1. ISO 22301 系列标准的变化
ISO 22301 在 2012 年首次发布, 到目 前(截止 2019 年 12 月31 日 ) , 已有 1693 张有效认证证书, 涉及 6231 个场所(数据来自 ISO 统计, 详见附录 1: ISO 22301 认证) 。近几年来, ISO 22301 系列标准经历了多项更新。 目 前, 已发布和正在编写/修订的业务连续性管理相关标准见下表:
ISO22301-2019 业务连续性管理体系标准内容的主要变化
其中, ISO 22301: 2012、 ISO 22313: 2012、 ISO 22317: 2015和 ISO 22398: 2013 已等同转化为我国国家标准。ISO 22301: 2019 于 2019 年 10 月 30 日 正式发布, 取代了之前发布的第一版—ISO 22301: 2012。 ISO TC292 指出, “新版本与 2012 版相比, 主要有 3 方面的变化” :术语– 最新的业务连续性管理相关术语, 以反映世界各地专家的实践;
结构– 合并和删除重复内 容, 调整结构以更清晰地区分业务连续性能力交付和管理体系的实施和保持(明确的双循环结构) ;
内容– 未增加新要求(106 项强制要求减少到 90 项) , 重组结构并对内容排序, 使标准文本更易读和使用。ISO 22313: 2020 于 2020 年 2 月 20 日 正式发布, 取代了之前发布的第一版—ISO 22313: 2012, 新版本对结构和内容进行了修改以与 ISO 22301 的新版本保持一致, 阐述和澄清了 ISO22301 中的关键概念、 术语和要求, 并为按照 ISO 22301 的要求建立业务连续性管理体系提供了基于良好实践的指南。
2. ISO 高层结构与管理体系方法ISO 高层结构, 即 ISO High Level Structure(可简称为高层结构或 HLS) , 是国际标准化组织为减少不同领域管理体系标准实施中的重复, 提高管理体系的运行效率, 在研究管理体
系标准共同性的基础上, 于 2012 年发布在 ISO/IEC 导则附录中。
国际标准化组织使用高层结构规定了 管理体系标准的相同的内核, 包括:相同的标准框架和条款标题。 高层结构使用相同的标准条款和条款标题。 特定的管理体系标准在相同的一级标准条款标题下, 增加二级条款和三级、 四级条款;相同的通用术语和核心定义。 在各管理体系标准中, 使用通用的术语和核心定义。 如果通用术语和核心定义与特定管理体系标准中的术语和定义名称相同但内涵不同, 则需要在特定管理体系中加以说明, 如“风险” 。相同的条款核心文本。 高层结构给出了相同的条款核心文本的格式, 在相同的条款核心文本的基础上, 可为特定管理体系增加相应的要求。高层结构可应用于“要求” 性(A 类) 和“指南” 性(B 类) 两类
标准。 “要求” 性标准是指组织应满足标准中规定的内 容,如 ISO 9001《质量管理体系 要求》 ; “指南” 性标准是指组织可参考标准中给出的指南提示, 选择适合组织特点的内 容加以应用, 如 ISO 9004《质量管理体系 业务改进指南》 。 也有标准把“要求” 性和“指南” 性两类标准进行了适当的合并, 把“要求” 性内容列入正文, “指南” 性内容列入附录,附录中的条款和正文中的条款是对应的, 如 ISO 14001: 2015《环境管理体系 要求及使用指南》 , ISO 45001: 2018《职业健康安全管理体系 要求及使用指南》 等标准。 (ISO 已多次更新 ISO/IEC 导则, 下面以 2020 年第 17 版具体介绍高层结构)高层结构规定了适用于所有 ISO 管理体系标准的 21 个通用术语, 具体包括: 组织, 相关方, 要求, 管理体系, 最高管理者, 有效性, 方针, 目 标, 风险, (人员 ) 能力, 成文信息,过程, 绩效, 外包, 监视, 测量, 审核, 符合, 不符合, 纠正措施, 持续改进。高层结构的相同的框架和条款, 包括 10 个一级条款共 20 个二级条款, 具体如下表:
表 2 ISO 高层结构框架条款说明
本质上, 不同领域的管理体系标准来自 世界各国(该领域的)专家对(该领域) 良好实践的总结和共识, 高层结构是国际标准化组织对众多领域管理方法进行总结后提出的统一的管理方法论—可以称之为“ISO 管理体系方法”。 高层结构的推出,使多管理体系标准的集成变得更容易, 有利于 ISO 管理体系标准的进一步推广(但要注意到, 高层结构本身并不是一个共识性标准) 。
ISO 22301: 2012 是最早采用高层结构的管理体系标准之一,ISO 22301: 2019 在修订中按照高层结构的最新版进行了 调整, 以与其它管理体系标准保持一致。以下从术语、 结构和具体内容三个方面探讨 ISO 22301: 2019的变化。
3. 术语的变化
ISO 22301: 2012 原有术语 55 项, 新版本新增 2 项, 移出 26项(到 ISO 22300 中) , 因此, ISO 22301: 2019 现有术语 31项, 主要的变化如下:43 项术语没有变化(或只有轻微变化) , 其中 23 项保留在 2019版中, 这其中又有 21 项是高层结构的通用术语, 另外 2 项分别是: 业务连续性(business continuity) 和资源(resource) ;其它 20 项被移出到 ISO 22300:12 项术语被修改(有明显变化) , 其中 6 项保留在新版标准中,分别是: 活动(activity) , 业务连续性计划(BCP) , 业务影响分 析 (BIA) , 事 件 (incident) , 优 先 活 动 (prioritizedactivities) 以及产品和服务(products and services) ; 另外 6 项被移出到 ISO 22300 中, 分别是: 业务连续性管理(BCM) ,文档 (document) , 最小 业务连续性目 标(MBCO) , 绩效评价(performance evaluation) , 记 录 (record) 以 及 测 试(Testing) ;
2 项术语新增: 中断(disruption) 和影响(impact) 。
以下介绍几个值得关注的术语及其变化:
业务连续性管理(business continuity management)ISO 22301: 2019 将“业务连续性管理” 移出, ISO 22313:2020 3. 1 和 ISO 22300: 2021 3. 1. 20 将其定义为“实施和保持 业 务 连 续 性 的 过 程 ”(process of implementing andmaintaining business continuity) , ISO 22301: 2012 3. 4将其定义为“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运营带来影响的一整套管理过程, 该过程为建立有效响应能力的组织韧性提供了框架, 以保护关键相关方的利益、 声誉、 品牌和创造价值的活动” (holistic managementprocess that identifies potential threats to anorganization and the impacts to business operations
those threats, if realized, might cause, and whichprovides a framework for building organizational resilience with the capability of an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities) 。
两个版本的定义基本一致, 业务连续性管理是实施和保持业务连续性的一整套管理过程, 它使组织为应对可能妨碍实现其目 标的中断做好准备, 很明显, 新版本的定义更简洁、 明确。
活动(activity) 和优先活动(prioritized activity)
ISO 22301: 2019 3. 1 将“活动” 定义为“具有确定输出的一个或多个任务的集合” (set of one or more tasks with adefined output) , ISO 22301: 2012 3. 1 将其定义为“由组织(或其代表) 为生产或支持一个或多个产品和服务而执行的过程或一组过程” (process or set of processes undertaken by an organization (or on its behalf) that produces or supports one or more products a) d services) 。 对于 ISO
22301: 2012 版定义中涉及的术语“过程” , ISO 22301: 2019 3. 26 和 ISO 22301: 2012 3. 40 均定义为“将输入转化为输出的相互关联或相互作用的一组活动”(set of interrelated or interacting activities which transforms inputs into outputs) 。也就是说, 在 ISO 22301: 2012 中, 过程是“……的一组活动” , 活动是“……的过程或一组过程” , 过程和活动形成了一条“吞食自 己尾巴的蛇”, 让人很难理解。 而在 ISO 22301:2019 中, 过程是“……的一组活动” , 活动则是“……一个或多个任务的集合” , “过程-活动-任务” 形成了一个明确的分级结构(事实上, APQC PCF 流程分类分级模型就包含该结构) , 术语活动(activity) 的变化为业务识别建立了确定的基础。ISO 22301: 2019 3. 25 将优先活动定义为“为避免中中断期间 对业务 造成不 可接受 的 影响 而 采取 紧急 措 施 的 活 动 ”(activity to which urgency is given in order to avoid unacceptable impacts to the business during a disruption) , ISO 22301 : 2012 用 的 是 “ prioritized activities” , 并将其定义为“事件发生后为了 减轻影响必须执行的 活动” (activities to which priority must be given following an incident in order to mitigate impacts) , 并在注释中指出, 描述此类活动的常用术语包括:紧要的(critical) 、 必要的(essential) 、 重要的(vital) 、(urgent) 和关键的(key) 。 新版本的定义, 强调“中断期间” 、 “对业务不可接受的影响” 和“采取紧急措施” ,与新版本的其它部分保持一致, 并更能反映优先活动的本质内涵。
未完待续
