新版ISO22301:2019業務連續性認證標準各章節的主要變化
發布時間: 2021-10-24 17:50 點擊:
第0章 引言
新增“0.2 業務連續性管理系統的收益”部分,從業務、財務、相關方和內部流程(運營)4個方面列出BCMS的主要收益,這是將BCMS“賣”給高級管理層以及組織其它部門的基礎。
PDCA循環仍然存在,但不再象2012版那樣將每個章節(4-10)與PDCA階段對應,刪除了“應用于BCMS過程的PDCA模型”圖。
第1章 范圍
不再強調業務連續性管理體系“成文”。
第2章 引用文件
增加了對《ISO 22300 安全與韌性 – 詞匯表》的引用。
第3章 術語和定義
與高層結構保持一致,避免與其它管理體系標準矛盾和重復;移除ISO 22300中提供的通用定義(包括BCM和BCMS),具體變化詳見本文第3部分“術語的變化”及“附錄2 ISO 22301:2019術語變化匯總表”。
第4章 組織環境
簡化了強制要求,與高層結構保持一致。如,在“4.1 了解組織及其環境”部分,2012版規定了組織要“做……”并形成文件,2019版僅指出“確定內外部事項”的要求,而不再具體說明要做什么,也不再要形成文件。
不再使用術語“風險偏好”,2012版將“風險偏好”定義為“組織愿意接受或承擔的風險的數量和類別”,2019版取消了該術語。因為重要的不是組織愿意接受或承擔的風險,而是組織不可接受的(活動不恢復的)影響。
第5章 領導作用
簡化了強制要求,與高層結構保持一致。2019版和2012版都要求最高管理者證明對BCMS的領導作用和承諾,但2019版更關注對BCMS的有效管理,而2012版強調對活動的直接參與如“積極參與演練和測試”。
對“5.2方針”部分重組結構和內容排序,以更易于理解和使用。為消除重復,刪除評審方針適用性的要求(保留相關要求在管理評審輸入部分(9.3.2.e))。
第6章 策劃
對“6.1 應對風險和機會的措施”和“6.2 業務連續性目標和實現計劃”部分的內容重組結構和內容排序,以更易于理解和使用。“6.1.2 應對風險和機會”部分明確指出,此處的風險和機會與BCMS的有效性相關,與業務中斷相關的風險在8.2部分處理。
新增“6.3 策劃BCMS的變更”,要求組織對BCMS的變更“以計劃的方式進行”。在策劃變更時,應考慮:變更的目的和可能的后果,BCMS的完整性,資源可用性,責任和權限的分配和再分配。從形式上看,2019版新增了該要求,但從保持BCMS的有效性角度看,其內容是顯而易見的(隱含在2012版)。
第7章 支持
簡化了強制要求,與高層結構保持一致。“7.4 溝通”部分,2019版僅指出“確定與BCMS有關的內外部溝通”的要求,刪除了2012版中關于中斷期間確保通信手段可用性要求的部分(與8.4.3.1重復)。
第8章 運行
進行重大修改,將幾乎所有與業務連續性相關的內容全部納入該部分,新增第8.6節,重組結構并對內容排序。
8.2 業務影響分析和風險評估 根據ISO 22317 (BIA)和ISO 22318 (supply chain continuity)進行了擴展,2019版對業務影響分析過程的要求更明確(基本可以按要求逐步實施)。從定義影響類型開始,明確了活動的不可接受的影響、最大可容忍中斷時間(MTPD)以及優先時間范圍(RTO)之間的關系,并使用BIA確定優先活動。此外,需要注意,2019版中沒有對業務影響分析過程成文的要求。
“8.2.3 風險評估”部分刪除了“風險偏好”的提法(但在“4.1 了解組織及其環境”的注釋和“8.3.3 選擇策略和解決方案”中仍隱含了此內容)。
8.3 業務連續性策略(strategy)更名為業務連續性策略和解決方案(strategies and solutions),明確暗示不止一個策略,并通過一個或多個方案實現策略。2019版要求組織不只是制定高層級的策略,還要針對特定風險和影響尋找解決方案。對于最高管理者而言,這是最重大的變化,因為確定所需的資源變為與選定的解決方案(見8.3.4)而非策略相關。根據解決方案確定資源比根據策略確定資源要精確地多,對預算規劃的要求也會更加剛性。2019版還要求“實施和保持選定的業務連續性解決方案,以便在需要時啟用它們”(見8.3.5)。
8.4 建立和實施業務連續性程序更名為業務連續性計劃和程序,該部分值得關注的部分包括:基于所選策略和解決方案的輸出,確定和編制業務連續性計劃和程序;進行結構設計以使一個或多個團隊負責響應中斷;清楚說明各團隊之間的關系,以及他們的角色和職責;每個團隊必須確定包括“候補人員”在內的人員,并說明履行指定角色所需的責任、權限和能力;有關如何管理中斷直接后果(包括對環境的影響)的詳細信息;每個計劃必須包括退出流程(見8.4.4.3 h);每個計劃應在需要的時間和地點可使用和可得到。
8.5 演練和測試更名為演練方案(exercise programme),明確了實施和保持演練和測試方案的要求。從演練和測試角度看,2019版要求直接驗證業務連續性策略和解決方案(而不再是2012版中的業務連續性安排)。
增加了一些新提法,需要考慮,如“培訓團隊合作精神、能力、信心和知識”。
新增“8.6 業務連續性文檔和能力的評價”,強調定期評價和更新文檔的重要性,其主要內容原在2012版“第9章 績效評價”中。明確對相關合作伙伴和供應商的業務連續性能力進行評估的要求。
第9章 績效評價
在2019版中的監視、測量、分析和評價中,不僅要確定何時進行監視和測量、何時對結果進行分析和評價,還要包括由誰進行。此外,對績效指標的相關提法已刪除。
第10章 改進
“10.2 持續改進”得到了一定擴展,強調通過“定性和定量措施”持續改進。
6. 過渡期安排
ISO 22301:2019于2019年10月30日正式發布,新版標準的轉換期為3年,至2022年10月30日結束,根據IAF關于COVID-19(新冠疫情)爆發期間的FAQ,將轉換過渡期延長6個月至2023年4月30日,即2023年5月1日起,所有ISO 22301:2012版認證證書均將失效,不論其證書中標識的有效期是否到期。
因此,如果你已經獲得ISO 22301:2012版認證證書,應在2023年5月1日前完成轉版審核工作。如果你目前尚未取得并正在尋求獲得ISO 22301認證證書,建議你按照ISO 22301:2019版進行管理體系實施和運行,因為正如前面介紹,ISO 22301:2019更簡單、靈活,易于理解和使用,具體安排請與咨詢你選擇的認證機構。
中鴻認證服務 www.abciphonesymas.com 1998年至今 ISO認證/企業資質服務 直辦非中介 全國接單 遠程或就近安排審核
新系統集成資質CS/ITSS/CCRC/DCMM認證,ISO三體系,售后服務/誠信認證,軟件CMMI評估,互聯網ISO27001/ISO27701/ISO20000認證,食品HACCP/ISO22000/BRC/綠色食品/有機食品,汽車16949認證,軍工三證,實驗室CMA/CNAS/10012,社會責任SA8000/ISO26000,醫療器械13485,知產貫標/能源體系/業務連續性等,產品認證(3C/綠色產品/十環)各類AAA信用評級等等,詳見QQ空間。
1.誠聘專兼職審核員(全國),專職咨詢老師/專職市場專員(成都) 。年薪10-35萬
2.全國誠招ISO認證代理人(個人級/企業級),轉發信息即傭金,免費培訓。
3.本年度ISO內審員免費培訓開始了,每月免費名額有限,從速預計。