· 公众号:业务连续性+

业务连续性计划和程序编制的技术规范:ISO/TS 22332:2021简介

5月28日,国际标准化组织ISO正式发布了ISO/TS 22332:2021—关于业务连续性计划和程序编制的最新技术规范,至此,涉及BCM关键过程(BIA、策略确定、计划编制和演练)实施的技术规范全部发布。

ISO/TS 22332提供了一种详细且结构清晰的方式来编制业务连续性计划和相关程序,对于业务连续性管理意义重大,下面从ISO/TS 22332的编制背景、结构和要点以及价值和意义进行简要介绍。

  1. ISO/TS 22332编制背景

ISO/TS 22332,即《ISO/TS 22322 安全和韧性 – 业务连续性管理体系 – 业务连续性计划和程序编制指南》(ISO/TS 22322 Security and Resilience – Business continuity management systems – Guidelines for developing business continuity plans and procedures),于2018年1月立项,今年5月发布。

业务连续性计划和程序编制与业务连续性管理的关系

业务连续性管理是 实施和保持业务连续性的过程 (见ISO 22313:2020和ISO 22300:2021中BCM的最新定义)。根据ISO 22313:2020,业务连续性管理是一整套的管理过程,包括:运行的策划和控制、业务影响分析和风险评估、业务连续性策略和解决方案、业务连续性计划和程序、演练方案、以及业务连续性文档和能力评估,如下图所示:

BCM重要过程(见ISO 22313:2020之图5 或 ISO/TS 22332:2021之图1)

业务连续性计划和程序编制是业务连续性管理的重要组成部分,是在业务连续性策略获得批准后的重要过程,ISO/TS 22322旨在为该过程提供一种通用方法和指导。

ISO/TS 22332与ISO 22301系列标准的关系

自2012年ISO 22301:2012正式发布以来,国际标准化组织ISO一直在扩展和更新业务连续性管理体系标准和相关的技术规范,目前,ISO 22301系列标准主要包括: ISO 22301,为业务连续性管理体系(BCMS)指明了要求,组织可基于对ISO 22301的遵循获得认证,最新版是第二版,2019年发布; ISO 22313,解释和澄清ISO 22301中要求的意义和目的,为ISO 22301 BCMS实施和保持提供指导,最新版是第二版,2020年发布; ISO/TS 22317,即业务影响分析实施指南,第一版于2015年发布,目前正在修订中; ISO/TS 22318,即供应链连续性指南,第一版于2015年发布,目前正在修订中; ISO/TS 22330,即业务连续性人员指南,最新版是第一版,2018年发布; ISO/TS 22331,即业务连续性策略指南,最新版是第一版,2018年发布; ISO/TS 22332,即业务连续性计划和程序编制指南,最新版是第一版,2021年发布; ISO 22398,即演练指南(不只适用业务连续性管理),第一版于2013年发布,目前正在修订中。

ISO/TS 22332补充了ISO 22301:2019 8.4 business continuity plans and procedures(业务连续性计划和程序)中的要求,它有助于组织实现ISO 22301中指明的要求,也符合ISO 22313中的指导,但它并不用于认证目的。

  1. ISO/TS 22332结构和要点

ISO/TS 22332结构

ISO/TS 22332首先定义了术语,指出业务连续性计划(business continuity plan)提供指导和信息帮助组织应对中断,以满足对产品和服务交付的期望 。 它继续指出,组织宜制定业务连续性计划和程序来解决以下领域的问题:沟通(communications)、应急管理(emergency management)、事件响应(incident response)、危机管理(crisis management)、恢复(recovery)和还原(restoration)。

ISO/TS 22332 由 12 个条款、1个附录和参考文献构成。

ISO/TS 22332要点

前3个条款很简短,分别是标准的范围、规范性引用文件以及术语和定义。接下来是技术规范的主要内容:

第4条:前提条件 列出了编制业务连续性计划和程序之前应具备的条件,包括: 了解“相关方”在中断后的响应和恢复时需要和期望什么; 确定、选择和批准业务连续性策略和解决方案; 明确和传达计划编制的角色、职责和能力,“最高管理者”宜指派一名编制团队负责人,技术规范列出了编制小组负责人和团队宜具备的能力清单; 资源考虑:组织宜分配编制和维护业务连续性计划和程序所需的资源(包括人员时间和财务)。

第5条:响应 着眼于在事件期间有效使用业务连续性计划和程序所需的条件,包括: 响应结构:建立由战略、战术和执行团队组成的分层结构来负责响应。技术规范还指出,小型组织可能由一个团队负责响应的所有方面; 团队成员能力:给出了三类响应团队成员所需的主要(特征)能力清单。

第6条:业务连续性团队计划和程序的类型 指出,业务连续性程序编写在计划中;每个团队都需要计划中的信息以理解其范围、目标和职责,这些信息在需要时即时可用。第6条还描述了每类团队计划的目的、团队组成和责任人。

第7条:业务连续性计划和程序的内容 给出了三类计划所需项目的全面检查清单,其中有些项目可能对所有或大部分计划通用,而有些项目特定于少数计划。所有计划都包括7.2部分的项目和7.3部分中的特定项目。

第8条:应对特定中断的计划 ISO/TS 22332表示组织可能希望通过编写特定的业务连续性手册来记录应对“特定可预期的中断”(specific anticipated disruptions)的方法。技术规范将大流行病和网络攻击作为采取这种方法的两个领域,但也指出这只是众多可能性的样例。第8.1和8.2条给出了大流行病(全球和区域性)计划和网络攻击计划的主要内容清单。

第9条:关于编写计划的指导 给出了编写业务连续性计划和程序的指南,关键点包括: 业务连续性计划是一种用于高压力、有时间限制情况的文件; 计划不是手册或报告,不宜包含不必要的信息; 计划宜尽可能自包含(独立); 清晰度很重要,信息宜明确、清楚、一致并避免使用缩略词; 计划宜完整,但也宜避免“过多的细节”。它们宜基于所选择的策略,并宜提出存在的其它选项,以实现响应灵活性。

第10条:计划管理、存储和可用性 考虑了控制和管理计划文件的方法;保护他们的方法;以及存储方式。技术规范指出,所有响应团队成员均宜负责确保他们“始终”可以访问最新版本的计划。

第11条:编写计划和程序的后续工作 概述了如何提升组织对业务连续性计划和程序的认知,以及如何演练和测试这些计划。有关业务连续性演练的更多信息,ISO/TS 22332指出参考ISO 22398中的指导。

第12条:监视和评审业务连续性计划和程序 描述了确保业务连续性计划和程序保持最新的方法,包括: 绩效考核; 维护; 管理评审。

附录:业务连续性能力维护程序 是一个重要的附录,涵盖了在正常运营期间需要建立和保持的各种“支持能力”,以确保业务连续性计划和程序在响应期间的有效性。这些程序包括:技能交叉培训、外包、手工操作、ICT变更管理、备用工作场所、供应商管理和事件响应设施等。

  1. ISO/TS 22332价值和意义

ISO/TS 22332于2018年1月立项,标准制定期间经历了COVID-19疫情,在今年5月发布。它为组织提供了: 编制业务连续性计划和程序的详细方法; 一种收集和组织信息以编制计划和程序的结构化方法; 随时间推移维护业务连续性计划和程序以建立持续改进环境的建议。

ISO TC292l连续性和组织韧性工作组(WG2 Continuity and Organizational Resilience)的召集人James Crask 解释说: “如果没有高质量的业务连续性计划,对中断的响应可能会导致代价高昂的错误和延误。但是知道从哪里开始编制计划可能具有挑战性,ISO/TS 22332有助于揭开计划和程度编制过程的神秘面纱,并作为业务连续性管理系列标准中的重要文件,为那些负责准备高质量和有效响应和恢复计划的人员提供实用指导。”

意大利 Panta Ray 的 Gianna Detoni补充说: “该技术规范将帮助BCM从业者编制计划和程序,以收集和规范在BCMS的‘策略和解决方案’阶段做出的决策,以及编写应对特定中断的其他计划。这是一项重要的国际标准,将帮助读者根据 ISO 22301:2019组织、编制、实施和维护计划和程序。”

当然,与其它ISO 22301系列标准一样,由于强调其通用性(适用于所有类型、规模和行业的组织),所以在使用ISO/TS 22322时应当考虑特定企业的具体情况。在国内编制业务连续性计划(和预案)时,可以结合《GB/T 29639 生产经营单位生产安全事故应急预案编制导则》一起使用。 (需要注意的是,不要将GB/T 29639的2013版和2020版简单理解为标准的不同版本,两个版本有不同的前提和假设,适用于不同情况的应急预案编制,后面有机会另写文章解读)

另外提一下,ISO/TS 22317(即业务影响分析指南的技术规范)的修订版(第二版)已于近日完成标准化工作,按正常情况,将于下个月正式发布,争取年底前对其进行介绍(并和第一版进行比较)。

本公众号 (ID: bcmplus) 专注于业务连续性管理知识的传播和普及,关注应急、连续性和危机管理的朋友可关注本公众号。

由于公众号注册时正处于腾讯政策调整,未能开通留言功能,希望交流和讨论业务连续性管理问题,或获取相关资料的朋友,可长按以下二维码加入知识星球留言和讨论(公众号1月只能发4次文章,也会有一些小观点直接在知识星球而不在公众号发布)。

原文发表于公众号”业务连续性+” | 原文链接