ISO22301是第一份以业务连续管理(Business Continuity Management,简称BCM)为主题的国际标准,它提供了一种完整通用的BCM方法论,能让企业能够达到国际上公认的最佳实践,也是衡量企业服务连续性能力是否满足社会责任和顾客承诺的唯一标准;
为企业在业务连续性管理体系的建立和改进提供了一套完整的框架,能够协助企业更好地辨别和分析潜在的灾难,并提供行之有效的管理机制来应对突发事件,减少灾难事件给企业带来的损失;
标志着企业能够为用户持续提供成熟和更高质量的产品及服务。
一、建立和实施ISO22301业务连续性管理过程总则
组织按《事件管理程序》以业务影响分析已识别的恢复目标为基础,建立、实施和保持业务连续性管理程序,来管理中断事件和保证活动的连续性。程序应1、建立适当的内部和外部的沟通协议;
2、针对业务中断期间必须采取的紧急步骤进行详细规定;3、灵活应对非预期的威胁和不断转变的内部和外部环境;4、关注可能导致的潜在运行中断事态影响,5、开发基于假设和相互依赖关系的分析;6、有效最小化的结果通过实施适当的缓解策略。7、事件响应机制组织应按《应急准备与响应管理程序》建立、实现过程和管理应对事件的人员具备必要的职责,权力和能力;
管理事件,响应机制应:1、识别启动正式措施的影响阈值;2、评估事件的性质和范围以及潜在影响;3、启动业务连续性响应;4、具备1个适当启动、运行、协调和沟通的响应程序,5、具备可用资源来支持过程和过程管理的中断事件为了减少影响,6、与相关方和权力机构以及媒体进行沟通。组织应决定,以生命安全为第一要务,咨询相关感兴趣方,是否沟通外部对其重大风险和影响并记录其决定。假如其次决定是沟通组织应建立并实施这个外部程序沟通,包含媒体适当的警报和警告。
二、预警和沟通
运撑与服务部按《沟通和预警控制程序》建立、实施和保持程序以:
1、发现事件;
2、对事件进行日常监测;
3、内部沟通和接收、记录和回复相关方的反馈;
4、接收、记录和响应任何国家或地区的威胁系统;
5、确保事件中断期间沟通手段是可用的;
6、为同响应人员进行有序的沟通提供便利;
7、记录有关事件的重要信息,采取的行动和决定,以下将也被认为是和实施适用的地方:
——提醒当事人可能影响1个实际的或即将发生的中断事件;
——确保多个响应组织和人员之间的协同;
——通信设施的运行。沟通和预警程序应定期演习
三、业务连续性计划
运撑与服务部按《业务连续性管理程序》建立响应中断事件,以及何将继续或恢复其活动在1个预定的时间内,此程序应对使用者提出要求业务连续性计划应包含:
1、定义事件发生时和发生后相关人员团队的角色和职责;
2、1个启动响应的过程,
3、处理中断事件造成直接后果的详细说明,应考虑到:
4、个人的福利;
5、响应中断的战略、战术和执行的方案;
6、预防进1步的损失或优先活动无法执行;
7、怎样以及在什么情况下组织将与员工以及亲戚,关键相关方和紧急联络人进行沟通;
8、组织将怎样在预定时间里继续或恢复其优先活动;
9、事件发生后,组织的媒体应详细说明,包含沟通策略;首选媒体接口;指导或模板起草一份声明媒体;合适的发言人;事件结束后退出。每个计划应当定义:目的和范围,目标,激活的标准和程序,实施步骤,角色、责任,沟通的要求和程序,内部和外部的相互依赖关系和交互作用,资源需求,信息流和文档的过程。
四、恢复
组织应按照《灾难恢复程序》记录程序恢复并返回从临时经营活动措施来支持事件后正常的业务需求。