技术博客

现在的人，唯恐自己不聪明。 可是，很多人却忽略了“糊涂”的智慧。 莎士比亚曾说：“与其做愚蠢的聪明人，不如做聪明的笨人。” 很多时候，懂得装傻的人，看似蠢笨，实则清醒无比。 这是一种智慧，更是一种境界，做人的最高境界，莫过于:大巧若拙、大勇若怯、大智如愚！ 莫言曾在多个场合坦言自己很傻，“我不够圆滑，不够成熟，也不够老练。” 但在我看来他的傻，并非不谙世事的愚笨，而是洞悉人性后的淡定，看过人间百态后的悲悯。 很多时候，巧诈不如拙诚，做一个又傻又笨的人，才是最高级的聪明。 01 傻，是不露锋芒的修养 莫言获得诺奖后，央视派人专门到他家做采访。 采访当中，小区有户人家正在施工，屋里的录制工作数次被电焊声响打断。 莫言的朋友坐不住了，正准备下楼去与对方理论，告诉他们楼上正在采访大作家。 莫言察觉到朋友的意图后，赶紧拿起几包糖果和烟让朋友带去，“告诉师傅们，吃颗糖，抽根烟。” 即便已经声名在外，莫言却从不因自己的身份而怠慢他人。 《菜根谭》里说：“君子聪明不露，才华不逞。” 才高而不自诩，位高而不自傲。 越是厉害的人，越懂得放低自己。 锋芒毕露者难赢，克己让人者易得。 为人处世，懂得放低姿态，才能赢得人心。 02 傻，是不计得失的善良 曾看过一位网友分享的故事。 网友的二叔，是一名普通的泥瓦工人，二叔为人憨厚，干过不少让自己吃亏的事。 他们打零工的，有时候中午不包饭，他每次都会打包一些饭菜

ISO22301业务连续性管理(BusinessContinuityManagement，简称：BCM) 最新国际标准ISO 22301（前身BS25999）,是能够帮助企业制定一套一体化的管理流程计划，使企业对潜在的灾难加以辨别分析，帮助其确定可能发生的冲击对企业运作造成的威胁，并提供一个有效的管理机制来阻止或抵消这些威胁，减少灾难事件给企业带来损失。它强调制定目标、监测表现和指标、对企业管理层提出了更加清晰的期望值，对业务连续性计划的制定提出了更高的要求。 ISO22301认证实施时，将分为10个步骤进行实施： 一、启动调研 通过对企业的组织架构、管理流程、业务运作模式和IT支持系统进行考察和调研，以确定业务持续性管理（BCM）过程或功能的需求。 二、风险评估 确定可能造成机构及其设施中断和灾难、具有负面影响的突发事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。 怎么实施ISO22301 三、业务影响分析 确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相互依赖性以便确定恢复时间目标。 四、容灾策略制定 在本阶段，结合以上各阶段的分析成果，以及在容灾上的投入能力，制订企业系统短期、长期范围内的容灾策略和目标，并有意识地将本身的人

• 步骤1 – BCM方案管理 方案管理建立 (如果有必要)和维护组织的业务连续性能力，并与组织的规模和复杂程度相适宜。在这第一步骤中，文件化BCM的范围和BCM核心团队及其角色和职责被批准是关键问题。 • 步骤2 – 理解组织 与此步骤相关的活动是提供决定组织产品和服务的优先次序的信息，识别关键的支持活动及其资源。业务影响分析(BIA)和风险评估也是这个阶段的关键部分。 • 步骤3 – 确定业务连续性管理策略 允许选择适当的响应优先的业务活动，使得组织遇中断后能够在预先定义的时间内恢复和继续提供产品或服务。在开发持续计划之前需预先定义的关键时间，如MAO, MBCO, MTPD, RTO和RPO 。 • 步骤4 – 开发和实施BCM响应 这涵盖开发应急响应，危机管理和业务连续性计划，详细阐明在中断中以及中断后采取维持和复原优先级业务过程或运营到预先定义水平的步骤。 •步骤5 – 演练、维护和评审BCM安排 在计划的时间间隔内演练以达到业务连续性目标和识别改进机会，可以让组织证明其战略及计划和与目标的符合性。 • 步骤6 – 嵌入BCM在组织文化中 这使BCM成为组织的核心价值的一部分， 在组织所有相关方的各层级中灌输信心， 应对中断。企业需要培训那些负责执行BCM、响应中断，以及受计划影响的相关人员。组织不仅应把计划落到实处，还应定期审查计划得到更新，确保

ISO22301:2019标准已于2019年10月正式发布，目前倍思天成顾问已为大多的老客户进行了换版的咨询服务工作。 一、相对ISO22301:2012版标准，ISO22301:2019版标准的主要变化如下： 2012年之后ISO对管理体系标准的要求得到了应用； 对已有需求澄清，没有添加新的需求； 专门针对业务连续性的需求几乎完全在第8章之内； 第8章已经被重新构建，以便更清楚地理解关键需求； 一些针对业务连续性的术语已经修改，以提高清晰度并反映当前的想法。 二、标准换版的时间轴和里程碑 依据2019年10月国际认可论坛（IAF）成员大会，有关ISO 22301:2019转换的决议（编号为：IAF Resolution 2019-17）。该决议规定ISO 22301:2019的转换期为3年，即2019.10.31至2022.10.30；在转换期截止后，获认可的、依据ISO 22301:2012的认证证书将过期失效或被撤销。国家认监委于2015年9月28日发布2015年第30号公告——《国家认监委关于管理体系认证标准换版工作安排的公告》。国家认可委（CNAS）发布CNAS-EC-060_2019《关于业务连续性管理体系认证标准ISO 22301-2019换版的认可转换说明》的通知。 我们归纳换版时间节点如下： 2019年10月ISO22301:2019 正式发布，进入3年过渡期，2

国际标准化组织（International Organization for Standardization，ISO）近期已宣布针对ISO 22000食品安全管理系统标准启动改版程序，由于ISO 22000于2005年首次出版后，在供应链上的组织一直面临新的食品安全挑战，因此促使标准进行修改，实际上是ISO标准修改的正常过程。事实上，ISO标准每5年进行审查，以确定既有版本是否符合当前所需，以确保该标准仍尽可能的适用与符合于产业中的组织。 据了解，ISO 22000家族系列国际标准涉及了食品安全管理，以ISO 22000：2005为基础，包含了数个标准： （一）ISO/TS 22002：食品安全前提方案的技术指引，分成四个部分，分别为食品制造、团膳、农场及食品包材制造。协助组织建立、实施及维持前提方案，以管制食品安全危害。 （二）ISO 22003：2013：提供食品安全管理系统审核及验证机构之要求。 （三）ISO 22004：2005：是ISO 22000：2005的应用指引，不会创造或更改ISO 22000中的任何要求，可以自由选择必要的方法来满足ISO 22000的要求，ISO 22004提供的是指导，在任何情况下都不会被视为要求。 （四）ISO 22005：2007：饲料及食品链的追溯作为系统设计与开发的一般原则与指引，可追溯性系统是一种技术工具，可帮助组织在必要时用于确定

【摘要】ISO 37001是第一个国际反贿赂管理体系标准，旨在帮助各组织在其自身业务及其整个全球价值链中打击贿赂风险。   贿赂是当今世界最具有破坏性和挑战性的问题之一。 每年超过1,000,000,000,000(一万亿)美金的贿赂款给我们带来了灾难性的后果，如：降低了人们的生活质量、加大了贫穷、侵蚀了公共资源… 尽管各个国家和国际层面均为解决腐败贿赂做出了不懈努力，但这依然是一个严峻的问题。鉴于此，为了帮助各大组织与腐败贿赂斗争，也为了推动世界范围内的商业道德文化建设，ISO近期起草了相关标准。   标准编号为ISO37001，是关于反贿赂管理体系的国际标准，其中，标准阐述了一列措施用于帮助各大组织预防、监控以及处理贿赂问题。无论贿赂是组织行为，还是其员工或业务伙伴代表组织行贿。反贿赂管理体系采用包括支持性指导在内的一系列相关措施和控制措施规定了以下要求： 反贿赂政策和程序 高层领导、承诺和责任 合规经理或职能的监督 反贿赂培训 对项目和业务伙伴的风险评估与尽职调查 财务、采购、商业和合同控制 报告、监测、调查和审查 纠正措施和持续改进   ISO勾勒出了一个完善的反贿赂系统，用于公司自查其是否符合标准。 ISO37001审核及发布时间排期– 2016年9月份正式颁布   ISO37001适用于谁？ 各个国家的各大组织均适用