最新ISO22301：2019业务连续性管理体系管理评审一整套资料汇编

合集下载

ISO22301-2019业务连续性管理体系新版标准的变化

ISO22301-2019业务连续性管理体系新版标准的变化最新版本IS022301：2019的关键改进包括更倾向的结构和术语,以促进对所需内容的更好理解，并进行更新使其以其它ISO 管理体系标准保持一致。

自2012年首次发布以来，ISO22301标准已成为业务连续性管理系统的国际基准。

根据ISO调查,超过4000个组织持有ISO22301证书。

该标准的受欢迎程度已经在非常不同的行业中传播-仅举几个例子，DQS拥有认证银行，化工厂,IT服务提供商以及汽车零件制造商。

考虑到这种流行性，仅适合ISO审查标准并结合其使用最初几年的经验。

IS022301：2019新版本于2019専年11月发布。

ISO22301:2019好消息:变化是有限的让我们从要点开始:如果您已经通过IS022301：2012认证，那么过渡IS022301：2019应该没有任何问题。

IS022301:2019与2012并排比较表明，ISO22301:2019标准没有重大的结构更改。

在过去的几年中，对ISO管理体系标准进行修订具有挑战性的主要原因之了高级结构，它是所有ISO管理体系系标准的统一结构和核心文本。

但是，2012年版的IS022301:2012已经具有高级结构,这是最早采用这种新结构的ISO标准之一。

因此，工作组不必重写整个标准，而可以专注于措辞和清晰度。

减少了许多多余的部分，定义变得更加一致，案文变得更加合乎逻辑.ISO22301:2019好消息:回到BCM的本质特别有趣的是，有多少要求已被还原到本质上.第4.1节就是一个很好的例子:IS022301:2012年版规定了组织需要做些什么（和记录了！）才能理解组织及其背景，而新版IS022301:2019仅说明了“确定外部和内部问题”的需要，而没有具体说明这意味着什么。

IS022301:2019没有说需要考虑哪些方面，也没有包括记录该过程的要求。

关于通讯的第7.4节发生了类似的事情：新版本IS022301:2019的说明性明显降低。

ISO22301：2019程序文件-业务连续性承诺方针

BCM业务连续性文件编号版本号修改号方针BCM5.3-01A01.目的：为了确保BCM管理体系有效运行，以确保满足法律法规相关方的要求，明确管理目的和方向，特制定BCM管理承诺和方针管理规范，对承诺、方针进行宣传、理解并评审进行规范，必要时改进以提高管理水平。

2.适用范围：适用于BCM体系承诺、方针的制定贯彻和实施。

3.职责：3.1 最高管理者负责确定BCM承诺、审批方针；3.2 各级各部门负责宣传贯彻和实施BCM承诺、方针；3.3 有关人员理解和掌握并贯彻实施BCM承诺、方针。

4.承诺管理4.1 总经理负责制定并落实在BCMS方面的领导力和承诺如下：---确保已经为业务连续性管理体系制定了方针和目标并确保方针目标与组织的战略方向是一致的；---确保业务连续性管理体系的要求纳入组织的业务过程中；---确保业务连续性管理体系所需资源可用；---就业务连续性管理体系的有效性和符合BCMS要求的重要性进行传达；---确保业务连续性管理体系达到预期结果；---指导和支持员工为BCMS的有效性作出贡献；---推动持续改进---支持其他相关管理者在其职责领域内展示其领导作用和承诺。

4.2 总经理通过下列活动为建立实施、运行、监视、评审、保持和改进BCMS的承诺提供证据：---建立业务连续性方针---确保BCMS目标和和计划已被制定；---为业务连续性管理确定角色、职责和能力；---任命一名或多名具有适当权限和能力的BCMS责任人员来负责实施和保持BCMS .4.3 总经理通过下列方式确保相关角色的职责和职权在组织内被授权和传达：----确定风险接受准则和可接受的风险级别；----积极参与演练和测试；----确保BCMS的内部审核被执行；----实施BCMS的管理评审；----证明其对持续改进的承诺。

5.方针管理：5.1方针制定的要求：a)适应组织的宗旨并支持其战略方向；b)为业务连续性目标的制定提供框架；c)包括满足适用要求的承诺；d)包括对BCMS进行持续改进的承诺。

ISO22301：2019程序文件-业务连续性管理程序

文件编号版本号修改号业务连续性管理程序BCM8.4-01A01.目的为了防止营运活动的中断,结合应急准备和响应控制程序,将灾难和管理缺失导致的营运中断情形降低到最低。

2.适用范围适用于本公司。

3.定义无4.职责4.1 最高管理者（总经理）:A、危机第一责任人，负责运营策划、实施、保持和持续改进；B、担任特别重大危机(Ⅰ级)的总指挥；C、重大危机后接受媒体报告。

4.2 质量负责人:A、危机第二责任人，负责各事业部运营执行；B、较大危机(Ⅱ级)及一般性危机(Ⅲ级)的总指挥。

4.3 管理部负责人:A、人才危机进行预测；B、收集各部门危机信息进行分析，启动危机预警；C、危机后人员的安抚及人力的调整；D、危机后对外信息的发布及媒体沟通；E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障。

4.4 市场营销部负责人:A、市场危机进行预测，收集市场信息；B、危机后负责向客户沟通，稳定市场。

4.5 事业部负责人:A、对本事业部存在危机信息的收集并汇报；B、危机后本事业部人员的安抚及人力的调整。

4.6 财务部负责人:A、财务危机进行预测；B、危机后提供危机所需的资金保障。

4.7 采购认证部负责人:A、供方危机进行预测；B、危机后物料的调配。

4.8 BCM工作小组:A、进行业务影响分析，识别关键活动及依赖，通过识别、定性或定量分析组织的业务功能的丧失、中断或损坏所造成的损失，为制定业务持续性策略提供依据；B、进行风险评估，对那些会导致关键业务中断的一系列的风险和威胁进行识别，通过分析其影响程度和发生概率，确定风险等级，进行风险排序并采取应对方案和措施，从而将风险尽可能降到最低；C、根据业务目标、收益成本和客户要求等因素，结合业务影响分析和风险评估，制定关键业务流程和恢复策略；D、依据BCM方法、工具和模板，在风险评估、业务影响和策略选择的基础上,拟制突发事件应急预案（IMP）和业务连续性计划（BCP）；E、进行BCM测试及演练，发现其中不足并加以改进；F、进行维护和改进，不断优化发展，满足公司业务需求。

ISO22301：2019业务连续性实施总策划控制

QR8.1-01 NO.01业务连续性实施总策划控制业务总活动准则及要求主题 1：项目启动和管理确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

A. 专业角色是：1. 引导项目发起人定义目标、政策和关键成功要素a. 范围和目标b. 法律和需求动机c. 案例和业界最佳实务2. （通过策划指导委员会和项目任务组）协调和组织／管理BCP项目和整体BCP过程3. 使用效益控制方法和更改管理机制检查BCP过程4. 向管理层和关键人员介绍（推销）BCP过程。

5. 制定项目计划和预算（来启动BCP过程）6. 定义和建议过程结构和管理方式7. 管理项目以制定和实施BCP过程B. 专家应该证明其具有以下领域的实务知识：1. 确定业务连续性需求a. 参考相关的法律／法规／法令／合同的需求和约束b. 如果合适，参考相关的行业贸易组织或机构的规定c. 参考相关当局的当前建议d. 将立法、规章和要求与机构的政策相联系e. 识别机构政策与相关外部需求的任何冲突f. 识别任何审计记录g. 提出解决机构政策与相关外部需求之间任何冲突的方法，可以包括BCP在内h. 识别可能对机构灾难恢复能力具有负面影响的业务措施。

2. 传播业务连续性计划的需求a. 通过正式的报告和介绍进行意识培养b. 陈述BCP的优点并将其与机构的使命、目标和营运利益联系起来。

c. 获得机构对BCP过程的承诺d. 制定BCP过程的任务条款／宪章3. 将行政管理层包括在BCP过程中a. 解释行政管理层在BCP过程中的角色b. 解释和传播管理层在BCP过程中的职责和义务。

4. 建立一个计划／策划指导委员会：角色和职责、机构的类型、控制和发展、以及成员a. 选择适当的人员b. 定义角色和职责c. 制定一套适当的BCP过程目标5. 编制预算需求a. 清晰定义资源需求b. 获得财务需求评估c. 验证资源需求的正确性d. 验证财务需求评估e. 与管理层协商资源和财务需求f. 获得财务需求的执行承诺6. 确定计划团队及职责a. 紧急事件管理／事件响应／危机管理团队b. 业务连续性计划团队（多地点、多分支、等。

ISO22301：2019程序文件-业务连续性管理程序

ISO22301：2019程序文件-业务连续性管理程序文件编号版本号修改号业务连续性管理程序BCM8.4-01A01.目的为了防止营运活动的中断,结合应急准备和响应控制程序,将灾难和管理缺失导致的营运中断情形降低到最低。

2.适用范围适用于本公司。

4.2 质量负责人:A、危机第二责任人，负责各事业部运营执行；B、较大危机(Ⅱ级)及一般性危机(Ⅲ级)的总指挥。

4.4 市场营销部负责人:A、市场危机进行预测，收集市场信息；B、危机后负责向客户沟通，稳定市场。

4.5 事业部负责人:A、对本事业部存在危机信息的收集并汇报；B、危机后本事业部人员的安抚及人力的调整。

4.6 财务部负责人:A、财务危机进行预测；B、危机后提供危机所需的资金保障。

4.7 采购认证部负责人:A、供方危机进行预测；B、危机后物料的调配。

ISO22301业务连续性管理体系

体系简介
“业务连续性”的概念来源于计算机技术中的“容灾”和“恢复计划”，是一个组织整体或部分过程持续运行能力的指标。经过多年发展，“业务连续性”已广泛应用于各种规模的生产型和服务型组织，并进一步发展成为“业务连续性管理体系”（简称BCMS），成为各个组织整体管理体系中的核心部分。BCMS采用PDCA的过程方法，通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生，并且制定完备的“业务连续性计划“，有效的应对中断发生后的快速恢复，保持核心功能正常运行，将损失和恢复成本降至最低。
（3）适用的法律法规的标准的清单；
（4）取得相关法规规定的行政许可文件(适用时)；
（5）业务影响分析报告、风险评估报告和业务连续性计划；
（6）BCMS体系文件，包括：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件；
BCMS是多个过程的集合，它将组织管理体系中的各个环节连系并统一起来，为识别的风险制定适宜的风险策略和风险计划，并且为组织制定一套有效的业务连续性计划演练和测量方案。BCMS广泛适用于信息安全、信息技术服务、公共服务、社会组织等社会服务行业，同时还适用于各种规模的商业、金融业、加工制造业等风险级别较高的组织。
ISO22301业务连续性管理体系
国内同等转换ISO业务连续性管理体系的国家标准
01 体系简介
03 必备条件 05 注意事项
目录
02 认证机构 04 资料清单
GB/T -2013/ISO ：2012业务连续性管理体系（BCMS——Business Continuity Management System）是国内同等转换ISO业务连续性管理体系的国家标准。

ISO22301：2019业务连续性策略控制

BR8.3-02业务连续性策略控制1适用范围区域范围：办公区域。

业务范围：基础软件的销售和数据库维保服务、培训服务。

部门及人员范围：公司领导、综合部、系统支持部IT系统范围：系统运行管理、应用系统运行管理和介质管理网络范围：网络运行管理业务持续性专业服务范围：灾难演练服务和持续管理服务2术语、定义和缩略语灾难事件：可能导致全部或部分业务中断，继而威胁到业务的持续运营场景，并可能导致整个在商誉、财务能力、持续营运能力、业务开拓能力等方面造成打击的事件。

恢复时间点目标（RTO）：灾难发生后，系统和数据必须恢复到的时间点要求。

恢复时间目标（RPO）：灾难发生后，信息系统或业务功能从停顿到必须回复的时间要求。

3业务连续性方针和策略业务连续性战略方针：通过技术、运维管理能力以及灾难应急恢复预案，确保发生灾难后，业务可以在一定的时间内恢复到可以接受的运营状态。

保护优先活动，稳定、连续、重启和恢复优先活动及按该活动所依赖的活动和支持资源；减轻、响应和管理影响。

策略的确定，包括批准活动恢复的优先级时间表。

对供应商的业务连续能力进行评价。

业务连续性策略：按照业务连续性恢复资源的成本与风险可能造成的损失之间取得平衡的原则，即：“成本风险平衡原则”，确定关键业务功能的业务连续性策略。

4业务连续性恢复需求分析4.1风险分析：根据风险评估原则，对所有存在的风险进行风险评估和识别，现存的主要风险包括：⏹信息系统安全：通讯网络、数据、操作系统、办公软件、财务软件、开发软件、信息系统各类硬件⏹消防安全：火灾⏹供配电安全⏹空调系统安全⏹疾病防控安全：食物中毒、生产人身事故⏹自然灾害⏹设备设施异常：设备设施故障、老化、⏹外部故障：质量不良、退货投诉、⏹化学品泄漏⏹人力短缺⏹保密性文档资料证书印章丢失⏹相关方服务中断（供方）4.2业务影响分析：4.2.1业务影响分析（BIA）目的：⏹提供制定业务持续计划的基础；⏹提供客观的、可理解的、信息充分的结果，以使管理层能够用来指导业务持续计划的制定；⏹利用风险评估方式发现业务流程和系统的脆弱性；⏹确认哪些业务流程和资产需要更高级别的保护；⏹提供确认策略和后备方案所需的信息；⏹确认恢复目标及其时效性。

ISO22301:2023业务连续性管理体系管理评审资料

ISO22301:2023业务连续性管理体系管理评审资料1. 背景ISO :2023是国际标准化组织（ISO）制定的业务连续性管理体系的标准。

该标准旨在帮助组织建立和维护有效的业务连续性管理体系，以应对突发事件和业务中断的风险。

2. 管理评审目的本次管理评审的目的是评估组织的业务连续性管理体系是否符合ISO :2023的要求，并提出改进建议，以确保组织在面对突发事件时能够持续运作。

3. 评审范围本次管理评审将覆盖以下方面：- 组织的业务连续性政策和策略；- 业务连续性风险评估和管理；- 业务连续性计划的制定和维护；- 组织对关键资源、业务流程和技术系统的保护措施；- 业务连续性演练和测试的执行情况；- 业务连续性管理体系的绩效评估和持续改进。

4. 管理评审流程本次管理评审将按照以下步骤进行：1. 评审准备阶段：- 收集和审查相关的文件和记录；- 制定评审计划和评审表格；- 分配评审任务和确定评审小组成员。

2. 实地评审：- 进行现场观察和记录；- 进行面谈，了解业务连续性管理体系的实施情况。

3. 资料分析：- 对收集到的资料进行综合分析和评估；- 确定符合和不符合ISO :2023要求的情况。

4. 编写评审报告：- 汇总评审结果和发现的问题；- 提出改进建议和行动计划。

5. 管理评审会议：- 召开评审会议，与相关人员讨论评审结果和建议；- 确定改进措施和责任人。

5. 评审结果和改进建议根据本次管理评审的结果，将提出符合ISO :2023要求的方面，以及需要改进的方面，并制定相应的改进计划。

改进建议将涉及业务连续性管理体系的完善、流程的优化和资源的调整等方面。

6. 后续行动组织应根据管理评审的结果和改进建议，及时采取行动进行改进，确保业务连续性管理体系的有效运作。

同时，还应定期进行管理评审，以监督和评估业务连续性管理体系的持续改进情况。

以上为《ISO22301:2023业务连续性管理体系管理评审资料》的大致内容概要，供参考使用。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

最新ISO22301：2019业务连续性管理体系管理评审一整套资料汇编
B R9.3-01NO. 2020
有限公司
2020年BCM体系管理评审计划（通知）
通 [2020] 12 号
各部门、室、车间：
为确保公司ISO22301：2019业务连续性管理体系持续的充分性、适宜性和有效性，决定开展2020年管理评审，具体评审计划安排如下:
一、管理评审目的
1、评价BCM体系的持续适宜性、充分性、有效性，确定各部门能否满足体系运行的各项要求，组织机构设置、资源配备能否充分发挥各职能的效率；
2、评价BCM方针目标的实现情况及各部门满足体系运行的能力；确定BCM 管理体系运行总体状况；
3、确定BCM体系运行中存在的不足和改进的机会，以持续改进。

二、评审依据
1、 ISO22301：2019 公共安全业务连续性管理体系要求
2、相关法规标准、顾客要求
2、 BCM9.3-01管理评审控制程序等
三、会议时间地点人员安排
时间：20XX年X月XX日
地点：会议室
参加人员：各部门负责人、特邀人员等
四、评审前的各部门报告准备
各部门具体报告内容要求见附件“管理评审输入、输出文件表”。

要求各部门在 9月 28 日前提交书面或电子版的各《部门管理评审报告》交综合部汇总。

附件：管理评审输入输出报告分工
有限公司
20XX年X月XX日
附件：管理评审输入输出分工（即会议汇报流程）
编号输入资料名称或发言顺序负责部门※1风险机遇及措施有效性评价报告管代※2体系运行报告：体系目标实现情况管代※3体系相关内外部因素的变化管代※4知识信息及人力资源培训充分性情况报告综合部
※5客户反馈、满意、投诉、退货情况报告。

评价公司质量、价格水平、
顾客满意，公司在行业中所处的地位；
业务部
※6外部提供及绩效管控情况：采购及供方管理、绩效报告，对供方施加
质量的影响控制情况
采购部
※7设计开发情况报告：
评价公司新技术、研发新产品能力、及应对市场战略、社会需求和环
境条件等的考虑或计划。

技术部
※8设备设施管理情况及充分性报告生产部※9生产运行控制报告生产部
※10监测分析改进综合报告：产品质量趋势、不合格品统计分析资料，评
价主要产品的进货、制造过程、产品交付过程中的质量控制情况，产
品要求的符合性情况；顾客提出的不符合项，评价应用预防措施和纠
正措施、跟踪、验证的有效性情况；监测资源配备、检测、控制情况
质量部
※11过程效率：体系及过程绩效指标完成情况统计；
评价各部门承担的质量目标和绩效指标的完成情况，测量设备配备、
检校情况、管理等
综合部
※12以往管理评审所采取措施情况综合部。