最新ISO22301：2019业务连续性管理体系管理评审一整套资料汇编

B R9.3-01NO. 2020

有限公司

2020年BCM体系管理评审计划（通知）

通 [2020] 12 号

各部门、室、车间：

为确保公司ISO22301：2019业务连续性管理体系持续的充分性、适宜性和有效性，决定开展2020年管理评审，具体评审计划安排如下:

一、管理评审目的

1、评价BCM体系的持续适宜性、充分性、有效性，确定各部门能否满足体系运行的各项要求，组织机构设置、资源配备能否充分发挥各职能的效率；

2、评价BCM方针目标的实现情况及各部门满足体系运行的能力；确定BCM 管理体系运行总体状况；

3、确定BCM体系运行中存在的不足和改进的机会，以持续改进。

二、评审依据

1、 ISO22301：2019 公共安全业务连续性管理体系要求

2、相关法规标准、顾客要求

2、 BCM9.3-01管理评审控制程序等

三、会议时间地点人员安排

时间：20XX年X月XX日

地点：会议室

参加人员：各部门负责人、特邀人员等

四、评审前的各部门报告准备

各部门具体报告内容要求见附件“管理评审输入、输出文件表”。

要求各部门在 9月 28 日前提交书面或电子版的各《部门管理评审报告》交综合部汇总。

附件：管理评审输入输出报告分工

有限公司

20XX年X月XX日

附件：管理评审输入输出分工（即会议汇报流程）

编号输入资料名称或发言顺序负责部门※1风险机遇及措施有效性评价报告管代※2体系运行报告：体系目标实现情况管代※3体系相关内外部因素的变化管代※4知识信息及人力资源培训充分性情况报告综合部

※5客户反馈、满意、投诉、退货情况报告。评价公司质量、价格水平、

顾客满意，公司在行业中所处的地位；

业务部

※6外部提供及绩效管控情况：采购及供方管理、绩效报告，对供方施加

质量的影响控制情况

采购部

※7设计开发情况报告：

评价公司新技术、研发新产品能力、及应对市场战略、社会需求和环

境条件等的考虑或计划。

技术部

※8设备设施管理情况及充分性报告生产部※9生产运行控制报告生产部

※10监测分析改进综合报告：产品质量趋势、不合格品统计分析资料，评

价主要产品的进货、制造过程、产品交付过程中的质量控制情况，产

品要求的符合性情况；顾客提出的不符合项，评价应用预防措施和纠

正措施、跟踪、验证的有效性情况；监测资源配备、检测、控制情况

质量部

※11过程效率：体系及过程绩效指标完成情况统计；

评价各部门承担的质量目标和绩效指标的完成情况，测量设备配备、

检校情况、管理等

综合部

※12以往管理评审所采取措施情况综合部

业务连续性管理体系

BS25999 业务连续性管理体系趋势引领信息咨询有限公司 Trendsetting Consulting Co., Ltd

趋势引领是一家专注于IT服务管理（ITSM）和信息安全（ISMS）的专业咨询公司，是国际信息科学考试学会（EXIN）授权的ITIL培训和考试中心。公司以“传递先进的 IT 管理理念和经验，提高客户的IT 运维管理和 IT 项目管理成熟度”为使命，不断吸纳国内国际先进管理方法，并将这些先进的管理思想与具体企业管理相融公司全体员工均多年从事IT行业，对于如何标准化服务作业流程，降低IT运营成本，提高企业风险管控能力，以及建立IT服务质量体系具有独到的见解和方法。公司与政府部门、权威的认证机构、国际500强企业和高等院校保持的良好密切的关系，及时跟踪标准和国内相关政策的发展变化、汲取企业的成功经验，使我们的客户能够得到最新、最权威的信息和咨询服务。业务连续性管理的国际标准BS25999 BSI在2006年推出业务连续性管理的实践指南BS 25999-1:2006，一年之后，又推出业务连续性管理体系的规范BS 25999-2:2007。前者作为实践指南，可以提供在业务连续性管理的各个环节的指导，而后者提出的是业务连续性管理体系的必备要素的要求，可以作为审核标准来验证组织的业务连续性管理是否能够达到国际的标准。两个标准结合使用，可以帮助帮助企业认识到潜在的危机和相关影响，制订响应、业务和连续性的恢复计划，从而提高企业的风险防范能力，以及有效地响应非计划的业务破坏并降低不良影响。 BS25999收益 9理解业务连续管理的重要性 9了解BS25999标准的框架和要求： 9掌握业务影响分析(BIA)方法 9掌握风险分析(RA)方法

03业务部管理评审报告

业务部管理评审报告一、ISO9001建立实施的角色负责与客户签订销售合同，并及时对合同进行评审，及把订单转到生产部门，协调生产与出货。负责对外的协调沟通工作、收集产品出厂以后客户的意见反馈，了解客户需求，处理客户投诉，尽可能提高客户满意度。推行ISO9001质量体系以来，部门制定了相关的操作程序，制定了自己的部门目标并定期进行统计分析。二、部门目标计划实施状况经过调查与统计分析，业务部负责的质量目标完成情况较好。其中某某月度质量目标未达成，主要原因是：，解决方案是。解决方案执行以来效果较好。三、人员能力分析

本部门客户基本都为多年的老客户，故人员配置不多，但能满足现状公司的发展和经营需求，经过ISO体系培训，他们对质量体系标准的工作程序有了较深刻的了解，能够胜任现有工作。四、业务部办公设施状况分析：公司为业务部配备了交通用车及通讯工具，设施基本能够满足本部门工作。五、订单情况本公司2004年9月度开始投产，批量生产时间不久，市场的占有量相对来讲还是比较小的，9-11月份共接到订单份，总数量为件，相对于生产设施的投入来讲：产能是远远有于，故满足客户订单要求是不存在问题。六、顾客满意度调查情况 2005年9月度业务部对现有客户选出有代表性的4家进行调查，该4家客户都按要求回传了客户满意度调查表，从反馈的意见来看：好的方面：差的方面：关于差的方面本公司拟订采取以下方案去完备：七、客户抱怨事件情况 2005年8-11份客户抱怨共次，其中质量问题：次；交期问题次；其他问题次。针对这些客户抱怨本公司都由相关责任部门进行原因分析、制定改进措施。总的来讲，客户抱怨逐月减少，公司对客户抱怨采取积极有效的改进方案，客户对我们的处理也比较满意。八、ISO验证机构和本公司内部稽核发现问题整改情况 1、9-11月份第三方审核无；

业务连续性的管理制度

业务连续性的管理制度精品办公文档业务连续性管理办法总则为了提高公司的风险防范能力,有效地应对各种非计划的业务破坏、降低影响,确保公司各项业务的连续性,保障公司、商户、合作伙伴等相关单位的利益,特制订本办法。第一章流程规范一、公司建立业务连续性管理部门及应急领导小组,根据安全级别,实行分级管理,保证在发生重大事故导致业务断时,所有成员能够识别其角色与职责。二、制订危机管理和灾难恢复等业务连续性管理流程,确保在系统发生故障等导致业务断之时,能在最短时间内、保证数据零丢失的情况下进行快速恢复。三、在与合作商(服务商)签订书面合同时要充分考虑业务的连续性,明确双方的权利、义务,并制定在意外情况下能顺利实现合作商(服务商)变更,保证合作商(服务商)不间断的应急预案。第二章业务断分析一、业务断成因可分为自然灾害、人为灾害、一般灾害

1、自然灾害主要有:地震、火灾、水灾、台风等,此种灾害无法预判,灾害发生时无法防护,发生频率最低,当灾害发生时,业务一般也只能切换到灾备机房,一旦切换到灾备机房,业务正常运行肯定收到影响。 2、人为灾害主要有:恐怖攻击、黑客攻击(网络攻击、病毒攻击等),此灾害同样无法预判,发生不高,但其黑客攻击可从网络安全、主机安全、系统安全等方面进行防护,加大黑客攻击难度,从而达到黑客攻击防护的目的。 3、一般灾害主要有:网络故障、服务器软硬件故障、应用程序故障等,此灾害可防护,但发生频率最高,应对网络、服务器、应用程序进行相应监控,并建立相应的监控巡检系统,自动监控自动报警,及时发现和处理故障。另核心业务系统应建设主备高可用架构或负载均衡高可用架构,避免单点故障。

业务连续性管理方法

业务连续性管理方法 Ting Bao was revised on January 6, 20021

1.目的确保核心业务及支持性业务的连续运作，减少各种安全风险可能带来的损失。 2.适用范围本方案适用于公司在以下前提条件下的业务连续性管理： 2.1前提条件1：公司不在同一时间内遭受同样大规模的破坏 2.2前提条件2：公司雇用关系、现金流、供应商关系、客户关系、政府关系、投资关系、合作伙伴关系没有受到重大影响 3.定义 3.1业务连续性管理方案：为预防业务风险、意外灾难可能带来的损失，有效保障公司核心业务及支持性的正常运作，而预先制订的一系列管理计划，包括：业务连续性管理目标、业务恢复指标、以及各类灾难、故障的应急和恢复程序。 3.2最大容忍中断时间：指业务能容忍在没有正常支撑工具（如业务记录、信息系统、通信电话等）支撑的最大工作时间（不包括休息时间）。 3.3关键功能目标恢复时间：指从灾难发生开始到业务关键功能（指核心业务功能，例如：客户要求的开发活动、支持开发活动必须的业务记录、信息系统、通信电话）得到恢复的时间。 3.4全部功能目标恢复时间：指从灾难发生开始到所有业务功能（指灾难发生前工作环境，包括与原有环境一致的办公场所、基础设施、业务记录、信息系统等）得到恢复的时间。 3.5小规模灾难或故障：指导致某一个核心业务单元工作瘫痪的灾难或故障，例如：某一部门的信息系统瘫痪、公司局部受到火灾、暴雨、洪水、液体泄漏事件等影响。 3.6大规模灾难或故障：指导致所有核心业务单元工作瘫痪的灾难或故障，例如：整个网络系统瘫痪、信息部被完全破坏、传染病爆发，导致所有业务不能开展等。

业务连续性管理制度

业务连续性管理办法总则为了提高公司的风险防范能力，有效地应对各种非计划的业务破坏、降低影响，确保公司各项业务的连续性，保障公司、商户、合作伙伴等相关单位的利益，特制订本办法。第一章流程规范一、公司建立业务连续性管理部门及应急领导小组，根据安全级别，实行分级管理，保证在发生重大事故导致业务中断时，所有成员能够识别其角色与职责。二、制订危机管理和灾难恢复等业务连续性管理流程，确保在系统发生故障等导致业务中断之时，能在最短时间内、保证数据零丢失的情况下进行快速恢复。三、在与合作商（服务商）签订书面合同时要充分考虑业务的连续性，明确双方的权利、义务，并制定在意外情况下能顺利实现合作商（服务商）变更，保证合作商（服务商）不间断的应急预案。第二章业务中断分析一、业务中断成因可分为自然灾害、人为灾害、一般灾害 1、自然灾害主要有：地震、火灾、水灾、台风等，此种灾害无法预判，灾害发生时无法防护，发生频率最低，当灾害发生时，业务一般也只能切换到灾备机房，一旦切换到灾备机房，业务正常运行肯定收到影响。 2、人为灾害主要有：恐怖攻击、黑客攻击（网络攻击、病毒攻击等），此灾害同样无法预判，发生不高，但其中黑客攻击可从网络安全、主机安全、系统安全等方面进行防护，加大黑客攻击难度，从而达到黑客攻击防护的目的。 3、一般灾害主要有：网络故障、服务器软硬件故障、应用程序故障等，此灾害可防护，但发生频率最高，应对网络、服务器、应用程序进行相应监控，并建立相应的监控巡检系统，自动监控自动报警，及时发现和处理故障。另核心业务系统应建设主备高可用架构或

负载均衡高可用架构，避免单点故障。二、业务中断的企业影响 1、企业收入：企业直接损失、商户赔偿金、企业未来收入损失； 2、生产效率：参与人员人数和人员处理时间； 3、声誉损失：影响企业声誉，降低了商户和合作伙伴对企业的信任，影响到后期的企业市场发展和业务合作，扩大了竞争对手优势 4、财务业绩：影响到企业的信用、现金流甚至违规罚款等第三章技术保障一、建立业务连续性管理制度，目标是尽可能快地恢复服务至服务级别协议规定的水准，尽量减少事故对业务运营的不利影响，以确保最好的服务质量和可用性级别。二、应急系统的技术体系，主要是建立预防为主的计算机风险防范体系，将风险的预警融于日常工作中，包括：硬件设备的冗余备份、网络线路的冗余备份、数据备份、网络监控、系统监控。三、维护人员应根据维护作业计划，对所维护管理的设备定期进行预防性巡视检查，机房和外线维护人员在巡视中应认真负责，及时发现问题，重点注意处在环境恶劣下、存在潜在质量故障的设备，巡视检查要认真进行记录。第四章风险管理一、深入分析可能造成业务中断的因素，并对其应采取相应的控制措施。二、根据业务环境的变化，对原有风险管理制度、规则和程序进行必要的和适当的修正，保证安全措施的持续有效和及时更新。三、对公司的关键岗位和关键人员，应实行轮岗和强制性休假制度，建立严格的内部监督管理制度。四、系统采用适当的加密技术和措施，保证交易数据传输的安全性与保密性，以及所传输

管理评审议题及报告

xxx有限公司管理评审议题及报告档案编号：XY-FOR-56-2012-11 记录日期：2012年11月08日记录部门：文管中心

管理评审会议议程目录 1、管理评审会议计划 2、总经理主持会议并讲话 3、总经办作管理体系运行情况总结 4、业务部作管理体系运行情况总结 5、制版部作管理体系运行情况总结 6、生产部作管理体系运行情况总结 7、质检部作管理体系运行情况总结 8、采购部作管理体系运行情况总结 9、仓库作管理体系运行情况总结 10、人事部作管理体系运行情况总结 11、厂务作生产安全和环境保护的运作总结报告 12、管理者代表作管理体系运行情况总结 13、总经理作结束语 14、管理评审输出报告

管理评审会议计划

在管理评审会议上的讲话总经理：xxx 十八大今日召开，相信将会给各行各业带来振奋的消息，促进各行各业健康地发展，提高国民的富强。在此我公司也继十八大的召开之机，也组织我公司高层，开一次管理评审的会议。宗旨为适应我司发展的需要，进一步提高我企业的管理水平，不断提高产品质量。本次会议重点审查公司的总体运作情况、社会责任的贯彻执行情况、质量管理体系的运作情况。希望通过实施社会责任管理体系、质量管理体系，完善公司内部管理，使本公司的管理走向协作化、科学化。这次管理评审会议评审的主要内容是如下： 1. 公司总体运作情况。 2. 社会责任贯彻执行情况（包括健康，生产安全、环境保护、污水处理等）。 3. 内部质量审核报告。 4. 质量方针的贯彻、执行情况和质量目标达成情况。 5. 探讨质量体系ISO9001：2000在我厂的有效性。 6. 讨论纠正措施，预防措施的实施情况。 7. 关于客户各种反馈信息与意见。 8. 上次管理评审提出的问题改进情况的跟踪。 9. 对质量体系的改进策划意见。 10. 对质量体系的变更意见。 11. 产品安全目标。 12. 安全生产和质量要求。 13. 产品风险评估。 14. 资源需求。 15. 以前管理审查的跟踪改善措施。下面由各部门负责人对我公司各管理体系运行情况作总结汇报，最后由管理者代表邹胜利向大会作本公司的各管理体系运行情况总结。请大家对上述几个总结报告认真讨论和分析。特别是要放在重点解决本公司长期存在的和系统性的问题。通过讨论，确定不合格项或需要改进的项目，并进行原因分析，提出相应的纠正整改、预防措施，具体落实责任部门。组织人员对纠正整改措施进行验证并具体落实。下面由各部门作管理体系运行的总结报告。谢谢大家的配合和支持！ 2012年11月8日星期四

电力行业业务连续性管理体系的构建

电力行业业务连续性管理体系的构建当今世界充斥着恐怖袭击、黑客、电脑病毒、自然灾害、罢工、环境污染等各类风险，近年来发生的“9.11”、“SARS”事件、印度洋海啸，以及2008年发生的大范围雪灾、汶川地震等，给国家和企业带来重大的损失。世界各国的案例表明，传统的业务管理方法及流程，在遭遇灾害事件时常常不堪一击。越来越多的危机事件的影响使人们认识到，只有构建真正有效应对危机事件的管理体系，使管理科学化、手段现代化，才能保证业务的连续运行，实现企业的可持续发展。在此背景下，业务持续管理（BusinessContinuityManagement简称BCM）应运而生。一、电力行业业务连续性管理体系的构建电力行业业务连续性管理体系应涵盖业务经营、运营支持、后勤保障等所有业务板块，涵盖事前、事中、事后等全程管理，构建完善业务连续性管理体系是一项长期性、系统性工程。（一）电力行业业务连续性管理体系的目标及构建思路业务连续性管理的目标是：提高电力行业抵御危机事件的能力，有效消除或抵御潜在的风险，迅速处置，阻止或抵消不确定事件造成的威胁，并对存在的薄弱环节持续改进完善，确保电力行业日常业务平稳运行和可持续发展。电力行业业务连续性管理体系的构建思路是：预设灾难场景，事先建立标准化、流程化的管理机制，当危机真正发生时，确保有适当的人在适当的时间做适当的事，执行事先确定的管理程序、操作步骤，以达到减少损失、实现业务可持续的目的。也就是说，提早设定整个危机事件处置的决策过程，事先考虑危机事件影响的可能性，预先做好内外部资源的安排、外部信息的处理与公关、人员及设施的备份等各项安排，当危机来临时，按照事先设计好的系列程序有条不紊地处置，防止因事件突发导致处理决策失误，确保机构主要业务的可持续运作，尽可能将损失减到最少。（二）业务连续性管理危机事件的分类业务连续性管理的对象是危机事件，危机事件是指影响电力行业可持续经营的事件，此类事件可能在短时间内波及多个层面，甚至影响电力行业的持续生存和发展，包括自然灾难、人为灾害、重大运行故障等。危机事件主要分为内外部欺诈、实体资产损坏、IT系统、运营危机、人员危机、流动性危机等类型。内外部欺诈事件指电力行业内外部人员以违法手段诈骗、侵占电力行业财产的事件，包括盗窃、勒索、挪用、欺诈、伪造、诈骗、抢劫事件；实体资产损坏事件指电力业务资产因自然灾害或人为灾害损毁的事件，包括自然灾难，如地震、火灾、水灾、雪灾、台风，以及人为灾害，如人为破坏和战争等；IT系统危机

ISO27001：2013业务持续性管理程序

XXXXXXXXX有限责任公司业务持续性管理程序 [XXXX-B-39] V1.0

变更履历

1 目的确保组织的业务能够持续稳定的进行，最低限度的降低信息安全事件对业务的影响。 2 范围组织的业务运作地点包括：苏州工业园区金鸡湖大道1355号国际科技园二期D501。整个业务持续性管理体系（BCMS）的覆盖范围是： a)属于组织的一切受知识产权保护的信息； b)在组织业务运作地点使用，属于组织客户的一切受知识产权保护的信息； c)属于组织的一切物理实体，包括建筑物、办公室以及其它的一切设施与设备。 3 职责 3.1 综合部审批业务连续性计划，分配相关资源，确保业务连续性活动顺利进行。 3.2 各相关部门配合综合部负责相关业务持续性计划的实施。 4 相关文件《信息安全事件管理程序》 5 程序 5.1 业务持续性和影响的分析由综合部负责组织识别对业务持续性造成严重影响的主要事件，如信息系统设备故障、自然灾害等，分析一旦这些事件发生会对业务活动造成的影响和损失，以及统计恢复业务所需费用等。业务持续性和影响分析应包括以下内容： a)识别关键业务的管理过程； b)识别可能引起业务活动中断的主要事件； c)分析主要事件对信息系统和业务活动造成的影响；

d)考虑关于系统恢复或替换的需求。 5.2 《业务持续性管理计划》(简称BCP)的编制与实施综合部负责确定影响业务持续性的关键功能或业务，编制《业务持续性管理计划》。《业务持续性管理计划》应包括以下方面的内容： a)计划实施所涉及的部门/人员的职责及接口关系的描述； b)业务中断的快速报告程序及要求； c)业务中断的恢复程序及方法； d)业务中断恢复的时限要求； e)保持本组织业务持续运作应采取的应急措施与备用措施； f)必要的技术支持及资源要求。重要系统一旦受到重大影响或中断后，综合部及相关部门应立即执行《业务持续性管理计划》，对信息系统采取应急措施，并进行恢复，确保业务活动的持续运行。同时，应按照《信息安全事件管理程序》做好事故处理记录，记录内容应包括： a)对业务中断原因的调查分析； b)业务中断造成损失的统计； c)采取的纠正措施； d)应吸取经验教训及预防措施等。 5.3 业务持续性计划的测试与评审每年年末由综合部组织相关部门对《业务持续性管理计划》进行测试，以判断计划的可行性和有效性。测试可采用以下方法进行： a)对已发生过的业务中断及恢复措施实例进行讨论； b)组织相关部门进行业务中断及恢复的模拟演练； c)采用技术手段对系统运行及中断恢复的相关参数进行测量； d)由外部服务供应商提供服务和产品测试，确保所提供的外部服务和产品符合合同要求。测试完成后综合部负责编制《业务持续性管理计划测试报告》，并对计划的适用性和有效性进行评审，形成《业务持续性管理计划评审报告》。根据《业务持续性管理计划评审报告》的要求，决定是否对《业务持续性管理计划》进行修改。 6 记录《业务连续性影响分析报告》《业务连续性管理战略计划》《业务连续性计划实施方案》《业务连续性计划实施方案测试报告》《业务连续性实施评价报告》

业务连续性管理计划

业务连续性管理计划 1. 目的为了保证在有可能出现地震、台风、洪水、泥石流、火灾、化学品灾害、公用事业的供应中断、劳动力短缺,关键设备故障、售后退货和IT系统损坏等特别事件的情况下满足客户的交付需求。 2. 范围适用于在出现地震、台风、洪水、泥石流、火灾、化学品灾害、公用事业的供应中断、劳动力短缺,关键设备故障、售后退货和IT系统损坏、等特别事件的情况。 3. 引用文件 3.1 《人力资源管理程序》 4. 定义特别事件:地震、台风、洪水、泥石流、火灾、化学品灾害、公用事业的供应中断、劳动力短缺,关键设备故障、售后退货和IT系统损坏等其它突发性事件。 5. 职责和权限 5.1 企管部:负责制订和修改本应急计划,并对灾害风险进行评估; 5.2 总经理:负责组织及实施应急计划。 5.3 工厂负责人:负责协调、组织及实施应急计划,当总经理不在时,行使总经理职权。 5.4 生产部:负责突发性事件发生后现场物料、机器、工具进行整理并清洁干净。 5.5 技术部:负责抢修设备,防止突发性事件扩大,降低突发性事件损失,使发生突发性事件后生产能够尽快恢复。 5.6 办公室:负责突发事件发生后人员及财产的安全;负责维持突发性事件发生后现场秩序; 负责突发性事件中各项指令的传达及反馈突发性事件信息;负责内/外联络,小组成员之间的信息沟通;负责IT系统恢复。 5.7 销售服务中心:负责突发性事件发生后受影响订单与客户沟通。 5.8 采购部:负责突发性事件发生后恢复生产所需要的物料采购、外协加工。 5.9 质控部:负责突发性事件发生后受影响物料,在制品和成品的检验和判定。 5.10 物控部:负责统计突发性事件发生后受影响订单,调整生产计划和物料需求计划并跟进计划的实施。负责统计突发性事件发生后仓库受影响的物资,通知质控部进行检验,根据质控部检验结果申请物资报废。 5.11 临时事故应急指挥小组:组织人员清理现场,评估灾后损失,协调全厂恢复计划的具体实施,督促各部门恢复生产进度,解决各部门在恢复生产中遇到的实际困难。

如何建立业务管理体系

如何建立业务连续管理体系随着企业信息化的发展和企业数据大集中的实施，企业IT系统和业务的连续性受到越来越多的关注，尤其是对于，银行、保险、证券、电力、能源、交通等领域关系国计民生的关键信息系统，如果没有进行灾难备份或业务连续性管理(BCM)体系建设，在遭受突发灾难时后果不堪设想。业务中断不是小概率事件近年来，国内由于信息系统故障造成的业务中断屡见不鲜，例如：2007年3月，某银行因为主机监控软件缺陷，系统瘫痪近4个小时，所有营业网点无法正常开展业务;2007年8月，某银行对计算机系统进行升级方案不当，造成部分代理证券业务受阻，在持续5个半小时后，系统才逐步恢复正常;2008年1月，某银行主干专线设备发生故障，造成117家支行所属网点柜台交易无法正常进行持续一小时;2009年9月，某证券公司交易系统硬件故障造成瘫痪，位于全国各地的100余个营业部均受到影响。如何为企业建立业务连续性管理体系日益受到社会各界，尤其是企业高层的关注。业务连续性管理体系的发展业务连续性管理的概念很早就已经提出了，它是特指一种整体管理流程。该流程的目标在于及早确定可能发生的冲击对企业运作造成的威胁，并提供合理的架构有效阻止或抵消不确定事件造成的威胁，保证企业日常业务运行的平稳、有序。相比较而言，业务连续性管理比灾难备份/恢复更高一层，涉及到组织架构、人员、流程等方方面面。全球第一个业务连续性管理的框架标准BS25999在2007年末正式成为认证标准，这为人们提供了一个构建BCM的指南。这份标准的前身是公共可用指南PAS 56，在2006年底升级为BS英国标准，其目的就是使业务连续性管理有章可循。作为一套整体的管理标准和管理流程，BS25999标准协助企业进行业务冲击分析及风险分析，并将其量化，继而开发制定各种相应应急及恢复计划、方法和流程，减轻灾难事件对企业造成的不利影响。 BS25999这样描述业务连续性管理，“业务连续管理是一个整体的管理过程，它能鉴别威胁组织潜在的影响，并且提供构建弹性机制的管理架构，以及确保有效反应的能力;以保护它的关键利益相关方的利益、声誉、品牌以及创造价值的活动”。如何建立业务连续性管理体系 BS 25999业务连续管理框架如图1所示，主要为六个部分，分别为BCM管理程序、理解组织、决定战略、开发并实施BCM响应、演练、维护和评审回顾、以及把BCM植入组织文化。参考这六个步骤，企业可以建立自己的BCM管理框架，在正常时做好准备，在灾害发生时能够从容应对，灾害后能尽快恢复。

全套管理评审材料范本

2012年度管理评审资料 1.管理评审输入材料 2.管理评审计划 3.管理评审会议记录、 4.管理评审报告 5.管理评审输出验证

管理评审计划 JL-5.6-01 评审目的：对公司质量管理体系进行评审，以确保其持续的适宜性、充分性和有效性。评审组织：主持：总经理出席：管理者代表、各部门负责人。评审时间、地点： 2012年 9月18日在会议室进行。评审内容： 1、审核结果。 2、顾客的反馈，包括满意程度的测量结果及与顾客沟通的结果等。 3、过程的绩效和产品的符合性，包括过程、产品的监视和测量的结果。 4、预防和纠正措施的状况。 5、可能影响质量管理体系的变更，包括内外环境的变化，如法律、法规的变化等。 6、质量管理体系运行状况，包括质量方针和质量目标的适宜性和有效性。 7、上次管理评审的改进决定。 8、改进的建议。评审准备工作要求：预定评审前七天，综合管理部负责根据评审内容要求，组织评审资料的收集。要求公司各部门准备参加评审会议的讨论提纲等必要的文件，评审资料由管理者代表确认。各相关部门请重点准备下述内容的汇报提纲：（1）内审情况及不合格项的纠正情况；（2）今年各部门质量方针和质量目标的完成情况；（3）顾客反馈信息、市场分析及产品要求；（4）供方产品质量情况；（5）公司资源配置需求；（6）纠正、预防和改进措施的实施效果；（7）可能影响体系变更的情况。编制：批准：日期：2012.6.20

管理评审会议记录 JL-5.6-02 日期201.9.18 地点会议室主持人记录整理出席人员：总经理、管理者代表、内审员、部门负责人。会议内容：本次管理评审的目的在于：分析与验证管理体系运行的适用性、充分性和有效性，由此加强对管理体系运行的监督和控制，并不断改进以促进体系的良性运行，使之日趋完善。根据本次各部门提供报告及资料表明： 1.审核结果： 1.1.到目前为止，内部审核的运作较为成熟。审核方式由综合管理部策划的全面性的审核。审核过程见审核报告。 1.2.各部门对审核还是比较认同的，配合度较好。每次审核中发现的不符合项，责任部门均能够积极制定纠正措施并实施。 1.3.鉴于目前内审员的经验还不丰富，必须通过不断的内部审核予以提高审核技巧。 1.4.建议：内审员应进一步加强培训和学习。 2.顾客反馈： 2.1.公司建立《客户信息反馈》规范了业务员与客户之间的沟通，同时也理顺了业务员的管理流程，使业务员与其它部门的沟通更为紧密有效，更好地发挥业务员作为客户与生产之间的桥梁作用。 2.2.为有效获取顾客的反馈意见，本公司建立了《客户满意度度调查》，客户满意度调查于2012年8月份进行，共调查了8家客户，总平均得分为98分，达成了客户满意度目标95%的要求。 3.过程的业绩和产品的符合性 3.1.零部件采购：单多量少的市场趋势越来越明显，造成公司采购也同样订购单多订购量少的现象。但通过采购员的努力，原材料的采购基本上能满足生产进度的要求。对原材料的控制目标：进料入库合格率100% 通过三个月的统计，可以达成目标面对目前客户对交期要求越来越紧的市场趋势，大家均要有紧迫感，不要因目前的生产能力超过生产负荷就放松生产管理。

最新ISO22301：2019业务连续性管理体系管理评审一整套资料汇编

B R9.3-01NO. 2020 有限公司 2020年BCM体系管理评审计划（通知）通 [2020] 12 号各部门、室、车间：为确保公司ISO22301：2019业务连续性管理体系持续的充分性、适宜性和有效性，决定开展2020年管理评审，具体评审计划安排如下: 一、管理评审目的 1、评价BCM体系的持续适宜性、充分性、有效性，确定各部门能否满足体系运行的各项要求，组织机构设置、资源配备能否充分发挥各职能的效率； 2、评价BCM方针目标的实现情况及各部门满足体系运行的能力；确定BCM 管理体系运行总体状况； 3、确定BCM体系运行中存在的不足和改进的机会，以持续改进。二、评审依据 1、 ISO22301：2019 公共安全业务连续性管理体系要求 2、相关法规标准、顾客要求 2、 BCM9.3-01管理评审控制程序等三、会议时间地点人员安排时间：20XX年X月XX日地点：会议室参加人员：各部门负责人、特邀人员等四、评审前的各部门报告准备各部门具体报告内容要求见附件“管理评审输入、输出文件表”。要求各部门在 9月 28 日前提交书面或电子版的各《部门管理评审报告》交综合部汇总。附件：管理评审输入输出报告分工有限公司 20XX年X月XX日

附件：管理评审输入输出分工（即会议汇报流程）编号输入资料名称或发言顺序负责部门※1风险机遇及措施有效性评价报告管代※2体系运行报告：体系目标实现情况管代※3体系相关内外部因素的变化管代※4知识信息及人力资源培训充分性情况报告综合部 ※5客户反馈、满意、投诉、退货情况报告。评价公司质量、价格水平、顾客满意，公司在行业中所处的地位；业务部 ※6外部提供及绩效管控情况：采购及供方管理、绩效报告，对供方施加质量的影响控制情况采购部 ※7设计开发情况报告：评价公司新技术、研发新产品能力、及应对市场战略、社会需求和环境条件等的考虑或计划。技术部 ※8设备设施管理情况及充分性报告生产部※9生产运行控制报告生产部 ※10监测分析改进综合报告：产品质量趋势、不合格品统计分析资料，评价主要产品的进货、制造过程、产品交付过程中的质量控制情况，产品要求的符合性情况；顾客提出的不符合项，评价应用预防措施和纠正措施、跟踪、验证的有效性情况；监测资源配备、检测、控制情况质量部 ※11过程效率：体系及过程绩效指标完成情况统计；评价各部门承担的质量目标和绩效指标的完成情况，测量设备配备、检校情况、管理等综合部 ※12以往管理评审所采取措施情况综合部

业务连续性管理体系认证实施规则-中国信息安全认证中心

业务连续性管理体系认证实施规则 ISCCC-BCMS-001:2016 中国信息安全认证中心

目录 1.适用范围 (2) 2.认证依据 (2) 3.术语和定义 (2) 3.1.信息收集 (2) 3.2.现场审核 (2) 3.3.现场见证（验证） (2) 4.认证类别 (2) 5.审核人员及审核组要求 (2) 6.认证信息公开 (2) 7.认证程序 (3) 7.1.初次认证 (3) 7.2.监督审核 (6) 7.3.再认证 (9) 7.4.管理体系结合审核 (9) 7.5.特殊审核 (9) 7.6.暂停、撤消认证或缩小认证范围 (10) 8.认证证书 (11) 8.1.证书内容 (11) 8.2.证书编号 (11) 8.3.对获证组织正确宣传认证结果的控制 (12) 9.对获证组织的信息通报要求及响应 (12) 10.附录A：审核时间 (13)

1.适用范围本规则用于规范中国信息安全认证中心（简称中心）开展业务连续性管理体系（BCMS）认证活动。 2.认证依据以国家标准GB/T 30146-2013/ISO/IEC22301:2012《公共安全业务连续性管理体系要求》为认证依据。 3.术语和定义 3.1.现场审核中心指派审核组到受审核方或获证组织所在办公地点进行管理体系运行的符合性进行审核。 3.2.现场见证（验证）现场见证是针对受审核方或获证组织为满足相关方利益诉求、实现组织业务目标和处置组织风险所实施的关键活动而进行的，对关键活动的执行过程进行跟踪见证；现场验证是针对关键活动所采取的关键技术而进行的，以验证这些技术措施的功能能够得到实现。 3.3.现场评价现场评价包括现场审核和现场见证（验证） 4.认证类型认证类型分为初次认证，监督审核和再认证。一个认证周期内至少进行一次现场见证（验证）。为满足认证的需要，中心可以实施特殊审核，特殊审核可以采取现场审核和现场见证（验证）等方式进行。 5.审核人员及审核组要求认证审核人员必须取得其他管理系注册审核员资格或者取得业务连续性管理体系审核员资格，取得资格的审核员中心应对其进行专业能力评价，以确定其能够胜任所安排的审核任务。审核组应由能够胜任所安排的审核任务的审核员组成。必要时可以补充技术专家以增强审核组的技术能力。具有与管理体系相关的管理和法规等方面特定知识的技术专家可以成为审核组成员。技术专家应在审核员的监督下进行工作，可就受审核方或获证组织管理体系中技术充分性事宜为审核员提供建议，但技术专家不能作为审核员。 6.认证信息公开

业务连续性管理程序修订稿

业务连续性管理程序 WEIHUA system office room 【WEIHUA 16H-WEIHUA WEIHUA8Q8-

1.目的本程序规定当发生重大信息安全事件或灾难时，为保护本公司业务活动免受影响，迅速恢复已中断的业务活动，实现业务持续发展而实施的管理活动。 2.范围本程序适用于本公司业务相关的主要业务的持续性管理控制3.职责最高管理者（总裁）: A、危机第一责任人,负责运营策划、实施、保持和持续改进； B、担任特别重大危机(Ⅰ级)的总指挥； C、重大危机后接受媒体报告；常务副总裁: A、危机第二责任人,负责各事业部运营执行； B、较大危机(Ⅱ级)及一般性危机(Ⅲ级)的总指挥；人事经理: A、人才危机进行预测； B、收集各部门危机信息进行分析，启动危机预警, C、危机后人员的安抚及人力的调整； D、危机后对外信息的发布及媒体沟通； E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障；销售副总裁: A、市场危机进行预测，收集市场信息； B、危机后负责向客户沟通，稳定市场；事业部总经理/副总经理:

A 、对本事业部存在危机信息的收集并汇报； B 、危机后本事业部人员的安抚及人力的调整；财务总监: A 、财务危机进行预测； B 、危机后提供危机所需的资金保障；采购部门负责人: A 、供方危机进行预测； B 、危机后物料的调配； 4 工程程序（工作流程图）危机分类

A 一般性危机(Ⅲ级)：指突然发生，事态比较简单，仅对较小范围内产生威胁或损失，只需要调度个别部门的力量和资源能够处置的事件。 B 较大危机(Ⅱ级)：指突然发生，事态较为复杂，对一定区域或部门财产和安全造成威胁、已经或可能造成较大人员伤亡、较大财产损失或生态环境破坏，需要调度公司部分力量和资源进行处置的事件。 C 特别重大危机(Ⅰ级)：是指突然发生，事态非常复杂，已经或可能造成特别重大人员伤亡、特别重大财产损失或重大生态环境破坏，需要调度公司全部力量和资源,或需求助政府各方面资源和力量进行处置的事件。识别公司可能面临营运中断的最大风险,导致的危机，其可归纳于以下几种（不限于） 4.2.1信誉危机：指公司在长期的生产经营过程中，公众对其产品和服务的整体印象和评价。由于没有履行合同及客户的承诺，而产生的一系列纠纷，甚至给合作伙伴造成重大损失或伤害，企业信誉下降，失去公众的信任和支持导致订单流失而造成的危机。 4.2.2战略危机：指经营决策失误造成的危机。不能根据环境条件变化趋势正确制定经营战略，而使企业遇到困难无法经营。 4.2.3运作管理危机：管理不善而导致的危机 ?产品质量危机：在生产经营中忽略了产品质量问题，使不合格产品流入市场，导致巨额索赔造成流动资金周转不灵。

业务连续性管理方案

业务连续性管理方案公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]

业务连续性管理程序最终版

1.目的本程序规定当发生重大信息安全事件或灾难时，为保护本公司业务活动免受影响，迅速恢复已中断的业务活动，实现业务持续发展而实施的管理活动。 2.范围本程序适用于本公司业务相关的主要业务的持续性管理控制3.职责 3.1最高管理者（总裁）: A、危机第一责任人,负责运营策划、实施、保持和持续改进； B、担任特别重大危机(Ⅰ级)的总指挥； C、重大危机后接受媒体报告； 3.2常务副总裁: A、危机第二责任人,负责各事业部运营执行； B、较大危机(Ⅱ级)及一般性危机(Ⅲ级)的总指挥； 3.3人事经理: A、人才危机进行预测； B、收集各部门危机信息进行分析，启动危机预警, C、危机后人员的安抚及人力的调整； D、危机后对外信息的发布及媒体沟通； E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障； 3.4 销售副总裁: A、市场危机进行预测，收集市场信息； B、危机后负责向客户沟通，稳定市场； 3.5事业部总经理/副总经理:

A 、对本事业部存在危机信息的收集并汇报； B 、危机后本事业部人员的安抚及人力的调整； 3.6 财务总监: A 、财务危机进行预测； B 、危机后提供危机所需的资金保障； 3.7采购部门负责人: A 、供方危机进行预测； B 、危机后物料的调配； 4 工程程序（工作流程图） 4.1危机分类 A 一般性危机(Ⅲ级)：指突然发生，事态比较简单，仅对较小范围内产生威胁或损失，只需要调度个别部门的力量和资源能够处置的事

件。

B 较大危机(Ⅱ级)：指突然发生，事态较为复杂，对一定区域或部门财产和安全造成威胁、已经或可能造成较大人员伤亡、较大财产损失或生态环境破坏，需要调度公司部分力量和资源进行处置的事件。 C 特别重大危机(Ⅰ级)：是指突然发生，事态非常复杂，已经或可能造成特别重大人员伤亡、特别重大财产损失或重大生态环境破坏，需要调度公司全部力量和资源,或需求助政府各方面资源和力量进行处置的事件。 4.2 识别公司可能面临营运中断的最大风险,导致的危机，其可归纳于以下几种（不限于） 4.2.1信誉危机：指公司在长期的生产经营过程中，公众对其产品和服务的整体印象和评价。由于没有履行合同及客户的承诺，而产生的一系列纠纷，甚至给合作伙伴造成重大损失或伤害，企业信誉下降，失去公众的信任和支持导致订单流失而造成的危机。 4.2.2战略危机：指经营决策失误造成的危机。不能根据环境条件变化趋势正确制定经营战略，而使企业遇到困难无法经营。 4.2.3运作管理危机：管理不善而导致的危机 ?产品质量危机：在生产经营中忽略了产品质量问题，使不合格产品流入市场，导致巨额索赔造成流动资金周转不灵。 ?环境污染危机。企业的“三废”处理不彻底，有害物质泄露，爆炸等恶性事故造成环境危害，造成停业整顿。

业务连续性管理规定

业务连续性管理规定第一章总则第一条为规范科技发展部业务连续性管理，并依此建立业务连续性管理计划，将预防和恢复控制相结合，积极防范并且处理突发信息安全事件，防止业务活动中断，将突发信息安全事件对科技发展部的影响控制在能够承受的范围之内，保证关键性业务流程的连续性运营，构建“健全机制、集中领导、明确职责、预防为主、反应灵敏、处置高效”的业务连续性管理体系，根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》、《银行业重要信息系统突发事件应急管理规范》以及相关法律法规、业界规范标准，特制定本规定。第二条本规定文件适用于科技发展部范围内的所有业务连续性相关的管理工作。第二章组织与职责第三条科技发展部信息安全指挥小组负责根据业务发展方向规划业务连续性总体战略，确定科技发展部业务连续性管理的策略、目标和范围，为科技发展部业务连续性管理工作的计划、落实提供资源和管理保证，并对执行情况进行监督。

第四条科技发展部风险管理组负责制定科技发展部的业务连续性管理办法，对科技发展部的业务连续性管理落实情况进行监督审核。第五条各部门安全组负责本部门的业务连续性管理落实情况的监督和检查。第六条各部门负责人负责确定本部门业务连续性管理策略，确定本部门业务连续性管理的目标和范围，审批本部门业务连续性计划，为相关管理活动提供资源和管理保证。第七条各部门负责制定本部门的业务连续性计划、突发事件应急预案和灾难恢复预案，提交本部门负责人或信息安全指挥小组审批。第三章业务连续性管理规定第八条各部门负责人或信息安全指挥小组根据业务的发展规划，确定本部门业务连续性管理策略，主要为：（一）确定业务连续性管理的目标和范围。（二）确定业务连续性管理的组织结构和职责。（三）确定业务连续性管理的外部协作关系，各部门应与相关管理部门、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作，以确保在突发信息安全事件发生时能及时通报准确情况和获得适当支持。第九条各部门的业务连续性管理策略不得与科技发展部的策略相

ISO22301公共安全业务连续性管理体系条款解读

一、范围本标准为有下列需求的组织规定了质量管理体系要求: 1.1需要证实其具有稳定地提供满足顾客要求和适用法律法规要求的产品和服务的能力； 1.2通过体系的有效应用，包括体系持续改进的过程，以及保证符合顾客和适用的法律法规要求，旨在增强顾客满意。注1:在本标准中,术语”产品”仅适用于 -预期提供给顾客或顾客所要求的产品和服务， -运行过程所产生的任何预期输出。注2:法律法规要求可称作法定要求. 二、组织环境 2.1了解组织和组织环境组织应确定与其意图相关且影响其达到BCMS预期结果能力的外部和内部情况。在建立，实施和保持组织的BCMS时，这些情况应被考虑。组织应识别以下内容并形成文件： a）组织的活动、职能、服务、产品、合作方、供应链、与相关方的关系以及与中断事件有关的潜在影响； b）业务连续性方针和组织目标以及其他方针，包括其总体风险管理策略间的联系； c）组织的风险偏好。在构建环境时，组织应： a）阐明其目标包括与业务连续性有关的目标； b）确定会造成增加风险不确定性的外部和内部因素； c）根据风险偏好设定风险准则； d）确定BCMS的目的。 2.2理解相关方的需求和期望 2.2.1总则在建立BCMS时，组织应确定： a）与BCMS有关的相关方； b）这些相关方的要求（即阐明的、通常隐含的或强制性的需求和期望）。 2.2.2法律和法规要求组织应建立、实施和保持一个程序（或多个程序）用以识别、利用和评估与业务运行、产品

和服务，以及相关方连续性要求相关的适用的法律和法规的要求。组织应确保在建立、实施和保持其BCMS时考虑这些适用的法律、法规和经组织认同的其他要求。组织应将这些信息形成文件并保持更新。应与受影响的员工和其他相关方沟通新制定或变更的法律、法规和其他要求。 2.3确定业务连续性管理体系的范围 2.3.1总则组织应通过确定BCMS的边界和适用性来建立其范围。组织在确定其范围时应考虑： -在4.1中涉及的外部和内部因素。 -在4.2中涉及的要求。该范围应为可获得的存档信息。 2.3.2BCMS的范围组织应： a）确定组织中被包含在BCMS范围内的部分； b）在考虑组织的任务、目标、内部和外部职责（包括与相关方有关的）以及法律和法规方面的责任下，建立BCMS的要求； c）识别BCMS范围内的产品、服务和相关活动； d）考虑相关方的需求和利益，例如客户投资者、股东、供应链、公共和/或社区的投入和需求、期望和利益（如适用时）； e）按照组织规模、性质和复杂性确定合适的BCMS范围。在定义范围时，组织应将删减理由形成文件，任何删减应不影响组织提供达到BCMS要求的业务和运行连续性的能力和职责，删减是由业务影响分析或风险评估和适用的法律或法规要求确定的。 2.4业务连续性管理体系组织应根据本标准的要求，建立、实施、保持和改进BCMS，包括所需的过程个过程建的相互作用。三、领导力 3.1领导力和承诺整个组织的最高管理者和其他相关管理人员应证明他们在BCMS方面的领导力。