新版ISO22301:2019业务连续性认证标准术语的变化
发布时间: 2021-10-24 17:49 点击:
ISO 22301:2012原有术语55项,新版本新增2项,移出26项(到ISO 22300中),因此,ISO 22301:2019现有术语31项,主要的变化如下:
l 43项术语没有变化(或只有轻微变化),其中23项是保留在2019版中,这其中又有21项是是高层结构的通用术语,另外2项分别是:业务连续性(business continuity)和资源(resource);另外20项被移出到ISO 22300,分别是:
l 12项术语被修改(有明显变化),其中6项保留在新版标准中,分别是:活动(activity),业务连续性计划(BCP),业务影响分析(BIA),事件(incident),优先活动(prioritized activities)以及产品和服务(products and services);另外6被项移出到ISO 22300中,分别是:业务连续性管理(BCM),文档(document),最小业务连续性目标(MBCO),绩效评价(performance evaluation),记录(record)以及测试(Testing);
l 2项术语新增:中断(disruption)和影响(impact)。
以下介绍几个值得关注的术语及其变化:
业务连续性管理(business continuity management)
ISO 22301:2019将“业务连续性管理”移出,ISO 22313:2020 3.1和ISO 22300:2021 3.1.20将其定义为“实施和保持业务连续性的过程”(process of implementing and maintaining business continuity),ISO 22301:2012 3.4将其定义为“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运营带来影响的一整套管理过程,该过程为建立有效响应能力的组织韧性提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动”(holistic management process that identifies potential threats to an organization and the impacts to business operations those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability of an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities)。
活动(activity)和优先活动(prioritized activity)
ISO 22301:2019 3.1将“活动”定义为“具有确定输出的一个或多个任务的集合”(set of one or more tasks with a defined output),ISO 22301:2012 3.1将其定义为“由组织(或其代表)为生产或支持一个或多个产品和服务而执行的过程或一组过程”(process or set of processes undertaken by an organization (or on its behalf) that produces or supports one or more products a)d services)。对于ISO 22301:2012版定义中涉及的术语“过程”,ISO 22301:2019 3.26和ISO 22301:2012 3.40均定义为“将输入转化为输出的相互关联或相互作用的一组活动”(set of interrelated or interacting activities which transforms inputs into outputs)。
也就是说,在ISO 22301:2012中,过程是“……的一组活动”,活动是“……的过程或一组过程”,过程和活动形成了一条“吞食自己尾巴的蛇”,让人很难理解。而在ISO 22301:2019中,过程是“……的一组活动”,活动则是“……一个或多个任务的集合”,“过程-活动-任务”形成了一个明确的分级结构(事实上,APQC PCF流程分类分级模型就包含该结构),术语活动(activity)的变化为业务识别建立了确定的基础。
ISO 22301:2019 3.25将优先活动定义为“为避免中中断期间对业务造成不可接受的影响而采取紧急措施的活动”(activity to which urgency is given in order to avoid unacceptable impacts to the business during a disruption),ISO 22301:2012用的是“prioritized activities”,并将其定义为“事件发生后为了减轻影响必须执行的活动”(activities to which priority must be given following an incident in order to mitigate impacts),并在注释中指出,描述此类活动的常用术语包括:紧要的(critical)、必要的(essential)、重要的(vital)、紧急的(urgent)和关键的(key)。新版本的定义,强调“中断期间”、“对业务不可接受的影响”和“采取紧急措施”,与新版本的其它部分保持一致,并更能反映优先活动的本质内涵。
业务连续性计划(business continuity plan)
ISO 22301:2019 3.4将“业务连续性计划”定义为“指导组织响应(respond to)中断并重续(resume)、恢复(recovery)和还原(restore)交付与其业务连续性目标一致的产品和服务的成文信息”(documented information that guide an organization to respond to a disruption and resume, recover and restore the delivery of products and services consistent with its business continuity objectives),ISO 22301:2012 3.6将其定义为“指导组织响应、恢复、重续和还原到中断后预定运行水平的成文程序”(documented procedures that guide organizations to respond, recover, resume, and restore to a pre-defined level of operation following disruption),并在随后的注释中指出,业务连续性计划通常包括确保关键业务功能的连续性所需的资源、服务和活动。
也就是说,在ISO 22301:2019中,业务连续性计划是“……的成文信息”;而在ISO 22301:2012中,业务连续性计划是“……的成文程序”,随后注释又指出它包括“……资源、服务和活动”。我们知道,业务连续性计划并不只是成文程序,很明显,两个定义差异并不太大,但ISO 22301:2019版的定义更简洁、清晰,用词也更准确。
业务影响分析(business continuity impact)
ISO 22301:2019 3.5和ISO 22300:2021 3.1.24将“业务影响分析”定义为“分析随时间推移中断对组织的影响的过程”(process of analysing the impact over time of a disruption on the organization),并在其后的注释中指出“其结果是业务连续性要求的陈述和理由”(the outcome is a statement and justification of business continuity requirements)。ISO 22301:2012 3.8将其定义为“分析活动和业务中断可能带来的影响的过程”(process of analyzing activities and the effect that a business disruption might have upon them)。比较这两个版本的定义,明显,ISO 22301:2019版的定义更简洁、明确。
事件(incident)、事态(event)
ISO 22301:2019 3.14将“事件”定义为“可能导致中断、损失、突发事件或危机的事态”(event that can be, or could lead to, a disruption, loss, emergency or crisis),ISO 22301:2012 3.19将其定义为“可能导致中断、损失、突发事件或危机的情况”(situation that might be, or could lead to, a disruption, loss, emergency or crisis)。因为事态(ISO 22300:2021 3.1.96 event)也是一个基础性的术语,这个变化将“事件”明确为“可能导致……的事态”,建立起二者的联系。
中断(disruption)、突发事件(emergency)和危机(crisis)
ISO 22301:2019 3.10和ISO 22300:2021 3.1.75将“中断”定义为“造成产品和服务的期望交付相对于组织目标非计划负偏离的事件,无论是预期的还是非预期的”(incident, whether anticipated or unanticipated, that causes an unplanned, negative deviation from the expected delivery of products and services according to an organization's objectives),这是ISO 22301:2019新增的术语,明确了“中断”是“造成……的事件”。
ISO 22300:2021 3.1.87将“突发事件”定义为“突然的、紧急的、通常是意料之外的事情或需要立即采取行动的事态”(sudden, urgent, usually unexpected occurrence or event requiring immediate action),并在注释中指出“突发事件一般是一种中断事件,或通常可以预见或准备、但很少能准确预测的情况”(an emergency is usually a disruption or condition that can often be anticipated or prepared for, but seldom exactly foreseen)。
ISO 22300:2012 3.1.60将“危机”定义为“即将发生突然或重大变化、需要紧急关注和采取行动以保护生命财产或环境的不稳定状态”(unstable condition involving an impending abrupt or significant change that requires urgent attention and action to protect life, assets, property or the environment)。
综合而言,突发事件和中断事件都是事件(incident),都可能导致危机状态。
此外,ISO 22301:2019在资源(resource)的定义及标准正文部分明确其包括但不限于:人员,信息和数据,物理基础设施(如建筑、工作场所或其它设施和相关的公共服务),设备和易耗品,信息和通信技术(ICT)系统,运输和物流,财务,合作伙伴和供应商。(ISO 22301术语变化汇总详见附录2)
中鸿认证服务 www.cnqr.org 1998年至今 ISO认证/企业资质服务 直办非中介 全国接单 远程或就近安排审核
新系统集成资质CS/ITSS/CCRC/DCMM认证,ISO三体系,售后服务/诚信认证,软件CMMI评估,互联网ISO27001/ISO27701/ISO20000认证,食品HACCP/ISO22000/BRC/绿色食品/有机食品,汽车16949认证,军工三证,实验室CMA/CNAS/10012,社会责任SA8000/ISO26000,医疗器械13485,知产贯标/能源体系/业务连续性等,产品认证(3C/绿色产品/十环)各类AAA信用评级等等,详见QQ空间。
1.诚聘专兼职审核员(全国),专职咨询老师/专职市场专员(成都) 。年薪10-35万
2.全国诚招ISO认证代理人(个人级/企业级),转发信息即佣金,免费培训。
3.本年度ISO内审员免费培训开始了,每月免费名额有限,从速预计。