· 公众号:业务连续性+

ISO 22317: 2021简要介绍

【 写在前面 :ISO 22317: 2021是一个绝对值得重视的技术规范, 它简明扼要地阐明了BIA在BCM中的定位、执行BIA的先决条件(项目环境和范围、角色和职责等),执行BIA和评审(复核)BIA的关键步骤 ,更有意思的是, 它还给出了执行BIA的3个示例(本期公众号同时发布了该附录的中英文对照翻译,供参考使用) ,推荐所有业务连续性从业者认真阅读并实践该标准。】

  1. ISO 22317: 2021于2021年11月17日正式发布

2021年11月18日,我收到ISO官方邮件,提醒ISO 22317: 2021已正式发布(见下图)。

粗略浏览了ISO 22317: 2021的在线预览内容后,我当天就在本公众号的关联 知识星球:业务连续性管理问与答 中简要介绍了这个修订版: https://wx.zsxq.com/dweb2/index/topic_detail/818845444251482 ,以下部分是在知识星球发文内容上扩展而来。

  1. ISO 22317: 2021概要及变化

ISO 22317: 2021的全称是《ISO/TS 22317: 2021 安全和韧性 – 业务连续性管理体系 – 业务影响分析指南》(ISO/TS 22317: 2021 Security and resilience – Business continuity management systems – Guidelines for business impact analysis),它是该标准的第二个版本,上一个版本是ISO/TS 22317: 2015(我国已等同采用为国家标准《GB/T 35625-2017 公共安全业务连续性管理体系业务影响分析指南(BIA)》)。

在ISO 22317: 2021的前言部分,明确指出新版标准主要有以下变化(见下图):

简要地说,新版本的主要变化包括: ── 与ISO 22301: 2019保持一致(这个挺有意思,ISO 22301: 2019修订时也专门提到了与ISO 22317: 2015保持一致); ── 更聚焦于BIA过程而不是BC项目集(business continuity programme); ── 区分BIA和BIA过程; ── 更新并改进了对BIA过程的描述; 其它的变化还包括对BIA过程中角色的重定位等。当然,一个特别好的重要变化是在附录D中给出了BIA的示例。

  1. BIA与BCM的关系

ISO 22317: 2021中的第1个图示即为下图,事实上,该图并非ISO 22317首创,而是来自ISO 22313: 2020,在ISO 22317: 2021的引言部分出现是为了明确了BIA在BCM中的定位。

在ISO 22313: 2020中,BCM的定义被修改为“实施和改进业务连续性的过程”(注意,这是BCM概念合理演化的结果,也是值得特别关注的重大变化),结合上图,BIA是实施和改进业务连续性的重要过程之一。

为支持BCMS的有效实施和改进,除了业务影响分析这个重要的过程,ISO还制订了“业务连续性策略”“业务连续性计划和程序”以及演练等方面的标准(或技术规范),见下图。

  1. 区分BIA和BIA过程

在ISO 22317: 2021中,BIA过程包括BIA(见下图)。下图整体描绘了BIA过程,其中的BIA又被分为“产品和服务BIA”以及“活动BIA”(见图中灰色和深灰色部分)。

在BIA过程中,results被解释为中间“成果”;而outcome则是BIA的最终“结果”,即业务连续性优先顺序和要求的陈述和合理理由(justification)。

  1. BIA过程

ISO 22317: 2021的主体内容是第5章,其对BIA过程的描述如下图。

也就是说,BIA过程可分为以下步骤: (1) 策划BIA; (2) 商定实施BIA过程的方法; (3) 与最高管理层确定产品和服务优先级; (4) 确定优先活动; (5) 识别资源和其它依赖关系; (6) 分析和整合BIA成果; (7) 得到最高管理层对BIA结果的批准

当然,还有定期不定期对BIA的审查(或复核)。

  1. 专家意见

尤西娅·费尔南德斯(Uxia Fernandez)

尤西娅·费尔南德斯(Uxia Fernandez)是ISO/TS 22317: 2021项目组的负责人 ,她表示:“ BIA 是业务连续性管理体系的基石,因此值得花时间定义将采用的方法。 为此,我建议使用 ISO/TS 22317: 2021,因为它描述了一个完整和明确的BIA 流程,符合 ISO 22301: 2019 的要求,并包含一些有用的示例。”

菲奥娜·雷蒙德-考克斯(Fiona Raymond-Cox)

菲奥娜·雷蒙德-考克斯(Fiona Raymond-Cox)是ISO/TS 22317: 2021项目组的专家 ,她评论说:“如果对如何实施BIA有任何疑问,这将是适合您的技术规范! 它描述了实施有效流程的7个步骤,用于规划和执行BIA,然后报告结果 。附件包含关于数据收集方法、如何将数据用于其他目的的指南——如流程改进、风险识别等,以及执行BIA的三个示例。我推荐该技术规范作为所有业务连续性从业者的宝贵工具”。

索尔·米德勒(Saul Midler)

索尔·米德勒(Saul Midler)是ISO 22301: 2019项目组的负责人 ,他指出:“大多数从业者都同意, BIA是BCMS中最重要的一步。这是组织定义和最高管理层批准组织连续性要求的地方 。BIA推动策略和解决方案、能力和(人员)能力要求、计划和程序、演练的类型和频度,等等”“如果有一个BC标准你应该读,那就是这个标准(与ISO22301结合使用!!)。新版本简化和阐明了BIA过程。它提供了许多执行BIA的影响评估准则和方法的示例”。

本公众号(ID: bcmplus)专注于业务连续性和运营韧性知识的传播和普及,关注业务连续性、应急和危机管理的朋友可关注本公众号。

由于公众号注册时腾讯已调整政策,未能开通留言功能,希望交流和讨论业务连续性和韧性相关问题,或获取相关资料的朋友,可长按以下二维码加入知识星球留言和讨论(另,公众号每月只能发4次文章,会有一些内容直接在知识星球分享而不在公众号发布)。

原文发表于公众号”业务连续性+” | 原文链接