ISO 22301业务连续性管理体系,自其发布以来该体系不断完善以指导企业更好地落地实施,保障业务持续不间断运转。目前共有两个版本,2019版与2012版。
2019 新版针对 2012 旧版而言到底有什么变化?对于业务连续性及行业到底又有什么影响?
解读之前,先回顾一下,什么是 ISO 22301 ?
关于 ISO 22301
ISO 22301 是全球首个基于组织业务连续性管理(Business Continuity Management,简称BCM)的国际标准,旨在帮助组织建立预案和确保其业务在面对外部威胁时能够持续运转,例如自然灾害或者信息安全漏洞。
ISO 22301业务连续性管理体系,能够帮助企业制定一套一体化的管理流程计划,使企业对潜在的灾难加以辨别分析,帮助其确定可能发生的冲击对企业运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来损失。
以下内容为同创咨询专家樊宇整理编写:
ISO 22301-2019 新版标准的变化
最新版本IS0 22301:2019的关键改进更倾向于结构和术语,以加强对内容的更好理解,并使其与其它 ISO 管理体系标准保持一致。
自2012年首次发布以来,ISO 22301标准已成为业务连续性管理体系的国际标准。根据 ISO 调查,已有超过4000个组织持有了 ISO 22301证书。该标准的受欢迎程度已经在多个行业中快速传播,如银行、保险、证券、化工厂、IT服务提供商以及汽车零件制造商等。
考虑到这种流行性,结合其历年来的实际使用效果。ISO 22301新版本于2019年11月正式发布。
变化是有限的
如果您已经通过 ISO 22301:2012认证,那么过渡到ISO 22301:2019基本没有任何问题。ISO 22301:2019版与2012版对比表明,ISO 22301:2019标准并没有重大的结构更改。
在过去的几年中,对 ISO 管理体系标准进行修订时,有挑战性的主要原因之一为其高级结构,它是所有 ISO 管理体系标准的统一结构和核心文本。但是,2012年版的ISO 22301:2012已经具有高级结构,这是最早采用这种新结构的 ISO 标准之一。
因此,工作组不必重写整个标准,而可以专注于措辞和清晰度。减少了许多多余的部分,定义变得更加一致,用词变得更加合乎逻辑。
回到BCM的本质
很多要求已经被还原到 BCM 的本质上。
第4.1节就是一个很好的例子:ISO 22301:2012年版规定了组织需要做些什么(和记录了什么)才能理解组织及其背景,而新版 ISO 22301:2019仅说明了 “确定外部和内部问题”的需要,而没有具体说明这必须要怎么做。ISO 22301:2019没有说需要考虑哪些方面,也没有包括记录该过程的要求。关于沟通的第7.4节发生了类似的事情,这说明新版本IS0 22301:2019的要求明显降低。
另一个已削减的要求是最高管理者的参与(5.2)。ISO 22301:2012旧版本甚至要求高层管理人员“积极参与演练和测试“,但 ISO 22301:2019新版本的方法更为实用,并着重于保持 BCMS 的有效性。
ISO 22301:2019 其他变化
除了大量的细微调整,对申请认证企业的影响很小或没有影响的同时,还有一些值得一提的变化:
第6.3条是很少的新要求之一,它要求组织"以计划的方式”对 BCMS 进行更改。尽管从技术上讲此要求是新的,但该条款的内容对于任何人都不应该感到惊讶,也很容易以及应该做到。
现在,关于业务连续性分析( BIA )的第8.2.2节规定, BIA 应该以影响类别为起点。虽然很多组织已经在其 BIA中定义了影响类别,但新版标准将该要求设为强制性。
第8.3节已从“业务连续性策略” "重命名为“业务连续性策略和解决方案。这反映岀 ISO 22301:2019该标准越来越实用主义,重点不在于制定确保业务连续性的宏伟战略,而是针对特定风险和影响寻求解决方案。
组织应基于业务影响分析和风险评估的输出,确定并选择业务连续性策略。业务连续性策略应由一个或多个解决方案组成。
从标准中删除了 “风险偏好” 一词。在2012年版本中,风险偏好被定义为“组织愿意承担或保留的风险的数量和类型”。但是,ISO 22301:2019新标准取消了该术语。“风险偏好”不仅是一个相当主观的问题, 而且还是无关紧要的。
ISO 22301 新版本从发布日期开始,转换期限为3年,即至2022年10月30日结束。
但根据IAF关于COVID-19(新冠疫情)爆发期间的FAQ,将转换过渡期延长6个月至2023年4月30日,即2023年5月1日起,所有 ISO 22301:2012版认证证书均将失效,不论其证书中标识的有效期是否到期。
网友评论