ISO22301業(yè)務(wù)挑戰

大多數企業(yè)在某些時(shí)候，不得不對可能破壞或威脅其日常業(yè)務(wù)運作的事件作出回應。一個(gè)成功的業(yè)務(wù)連續性管理(BCM)的程序，能夠應對任何潛在的干擾反應，是組織必不可少的；完善的業(yè)務(wù)持續管理系統(BCMS)不僅能幫助你的組織從災難中恢復，也將防止可能出現的任何運作中斷（例如錯過(guò)了最后交期，困擾客戶(hù)，或者直接的經(jīng)濟損失而帶來(lái)的聲譽(yù)損失等）。

ISO22301服務(wù)內容

一、服務(wù)概述

ISO22301管理體系框架能夠幫助企業(yè)制定一套一體化的管理流程計劃，使企業(yè)對潛在的災難加以辨別分析，幫助其確定可能發(fā)生的沖擊對企業(yè)運作造成的威脅，并提供一個(gè)有效的管理機制來(lái)阻止或抵消這些威脅，減少災難事件給企業(yè)帶來(lái)?yè)p失。整體BCM方案必須通過(guò)確定范圍、風(fēng)險評估、業(yè)務(wù)連續性管理戰略、業(yè)務(wù)連續性目標、開(kāi)發(fā)計劃、教育訓練、演習、測試、審查和持續改進(jìn)等活動(dòng)得到管理。

BCMS也應包括風(fēng)險評估(RA)和業(yè)務(wù)影響分析(BIA)，這是ISO22301的內在組成部分和基本組成部分、是確定優(yōu)先活動(dòng)、受依賴(lài)和資源應支持的關(guān)鍵產(chǎn)品和服務(wù)，他們的失敗將對組織產(chǎn)生的影響。

二、ISO22301管理點(diǎn)

成本效益分析應該用來(lái)檢討所有業(yè)務(wù)連續性安排，如服務(wù)等級協(xié)議、共享空間、勞動(dòng)力，緊急事件中或緊急事件后的替代工藝和技術(shù)。 因為每年需要進(jìn)行計劃的基于業(yè)務(wù)優(yōu)先級和風(fēng)險的一系列演練，所以建議進(jìn)行定期評審整體的管理中斷事件的業(yè)務(wù)連續性能力。這樣設計是為了突出任一弱點(diǎn)區域，給你一個(gè)更好的能力管理所有類(lèi)型的潛在事故或災難。

三、具體內容（BCM的過(guò)程包括六個(gè)步驟）

步驟1 - BCM方案管理。方案管理的建立（如果有必要）和維護組織的業(yè)務(wù)連續性能力，并與組織的規模和復雜程度相適宜。在這第一步驟中，文件化BCM的范圍和BCM核心團隊及其角色和職責被批準是關(guān)鍵問(wèn)題。

步驟2 – 理解組織。與此步驟相關(guān)的活動(dòng)是提供決定組織產(chǎn)品和服務(wù)的優(yōu)先次序的信息，識別關(guān)鍵的支持活動(dòng)及其資源，業(yè)務(wù)影響分析(BIA)和風(fēng)險評估也是這個(gè)階段的關(guān)鍵部分。

步驟3 - 確定業(yè)務(wù)連續性管理策略。允許選擇適當的響應優(yōu)先的業(yè)務(wù)活動(dòng)，使得組織遇中斷后能夠在預先設定的時(shí)間內恢復和繼續提供產(chǎn)品或服務(wù)，在開(kāi)發(fā)持續計劃之前需預先定義的關(guān)鍵時(shí)間，如MAO、MBCO、MTPD、RTO和RPO。

步驟4 – 開(kāi)發(fā)和實(shí)施BCM響應。涵蓋了開(kāi)發(fā)應急響應、危機管理和業(yè)務(wù)連續性計劃，詳細闡明在中斷中及中斷后采取維持和復原優(yōu)先級業(yè)務(wù)過(guò)程，或運營(yíng)到預先定義水平的步驟。

步驟5 – 演練、維護和評審BCM安排。在計劃的時(shí)間間隔內進(jìn)行演練，以達到業(yè)務(wù)連續性目標和識別改進(jìn)機會(huì )，可以讓組織證明其戰略及計劃和與目標的符合性。

步驟6 – 嵌入BCM在組織文化中。這使BCM成為組織的核心價(jià)值的一部分，在組織所有相關(guān)方的各層級中灌輸信心，應對中斷；企業(yè)需要培訓那些負責執行BCM、響應中斷，以及受計劃影響的相關(guān)人員；組織不僅應把計劃落到實(shí)處，還應定期審查計劃得到更新，確保其有效性；組織可以考慮將多個(gè)管理體系整合，以最大限度地提高效率。

ISO22301驗審活動(dòng)有助于通過(guò)各層級有計劃、有效的BCM改善業(yè)務(wù)，包括：

1．組織內識別和理解關(guān)鍵業(yè)務(wù)過(guò)程及其中斷的影響；

2．增強組織的彈性、恢復能力及持續生存能力水平；

3．具備超越彈性較弱的競爭對手的優(yōu)勢；

4．正面的訊息傳達給媒體和利益相關(guān)者，以應對危機處理；

5．提升保險公司對組織風(fēng)險管理的印象，從而降低保費；

6．符合監管機構、保險公司、商業(yè)伙伴和其他主要利益相關(guān)者的期望；

7．在事故、破壞甚至災難發(fā)生時(shí)顯著(zhù)降低財務(wù)影響；

8．增加組織和員工雙方的生存機會(huì )；

9．通過(guò)展示具備專(zhuān)業(yè)的管理中斷的方法而保持甚至提升聲譽(yù)；

10．如合同或協(xié)議的承諾，在可接受的預先定義的級別，及時(shí)和有序應對事件和業(yè)務(wù)中斷，保證業(yè)務(wù)連續運營(yíng)；

11．鼓勵跨團隊和跨組織的協(xié)調；

12．通過(guò)場(chǎng)景演練，展示可信的響應能力；

13．以可見(jiàn)的證據證明整體風(fēng)險管理的管理承諾。

1．企業(yè)需持有工商行政管理部門(mén)頒發(fā)的《企業(yè)法人營(yíng)業(yè)執照》等有效資質(zhì)文件；

2．申請方應按照國際有效標準（ISO 22301-2019）的要求在組織內建立管理體系，并實(shí)施運行至少3個(gè)月以上；

3．至少完成一次內部審核，并進(jìn)行了有效的管理評審；

4．管理體系運行期間及建立體系前的一年內未受到主管部門(mén)行政處罰。