· 公众号:业务连续性+

ISO 22301:2019体系文件清单

1.体系文件清单

以下是基于ISO 22301:2019实施业务连续性管理体系涉及到的体系文件清单 (加黑部分是标准要求的强制文件) 。当然,这并非实施ISO 22301:2019 BCMS可以用到的所有文件,只要你觉得助于提升组织的业务连续性能力和韧性水平,你可以增添任何你觉得需要的文件(或将以下文件分拆成多个文件)。 文件名 ISO 22301:2019要求 文档和记录控制程序 7.5 项目实施计划 需求识别程序 4.2 法律法规和其它要求清单 4.2 业务连续性方针(目标和范围) 4.3, 5.3, 6.2 业务连续性管理年度计划 6.1,6.2,8.1,10.2 BCMS变更计划 6.3,10.1 培训和意识教育计划 7.2,7.3 人员能力记录 7.2 合同和服务水平协议 8.1 业务影响分析过程和生成报告(结果) 8.2.1, 8.2.2 业务影响分析调查问卷 8.2.1, 8.2.2 风险评估过程和生成报告(结果) 8.2.1,8.2.3 业务连续性策略和解决方案 8.3.3 资源要求(基于解决方案) 8.3.4 解决方案实施计划 8.3.5 业务连续性计划、程序和中断事件记录 8.4 与相关方的成文沟通 8.4.3.1 事件场景 8.5 演练与测试计划 8.5 演练总结 8.5 事后分析和总结 8.6 监视、测量、分析和评价方法 9.1.1 监视和测量的数据和结果 9.1.1 内审方案 9.2 内审程序 9.2 内审的结果(报告) 9.2 管理评审程序 9.3 管理评审的结果(记录) 9.3 纠正措施程序 10.1 纠正措施及结果 10.1

2.必需的(强制)文件和记录

以下文件和记录是ISO 22301:2019实施必须具备的 (标准中称其为“成文信息”) : 文件和记录 ISO 22301:2019条款 1.法律法规和其它要求清单 4.2.2 该清单及相应的需求识别程序,宜在项目最初就确定,因为需要它作为整个BCMS的输入。 2. BCMS的范围及删减解释 4.3 该文件也很短,宜在项目初就编写完成。它宜根据已识别的要求和组织的期望,清晰规定BCMS将应用于组织的哪些部分。它宜解释为什么组织中有部分被排除。 该文件通常被合并到业务连续性方针中。 3.业务连续性方针 5.3 4.业务连续性目标 6.2 这是BCMS的核心文件,最高管理者宜在其中声明他们想用BCMS达到什么,以及他们如何管理它。 (如果有可能的话,还可以在其中描述BCMS是如何策划、实施、运行和持续改进的) 通常,最高管理者只需审批这个顶层文件,其它的BCMS文件由指定负责人审批。 该文件不用长篇大论,中小型组织通常把业务连续性范围和业务连续性目标合并进来;大型组织则可将范围和目标分成不同的文件。 注意:BCMS的目标不要和RTO混淆,BCMS的目标是设定给整个BCMS的,而不是面向特定业务的。 5.人员能力 7.2 人员能力记录通常由人力资源部(如果有的话)维护,如果没有人力资源部,维护员工记录的人员宜负责该工作,有一个包含所有文件的文件夹就可以了。 6.业务连续性计划、程序和中断事件记录 8.4 一般而言,业务连续性计划和程序包括: 事件响应计划,用于初始响应。事件响应计划需要解决组织面临的所有重大风险,内容包括在这些事件发生时如何初始响应,记录中断事件实际情况、采取行动和所做决策有关信息的方法—可以简单到在执行计划步骤时手写便条; 业务恢复计划,侧重于恢复组织的业务; 灾难恢复计划(IT DRP),侧重于恢ICT系统和基础设施; 沟通计划,规定与内外部相关方的沟通内容、时机、对象和沟通方式。如有必要,还可以开发与媒体沟通的模板,能帮助你快速发布新闻稿; 复原(事后重建)计划,侧重于将业务从临时措施恢复到正常运营状态; 支持文件,如设备手册、建筑物图纸等。 可以将以上计划作为附录组织在一个业务连续性计划文件中。 7.与相关方的成文沟通 8.4.3.1 这些沟通可能是不同的形式,如电子邮件、常规邮件、电话等。记录它们并不复杂,对电邮、邮件和文件的拷贝进行存档,对电话可以按事先预定的方式记录。 第8.4.3.1条是指接收、记录和回应相关方的程序,即根据沟通计划回应沟通内容,其重点在于组织与任何国家或地区性风险预警系统或类似系统(如海啸预警中心)之间的信息交换。关于沟通计划,对中小型公司来说,此类程序可作为事件响应计划的一部分,对于大公司,这些程序会是独立的文件。 8.监视和测量的数据和结果 9.1.1 所有相关报告、KPIs、通过电子邮件发送的非正式结果、以及决策等,都宜保存一段指定的时间。 9.内审方案 9.2 10.内审的结果(报告) 9.2 内审方案可以是一个简单的文件,描述每次审核何时进行,以及由谁来实施。 内审的结果通过内部审核报告成文,该报告宜涵盖所有不符合以及观察项。 11.管理评审的结果(记录) 9.3 通常以会议纪要的形式出现,必须包括管理层会议上的所有相关材料,以及所做的决定。会议记录可以是纸质或数字形式的。 12.纠正措施及结果 10.1 纠正措施通常包含在纠正措施表(CARs,correction action forms)中,作为一个待办事项列表,其中明确规定了职责、任务、截止日期及结果。

  1. 常用和推荐的(非强制)文件

其它经常用到的文件如下: 文件和记录 ISO 22301:2019条款 1.适用法律法规的需求识别程序 4.2.2 通常是一个比较短的程序,用于确定谁负责合规:如谁负责识别所有的相关方,谁确定所有需符合的法律、法规以及其它的相关方要求,谁负责遵守这些要求,以及如何沟通这些要求等。 该需求识别程序及结果清单,宜在项目最初就确定,因为需要它作为整个BCMS的输入。 2.业务连续性管理年度工作计划 6.1,6.2,8.1,10.2 3.BCMS变更计划 6.3,10.1 确定了业务连续性目标后,就需要确保,以实现计划的形式明确实施整个BCMS所需的所有活动和资源,还包括负责人、截止日期以及如何评估所取得的成果。 对大型组织,建议有文件规定业务连续性治理和管理结构、路线图和年度工作计划(及重要里程碑)。 业务连续性管理年度工作计划,需要根据业务连续性目标的年度分解,对当年的所有BCMS及BCM活动进行综合协调,涉及人员培训和意识、资源、业务影响分析和风险评估、策略和解决方案、业务连续性计划和程序、演练、能力和文档评估、内部审核、管理评估、不符合和纠正措施、以及持续改进等,并考虑可能的变更及应对。 4.培训和意识教育计划 7.2,7.3 也可称为宣贯培训计划,通常按年度编制,可由业务连续性负责人与人力资源部一起制定。 5.文件和记录控制程序 7.5 通常是一个独立的程序。如果组织已实施了ISO 9000,ISO 14001或ISO 27001等,直接采用这些管理体系中的相应文件即可。通常这是BCMS项目文档的第一个程序文件。 6.合同和服务水平协议 8.1 中断事件发生时,供应商和外包合作伙伴能以我们预期的方式响应是极为关键的,因此需要编写好一份包含(最低)业务连续性要求的模板,纳入我们与其签署的每份合同中。 7.业务影响分析过程及生成报告(结果) 8.2.1,8.2.2 在进行BIA之前,需要确定BIA怎么做,即BIA的方法。该方法宜清晰易懂、简洁但不要短到表达不清。 BIA的数据收集工作可结合人员访谈、小型研讨会、调查问卷和文件审查等多种方式,收集数据可导入简单的Excel表中,也可以使用BCM工具软件。 对大型组织,BIA的结果可形成业务影响分析报告;对中小型组织,也可将其总结后放入业务连续性策略文件。 8.风险评估过程及报告(结果) 8.2.1,8.2.3 和业务影响分析一样,风险评估也需要在进行前确定好评估方法。ISO 22301:2019并未指定风险评估过程的详细要求,可参考ISO 31000等根据组织情况定制过程。风险评估结果可形成风险评估报告。 9.业务连续性策略和解决方案 8.3.3 10.资源要求 8.3.4 11.解决方案实施计划 8.3.5 业务连续性策略和解决方案是业务影响分析、风险评估和业务连续性程序之间的关键链接,其目的是制定所有协议、采购和其它安排,以确保在中断时有资源可用。它们至关重要,因为缺了它们,业务连续性计划将不可行。业务连续性策略和解决方案通常是一份高层级的文件,可在其附录中给出每一活动(业务)的策略和解决方案。 资源要求需要基于选定的解决方案确定。 制定解决方案实施计划或规划,为业务连续性计划和程序建立基础。 12.事件场景 8.5 某事件如何发展以及它如何影响公司活动的简短描述(或故事)。 宜根据风险评估和业务影响分析的结果(宜反映重大风险和重要中断)开发,可纳入演练和测试计划或业务连续性策略中。 13.演练和测试计划 8.5 14.演练总结 8.5 演练和测试对改进业务连续性程序至关重要—通常,宜每年最少进行一次演练和测试,并逐步增加其难度和挑战性。 每次演练都应该明确要实现的目标和场景;总结报告必须说明目标达成的程度 15.事后分析和总结 8.6 最好是创建一份表单,填写中断事件分析所需要考虑的所有必要数据,以及分析结论(无论业务连续性计划执行情况如何)时,这可以为保持和改进BCMS提供好的见解。 16.监视、测量、分析和评价方法 9.1.1 测量BCMS的最简单的方法是对方针和程序进行描述,该描述通常可放在相应文档的最后,明确指明测量所用的KPI的类型。 17.内审程序 9.2 内审程序通常是一个独立的程序,必须在内部审核开始前编写完成。与《文档控制程序》一样,内审程序适用于所有管理体系。 18.管理评审程序 9.3 管理评审程序通常是一个独立的程序,必须在管理评审开始前编写完成。 19.纠正措施程序 10.1 如果已实施了ISO 27001、ISO 9001或其他管理体系,那么可以使用已有的纠正措施程序。该程序可在项目实施结束时编写,不过最好早点编写,以便员工能早些熟悉。

本公众号 (ID: bcmplus) 专注于业务连续性管理知识的传播和普及,关注应急、连续性和危机管理的朋友可关注本公众号。

由于公众号注册时正处于腾讯政策调整,未能开通留言功能,希望交流和讨论业务连续性管理问题,或获取相关资料的朋友,可长按以下二维码加入知识星球留言和讨论(公众号1月只能发4次文章,也会有一些小观点直接在知识星球而不在公众号发布)。

原文发表于公众号”业务连续性+” | 原文链接