国际标准化组织新版ISO22301标准解释

ISO 22301是第二个发布的管理系统标准，它采用了新的结构和ISO中商定的标准化文本。这将确保与所有未来和修订的管理系统标准保持一致，并使集成使用更容易，例如，与国际标准化组织9001(质量)、国际标准化组织14001(环境)和国际标准化组织/国际电工27001(信息安全)的集成使用。该标准分为10个主要条款，从范围、规范参考、术语和定义开始。以下是标准的要求，

第4条-组织的背景
步包括了解组织的内部和外部需求，并为管理体系的范围设定明确的界限。特别是，这要求组织了解相关利益方的要求，如监管者、客户和员工。它特别了解适用的法律和法规要求。这使它能够确定业务连续性管理系统的范围(BCMS)。
第5条——领导力
ISO 22301特别强调BCM需要适当的领导。这是为了让高管理层确保提供适当的资源，制定政策，并任命人员来执行和维护BCMS。
第6条–规划
这要求组织识别实施管理体系的风险，并制定可用于衡量其成功的明确目标和标准。
第7条–支持
由于实施需要资源，第7条引入了能力的重要概念。为了使业务连续性取得成功，配备具备适当知识、技能和经验的人员，以便为BCMS做出贡献，并在事件发生时做出反应。同样重要的是，所有员工都要意识到自己在应对事故中的作用，本条款涉及所有这些方面。此处还涵盖了关于BCMS的沟通需求(例如，告诉客户该组织已有合适的BCM)，以及在发生事故(正常渠道可能中断)后进行沟通的准备工作。
第8条–操作
本节包含业务连续性特定知识的主体。组织进行业务影响分析，以了解其业务如何受到中断的影响，以及这种影响如何随着时间的推移而变化。风险评估旨在以结构化的方式了解业务面临的风险，并为业务连续性战略的制定提供信息。制定了避免或减少事故可能性的步骤，以及事故发生时应采取的步骤。由于不可能完全预测和预防所有事件，因此平衡降低风险和规划所有可能事件的方法是相辅相成的。可以说，“抱好的希望，做坏的打算”。
ISO 22301强调需要一个定义明确的事件响应结构。这确保了当事件发生时，及时上报响应，并且人们有权采取必要的措施来提率。强调生命安全，并特别指出组织与可能受到影响的外部方沟通，例如，如果事故对周围公共区域构成有毒或爆炸性风险。

第8条也规定了业务连续性计划的要求。快速理解，以用户为中心的文档比适合审计人员的大而笨重的文档更合适。因此，小计划比大计划更有可能被需要。

业务连续性标准中以前没有解决的一个要求是需要计划恢复正常业务。这个简单的要求与深思熟虑的想法不符，因为一旦初的紧急情况得到解决，组织决定要做什么。

第8节的后一小节包括练习和测试，这是BCM的一个重要部分。测试是业务连续性安排的某些要素被证明有效(通过)或无效(失败)的地方。例如，可以通过打开发电机来测试发电机是否运行。练习可能包括测试，但通常是一种更细致的方法，模拟事件响应的某些方面。这通常包括培训和建立如何处理具有困难和异常特征的破坏性事件的意识，以及发现流程是否如预期那样工作。

练习和测试是ISO 22301的基础:只有通过结构化的练习——这将使相关的个人和团队得到充分发挥——一个组织才能获得客观的，即它的安排将按照预期和要求进行。

第9条-评估
对于任何管理系统来说，对照计划来评估绩效是至关重要的。因此，ISO 22301要求组织根据适当的绩效指标选择和衡量自己。进行内部审计，并要求管理层对BCMS进行审查，并对这些审查采取行动。
第10条–改进
没有一个管理系统在一开始是的，组织和他们的环境在不断变化。第10条规定了随着时间的推移为改善BCMS而采取的措施，并确保审计、审查、演习等产生的纠正措施得到解决。