0949 29.49.69

Tư vấn ISO 22301

Hệ thống quản lý kinh doanh liên tục --- Yêu cầu - an ninh xã hội ISO 22.301: 2012 quy định các yêu cầu lập kế hoạch, thiết lập, thực hiện, hoạt động, theo dõi, xem xét, duy trì và liên tục cải tiến hệ thống quản lý tài liệu để bảo vệ chống lại, làm giảm khả năng xảy ra, chuẩn bị, trả lời, và phục hồi từ sự cố gây gián đoạn khi họ phát sinh

 

 TƯ VẤN ISO 22301 : 2012

Societal security -- Business continuity management systems --- Requirements

Hệ thống quản lý kinh doanh liên tục --- Yêu cầu - an ninh xã hội

ISO 22301: 2012 quy định các yêu cầu lập kế hoạch, thiết lập, thực hiện, hoạt động, theo dõi, xem xét, duy trì và liên tục cải tiến hệ thống quản lý tài liệu để bảo vệ chống lại, làm giảm khả năng xảy ra, chuẩn bị, trả lời, và phục hồi từ sự cố gây gián đoạn khi họ phát sinh.

Các yêu cầu quy định trong tiêu chuẩn ISO 22301 : 2012 là chung chung và dự định được áp dụng đối với mọi tổ chức, hoặc các bộ phận rời của chúng, bất kể loại hình, quy mô và tính chất của tổ chức. Mức độ áp dụng các yêu cầu phụ thuộc vào môi trường hoạt động của tổ chức và phức tạp.

Kế hoạch dự phòng và khôi phục thảm họa là phần lớn công nghệ dẫn thông tin phản hồi với thiên tai và khủng bố có ảnh hưởng đến các doanh nghiệp trong những năm 1980 và đầu những năm 1990.

Có một sự công nhận ngày càng tăng, tuy nhiên, điều này cần thiết để trở thành một quá trình kinh doanh dẫn đầu và bao gồm việc chuẩn bị cho nhiều hình thức của sự đổ vỡ. Trong ánh sáng này, kỷ luật được gọi là quản lý kinh doanh liên tục (BCM).

Khi các chính phủ và các nhà quản lý bắt đầu nhận ra vai trò của kinh doanh liên tục trong việc giảm thiểu những ảnh hưởng của sự cố gây gián đoạn đối với xã hội, họ càng tìm cách để đạt được sự đảm bảo rằng cầu thủ chủ chốt đã có sự sắp xếp liên tục kinh doanh thích hợp tại chỗ. Tương tự như vậy, các doanh nghiệp được công nhận sự phụ thuộc lẫn nhau và tìm cách đảm bảo rằng nhà cung cấp chính và các đối tác sẽ tiếp tục cung cấp các sản phẩm và dịch vụ quan trọng, ngay cả khi có sự cố xảy ra.

Do đó, một điểm chuẩn được công nhận thực hành tốt trong BCM là cần thiết và một số tiêu chuẩn quốc gia tìm cách giải quyết vấn đề này, bao gồm cả những người từ Australia, Singapore, Vương quốc Anh (UK) và Mỹ. Tại Anh, BS 25999 đã được giới thiệu để cung cấp một tiêu chuẩn hệ thống quản lý mà tổ chức có thể có được cấp giấy chứng nhận được công nhận lần đầu tiên.

Khi các tổ chức quốc tế hoạt động bắt đầu gọi điện thoại cho một tiêu chuẩn quốc tế duy nhất, ISO / TC 223, an ninh xã hội, phản ứng bằng cách phát triển các tiêu chuẩn ISO 22301 : 2012, an ninh xã hội - hệ thống quản lý kinh doanh liên tục - Các yêu cầu. Các tiêu chuẩn mới là kết quả của ý nghĩa toàn cầu quan tâm, hợp tác và đầu vào.

Thể hiện thực hành tốt

ISO 22301 là một tiêu chuẩn hệ thống quản lý cho BCM mà có thể được sử dụng bởi các tổ chức của tất cả các kích cỡ, chủng loại. Các tổ chức này sẽ có thể để có được giấy chứng nhận được công nhận đối với tiêu chuẩn này và như vậy chứng tỏ với các nhà lập pháp, quản lý, khách hàng, khách hàng tiềm năng và các bên quan tâm khác mà họ được tôn trọng thực hành tốt trong BCM. ISO 22.301 cũng cho phép các nhà quản lý kinh doanh liên tục để hiển thị quản lý hàng đầu mà một tiêu chuẩn được công nhận đã đạt được.

Trong khi ISO 22301 có thể được sử dụng để xác nhận và do đó bao gồm các yêu cầu khá ngắn và súc tích mô tả các yếu tố trung tâm của BCM, một tiêu chuẩn hướng dẫn rộng rãi hơn (ISO 22313) đang được phát triển để cung cấp chi tiết hơn về từng yêu cầu trong tiêu chuẩn ISO 22301.

ISO 22301 cũng có thể được sử dụng trong một tổ chức để đo chính nó chống lại thực hành tốt, và các kiểm toán viên có nhu cầu báo cáo để quản lý. Sự ảnh hưởng của tiêu chuẩn do đó sẽ lớn hơn nhiều so với những người chỉ đơn giản là chọn để được chứng nhận theo tiêu chuẩn.

Bối cảnh an ninh xã hội

ISO 22301 đã được phát triển bởi ISO / TC 223, an ninh xã hội. Ủy ban kỹ thuật này phát triển các tiêu chuẩn cho việc bảo vệ xã hội khỏi, và để đáp lại, sự cố, tình huống khẩn cấp và thiên tai gây ra bởi hành vi của con người có chủ ý và không chủ ý, thiên tai và sự cố kỹ thuật. Quan điểm toàn mối nguy hiểm của nó bao gồm các chiến lược thích ứng, chủ động và phản ứng trong tất cả các giai đoạn trước, trong và sau khi một vụ gây rối. Các lĩnh vực an ninh xã hội là đa ngành và liên quan đến các diễn viên từ công chúng và khu vực tư nhân.

Các ủy ban trước đây đã công bố các tiêu chuẩn và các tài liệu khác sau đây:

  • ISO 22300 : 2012, an ninh xã hội - Thuật ngữ
  • ISO 22320 : 2011, xã hội an ninh - quản lý khẩn cấp - Yêu cầu đối với ứng phó sự cố
  • ISO / TR 22312 : 2011, xã hội an ninh - khả năng công nghệ
  • ISO / PAS 22399 : 2007, xã hội an ninh - Hướng dẫn chuẩn bị sự cố và quản lý hoạt động liên tục
  • Các dự án sau đây đang được phát triển:
  • ISO 22311, an ninh xã hội - Video-giám sát - Xuất khả năng tương tác
  • ISO 22313, an ninh xã hội - hệ thống quản lý kinh doanh liên tục - Hướng dẫn
  • ISO 22315, xã hội an ninh - sơ tán hàng loạt
  • ISO 22322, xã hội an ninh - quản lý khẩn cấp - cảnh báo công cộng
  • ISO 22323, khả năng phục hồi hệ thống quản lý tổ chức - Các yêu cầu và hướng dẫn sử dụng
  • ISO 22325, an ninh xã hội - Hướng dẫn đánh giá năng lực khẩn cấp cho các tổ chức
  • ISO 22351, xã hội an ninh - quản lý khẩn cấp - Thuê chung nhận thức tình huống
  • ISO 22397, xã hội an ninh - hợp tác công tư - Hướng dẫn để thiết lập các thỏa thuận hợp tác
  • ISO 22398, xã hội an ninh - Hướng dẫn bài tập và kiểm tra
  • ISO 22324, an ninh xã hội - quản lý khẩn cấp - cảnh báo màu mã

Các công việc theo tiêu chuẩn ISO 22301 bắt đầu vào năm 2006 khi một cuộc hội thảo về ISO "chuẩn bị khẩn cấp" đã được tổ chức tại Florence, Italy. Vào thời điểm đó, nhiều chuyên gia cho rằng tiêu chuẩn quốc gia của họ đã được phù hợp nhất để phát triển thành một tiêu chuẩn quốc tế.

Như này rõ ràng là không có con đường phía trước, tất cả các cầu thủ lớn đã tụ tập để xác định những điểm tương đồng giữa các tiêu chuẩn. Tinh thần đồng thuận dẫn đến việc xuất bản một tài liệu hướng dẫn chuẩn bị sự cố và quản lý liên tục gọi là ISO / PAS 22399 : 2007.

Một thách thức với 22301 ISO đã được số lượng lớn các tài liệu quốc gia về các chủ đề, trong đó đã gây khó khăn trong việc đạt được thỏa thuận.

Ban sau đó đã sẵn sàng để tạo ra một tiêu chuẩn hệ thống quản lý với yêu cầu và dùng để chứng nhận. Đầu vào từ các tiêu chuẩn quốc gia đã được sử dụng để xây dựng dự thảo các chữ ban đầu và dần dần cải tiến để trở thành một tài liệu mới mang lại thực hành với nhau tốt từ khắp nơi trên thế giới. Đầu vào quan trọng đến từ Australia, Pháp, Đức, Nhật Bản, Hàn Quốc, Singapore, Thụy Điển, Thái Lan, Anh và Mỹ. Nhiều người khác đã đóng góp vào sự phát triển của nó, cho thấy sự quan tâm thực sự quốc tế và đầu vào liên quan.

ISO 22301 giải thích

ISO 22301 là lần thứ hai công bố hệ thống quản lý tiêu chuẩn mà đã được thông qua các cấu trúc cấp cao mới và văn bản tiêu chuẩn thống nhất trong ISO. Điều này sẽ đảm bảo tính thống nhất với tất cả các tiêu chuẩn trong tương lai và hệ thống quản lý sửa đổi và sử dụng tích hợp dễ dàng hơn với, ví dụ, tiêu chuẩn ISO 9001 (chất lượng), ISO 14001 (môi trường) và ISO / IEC (an ninh thông tin) 27001. Tiêu chuẩn này được chia thành 10 điều khoản chính, bắt đầu với phạm vi, tài liệu tham khảo bản quy phạm và ngữ và định nghĩa. Sau đây là những yêu cầu của tiêu chuẩn.

Khoản 4 - Bối cảnh của tổ chức

Bước đầu tiên liên quan đến việc nhận biết các tổ chức, cả hai nhu cầu nội bộ và bên ngoài, và thiết lập ranh giới rõ ràng cho các phạm vi của hệ thống quản lý. Đặc biệt, điều này đòi hỏi phải tổ chức để hiểu được những yêu cầu của các bên liên quan có liên quan, chẳng hạn như quản lý, khách hàng và nhân viên. Nó phải đặc biệt hiểu được các yêu cầu pháp lý và quy định áp dụng. Điều này cho phép nó để xác định phạm vi của hệ thống quản lý kinh doanh liên tục (BCMS).

Khoản 5 - Lãnh đạo

ISO 22.301 địa điểm đặc biệt nhấn mạnh về sự cần thiết cho lãnh đạo phù hợp của BCM. Điều này là để quản lý hàng đầu đảm bảo các nguồn lực thích hợp được cung cấp, thiết lập chính sách và chỉ định người thực hiện và duy trì các BCMS.

Khoản 6 - Kế hoạch

Điều này đòi hỏi phải tổ chức để xác định rủi ro đối với việc thực hiện hệ thống quản lý và thiết lập mục tiêu rõ ràng và tiêu chí mà có thể được sử dụng để đo lường sự thành công của nó.

Khoản 7 - Hỗ trợ

Do nguồn lực cần thiết cho việc thực hiện khoản 7 giới thiệu các khái niệm quan trọng của thẩm quyền. Đối với kinh doanh liên tục để thành công, những người có kiến thức phù hợp, kỹ năng và kinh nghiệm phải được thực hiện để cả hai đóng góp vào sự BCMS và ứng phó sự cố khi chúng xảy ra. Nó cũng quan trọng là tất cả các nhân viên đều nhận thức được vai trò của mình trong ứng phó sự cố và điều khoản này giao dịch với tất cả các lĩnh vực. Sự cần thiết cho truyền thông về BCMS - ví dụ khi nói với khách hàng rằng các tổ chức có BCM thích hợp tại chỗ - và chuẩn bị sẵn sàng để giao tiếp sau một vụ việc (khi các kênh thông thường có thể bị phá vỡ) cũng được đề cập ở đây.

Khoản 8 - Hoạt động

Phần này bao gồm các cơ quan chính của doanh nghiệp liên tục cụ thể chuyên môn. Các tổ chức phải tiến hành phân tích tác động kinh doanh để hiểu cách kinh doanh của mình bị ảnh hưởng bởi sự gián đoạn và làm thế nào điều này thay đổi theo thời gian. Đánh giá rủi ro để tìm hiểu những rủi ro cho doanh nghiệp một cách có cấu trúc và các thông báo sự phát triển của chiến lược kinh doanh liên tục. Các bước để tránh hoặc giảm khả năng sự cố được phát triển cùng với các bước cần thực hiện khi có sự cố xảy ra. Vì nó là không thể hoàn toàn dự đoán và ngăn chặn tất cả các sự cố, cách tiếp cận cân bằng giảm thiểu rủi ro và lập kế hoạch cho tất cả các tình huống có thể là bổ sung. Có thể nói, "niềm hy vọng cho là tốt nhất và kế hoạch cho điều tồi tệ nhất".

ISO 22301 nhấn mạnh sự cần thiết cho một cấu trúc ứng phó sự cố được xác định rõ. Điều này đảm bảo rằng khi có sự cố xảy ra, phản ứng đang leo thang một cách kịp thời và những người được trao quyền để có những hành động cần thiết để có hiệu quả. Cuộc sống an toàn được nhấn mạnh và một điểm cụ thể được thực hiện mà các tổ chức phải giao tiếp với bên ngoài những người có thể bị ảnh hưởng, ví dụ nếu một sự cố gây ra một nguy cơ gây độc hại hoặc thuốc nổ để xung quanh khu vực công cộng.

Các yêu cầu đối với các kế hoạch kinh doanh liên tục được đặt ra tại khoản 8, quá. Nhanh chóng hiểu ra, tài liệu do người dùng tập trung là phù hợp hơn, những văn bản khó sử dụng lớn phù hợp cho kiểm toán viên. Do đó kế hoạch nhỏ hơn có nhiều khả năng là cần thiết hơn một kế hoạch lớn.

Một yêu cầu trước đây không đề cập trong tiêu chuẩn kinh doanh liên tục là sự cần thiết phải lập kế hoạch cho sự trở lại làm việc bình thường. Yêu cầu đơn giản này điền viên coi tư tưởng, như các tổ chức phải xác định làm gì một khi tình trạng khẩn cấp ban đầu đã được giải quyết.

Các tiểu mục cuối cùng của phần 8 bao gồm các bài tập và bài kiểm tra, một phần quan trọng của BCM. Kiểm tra là nơi mà một số yếu tố của các thoả thuận kinh doanh liên tục được chứng minh để làm việc (một chạm) hay không (thất bại). Ví dụ, nó có thể kiểm tra xem các máy phát điện sẽ chạy bằng cách chuyển nó về. Một tập thể dục có thể bao gồm các bài kiểm tra, nhưng nói chung là một cách tiếp cận với nhiều sắc thái, mô phỏng một số khía cạnh của ứng phó với sự cố. Điều này thường sẽ bao gồm các yếu tố của đào tạo và nâng cao nhận thức về cách xử lý sự cố gây gián đoạn với những đặc điểm khó khăn và bất thường, cũng như tìm hiểu xem quá trình làm việc như mong đợi.

Các bài tập và bài kiểm tra cơ bản trong tiêu chuẩn ISO 22301: nó chỉ là thông qua các bài tập cấu trúc - mà nên duỗi các cá nhân và các đội tham gia - mà một tổ chức có thể đạt được mục tiêu đảm bảo rằng sự sắp xếp của nó sẽ làm việc như mong đợi và khi cần thiết.

Khoản 9 - Đánh giá

Đối với bất kỳ hệ thống quản lý, nó là điều cần thiết để đánh giá hiệu suất so với kế hoạch. ISO 22301 do đó đòi hỏi việc tổ chức lựa chọn và đánh giá bản thân chống lại các số liệu hiệu suất thích hợp. Kiểm toán nội bộ phải được tiến hành và có một yêu cầu rằng việc xem xét quản lý các BCMS và hành động trên các đánh giá này.

Khoản 10 - Cải thiện

Không có hệ thống quản lý là hoàn hảo ngay từ đầu, và các tổ chức và môi trường của họ thay đổi liên tục. Khoản 10 xác định các hành động cần thực hiện để cải thiện BCMS theo thời gian và đảm bảo rằng các hành động khắc phục phát sinh từ các cuộc kiểm toán, đánh giá, các bài tập và như vậy được giải quyết.

Thực hiện thành công

Để làm việc tốt, ISO 22301 sẽ cần tổ chức để có triệt hiểu yêu cầu của nó. Mỗi dòng và từ có ý nghĩa và tầm quan trọng tương đối là không nhất thiết phản ánh bởi số lượng các từ dành cho một chủ đề. Thay vì là đơn giản về một dự án hoặc đang phát triển "một kế hoạch", BCM là một quá trình quản lý liên tục yêu cầu người có thẩm quyền làm việc với sự hỗ trợ và các cấu trúc thích hợp mà sẽ thực hiện khi cần thiết.