ISO22301适用范围和建设流程是怎样的
ISO22301的适用范围
ISO22301业务连续性管理体系标准适用于以下所有类型和规模的组织:
1、实施,维护和改进BCMS;
2、寻求确保符合规定的业务连续性政策;
3、在中断期间必须能够继续以可接受的预定容量交付产品和服务;
4、寻求通过有效应用BCMS来增强其弹性。
ISO 22301适用于所有行业中的大、中、小型公有及私有组织,并且特别适用于处于高风险和高度监管环境下的行业,例如金融业、IT通信业、制造业等。各行各业的企业面对国际及中国地区不断频发的自然灾害及人为事故,其业务运作的不确定性和风险都被大幅度增加,而加强企业业务连续性管理则成为了打造*佳企业应急预案的必备选择。
ISO22301业务连续管理体系建设流程
1、启动调研
通过对企业的组织架构、管理流程、业务运作模式和IT支持系统进行考察和调研,以确定业务持续性管理(BCM)过程或功能的需求。
2、风险评估
确定可能造成机构及其设施中断和灾难、具有负面影响的突发事件和周边环境因素,以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。
3、业务影响分析
确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相互依赖性以便确定恢复时间目标。
4、容灾策略制定
在本阶段,结合以上各阶段的分析成果,以及在容灾上的投入能力,制订企业系统短期、长期范围内的容灾策略和目标,并有意识地将本身的人员组成和组织架构做出调整以适应策略要求。
5、容灾技术方案设计
根据容灾策略,以及业务连续性计划和各系统的RTO和RPO指标,考虑成本和收益平衡原则,分别设计容灾方案。
6、容灾设施资源及 IT 系统建设或整改
对容灾中心的设施资源进行详细的规划和设计,容灾中心的建筑工程、中心环境(外部与内部)、机房结构、物理安全、交通流向组织、电力供应与保障等环节都要按照容灾的实际需求进行科学的分析,*终达到容灾的实际要求。
7、业务连续性计划及灾难恢复计划的制定与维护
业务恢复团队和业务恢复团队分别执行应急响应计划、灾难恢复计划、业务恢复计划,运营管理团队负责容灾系统的运营管理和日常维护、问题收集和解决、系统变申和测试演练等工作,后勤保障和人力资源保障提供支持,从而达到容灾设计的目标。
8、容灾系统运行维护
运行业务连续性计划,包括日常管理和首次演练等。并建立相应的管理制度。
9、演练及测试
对预案和预案间的协调性进行演练、并评估和记录预案演练的结果。制定维持持续性能力和 BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证 BCP的效率,并使用简明的语言报告验证的结果。
10、审核/审计
培训内审员,进行内部审核,并在适当时机邀请外部审核机构对业务连续性管理体系进行审核/审计。
ISO22301业务连续性管理体系标准适用于以下所有类型和规模的组织:
1、实施,维护和改进BCMS;
2、寻求确保符合规定的业务连续性政策;
3、在中断期间必须能够继续以可接受的预定容量交付产品和服务;
4、寻求通过有效应用BCMS来增强其弹性。
ISO 22301适用于所有行业中的大、中、小型公有及私有组织,并且特别适用于处于高风险和高度监管环境下的行业,例如金融业、IT通信业、制造业等。各行各业的企业面对国际及中国地区不断频发的自然灾害及人为事故,其业务运作的不确定性和风险都被大幅度增加,而加强企业业务连续性管理则成为了打造*佳企业应急预案的必备选择。
ISO22301业务连续管理体系建设流程
1、启动调研
通过对企业的组织架构、管理流程、业务运作模式和IT支持系统进行考察和调研,以确定业务持续性管理(BCM)过程或功能的需求。
2、风险评估
确定可能造成机构及其设施中断和灾难、具有负面影响的突发事件和周边环境因素,以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。
3、业务影响分析
确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相互依赖性以便确定恢复时间目标。
4、容灾策略制定
在本阶段,结合以上各阶段的分析成果,以及在容灾上的投入能力,制订企业系统短期、长期范围内的容灾策略和目标,并有意识地将本身的人员组成和组织架构做出调整以适应策略要求。
5、容灾技术方案设计
根据容灾策略,以及业务连续性计划和各系统的RTO和RPO指标,考虑成本和收益平衡原则,分别设计容灾方案。
6、容灾设施资源及 IT 系统建设或整改
对容灾中心的设施资源进行详细的规划和设计,容灾中心的建筑工程、中心环境(外部与内部)、机房结构、物理安全、交通流向组织、电力供应与保障等环节都要按照容灾的实际需求进行科学的分析,*终达到容灾的实际要求。
7、业务连续性计划及灾难恢复计划的制定与维护
业务恢复团队和业务恢复团队分别执行应急响应计划、灾难恢复计划、业务恢复计划,运营管理团队负责容灾系统的运营管理和日常维护、问题收集和解决、系统变申和测试演练等工作,后勤保障和人力资源保障提供支持,从而达到容灾设计的目标。
8、容灾系统运行维护
运行业务连续性计划,包括日常管理和首次演练等。并建立相应的管理制度。
9、演练及测试
对预案和预案间的协调性进行演练、并评估和记录预案演练的结果。制定维持持续性能力和 BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证 BCP的效率,并使用简明的语言报告验证的结果。
10、审核/审计
培训内审员,进行内部审核,并在适当时机邀请外部审核机构对业务连续性管理体系进行审核/审计。
