1前言

  當前，由于自然災害及人為事故頻繁發(fā)生，企業(yè)業(yè)務(wù)運作的不確定性和風(fēng)險大幅度增加，而加強企業(yè)的業(yè)務(wù)連續性管理則成為打造最佳企業(yè)應急預案的必然選擇。 為了滿(mǎn)足企業(yè)對統一的業(yè)務(wù)連續性管理國際標準的需求，ISO公共安全技術(shù)委員會(huì )ISO/TC223，制定了ISO 22301:2012《公共安全—業(yè)務(wù)連續性管理體系-要求》標準。該國際標準采納了全球利益相關(guān)方、合作者等各方意見(jiàn)和建議，于最近發(fā)布實(shí)施。

  ISO 22301:2012致力于使公共或私有部門(mén)的組織更具有適應性，其管理體系框架能夠幫助企業(yè)制定一套一體化的管理流程計劃，使企業(yè)對潛在的災難加以辨別分析，幫助其確定可能發(fā)生的沖擊對企業(yè)的運作造成的威脅，并提供一個(gè)有效的管理機制來(lái)阻止或抵消這些威脅，減少災難事件給企業(yè)帶來(lái)的損失。

  本文主要介紹ISO22301:2012的制定背景、目的、意義以及重要條款內容，以對我國相關(guān)企業(yè)采用該標準提供幫助。

  2背景

  在上世紀80年代至90年代初，應急計劃和災難恢復很大程度上依靠信息技術(shù)，以對影響業(yè)務(wù)的自然災害和恐怖主義作出響應。后來(lái)，人們越來(lái)越認識到應急計劃和災難恢復應該成為業(yè)務(wù)主導的過(guò)程并包含應對各種類(lèi)型的災害。因此，業(yè)務(wù)連續性管理(BCM)成為一門(mén)學(xué)科。 由于政府部門(mén)和立法部門(mén)開(kāi)始認識到業(yè)務(wù)連續性在降低社會(huì )破壞性事故方面的作用，他們不斷致力于安排適宜的業(yè)務(wù)連續性關(guān)鍵人員;同樣，行業(yè)認識到，他們應相互依靠，即使事故發(fā)生時(shí)，他們也要努力保證關(guān)鍵供應商和合作伙伴能持續提供關(guān)鍵產(chǎn)品和服務(wù)。 因此，需要一個(gè)公認的BCM良好規范基準和針對該問(wèn)題的一些國家標準，這得到了澳大利亞、新加坡、英國和美國的支持。英國發(fā)布了管理體系標準BS 25999，使組織能在第一時(shí)間獲得認可的證書(shū)。 ISO于2006年在意大利佛羅倫薩召開(kāi)了“應急響應”研討會(huì )，ISO 22301標準制定工作就此開(kāi)始啟動(dòng)。同時(shí)許多專(zhuān)家認為，其國家標準最適合制定成為一項國際標準。這顯然是行不通的，所以，ISO將所有主要專(zhuān)家聚集在一起來(lái)識別標準之間的相似性，這種協(xié)調一致的精神促進(jìn)了稱(chēng)之為ISO/PAS 22399:2007《事故應對和連續性管理》指南文件的發(fā)布。 在制定ISO 22301時(shí)面臨挑戰，因為有許多有關(guān) 此學(xué)科的國家文件，這在協(xié)調時(shí)遇到了困難。于是，ISO技術(shù)委員會(huì )在最初制定的草案文本中采用了一些國家標準的建議，并逐步細化成為一個(gè)全世界都適用的新的協(xié)調一致的良好規范文件。新的ISO 22301 標準采納了來(lái)自澳大利亞、法國、德國、日本、朝鮮、新加坡、瑞典、泰國、英國和美國的重要建議，以及許多其他利益相關(guān)方的建議，因此可以說(shuō)，ISO22301標準的發(fā)布是真正的國際性參與和建議的成果。

  3 目的和意義

  ISO22301：2012《公共安全—業(yè)務(wù)連續性管理體系-要求》將幫助所有的組織，無(wú)論其規模大小、地域或開(kāi)展的活動(dòng)如何，在處理任何類(lèi)型的風(fēng)險時(shí)能更好地應對并更具信心。

  在任何時(shí)候事故都能使組織的業(yè)務(wù)中斷，采用ISO 22301標準將保證組織能夠應對事故并保證其業(yè)務(wù)的持續運行。事故發(fā)生有多種類(lèi)型，從嚴重的自然災害和恐怖主義活動(dòng)到與技術(shù)相關(guān)的事故和環(huán)境事故。然而，許多事故雖然小，但能產(chǎn)生嚴重的影響，這在任何時(shí)候都與業(yè)務(wù)連續性管理緊密相關(guān)。

  目前，業(yè)務(wù)連續性管理已經(jīng)引起全球的關(guān)注，無(wú)論是公共或私有部門(mén)的組織都必須了解如何準備和應對意外的破壞性的事故發(fā)生。ISO 22301標準為業(yè)務(wù)連續性管理體系(BCMS)的策劃、建立、實(shí)施、運行、監視、評審、保持和持續改進(jìn)提供了框架。當破壞性的事故發(fā)生時(shí)，該標準將有助于組織的防護、準備、響應和恢復。

  實(shí)施ISO 22301標準的組織將能夠向立法部門(mén)、執法部門(mén)、消費者和潛在消費者以及其他的利益相關(guān)方證明，他們滿(mǎn)足了BCM良好規范的要求。同時(shí)，該新標準也可用于組織內部按照良好規范進(jìn)行內部檢查，并通過(guò)內審員出具管理報告。

  ISO 22301將幫助組織在設計BCMS時(shí)適宜地滿(mǎn)足自身的要求和滿(mǎn)足其利益相關(guān)方的要求，這些要求涉及：法律法規、組織和行業(yè)因素、組織的產(chǎn)品和服務(wù)、組織的規模和結構、組織的過(guò)程和其利益相關(guān)方。為了使組織更好地運行，ISO 22301標準要求組織應完全理解其要求，而不僅僅是一個(gè)項目或制定“一項計劃”。BCM是一個(gè)連續的管理過(guò)程，需要有能力的人員來(lái)運作，當需要時(shí)，應提供適當的支持。

  ISO 22301是符合新的ISO管理體系標準編寫(xiě)格式的第一個(gè)標準。這將有助于對標準內容的理解，并保證與其他管理體系，如ISO 9001 (質(zhì)量管理體系)、ISO 14001 (環(huán)境管理體系) 和ISO/IEC 27001 (信息安全管理體系) 的一致性。ISO 22301是用于BCM的管理體系標準，適用于所有規模和類(lèi)型的組織第三方認證以及自我評價(jià)。這些組織將能夠獲得符合該標準要求的全球承認的證書(shū)，從而向立法部門(mén)、執法部門(mén)、顧客、潛在顧客和其他利益相關(guān)方證明，他們滿(mǎn)足了BCM良好規范要求。ISO 22301標準也能使業(yè)務(wù)連續性經(jīng)理向最高管理者表明，已經(jīng)滿(mǎn)足了國際標準要求。為了幫助用戶(hù)更好地理解標準，該新標準對BCM關(guān)鍵要素作了簡(jiǎn)要介紹。

  ISO 22301是符合新的ISO管理體系標準編寫(xiě)格式的第一個(gè)標準。這將有助于對標準內容的理解，并保證與其他管理體系，如ISO 9001 (質(zhì)量管理體系)、ISO 14001 (環(huán)境管理體系) 和ISO/IEC 27001 (信息安全管理體系) 的一致性。ISO 22301是用于BCM的管理體系標準，適用于所有規模和類(lèi)型的組織第三方認證以及自我評價(jià)。這些組織將能夠獲得符合該標準要求的全球承認的證書(shū)，從而向立法部門(mén)、執法部門(mén)、顧客、潛在顧客和其他利益相關(guān)方證明，他們滿(mǎn)足了BCM良好規范要求。ISO 22301標準也能使業(yè)務(wù)連續性經(jīng)理向最高管理者表明，已經(jīng)滿(mǎn)足了國際標準要求。為了幫助用戶(hù)更好地理解標準，該新標準對BCM關(guān)鍵要素作了簡(jiǎn)要介紹。

  4 主要內容

  ISO 22301標準分為10個(gè)主要條款，前三款分別是范圍、規范性文獻、術(shù)語(yǔ)和定義，下面介紹該標準的其他主要條款要求。

  4.1 第四款：組織

  首先，組織應了解內部和外部需求，對管理體系的范圍劃定明確的界線(xiàn)。這尤其要求組織了解利益相關(guān)方的需求，如立法部門(mén)、顧客和員工的需求。組織尤其必須了解適宜的法律法規要求，這將保證組織確定業(yè)務(wù)連續性管理體系(BCMS)的范圍。

  4.2 第五款：領(lǐng)導

  ISO 22301特別強調了對合格的BCM領(lǐng)導的需求。這使得最高管理者能保證提供合適的資源、制定政策并任命人員來(lái)實(shí)施和維護BCMS。4.3 第六款：策劃這一款要求組織識別BCMS實(shí)施的風(fēng)險,并制定明確的目標和標準用于測量其成效。

  4.4 第七款：支撐

  由于BCMS的實(shí)施需要資源,第七款引入了“能力”這一重要概念。為了業(yè)務(wù)連續性獲得成功，必須具有相應知識、技能和經(jīng)驗的人員從事BCMS的管理并當事故發(fā)生時(shí)作出應對。在應對事故方面，所有的員工認識到自己的職責也是非常重要的，這一條款涉及這方面的所有內容。這一條款也涵蓋BCMS溝通的需求，如：告訴顧客組織有適宜的BCM在運行并做好事故發(fā)生時(shí)溝通的準備(當正常的渠道中斷時(shí))。

  4.5 第八款：運行

  這一款包括業(yè)務(wù)連續性的主體——專(zhuān)門(mén)技能。組織必須進(jìn)行業(yè)務(wù)影響分析，以了解其業(yè)務(wù)中斷產(chǎn)生的影響及隨時(shí)間發(fā)生的變化。風(fēng)險評估致力于識別業(yè)務(wù)在結構方面的風(fēng)險，這些風(fēng)險對業(yè)務(wù)連續性戰略的制定將會(huì )產(chǎn)生影響。避免或降低事故發(fā)生的措施應與事故發(fā)生時(shí)采取的措施同時(shí)制定。由于無(wú)法完全預測和防止所有事故，所以降低風(fēng)險和對不測作出應對計劃對于所有意外事故來(lái)說(shuō)是互補的，也就是通常所說(shuō)的抱最好的愿望做最壞的打算。

  ISO 22301強調需要很好地確定事故響應結構。這樣可保證事故發(fā)生時(shí)快速響應，被授權的人能采取必要的有效措施。該新標準還強調了生命安全，關(guān)鍵點(diǎn)是組織必須與外部可能遭受影響的相關(guān)方溝通，例如：如果事故給周邊公共區域帶來(lái)有毒或爆炸的風(fēng)險時(shí)。

  在條款八中也提出了業(yè)務(wù)連續性計劃的需求，適合用戶(hù)的簡(jiǎn)明易懂的文件比供審核員使用的冗長(cháng)晦澀的文件更有用。因此，小計劃比龐大的計劃可能更需要。第八款的最后一部分涉及運行和測試，這是BCM的關(guān)鍵部分。測試的目的是證明業(yè)務(wù)連續性管理的一些要素是否有效，例如：有可能測試發(fā)電機打開(kāi)以后是否運行。運行可以包括測試，通常采用相近的方法模擬應對事故，這通常包括培訓要素和樹(shù)立應對具有一定難度的異常破壞性事故的意識，同時(shí)要弄清程序是否如期運行。

  4.6 第九款：評價(jià)

  對任何管理體系而言，按照計劃評價(jià)性能至關(guān)重要。因此，ISO 22301要求組織應按照適宜的性能方法對自身進(jìn)行評價(jià)。組織必須進(jìn)行內審，還要進(jìn)行BCMS的管理評審，并根據評審結果采取相應措施。

  4.7 第十款：改進(jìn)

  每個(gè)管理體系一開(kāi)始都不可能盡善盡美，組織及其環(huán)境是不斷變化的。第十款提出了隨后改進(jìn)BCMS采取的措施，并保證通過(guò)審核、評審、運行等而提出糾正措施。

  5 結語(yǔ)

  ISO 22301：2012是以其他管理體系標準所依據的“計劃-執行-檢查-行動(dòng)”P(pán)DCA循環(huán)模式為基礎創(chuàng )建的，其主要特點(diǎn)有：規定了業(yè)務(wù)連續性管理體系(BCMS)的要求; BCMS的采用和取得對標準實(shí)施的認證，可以證明企業(yè)已做好準備，可以應對災難性事件的發(fā)生并且應該能夠持續保持現狀;規定的要求具有廣泛的適用性，可以適用于任何類(lèi)型或規模的企業(yè);可以將危機和災難性事件造成的財務(wù)影響最小化。

  目前，ISO 22301標準已得到國際上的認可，它強調制定目標、監測性能和指標,對企業(yè)的管理層提出了更高的期望，對業(yè)務(wù)連續性計劃的制定提出了更高的要求。按照ISO22301：2012的規定推廣應用BCMS要求，將可以使企業(yè)向員工、顧客、供應商、股東等利益相關(guān)方證明，企業(yè)已經(jīng)做好應對危機和災難性事件的準備，否則，可能會(huì )嚴重影響企業(yè)目標的實(shí)現。企業(yè)如果沒(méi)有建立與運行BCMS，面對災難性的事件時(shí)將會(huì )措手不及，將會(huì )造成嚴重的后果,如：客戶(hù)流失、聲譽(yù)受損、資金損失，甚至可能倒閉。

  在當今經(jīng)濟全球化的背景下，面對巨大的商業(yè)和社會(huì )變化，以及各種災害和事故因素的挑戰，理解業(yè)務(wù)連續性管理體系(BCMS)的目的和價(jià)值具有重要意義。我國企業(yè)應很好地了解ISO 22301:2012標準的要求和內涵，建立BCMS管理體系，并且將實(shí)施BCMS作為一個(gè)切實(shí)可靠的策略，用以保護企業(yè)利益相關(guān)方的利益，同時(shí)將危機和災難性事件造成的負面影響降至最低。