什么是ISO22301业务连续性认证?

发布于 2020-12-19 14:22

近年来,自然灾害和人为事故频繁发生,组织环境的不确定性和风险大幅度增加,加强组织业务连续性管理成为打造最佳应急预案的必然选择。为了满足组织对统一的业务连续性管理国际标准的需求,ISO公共安全技术委员会ISO/TC223着手组织制定业务连续性管理国际标准,2006年ISO在意大利佛罗伦萨召开了应急响应研讨会,ISO 22301标准制定工作就此启动,并与2012年5月正式发布。

ISO22301:2012致力于使公共或私有部门的组织更具有适应性,其管理体系框架能够帮助企业制定一套一体化的管理流程计划,使企业对潜在的灾难加以辨别分析,帮助其确定可能发生的冲击对企业的运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来的损失。

一、ISO22301业务连续性管理体系的定义

目前,业务连续性管理已经引起全球的关注,无论是公共或私有部门的组织都必须了解如何准备和应对意外的破坏性的事故发生。ISO 22301标准为业务连续性管理体系(BCMS)的策划、建立、实施、运行、监视、评审、保持和持续改进提供了框架。当破坏性的事故发生时,该标准将有助于组织的防护、准备、响应和恢复。

国家推荐标准GB/T 30146《公共安全 业务连续性管理体系 要求》中对业务连续性管理的定义为:识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动。国家推荐标准GB/T 30146中对业务连续性管理体系(BCMS)的定义为:用于建立、实施、运行、监视、评审、保持和改进业务连续性,是一个组织整个管理体系的一部分。

简要来说,组织建立业务连续性管理体系目的在于通过实施和运行控制措施来管理组织应对中断事件的整体能力从而保障当组织的核心业务发生中断后(例如银行业ATM机故障导致所有ATM机无法存取款),在规定的时间内(例如我国银监会规定重要业务恢复事件不得多于4小时)将核心业务从中断事件中进行恢复,并通过控制措施保障组织在进行业务恢复过程中和业务恢复后能够与媒体、组织自身员工进行良好的沟通交流。

在任何时候事故都能使组织的业务中断,采用ISO22301标准将保证组织能够应对事故并保证其业务的持续运行。事故发生有多种类型,从严重的自然灾害和恐怖主义活动到与技术相关的事故和环境事故。然而,许多事故虽然小,但能产生严重的影响,这在任何时候都与业务连续性管理紧密相关。

二、 ISO22301业务连续性管理体系的起源

业务连续性管理的发展与计算机技术的发展密不可分。随着人类生产生活对计算机的依赖性越来越强,信息系统的安全要求也随之增长。在20世纪60年代末,计算机系统在解决系统持续运行的问题时,率先对单点故障采用了冗余措施。业务连续性管理起源于上世纪70年代的容灾和恢复计划。在那个时代,金融组织,如银行和保险公司大都建设了另外的备份站点,备份磁带存储在远离主中心的地点。恢复活动经常是针对由火灾、水灾、风暴或其他原因造成的物理破坏。

20世纪70年代末至80年代初,由于大量计算机系统应用于不同的企业业务流程,同时在政府机构中也有较多应用。在这种情况下,业务部门对信息系统的持续运行提出了更高的要求,一些重大的系统宕机事故所导致的业务中断,给业务部门造成了重大的损失。在这样的背景下,专业的灾难恢复服务商应运而生并逐渐增多。他们为企业提供计算机运行中断后的灾难恢复专业外包服务,并且逐渐形成了以信息系统灾难备份与恢复为主业的外包服务领域。

无论什么样,什么类型的组织,在其业务活动正常开展时,都会存在着一些可能使组织业务活动产生中断的潜在威胁,而这些威胁一旦发生了,如何使这些发生业务中断的组织很快的能够对这些中断事件进行响应、恢复、重新开始和还原到预先确定的业务运行水平。其核心是以信息技术为基础,保障企业业务持续运行,跨越了风险管理、灾难恢复、紧急时间管理、安全管理、知识管理、危机通信和公共关系等多个学科。

三、ISO22301业务连续性管理体系国际标准发展概况

早在ISO正式发布其国际标准前,已有多个国家发布了本国的业务连续性管理体系国家标准,例如:2006年,英国BSI颁布了用于指导组织实施业务连续性管理体系的国家标准BS 25999-1:2006《业务连续性管理-实施规程》, 2007年BSI又颁布了可用于认证的BS 25999-2:2007 《业务连续性管理-规范》。美国也在2007年批准了NFPA 1600(2007版)作为本国的业务连续性管理标准。在亚洲地区,新加坡于2008年颁布了本国的业务连续性管理体系标准SS 540:2008。日本、以色列等国家也在ISO发布前,发布了适用于本国的业务连续性管理标准。

“9.11”事件之后,欧美各国及新加坡等国家加快了业务连续管理的理论研究和实践活动,日本政府开始高度重视业务连续在本国的发展,投入了大量的人力物力制定了一系列的危机管理和业务连续的标准指南,其目的在于为企业经营者建立一个共识和准则,以便于企业参照执行,从而加强企业抵御灾难的能力。从日本BCM标准指南的发展过程,可以看出日本政府对BCM发展的指导是BCM得到顺利发展的重要因素之一。

立足于全球视角来看,以英国、美国、新加坡、日本等国为代表的发达国家成为业务连续性管理的主要推动力,这种推动力主要体现在国家层面的法律法规、行业层面的规范以及企业层面的实施几方面。这些国家均已制定业务连续性管理方面的国家标准,指导和规范各自国家的业务连续性管理发展。

国际标准化组织在美国NFPA1600、英国BS25999、新加坡SS540及日本等国标准的基础上,结合各国的最佳实践经验而于2012年5月发布了业务连续管理体系的认证标准ISO 22301 ‘Social security-Business continuity management systems-Requirements’,并于同年12月发布了ISO 22313“业务连续性管理体系实施指南”。

四、我国ISO22301业务连续性管理标准发展概况

中国业务连续性管理起步较晚,从“9.11”之后,国内才开始这方面的工作,经历了从探索到实践的过程,目前虽仍处于初级阶段,但发展势头迅猛。

近几年,我国的一些行业主管部门从关系国计民生、社会稳定方面出发,也制定了一些适用于本部门或本行业的业务连续性管理指引规范。具有代表性的标准及要求如下: 

1、国家标准《信息安全技术 信息系统灾难恢复规范》GB/T 20988-2007

2、银监会《商业银行业务连续性监管指引》

3、银监会《商业银行数据中心监管指引》

4、银监会《商业银行信息科技风险管理指引》

5、证券行业协会《证券公司证券营业部信息技术指引》

6、保监会《保险业信息系统灾难恢复管理指引》

7、电监会《国家处置电网大面积停电事件应急预案》

8、民航业《民用航空重要信息系统灾难备份与恢复管理规范》

9、电信业《电信网和互联网灾难备份及恢复实施指南》

其中,银监会于2011年发布的《商业银行业务连续性监管指引》对于金融领域的业务连续性管理提出明确的监管要求。

2014年1月,国家标准GB/T 30146《公共安全 业务连续性管理体系 要求》正式发布,并于2014年5月正式实施,这为各类组织如何策划、建立、实施、运行、监视、评审、维护和改进一个文件化的业务连续性管理体系指明了方向。

随着国家标准的发布、中国认证认可行业的蓬勃发展以及日益增长的认证需求,业务连续性管理体系认证将成为一个崭新的认证领域;与之相关的咨询、培训服务也正在形成一个不断成长的技术服务市场,在为组织带来价值的同时,为降低组织风险、保障组织的业务的连续性都有着积极的影响和深远的意义

免责声明:ISO22301相关信息来源网络,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品版权和其它问题,请联系我们,我们将在核实后第一时间删除内容!
  • ISO22301业务连续性管理体系认证

    很多企业对于ISO22301业务连续性管理体系认证都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是ISO22301业务连续性管理体

  • 天津iso22301认证公司

    很多企业对于天津iso22301认证公司都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是天津iso22301认证公司。希望经过我们

  • iso223012012

    很多企业对于iso223012012都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是iso223012012。希望经过我们的介绍之后,大家对

  • iso22301报告

    很多企业对于iso22301报告都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是iso22301报告。希望经过我们的介绍之后,大家

  • iso22301培训资料

    很多企业对于iso22301培训资料都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是iso22301培训资料。希望经过我们的介绍之

  • cbcpiso22301

    很多企业对于cbcpiso22301都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是cbcpiso22301。希望经过我们的介绍之后,大家对

  • iso22301管理体系文件

    很多企业对于iso22301管理体系文件都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是iso22301管理体系文件。希望经过我们

  • iso22301业务连续性管理体系建设

    很多企业对于iso22301业务连续性管理体系建设都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是iso22301业务连续性管理体

  • iso22301是什么体系

    很多企业对于iso22301是什么体系都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是iso22301是什么体系。希望经过我们的介

  • iso22301解读

    很多企业对于iso22301解读都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是iso22301解读。希望经过我们的介绍之后,大家

  • iso22301案例

    很多企业对于iso22301案例都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是iso22301案例。希望经过我们的介绍之后,大家

  • iso223012019标准

    很多企业对于iso223012019标准都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是iso223012019标准。希望经过我们的介绍之后

  • iso22301培训费用

    很多企业对于iso22301培训费用都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是iso22301培训费用。希望经过我们的介绍之

  • iso22301认证培训

    很多企业对于iso22301认证培训都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是iso22301认证培训。希望经过我们的介绍之

  • 中国电信集团是否有iso22301

    很多企业对于中国电信集团是否有iso22301都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是中国电信集团是否有iso2230

  • iso22301条例

    很多企业对于iso22301条例都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是iso22301条例。希望经过我们的介绍之后,大家

  • iso22301財務

    很多企业对于iso22301財務都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是iso22301財務。希望经过我们的介绍之后,大家

  • ISO22301二级文件

    很多企业对于ISO22301二级文件都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是ISO22301二级文件。希望经过我们的介绍之

  • iso22301流程

    很多企业对于iso22301流程都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是iso22301流程。希望经过我们的介绍之后,大家

  • ISO22301业务连续性认证

    很多企业对于ISO22301业务连续性认证都不是很了解,所以今天龙翊企业服务平台就为大家简单介绍一下什么是ISO22301业务连续性认证。希望经过

新闻资讯

  • ISO9001认证是什么?

    ISO9001认证是什么? 根据国际标准化组织(ISO)2007年11月发布的最新调查结果显示,截至2006年底,在170个国家共颁发了ISO9001:2000版认证证书897866张,其中

  • 申请认证ISO9001有什么好处?

    申请认证ISO9001的好处 1、竞争优势 ISO 9001 应当由最高管理层领导,确保高级管理层能够对其管理体系采取战略性的做法。我们的评估和认证过程确保业务目

  • ISO9001的认证条件

    iso9001认证企业要取得质量体系认证,主要应作好两方面的工作:一是建立健全质量保证体系,二是作好与体系认证直接有关的各项工作。关于建立质量保证

  • ISO9001质量管理体系的管理原则

    代替ISO9001-2000 Quality management systems----Requirements 1、 ISO9001质量管理体系的管理范围 1.1总则 本标准为有下列需求的组织规定了质量管理体系要求: a)需要证实

  • ISO质量管理体系认证的流程

    管理体系认证分为初次认证、年度监督审核和复评认证等,具体如下: 一、初次认证ISO9000的流程 1、企业将填写好的《认证申请表》连同认证要求中有关材

  • ISO9000和ISO9001有什么区别?

    一、标准不同 1、ISO9000:是国际标准化组织(ISO)在1994年提出的概念,是指由ISO/Tc176(国际标准化组织质量管理和质量保证技术委员会)制定的国际标准。

  • ISO9001和ISO9002有什么区别?

    1、ISO9001规定了20项要求,比ISO9002多1项要求; 2、ISO9001 证实企业设计和生产合格产品的过程控制能力,ISO9002 证实企业生产合格产品的过程控制能力; 3、

  • ISO质量管理体系的主要精神是什么?

    1、以顾客为关注焦点:组织依存于其顾客。因此组织应理解顾客当前和未来的需求,满足顾客并争取超越顾客期望。 2、领导作用:领导者确立本组织统一

  • ISO9001怎么申请认证?

    ISO9001认证较为规范严格,具体流程: 企业原有品质体系识别、诊断任命管理者代表、组建ISO9000推行组织制订目标及激励措施各级人员接受必要的管理意识

  • ISO9001、ISO14001、OHSAS18001三者的区别是什么

    ISO9001、ISO14001及OHSAS18001均是组织全面管理的重要组成部分,它们分别从不同的侧面规范组织的活动和行为。如下: ISO9001侧重对组织产品质量的管理 ISO14