展开全文

第2版

修订中，预计明后年发布

ISO/TS 22318

安全与韧性 – 业务连续性管理体系 – 供应链连续性指南

第2版

修订中，预计明后年发布

ISO/TS 22330

安全与韧性 – 业务连续性管理体系 – 业务连续性中人员方面的指导

第1版

2018.06

ISO/TS 22331

安全与韧性 – 业务连续性管理体系 – 业务连续性策略指南

第1版

2018.10

ISO/TS 22332

安全与韧性 – 业务连续性管理体系 – 业务连续性计划和程序制定指南

第1版

开发中，预计明后年发布

ISO/AWI 22398

安全与韧性 – 应急管理 – 演练指南

第2版

修订中，预计明后年发布

ISO/IEC/TS 17021-6

合格评定- 管理体系认证机构要求 – 第6部分：业务连续性管理体系认证能力要求

第1版

2014.12

修订评审中

ISO 19011

管理体系审核指南

第3版

2018.07

其中，ISO 22301:2012、ISO 22313:2012、ISO 22317:2015和ISO 22398:2013已等同转化为我国国家标准。

ISO 22301：2019于2019年10月30日正式发布，取代了之前发布的第一版—ISO 22301：2012。ISO TC292指出，“新版本与2012版相比，主要有3方面的变化”：

l 术语–最新的业务连续性管理相关术语，以反映世界各地专家的实践；

l 结构–合并和删除重复内容，调整结构以更清晰地区分业务连续性能力交付和管理体系的实施和保持(明确的双循环结构)；

l 内容–未增加新要求(106项强制要求减少到90项)，重组结构并对内容排序，使标准文本更易读和使用。

ISO 22313：2020于2020年2月20日正式发布，取代了之前发布的第一版—ISO 22313：2012，新版本对结构和内容进行了修改以与ISO 22301的新版本保持一致，阐述和澄清了ISO 22301中的关键概念、术语和要求，并为按照ISO 22301的要求建立业务连续性管理体系提供了基于良好实践的指南。

2. ISO高层结构与管理体系方法

ISO高层结构，即ISO High Level Structure(可简称为高层结构或HLS)，是国际标准化组织为减少不同领域管理体系标准实施中的重复，提高管理体系的运行效率，在研究管理体系标准共同性的基础上，于2012年发布在ISO/IEC导则附录中。

国际标准化组织使用高层结构规定了管理体系标准的相同的内核，包括：

(1) 相同的标准框架和条款标题。高层结构使用相同的标准条款和条款标题。特定的管理体系标准在相同的一级标准条款标题下，增加二级条款和三级、四级条款；

(2) 相同的通用术语和核心定义。在各管理体系标准中，使用通用的术语和核心定义。如果通用术语和核心定义与特定管理体系标准中的术语和定义名称相同但内涵不同，则需要在特定管理体系中加以说明，如“风险”。

(3) 相同的条款核心文本。高层结构给出了相同的条款核心文本的格式，在相同的条款核心文本的基础上，可为特定管理体系增加相应的要求。

高层结构可应用于“要求”性(A类)和“指南”性(B类)两类标准。“要求”性标准是指组织应满足标准中规定的内容，如ISO 9001《质量管理体系 要求》；“指南”性标准是指组织可参考标准中给出的指南提示，选择适合组织特点的内容加以应用，如ISO 9004《质量管理体系 业务改进指南》。也有标准把“要求”性和“指南”性两类标准进行了适当的合并，把“要求”性内容列入正文，“指南”性内容列入附录，附录中的条款和正文中的条款是对应的，如ISO 14001：2015《环境管理体系 要求及使用指南》，ISO 45001：2018《职业健康安全管理体系 要求及使用指南》等标准。(ISO已多次更新ISO/IEC导则，下面以2020年第17版具体介绍高层结构)

高层结构规定了适用于所有ISO管理体系标准的21个通用术语，具体包括：组织，相关方，要求，管理体系，最高管理者，有效性，方针，目标，风险，(人员)能力，成文信息，过程，绩效，外包，监视，测量，审核，符合，不符合，纠正措施，持续改进。

高层结构的相同的框架和条款，包括10个一级条款共20个二级条款，具体如下表：

表2 ISO高层结构框架条款说明

条款

条款标题

二级条款/说明

第0章

引言

第1章

范围

第2章

引用文件

第3章

术语和定义

通用术语和核心定义

第4章

组织环境

4个二级条款：了解组织及其环境，了解相关方的需要和期望, 确定管理体系范围，管理体系

第5章

领导作用

3个二级条款：领导作用和承诺，方针，组织的岗位、职责和授权

第6章

策划

2个二级条款：应对风险和机会的措施，管理体系目标和实现计划

第7章

支持

5个二级条款：资源，(人员)能力，意识，沟通，成文信息

第8章

运行

1个二级条款：运行的策划和控制(特定管理体系在本条有较大不同)

第9章

绩效评价

包括三个二级条款：监视、测量、分析和评价，内部审核，管理评审

第10章

改进

包括二个二级条款：不符合和纠正措施，持续改进

本质上，不同领域的管理体系标准来自世界各国(该领域的)专家对(该领域)良好实践的总结和共识，高层结构是国际标准化组织对众多领域管理方法进行总结后提出的统一的管理方法论—可以称之为“ISO管理体系方法”。高层结构的推出，使多管理体系标准的集成变得更容易，有利于ISO管理体系标准的进一步推广(但要注意到，高层结构本身并不是一个共识性标准)。

ISO 22301：2012是最早采用高层结构的管理体系标准之一，ISO 22301：2019在修订中按照高层结构的最新版进行了调整，以与其它管理体系标准保持一致。

以下从术语、结构和具体内容三个方面探讨ISO 22301：2019的变化。

3. 术语的变化

ISO 22301：2012原有术语55项，新版本新增2项，移出26项(到ISO 22300中)，因此，ISO 22301：2019现有术语31项，主要的变化如下：

l 43项术语没有变化(或只有轻微变化)，其中23项是保留在2019版中，这其中又有21项是是高层结构的通用术语，另外2项分别是：业务连续性(business continuity)和资源(resource)；另外20项被移出到ISO 22300，分别是：

l 12项术语被修改(有明显变化)，其中6项保留在新版标准中，分别是：活动(activity),业务连续性计划(BCP)，业务影响分析(BIA)，事件(incident)，优先活动(prioritized activities)以及产品和服务(products and services)；另外6被项移出到ISO 22300中，分别是：业务连续性管理(BCM)，文档(document)，最小业务连续性目标(MBCO)，绩效评价(performance evaluation)，记录(record)以及测试(Testing)；

l 2项术语新增：中断(disruption)和影响(impact)。

以下介绍几个值得关注的术语及其变化：

业务连续性管理(business continuity management)

ISO 22301：2019将“业务连续性管理”移出，ISO 22313：2020 3.1和ISO 22300：2021 3.1.20将其定义为“实施和保持业务连续性的过程”(process of implementing and maintaining business continuity)，ISO 22301：2012 3.4将其定义为“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运营带来影响的一整套管理过程，该过程为建立有效响应能力的组织韧性提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动”(holistic management process that identifies potential threats to an organization and the impacts to business operations those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability of an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities)。

两个版本的定义基本一致，业务连续性管理是实施和保持业务连续性的一整套管理过程，它使组织为应对可能妨碍实现其目标的中断做好准备，很明显，新版本的定义更简洁、明确。

活动(activity)和优先活动(prioritized activity)

ISO 22301：2019 3.1将“活动”定义为“具有确定输出的一个或多个任务的集合”(set of one or more tasks with a defined output)，ISO 22301：2012 3.1将其定义为“由组织(或其代表)为生产或支持一个或多个产品和服务而执行的过程或一组过程”(process or set of processes undertaken by an organization (or on its behalf) that produces or supports one or more products a)d services)。对于ISO 22301：2012版定义中涉及的术语“过程”，ISO 22301：2019 3.26和ISO 22301：2012 3.40均定义为“将输入转化为输出的相互关联或相互作用的一组活动”(set of interrelated or interacting activities which transforms inputs into outputs)。

也就是说，在ISO 22301：2012中，过程是“……的一组活动”，活动是“……的过程或一组过程”，过程和活动形成了一条“吞食自己尾巴的蛇”，让人很难理解。而在ISO 22301：2019中，过程是“……的一组活动”，活动则是“……一个或多个任务的集合”，“过程-活动-任务”形成了一个明确的分级结构(事实上，APQC PCF流程分类分级模型就包含该结构)，术语活动(activity)的变化为业务识别建立了确定的基础。

ISO 22301：2019 3.25将优先活动定义为“为避免中中断期间对业务造成不可接受的影响而采取紧急措施的活动”(activity to which urgency is given in order to avoid unacceptable impacts to the business during a disruption)，ISO 22301：2012用的是“prioritized activities”，并将其定义为“事件发生后为了减轻影响必须执行的活动”(activities to which priority must be given following an incident in order to mitigate impacts)，并在注释中指出，描述此类活动的常用术语包括：紧要的(critical)、必要的(essential)、重要的(vital)、紧急的(urgent)和关键的(key)。新版本的定义，强调“中断期间”、“对业务不可接受的影响”和“采取紧急措施”，与新版本的其它部分保持一致，并更能反映优先活动的本质内涵。

业务连续性计划(business continuity plan)

ISO 22301：2019 3.4将“业务连续性计划”定义为“指导组织响应(respond to)中断并重续(resume)、恢复(recovery)和还原(restore)交付与其业务连续性目标一致的产品和服务的成文信息”(documented information that guide an organization to respond to a disruption and resume, recover and restore the delivery of products and services consistent with its business continuity objectives)，ISO 22301：2012 3.6将其定义为“指导组织响应、恢复、重续和还原到中断后预定运行水平的成文程序”(documented procedures that guide organizations to respond, recover, resume, and restore to a pre-defined level of operation following disruption)，并在随后的注释中指出，业务连续性计划通常包括确保关键业务功能的连续性所需的资源、服务和活动。

也就是说，在ISO 22301：2019中，业务连续性计划是“……的成文信息”；而在ISO 22301：2012中，业务连续性计划是“……的成文程序”，随后注释又指出它包括“……资源、服务和活动”。我们知道，业务连续性计划并不只是成文程序，很明显，两个定义差异并不太大，但ISO 22301：2019版的定义更简洁、清晰，用词也更准确。

业务影响分析(business continuity impact)

ISO 22301：2019 3.5和ISO 22300：2021 3.1.24将“业务影响分析”定义为“分析随时间推移中断对组织的影响的过程”(process of analysing the impact over time of a disruption on the organization)，并在其后的注释中指出“其结果是业务连续性要求的陈述和理由”(the outcome is a statement and justification of business continuity requirements)。ISO 22301：2012 3.8将其定义为“分析活动和业务中断可能带来的影响的过程”(process of analyzing activities and the effect that a business disruption might have upon them)。比较这两个版本的定义，明显，ISO 22301：2019版的定义更简洁、明确。

事件(incident)、事态(event)

ISO 22301：2019 3.14将“事件”定义为“可能导致中断、损失、突发事件或危机的事态”(event that can be, or could lead to, a disruption, loss, emergency or crisis)，ISO 22301：2012 3.19将其定义为“可能导致中断、损失、突发事件或危机的情况”(situation that might be, or could lead to, a disruption, loss, emergency or crisis)。因为事态(ISO 22300：2021 3.1.96 event)也是一个基础性的术语，这个变化将“事件”明确为“可能导致……的事态”，建立起二者的联系。

中断(disruption)、突发事件(emergency)和危机(crisis)

ISO 22301：2019 3.10和ISO 22300：2021 3.1.75将“中断”定义为“造成产品和服务的期望交付相对于组织目标非计划负偏离的事件，无论是预期的还是非预期的”(incident, whether anticipated or unanticipated, that causes an unplanned, negative deviation from the expected delivery of products and services according to an organization’s objectives)，这是ISO 22301：2019新增的术语，明确了“中断”是“造成……的事件”。

ISO 22300：2021 3.1.87将“突发事件”定义为“突然的、紧急的、通常是意料之外的事情或需要立即采取行动的事态”(sudden, urgent, usually unexpected occurrence or event requiring immediate action)，并在注释中指出“突发事件一般是一种中断事件，或通常可以预见或准备、但很少能准确预测的情况”(an emergency is usually a disruption or condition that can often be anticipated or prepared for, but seldom exactly foreseen)。

ISO 22300：2012 3.1.60将“危机”定义为“即将发生突然或重大变化、需要紧急关注和采取行动以保护生命财产或环境的不稳定状态”(unstable condition involving an impending abrupt or significant change that requires urgent attention and action to protect life, assets, property or the environment)。

综合而言，突发事件和中断事件都是事件(incident)，都可能导致危机状态。

此外，ISO 22301：2019在资源(resource)的定义及标准正文部分明确其包括但不限于：人员，信息和数据，物理基础设施(如建筑、工作场所或其它设施和相关的公共服务)，设备和易耗品，信息和通信技术(ICT)系统，运输和物流，财务，合作伙伴和供应商。(ISO 22301术语变化汇总详见附录2)

4. 结构的变化

ISO 22301：2019按照高层结构最新版本进行了修订，在确保与其它ISO管理体系标准一致性的基础上，结合业务连续性领域的情况进行了有益的调整。

4.1 BC、BCM和BCMS的关系

业务连续性是一种组织能力，ISO 22301：2019 3.3和ISO 22300：2021 3.1.19将其定义为“在中断期间，组织以预先确定的能力在可接受时间范围内持续交付产品和服务的能力”(capability of an organization to continuity the delivery of products and services within acceptable time frames at predefined capacity during a disruption)。

业务连续性管理是“实施和保持业务连续性”的一整套管理过程，具体包括：运行的策划和控制，业务影响分析和风险评估，业务连续性策略和解决方案，业务连续性计划和程序，演练方案，业务连续性文档和能力评估(见ISO 22301：2019 8.1.2)。

业务连续性管理体系，在ISO 22300：2021 3.1.21中被定义为“整体管理体系的一部分，用以建立、实施、运行、监视、评审、保持和改进业务连续性”(part of the overall management system that establish, implements, operates, monitors, review, maintains and improves business continuity)，并在随后的注释中指出，“管理体系包括组织结构、方针、策略活动、职责、程序、过程和资源”。

因此，业务连续性管理体系是“建立、实施、运行、监视、评审、保持和改进”业务连续性的管理体系；业务连续性管理是“实施和保持业务连续性”的一整套管理过程，是业务连续性管理体系的一部分。(我在“业务连续性问与答”系列中探讨过，业务连续性管理和业务连续性管理体系都是管理业务连续性的方法，当然，也存在其它有效的管理业务连续性的方法)

4.2 ISO 22301的双循环结构

ISO 22301为实施、运行和改进一个业务连续性管理体系规定了要求，并采用“建立(Plan)，实施和运行(Do)，监视和评审(Check)，保持和改进(Do)”即PDDCA循环来保障业务连续性管理体系的有效性。

结合ISO 22301对业务连续性管理体系的定义和标准正文，可以看到：ISO 22301的核心是如下图的“双循环结构”(dual cycle model)，其外循环是如何“建立，实施和运行，监视和评审，保持和改进”一个业务连续性管理体系，其内循环是如何“建立，实施，运行，监视，评审、保持和改进”业务连续性(主要体现在第8章中)。

图1 ISO 22301双循环结构

在结构上，ISO 22301：2019对第8章进行重大修改，并将几乎所有与业务连续性相关的部分纳入，如将原“9.1.2 业务连续性程序的评价”修改为“业务连续性文档和能力的评价”，调整成8.6条款，完善了内循环；在第6章新增“6.3 策划BCMS的变更”(将相关要求和部分以前隐含的要求移入)，进一步充实了外循环。

通过ISO 22301双循环结构生成和保持的业务连续性(能力)，将用于应对中断造成的不可接受的影响以及可能导致活动中断的风险，具体体现在：“保护(protect against)，减少中断发生的可能性(reduce the likelihood of the occurrence of)，准备(prepare for)，以及当中断发生时响应(respond)并恢复(recovery)”。

5. 具体内容变化

整体而言，ISO 22301：2019通过使用最新版高层结构，与其它管理体系标准保持一致性；通过减少强制和成文(documented)要求(如下表3)，引入了更大的灵活性；通过删除重复内容、重组结构和内容排序，使标准文本更容易理解和使用。

表3 高层结构、ISO 222301 2012版及2019版强制要求(shall)比较

章节条款

高层结构

ISO 22301：2012

ISO 22301：2019

第4章 组织环境

6

16

10

第5章 领导作用

5

9

5

第6章 策划

6

6

8

第7章 支持

9

11

9

第8章 运行

3

34

38

第9章 绩效评价

12

26

13

第10章 改进

4

4

7

合计

45

106

90

以下分章节介绍具体内容变化：

第0章 引言

新增“0.2 业务连续性管理系统的收益”部分，从业务、财务、相关方和内部流程(运营)4个方面列出BCMS的主要收益，这是将BCMS“卖”给高级管理层以及组织其它部门的基础。

PDCA循环仍然存在，但不再象2012版那样将每个章节(4-10)与PDCA阶段对应，删除了“应用于BCMS过程的PDCA模型”图。

第1章 范围

不再强调业务连续性管理体系“成文”。

第2章 引用文件

增加了对《ISO 22300 安全与韧性 – 词汇表》的引用。

第3章 术语和定义

与高层结构保持一致，避免与其它管理体系标准矛盾和重复；移除ISO 22300中提供的通用定义(包括BCM和BCMS)，具体变化详见本文第3部分“术语的变化”及“附录2 ISO 22301：2019术语变化汇总表”。

第4章 组织环境

简化了强制要求，与高层结构保持一致。如，在“4.1 了解组织及其环境”部分，2012版规定了组织要“做……”并形成文件，2019版仅指出“确定内外部事项”的要求，而不再具体说明要做什么，也不再要形成文件。

不再使用术语“风险偏好”，2012版将“风险偏好”定义为“组织愿意接受或承担的风险的数量和类别”，2019版取消了该术语。因为重要的不是组织愿意接受或承担的风险，而是组织不可接受的(活动不恢复的)影响。

第5章 领导作用

简化了强制要求，与高层结构保持一致。2019版和2012版都要求最高管理者证明对BCMS的领导作用和承诺，但2019版更关注对BCMS的有效管理，而2012版强调对活动的直接参与如“积极参与演练和测试”。

对“5.2方针”部分重组结构和内容排序，以更易于理解和使用。为消除重复，删除评审方针适用性的要求(保留相关要求在管理评审输入部分(9.3.2.e))。

第6章 策划

对“6.1 应对风险和机会的措施”和“6.2 业务连续性目标和实现计划”部分的内容重组结构和内容排序，以更易于理解和使用。“6.1.2 应对风险和机会”部分明确指出，此处的风险和机会与BCMS的有效性相关，与业务中断相关的风险在8.2部分处理。

新增“6.3 策划BCMS的变更”，要求组织对BCMS的变更“以计划的方式进行”。在策划变更时，应考虑：变更的目的和可能的后果，BCMS的完整性，资源可用性，责任和权限的分配和再分配。从形式上看，2019版新增了该要求，但从保持BCMS的有效性角度看，其内容是显而易见的(隐含在2012版)。

第7章 支持

简化了强制要求，与高层结构保持一致。“7.4 沟通”部分，2019版仅指出“确定与BCMS有关的内外部沟通”的要求，删除了2012版中关于中断期间确保通信手段可用性要求的部分(与8.4.3.1重复)。

第8章 运行

进行重大修改，将几乎所有与业务连续性相关的内容全部纳入该部分，新增第8.6节，重组结构并对内容排序。

8.2 业务影响分析和风险评估 根据ISO 22317 (BIA)和ISO 22318 (supply chain continuity)进行了扩展，2019版对业务影响分析过程的要求更明确(基本可以按要求逐步实施)。从定义影响类型开始，明确了活动的不可接受的影响、最大可容忍中断时间(MTPD)以及优先时间范围(RTO)之间的关系，并使用BIA确定优先活动。此外，需要注意，2019版中没有对业务影响分析过程成文的要求。

“8.2.3 风险评估”部分删除了“风险偏好”的提法(但在“4.1 了解组织及其环境”的注释和“8.3.3 选择策略和解决方案”中仍隐含了此内容)。

8.3 业务连续性策略(strategy)更名为业务连续性策略和解决方案(strategies and solutions)，明确暗示不止一个策略，并通过一个或多个方案实现策略。2019版要求组织不只是制定高层级的策略，还要针对特定风险和影响寻找解决方案。对于最高管理者而言，这是最重大的变化，因为确定所需的资源变为与选定的解决方案(见8.3.4)而非策略相关。根据解决方案确定资源比根据策略确定资源要精确地多，对预算规划的要求也会更加刚性。2019版还要求“实施和保持选定的业务连续性解决方案，以便在需要时启用它们”(见8.3.5)。

8.4 建立和实施业务连续性程序更名为业务连续性计划和程序，该部分值得关注的部分包括：基于所选策略和解决方案的输出，确定和编制业务连续性计划和程序；进行结构设计以使一个或多个团队负责响应中断；清楚说明各团队之间的关系，以及他们的角色和职责；每个团队必须确定包括“候补人员”在内的人员，并说明履行指定角色所需的责任、权限和能力；有关如何管理中断直接后果(包括对环境的影响)的详细信息；每个计划必须包括退出流程(见8.4.4.3 h)；每个计划应在需要的时间和地点可使用和可得到。

8.5 演练和测试更名为演练方案(exercise programme)，明确了实施和保持演练和测试方案的要求。从演练和测试角度看，2019版要求直接验证业务连续性策略和解决方案(而不再是2012版中的业务连续性安排)。

增加了一些新提法，需要考虑，如“培训团队合作精神、能力、信心和知识”。

新增“8.6 业务连续性文档和能力的评价”，强调定期评价和更新文档的重要性，其主要内容原在2012版“第9章 绩效评价”中。明确对相关合作伙伴和供应商的业务连续性能力进行评估的要求。

第9章 绩效评价

简化了相关要求，与高层结构保持一致。本章只关注业务连续性管理体系，而不再关注业务连续性文档和能力(该部分移到8.6)。

在2019版中的监视、测量、分析和评价中，不仅要确定何时进行监视和测量、何时对结果进行分析和评价，还要包括由谁进行。此外，对绩效指标的相关提法已删除。

第10章 改进

“10.2 持续改进”得到了一定扩展，强调通过“定性和定量措施”持续改进。

6. 过渡期安排

ISO 22301：2019于2019年10月30日正式发布，新版标准的转换期为3年，至2022年10月30日结束，根据IAF关于COVID-19(新冠疫情)爆发期间的FAQ，将转换过渡期延长6个月至2023年4月30日，即2023年5月1日起，所有ISO 22301：2012版认证证书均将失效，不论其证书中标识的有效期是否到期。

因此，如果你已经获得ISO 22301：2012版认证证书，应在2023年5月1日前完成转版审核工作。如果你目前尚未取得并正在寻求获得ISO 22301认证证书，建议你按照ISO 22301：2019版进行管理体系实施和运行，因为正如前面介绍，ISO 22301：2019更简单、灵活，易于理解和使用，具体安排请与咨询你选择的认证机构。

7. 主要参考

除本白皮书外，欲了解更多ISO 22301系列标准的相关知识，可参考以下资料：

l ISO 22301白皮书，主要内容基于ISO 22301：2012；

l ISO 22301：2019中文简译，ISO 22301：2019第4到10章中文翻译；

l ISO 22313：2020中文简译(上)，ISO 22313：2020从前言到8.2部分中文翻译；

l ISO 22313：2020中文简译(下)，ISO 22313：2020从8.3到10.2部分中文翻译。

附录1：ISO 22301认证证书统计

ISO 22301认证证书统计(2014-2019)

ISO 22301认证证书统计(2014-2019)

本公众号专注于业务连续性管理知识的传播和普及，关注业务连续性领域的朋友可关注。

由于公众号注册时正处于腾讯政策调整，未能开通留言功能，希望交流和讨论业务连续性管理问题，或获取相关资料的朋友，可长按以下二维码加入知识星球留言和讨论。