第十款:改进
每个管理体系一开始都不可能尽善尽美,组织及其环境是不断变化的。第十款提出了随后改进BCMS采取的措施,并保证通过审核、评审、运行等而提出纠正措施。
5 结语
ISO 22301:2012是以其他管理体系标准所依据的“计划-执行-检查-行动”PDCA循环模式为基础创建的,其主要特点有:规定了业务连续性管理体系(BCMS)的要求; BCMS的采用和取得对标准实施的认证,可以证明企业已做好准备,可以应对灾难性事件的发生并且应该能够持续保持现状;规定的要求具有广泛的适用性,可以适用于任何类型或规模的企业;可以将危机和灾难性事件造成的财务影响最小化。
目前,ISO 22301标准已得到国际上的认可,它强调制定目标、监测性能和指标,对企业的管理层提出了更高的期望,对业务连续性计划的制定提出了更高的要求。按照ISO22301:2012的规定推广应用BCMS要求,将可以使企业向员工、顾客、供应商、股东等利益相关方证明,企业已经做好应对危机和灾难性事件的准备,否则,可能会严重影响企业目标的实现。企业如果没有建立与运行BCMS,面对灾难性的事件时将会措手不及,将会造成严重的后果,如:客户流失、声誉受损、资金损失,甚至可能倒闭。
在当今经济全球化的背景下,面对巨大的商业和社会变化,以及各种灾害和事故因素的挑战,理解业务连续性管理体系(BCMS)的目的和价值具有重要意义。我国企业应很好地了解ISO 22301:2012标准的要求和内涵,建立BCMS管理体系,并且将实施BCMS作为一个切实可靠的策略,用以保护企业利益相关方的利益,同时将危机和灾难性事件造成的负面影响降至最低。
