靳喜軍 李艷杰

摘要：ISO 22301：2019《安全和彈性 業(yè)務(wù)連續(xù)性管理體系 要求》 于2019年10月31日發(fā)布，修訂后的標(biāo)準(zhǔn)更易讀和易采用。ISO 22301：2019標(biāo)準(zhǔn)的內(nèi)容延續(xù)了舊版本的高階結(jié)構(gòu)（HLS）。新版本精簡(jiǎn)了術(shù)語(yǔ)，反映了業(yè)務(wù)連續(xù)性管理認(rèn)識(shí)（理解）及使用上的變化，在結(jié)構(gòu)方面，對(duì)部分章節(jié)進(jìn)行了重新編排，有合并也有刪減。

關(guān)鍵詞：業(yè)務(wù)連續(xù)性 安全與彈性 管理體系 關(guān)鍵變化

Abstract： ISO 22301：2019 "Security and resilience—Business continuity management system—Requirements" was released on October 31， 2019. The revised standard is easier to read and adopt.The content of the ISO 22301： 2019 standard continues the older version of the high-level structure （HLS）.The new standard streamlines terminology and reflects changes in understanding and use of business continuity management. In terms of structure， some chapters have been rearranged， and some have been merged or deleted.

Key words： business continuity， security and resilience， management system， key changes

1 引言

ISO 22301：2019《安全和彈性 業(yè)務(wù)連續(xù)性管理體系 要求》 于2019年10月31日發(fā)布。距2012版正式發(fā)布已有7年，修訂后的標(biāo)準(zhǔn)更易讀和易采用。業(yè)務(wù)連續(xù)性管理體系國(guó)際標(biāo)準(zhǔn)幫助組織面對(duì)各種威脅，并根據(jù)業(yè)務(wù)影響分析，對(duì)業(yè)務(wù)中斷的影響的重要性進(jìn)行排序，優(yōu)先預(yù)防和處理關(guān)鍵業(yè)務(wù)的中斷和業(yè)務(wù)恢復(fù)。幫助組織實(shí)施保護(hù)，減少中斷事件發(fā)生的可能性，以及當(dāng)中斷事件發(fā)生時(shí)準(zhǔn)備、響應(yīng)并恢復(fù)，降低中斷事件產(chǎn)生的影響。

標(biāo)準(zhǔn)名稱的變化：

ISO 22301：2012 公共安全 業(yè)務(wù)連續(xù)性管理體系 要求（Societal security—Business continuity management systems—Requirements）

ISO 22301：2019 安全和彈性 業(yè)務(wù)連續(xù)性管理體系 要求（Security and? resilience— Business continuity management systems—Requirements）

新版本ISO 22301：2019結(jié)構(gòu)沿用了ISO 22301：2012版本（High level structure）的結(jié)構(gòu)，與其他新版ISO管理體系標(biāo)準(zhǔn)（如ISO 9001：2015和ISO/IEC 27001：2013）采用的通用核心文本及定義相一致。

2總體變化

2.1 思路變化

與ISO 22301：2012相比，本次修訂的主要變化包括：

1） 對(duì)第8章內(nèi)容進(jìn)行重新排序，刪除重復(fù)內(nèi)容，簡(jiǎn)化術(shù)語(yǔ)并趨于一致;

2） 刪除風(fēng)險(xiǎn)偏好的引用;

3） 刪除介紹性指南信息，這些信息包含在ISO 22313 BCMS 指南性文件里;

4） 更側(cè)重于對(duì)BCMS變更的規(guī)劃;

5） 更少的規(guī)范性程序和文檔要求;

6） 將業(yè)務(wù)連續(xù)性戰(zhàn)略表述為“業(yè)務(wù)連續(xù)性戰(zhàn)略與解決方案”，更清晰;

7） 將業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)對(duì)業(yè)務(wù)中斷的支持團(tuán)隊(duì)和人員相關(guān)聯(lián)，更明確;

8） 術(shù)語(yǔ)更加精簡(jiǎn)，反映了業(yè)務(wù)連續(xù)性管理認(rèn)識(shí)（理解）及使用上的變化，結(jié)構(gòu)方面，對(duì)部分章節(jié)進(jìn)行了重新編排，有合并也有刪減。

2.2 架構(gòu)變化

ISO 22301：2019結(jié)構(gòu)沿用了ISO 22301：2012版本（High level structure）的結(jié)構(gòu)，結(jié)構(gòu)圖見圖1。

3 詳細(xì)變化對(duì)比

3.1 與管理系統(tǒng)的整合

ISO 22301：2019標(biāo)準(zhǔn)的內(nèi)容保持了ISO 22301：2012的高階結(jié)構(gòu)（HLS），并引入了一些新要求，與ISO/IEC 27001：2013，ISO 9001：2015和ISO 14001：2015等其他管理體系標(biāo)準(zhǔn)采用的結(jié)構(gòu)相同。

高階結(jié)構(gòu)（HLS）：

除了Introduction（引言）以外，主要包含10個(gè)章節(jié)：

1. Scope（范圍）

2. Normative references（規(guī)范性引用文件）

3. Terms and definitions（術(shù)語(yǔ)和定義）

4. Context of the organization（組織環(huán)境）

5. Leadership（領(lǐng)導(dǎo)力）

6. Planning（策劃）

7. Support（支持）

8. Operation（實(shí)施）

9. Performance evaluation（績(jī)效評(píng)估）

10. Improvement（改進(jìn)）

3.2 術(shù)語(yǔ)和定義的變化

3.2.1 不再引入的術(shù)語(yǔ)共26項(xiàng)，見表1。

3.2.2 新增術(shù)語(yǔ)，見表2。

3.2.3 術(shù)語(yǔ)被重新定義共8項(xiàng)，見表3。

3.3 標(biāo)準(zhǔn)條款被重新定義

3.3.1 “業(yè)務(wù)連續(xù)性策略”被“業(yè)務(wù)連續(xù)性策略和解決方案”取代，見表4。

3.3.2 “建立資源要求”被“資源要求”取代，見表5 。

3.3.3 “保護(hù)和緩解”被“解決方案的實(shí)施”取代，見表6 。

3.3.4 “建立和實(shí)施業(yè)務(wù)連續(xù)性程序”被“業(yè)務(wù)連續(xù)性計(jì)劃和程序”取代，見表7 。

3.4 條款內(nèi)容變化

3.4.1 “了解組織和組織環(huán)境”條款內(nèi)容變化對(duì)比見表8 。

3.4.2 “業(yè)務(wù)連續(xù)性管理體系的范圍”條款內(nèi)容變化對(duì)比見表9 。

3.4.3 “溝通”條款內(nèi)容變化對(duì)比見表10 。

3.4.4 “事件響應(yīng)機(jī)制”條款內(nèi)容變化對(duì)比見表11 。

3.4.5 “預(yù)警和溝通”條款，拆分成2個(gè)小條款分別進(jìn)行描述，見表12 。

3.4.6 條款合并，“領(lǐng)導(dǎo)力”由4個(gè)條款合并為3個(gè)條款，見表13 。

3.4.7 條款拆分，8.3.1條款拆分成3個(gè)條款（8.3.1 、8.3.2 、8.3.3），見表14。

3.5 增加新的要求，見表15。

4 結(jié)論

ISO 22301：2019標(biāo)準(zhǔn)采用更清晰的區(qū)分業(yè)務(wù)連續(xù)性能力交付和管理體系的實(shí)現(xiàn)與維護(hù); 簡(jiǎn)化后，新的標(biāo)準(zhǔn)更易讀和易于采用，術(shù)語(yǔ)從55項(xiàng)調(diào)整為31項(xiàng)，反映了業(yè)務(wù)連續(xù)性管理認(rèn)識(shí)（理解）及使用上的變化。結(jié)構(gòu)方面，對(duì)部分章節(jié)進(jìn)行調(diào)整，有合并也有刪減（因?yàn)橹貜?fù)）。對(duì)認(rèn)證企業(yè)而言，新版本中的要求更少，從106項(xiàng)減少為91項(xiàng)，但更有效。

參考文獻(xiàn)

[1] Security and resilience— Business continuity management systems—Requirements： BS EN ISO 22301：2019[S/OL].[2020-5-19]. https：//www. iso.org/standard/75106.html.

[2] Societal security—Business continuity management systems—Requirements： ISO 22301：2012[S/OL]. [2020-5-19]. https：//www.iso.org/standard/50038. html.