ISO22301：2019程序文件-业务连续性管理程序

BCM业务连续性文件编号版本号修改号方针BCM5.3-01A01.目的：为了确保BCM管理体系有效运行，以确保满足法律法规相关方的要求，明确管理目的和方向，特制定BCM管理承诺和方针管理规范，对承诺、方针进行宣传、理解并评审进行规范，必要时改进以提高管理水平。

2.适用范围：适用于BCM体系承诺、方针的制定贯彻和实施。

3.职责：3.1 最高管理者负责确定BCM承诺、审批方针；3.2 各级各部门负责宣传贯彻和实施BCM承诺、方针；3.3 有关人员理解和掌握并贯彻实施BCM承诺、方针。

4.承诺管理4.1 总经理负责制定并落实在BCMS方面的领导力和承诺如下：---确保已经为业务连续性管理体系制定了方针和目标并确保方针目标与组织的战略方向是一致的；---确保业务连续性管理体系的要求纳入组织的业务过程中；---确保业务连续性管理体系所需资源可用；---就业务连续性管理体系的有效性和符合BCMS要求的重要性进行传达；---确保业务连续性管理体系达到预期结果；---指导和支持员工为BCMS的有效性作出贡献；---推动持续改进---支持其他相关管理者在其职责领域内展示其领导作用和承诺。

4.2 总经理通过下列活动为建立实施、运行、监视、评审、保持和改进BCMS的承诺提供证据：---建立业务连续性方针---确保BCMS目标和和计划已被制定；---为业务连续性管理确定角色、职责和能力；---任命一名或多名具有适当权限和能力的BCMS责任人员来负责实施和保持BCMS .4.3 总经理通过下列方式确保相关角色的职责和职权在组织内被授权和传达：----确定风险接受准则和可接受的风险级别；----积极参与演练和测试；----确保BCMS的内部审核被执行；----实施BCMS的管理评审；----证明其对持续改进的承诺。

5.方针管理：5.1方针制定的要求：a)适应组织的宗旨并支持其战略方向；b)为业务连续性目标的制定提供框架；c)包括满足适用要求的承诺；d)包括对BCMS进行持续改进的承诺。

QR8.1-01 NO.01业务连续性实施总策划控制业务总活动准则及要求主题 1：项目启动和管理确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

A. 专业角色是：1. 引导项目发起人定义目标、政策和关键成功要素a. 范围和目标b. 法律和需求动机c. 案例和业界最佳实务2. （通过策划指导委员会和项目任务组）协调和组织／管理BCP项目和整体BCP过程3. 使用效益控制方法和更改管理机制检查BCP过程4. 向管理层和关键人员介绍（推销）BCP过程。

5. 制定项目计划和预算（来启动BCP过程）6. 定义和建议过程结构和管理方式7. 管理项目以制定和实施BCP过程B. 专家应该证明其具有以下领域的实务知识：1. 确定业务连续性需求a. 参考相关的法律／法规／法令／合同的需求和约束b. 如果合适，参考相关的行业贸易组织或机构的规定c. 参考相关当局的当前建议d. 将立法、规章和要求与机构的政策相联系e. 识别机构政策与相关外部需求的任何冲突f. 识别任何审计记录g. 提出解决机构政策与相关外部需求之间任何冲突的方法，可以包括BCP在内h. 识别可能对机构灾难恢复能力具有负面影响的业务措施。

2. 传播业务连续性计划的需求a. 通过正式的报告和介绍进行意识培养b. 陈述BCP的优点并将其与机构的使命、目标和营运利益联系起来。

c. 获得机构对BCP过程的承诺d. 制定BCP过程的任务条款／宪章3. 将行政管理层包括在BCP过程中a. 解释行政管理层在BCP过程中的角色b. 解释和传播管理层在BCP过程中的职责和义务。

4. 建立一个计划／策划指导委员会：角色和职责、机构的类型、控制和发展、以及成员a. 选择适当的人员b. 定义角色和职责c. 制定一套适当的BCP过程目标5. 编制预算需求a. 清晰定义资源需求b. 获得财务需求评估c. 验证资源需求的正确性d. 验证财务需求评估e. 与管理层协商资源和财务需求f. 获得财务需求的执行承诺6. 确定计划团队及职责a. 紧急事件管理／事件响应／危机管理团队b. 业务连续性计划团队（多地点、多分支、等。

iso 22301 2019 术语ISO 22301:2019术语解析一、业务连续性管理体系（BCMS）业务连续性管理体系是指一个组织为应对潜在的中断事件而建立的一系列政策、程序、流程和资源，旨在确保组织能够在中断事件发生时维持业务运营，并尽快恢复正常运营。

二、上下文上下文是指组织内外部环境中的各种因素和条件，这些因素和条件可能对组织的业务连续性产生影响。

上下文分析是指对这些因素和条件进行评估和理解，以便组织能够制定适当的业务连续性策略和计划。

三、风险风险是指潜在的不确定性事件或情况，可能对组织的业务连续性产生负面影响。

风险评估是指对潜在风险进行识别、分析和评估，以便组织能够采取适当的措施来降低风险和减轻潜在影响。

四、业务连续性策略业务连续性策略是指组织为应对潜在的中断事件而制定的一系列措施和方法。

业务连续性策略应该基于上下文分析和风险评估的结果，并包括预防、准备、应对和恢复等方面的措施。

五、业务连续性计划业务连续性计划是指组织为应对中断事件而制定的详细计划和程序。

业务连续性计划应该明确指定各个部门和人员的责任和职责，包括紧急响应、资源调配、通信和恢复等方面的内容。

六、演练和测试演练和测试是指组织定期进行的业务连续性计划验证活动。

通过演练和测试，组织可以评估业务连续性计划的有效性和可行性，并发现其中的问题和改进点，以便进一步完善和提升业务连续性能力。

七、绩效评估绩效评估是指对业务连续性管理体系的运行情况进行评估和审查。

组织应该制定相应的绩效指标和评估方法，并定期对业务连续性管理体系进行自我评估或由第三方进行审核，以确保其持续有效和符合要求。

八、持续改进持续改进是业务连续性管理体系的核心原则之一。

组织应该通过持续监测、评估和改进，不断提升其业务连续性能力和应对灾难的能力，以适应不断变化的环境和需求。

九、供应链业务连续性供应链业务连续性是指组织在供应链中的各个环节都能够保持业务连续性的能力。

组织应该与供应商和合作伙伴建立紧密的合作关系，并制定相应的业务连续性要求和措施，以确保供应链的稳定和可靠。

ISO22301：2019程序文件-业务连续性管理程序文件编号版本号修改号业务连续性管理程序BCM8.4-01A01.目的为了防止营运活动的中断,结合应急准备和响应控制程序,将灾难和管理缺失导致的营运中断情形降低到最低。

2.适用范围适用于本公司。

3.定义无4.职责4.1 最高管理者（总经理）:A、危机第一责任人，负责运营策划、实施、保持和持续改进；B、担任特别重大危机(Ⅰ级)的总指挥；C、重大危机后接受媒体报告。

4.2 质量负责人:A、危机第二责任人，负责各事业部运营执行；B、较大危机(Ⅱ级)及一般性危机(Ⅲ级)的总指挥。

4.3 管理部负责人:A、人才危机进行预测；B、收集各部门危机信息进行分析，启动危机预警；C、危机后人员的安抚及人力的调整；D、危机后对外信息的发布及媒体沟通；E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障。

4.4 市场营销部负责人:A、市场危机进行预测，收集市场信息；B、危机后负责向客户沟通，稳定市场。

4.5 事业部负责人:A、对本事业部存在危机信息的收集并汇报；B、危机后本事业部人员的安抚及人力的调整。

4.6 财务部负责人:A、财务危机进行预测；B、危机后提供危机所需的资金保障。

4.7 采购认证部负责人:A、供方危机进行预测；B、危机后物料的调配。

4.8 BCM工作小组:A、进行业务影响分析，识别关键活动及依赖，通过识别、定性或定量分析组织的业务功能的丧失、中断或损坏所造成的损失，为制定业务持续性策略提供依据；B、进行风险评估，对那些会导致关键业务中断的一系列的风险和威胁进行识别，通过分析其影响程度和发生概率，确定风险等级，进行风险排序并采取应对方案和措施，从而将风险尽可能降到最低；C、根据业务目标、收益成本和客户要求等因素，结合业务影响分析和风险评估，制定关键业务流程和恢复策略；D、依据BCM方法、工具和模板，在风险评估、业务影响和策略选择的基础上,拟制突发事件应急预案（IMP）和业务连续性计划（BCP）；E、进行BCM测试及演练，发现其中不足并加以改进；F、进行维护和改进，不断优化发展，满足公司业务需求。

1.目的：为了建立业务连续性/可恢复性的计划与措施，本程序对生产时可能发生的不可预测因素（包括水灾、火灾、地震、雷击、台风、材料/能源供应意外、储运意外、生产人力不足，网络中断以及生产现场事故等），造成的资源保障失控、生产停顿等状况，建立应急机制，做好必要的安排与准备，确保一旦出现故障，能做出快速反应，稳定和扭转局势、快速集结并整合各方面资源，确保在交货期内向顾客提供符合质量、数量要求的产品。

2.范围：适用于本公司订单产品生产的应急处置，确保业务连续性、可恢复性，满足发生重大异常状况下客户订单的需求。

3.组织管理与职责3.1 危机应急处理小组：迅速成立以管理部经理为组长，采购课/品保部/制造部/营业部/仓库等部门负责人为成员的危机应急处理小组，统筹指挥生产的恢复。

具体应急分工是：3.2品保部：负责恢复生产时必须的来料、制程与成品的检验，并对不合格品进行检测、分析，制定有效的纠正预防措施，控制不合格品流入顾客。

3.3制造部：负责制定生产应急计划，恢复各生产线的运作，对现场各方面资源进行全面调配，重新组织顾客所需产品的生产加工。

3.4总经办：负责重大异常事件发生后，指导管理部对公司人员及机器设备/厂房/物料、信息资讯等各方面可用资源进行整合，制定应急计划，并统一调度与指挥各部门协调动作、恢复生产。

3.5营业部：负责客户订单的协调处理事宜，将客户的信息及时反馈给品保部、制造部等部门，并与之沟通公司应急计划进展情况。

3.6人事课：紧急招募、调配、组织各方面人力，以及相关工作协调。

包括：恢复生产时必须的管理/技术人员；足够的生产现场的各部门作业员；紧急状况下生产经营、管理秩序的建立与维护；紧急状况下为恢复生产对各方面可用资源迅速集结与整合；调配紧急状况下抢险的人力；对事件发生时对来自媒体、政府、社会团体、安全拯救部门的介入或咨询，作出安全、正面的公关应对与接待。

3.7各部门：负责向制造部联络各种紧急情况及做好相应的配合工作。

最新ISO22301：2019业务连续性管理体系管理评审一整套资料汇编B R9.3-01NO. 2020有限公司2020年BCM体系管理评审计划（通知）通 [2020] 12 号各部门、室、车间：为确保公司ISO22301：2019业务连续性管理体系持续的充分性、适宜性和有效性，决定开展2020年管理评审，具体评审计划安排如下:一、管理评审目的1、评价BCM体系的持续适宜性、充分性、有效性，确定各部门能否满足体系运行的各项要求，组织机构设置、资源配备能否充分发挥各职能的效率；2、评价BCM方针目标的实现情况及各部门满足体系运行的能力；确定BCM 管理体系运行总体状况；3、确定BCM体系运行中存在的不足和改进的机会，以持续改进。

二、评审依据1、 ISO22301：2019 公共安全业务连续性管理体系要求2、相关法规标准、顾客要求2、 BCM9.3-01管理评审控制程序等三、会议时间地点人员安排时间：20XX年X月XX日地点：会议室参加人员：各部门负责人、特邀人员等四、评审前的各部门报告准备各部门具体报告内容要求见附件“管理评审输入、输出文件表”。

要求各部门在 9月 28 日前提交书面或电子版的各《部门管理评审报告》交综合部汇总。

附件：管理评审输入输出报告分工有限公司20XX年X月XX日附件：管理评审输入输出分工（即会议汇报流程）编号输入资料名称或发言顺序负责部门※1风险机遇及措施有效性评价报告管代※2体系运行报告：体系目标实现情况管代※3体系相关内外部因素的变化管代※4知识信息及人力资源培训充分性情况报告综合部※5客户反馈、满意、投诉、退货情况报告。

评价公司质量、价格水平、顾客满意，公司在行业中所处的地位；业务部※6外部提供及绩效管控情况：采购及供方管理、绩效报告，对供方施加质量的影响控制情况采购部※7设计开发情况报告：评价公司新技术、研发新产品能力、及应对市场战略、社会需求和环境条件等的考虑或计划。

QR8.1-01 NO.01业务连续性实施总策划控制业务总活动准则及要求主题 1：项目启动和管理确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

A. 专业角色是：1. 引导项目发起人定义目标、政策和关键成功要素a. 范围和目标b. 法律和需求动机c. 案例和业界最佳实务2. （通过策划指导委员会和项目任务组）协调和组织／管理BCP项目和整体BCP过程3. 使用效益控制方法和更改管理机制检查BCP过程4. 向管理层和关键人员介绍（推销）BCP过程。

5. 制定项目计划和预算（来启动BCP过程）6. 定义和建议过程结构和管理方式7. 管理项目以制定和实施BCP过程B. 专家应该证明其具有以下领域的实务知识：1. 确定业务连续性需求a. 参考相关的法律／法规／法令／合同的需求和约束b. 如果合适，参考相关的行业贸易组织或机构的规定c. 参考相关当局的当前建议d. 将立法、规章和要求与机构的政策相联系e. 识别机构政策与相关外部需求的任何冲突f. 识别任何审计记录g. 提出解决机构政策与相关外部需求之间任何冲突的方法，可以包括BCP在内h. 识别可能对机构灾难恢复能力具有负面影响的业务措施。

2. 传播业务连续性计划的需求a. 通过正式的报告和介绍进行意识培养b. 陈述BCP的优点并将其与机构的使命、目标和营运利益联系起来。

c. 获得机构对BCP过程的承诺d. 制定BCP过程的任务条款／宪章3. 将行政管理层包括在BCP过程中a. 解释行政管理层在BCP过程中的角色b. 解释和传播管理层在BCP过程中的职责和义务。

4. 建立一个计划／策划指导委员会：角色和职责、机构的类型、控制和发展、以及成员a. 选择适当的人员b. 定义角色和职责c. 制定一套适当的BCP过程目标5. 编制预算需求a. 清晰定义资源需求b. 获得财务需求评估c. 验证资源需求的正确性d. 验证财务需求评估e. 与管理层协商资源和财务需求f. 获得财务需求的执行承诺6. 确定计划团队及职责a. 紧急事件管理／事件响应／危机管理团队b. 业务连续性计划团队（多地点、多分支、等。