新版ISO22301:2019业务连续性认证标准各章节的主要变化
发布时间: 2021-10-24 17:50 点击:
第0章 引言
新增“0.2 业务连续性管理系统的收益”部分,从业务、财务、相关方和内部流程(运营)4个方面列出BCMS的主要收益,这是将BCMS“卖”给高级管理层以及组织其它部门的基础。
PDCA循环仍然存在,但不再象2012版那样将每个章节(4-10)与PDCA阶段对应,删除了“应用于BCMS过程的PDCA模型”图。
第1章 范围
不再强调业务连续性管理体系“成文”。
第2章 引用文件
增加了对《ISO 22300 安全与韧性 – 词汇表》的引用。
第3章 术语和定义
与高层结构保持一致,避免与其它管理体系标准矛盾和重复;移除ISO 22300中提供的通用定义(包括BCM和BCMS),具体变化详见本文第3部分“术语的变化”及“附录2 ISO 22301:2019术语变化汇总表”。
第4章 组织环境
简化了强制要求,与高层结构保持一致。如,在“4.1 了解组织及其环境”部分,2012版规定了组织要“做……”并形成文件,2019版仅指出“确定内外部事项”的要求,而不再具体说明要做什么,也不再要形成文件。
不再使用术语“风险偏好”,2012版将“风险偏好”定义为“组织愿意接受或承担的风险的数量和类别”,2019版取消了该术语。因为重要的不是组织愿意接受或承担的风险,而是组织不可接受的(活动不恢复的)影响。
第5章 领导作用
简化了强制要求,与高层结构保持一致。2019版和2012版都要求最高管理者证明对BCMS的领导作用和承诺,但2019版更关注对BCMS的有效管理,而2012版强调对活动的直接参与如“积极参与演练和测试”。
对“5.2方针”部分重组结构和内容排序,以更易于理解和使用。为消除重复,删除评审方针适用性的要求(保留相关要求在管理评审输入部分(9.3.2.e))。
第6章 策划
对“6.1 应对风险和机会的措施”和“6.2 业务连续性目标和实现计划”部分的内容重组结构和内容排序,以更易于理解和使用。“6.1.2 应对风险和机会”部分明确指出,此处的风险和机会与BCMS的有效性相关,与业务中断相关的风险在8.2部分处理。
新增“6.3 策划BCMS的变更”,要求组织对BCMS的变更“以计划的方式进行”。在策划变更时,应考虑:变更的目的和可能的后果,BCMS的完整性,资源可用性,责任和权限的分配和再分配。从形式上看,2019版新增了该要求,但从保持BCMS的有效性角度看,其内容是显而易见的(隐含在2012版)。
第7章 支持
简化了强制要求,与高层结构保持一致。“7.4 沟通”部分,2019版仅指出“确定与BCMS有关的内外部沟通”的要求,删除了2012版中关于中断期间确保通信手段可用性要求的部分(与8.4.3.1重复)。
第8章 运行
进行重大修改,将几乎所有与业务连续性相关的内容全部纳入该部分,新增第8.6节,重组结构并对内容排序。
8.2 业务影响分析和风险评估 根据ISO 22317 (BIA)和ISO 22318 (supply chain continuity)进行了扩展,2019版对业务影响分析过程的要求更明确(基本可以按要求逐步实施)。从定义影响类型开始,明确了活动的不可接受的影响、最大可容忍中断时间(MTPD)以及优先时间范围(RTO)之间的关系,并使用BIA确定优先活动。此外,需要注意,2019版中没有对业务影响分析过程成文的要求。
“8.2.3 风险评估”部分删除了“风险偏好”的提法(但在“4.1 了解组织及其环境”的注释和“8.3.3 选择策略和解决方案”中仍隐含了此内容)。
8.3 业务连续性策略(strategy)更名为业务连续性策略和解决方案(strategies and solutions),明确暗示不止一个策略,并通过一个或多个方案实现策略。2019版要求组织不只是制定高层级的策略,还要针对特定风险和影响寻找解决方案。对于最高管理者而言,这是最重大的变化,因为确定所需的资源变为与选定的解决方案(见8.3.4)而非策略相关。根据解决方案确定资源比根据策略确定资源要精确地多,对预算规划的要求也会更加刚性。2019版还要求“实施和保持选定的业务连续性解决方案,以便在需要时启用它们”(见8.3.5)。
8.4 建立和实施业务连续性程序更名为业务连续性计划和程序,该部分值得关注的部分包括:基于所选策略和解决方案的输出,确定和编制业务连续性计划和程序;进行结构设计以使一个或多个团队负责响应中断;清楚说明各团队之间的关系,以及他们的角色和职责;每个团队必须确定包括“候补人员”在内的人员,并说明履行指定角色所需的责任、权限和能力;有关如何管理中断直接后果(包括对环境的影响)的详细信息;每个计划必须包括退出流程(见8.4.4.3 h);每个计划应在需要的时间和地点可使用和可得到。
8.5 演练和测试更名为演练方案(exercise programme),明确了实施和保持演练和测试方案的要求。从演练和测试角度看,2019版要求直接验证业务连续性策略和解决方案(而不再是2012版中的业务连续性安排)。
增加了一些新提法,需要考虑,如“培训团队合作精神、能力、信心和知识”。
第9章 绩效评价
在2019版中的监视、测量、分析和评价中,不仅要确定何时进行监视和测量、何时对结果进行分析和评价,还要包括由谁进行。此外,对绩效指标的相关提法已删除。
第10章 改进
“10.2 持续改进”得到了一定扩展,强调通过“定性和定量措施”持续改进。
6. 过渡期安排
ISO 22301:2019于2019年10月30日正式发布,新版标准的转换期为3年,至2022年10月30日结束,根据IAF关于COVID-19(新冠疫情)爆发期间的FAQ,将转换过渡期延长6个月至2023年4月30日,即2023年5月1日起,所有ISO 22301:2012版认证证书均将失效,不论其证书中标识的有效期是否到期。
因此,如果你已经获得ISO 22301:2012版认证证书,应在2023年5月1日前完成转版审核工作。如果你目前尚未取得并正在寻求获得ISO 22301认证证书,建议你按照ISO 22301:2019版进行管理体系实施和运行,因为正如前面介绍,ISO 22301:2019更简单、灵活,易于理解和使用,具体安排请与咨询你选择的认证机构。
中鸿认证服务 www.cnqr.org 1998年至今 ISO认证/企业资质服务 直办非中介 全国接单 远程或就近安排审核
新系统集成资质CS/ITSS/CCRC/DCMM认证,ISO三体系,售后服务/诚信认证,软件CMMI评估,互联网ISO27001/ISO27701/ISO20000认证,食品HACCP/ISO22000/BRC/绿色食品/有机食品,汽车16949认证,军工三证,实验室CMA/CNAS/10012,社会责任SA8000/ISO26000,医疗器械13485,知产贯标/能源体系/业务连续性等,产品认证(3C/绿色产品/十环)各类AAA信用评级等等,详见QQ空间。
1.诚聘专兼职审核员(全国),专职咨询老师/专职市场专员(成都) 。年薪10-35万
2.全国诚招ISO认证代理人(个人级/企业级),转发信息即佣金,免费培训。
3.本年度ISO内审员免费培训开始了,每月免费名额有限,从速预计。