管理体系认证


 首页 >> 管理体系认证 日期:2023-02-05

一、项目背景

       近年来,自然灾难和人为事故频繁发生,尤其是突如其来的新冠疫情对全球企业都影响巨大,组织环境的不确定性和风险大幅度增加,加强组织业务连续性管理成为打造较佳应急预案的必然选择。2006年以来,英国、美国、新加坡、日本、以色列等国家对业务连续管理的理论研究和实践活动,投入了大量的人力物力制定了一系列的危机管理和业务连续的标准指南,为了满足组织对统一的业务连续性管理国际标准的需求,ISO 22301于2012年5月正式发布,等同转换的国家标准GB/T 30146- 2013<《 公共安全业务连续性管理体系要求》也于2013年正式颁布。2019年10月,ISO发布了新的ISO 22301:2019标准。这一崭新的管理体系与风险管理、 危机管理、公共关系、信息技术乃至信息安全等领域有着密切相关的联系。标准已经广泛用于银行业、证券业、保险业、电力行业、电信业、民航业的业务连续性认证,标准也适用于其他所有行业中的大、中、小型公有及私有组织。
       我国政府于2007年颁布了《中华人民共和国突发事件应对法》。初步形成了以“一案三制”,即各级应急预案,体制、机制和法制为核心的应急管理体系,在经历了2008初的南方冰冻雨雪灾害、“5.12” 汶川大地震、青海玉树地震、甘肃舟曲泥石流、2014年马航MH370飞机失事事件、2017 年九寨沟地震、2020年新冠肺炎等一系列灾难事件的考验后,这一体系不断地完善和进步。我国应对突发事件管理体系在管理思想上,与其他国家政府及企业所倡导的预防与预警机制、处置程序、应急保障措施以及事后恢复与重建措施的业务连续性管理方法有相似之处。如何在变化的自然和社会环境下,运用系统的方法,建立组织的业务连续管理框架与流程,是提高组织应对风险能力的良好捷径与方法。
       我国银行业已经走在了业务连续性管理的前沿。随着商业银行提供的服务越来越深入到国民经济社会生活中,银行机构运营的稳健性和安全性,已不仅仅只关系着其作为一个法人组织的经济收益、股东权益和组织生命力的问题。它更是一个关系着整个国家金融安全和社会秩序稳定与否的重大国计民生问题。加强组织建设,明确责任、落实工作责任,保证业务连续性,成为我国银行的重大经营目标之一 。
      企业通过实施ISO 22301业务连续性管理体系,帮助其面临突发事件时快速恢复业务连续性。尤其当企业遭遇严重疫情时,当工厂遭遇暴雨内涝时,当IT公司数据被黑时,当银行系统崩溃时,当企业发生安全事故出现人员伤
亡遭到或受到政府追责、当核心人员跳槽或离职导致核心资料丢失时,都可能导致突发的停工停产或者业务中断。这些企业提前策划评估风险,分析可能造成的影响,准备充分的资源并采取措施,建立业务连续性计划,一旦发生中断事件后按计划及时响应和恢复电力供应、设备运转、系统重启、员工到岗等,复工复产,较大限度降低损失,将通过建立业务连续性管理体系来实现。


二、GB/T 30146-2013标准框架

三、GB/T30146-2013标准内容要点
GB/T 30146-2013《公共安全业务连续性管理体系要求》标准明确了建立和实施业务连续性管理体系的工作流程,规定了业务连续性管理体系( BCMS )的主要内容:
1、组织的环境:组织对其所处环境的认识;对于业务连续性有影响的相关方的需求和期望的认识;业务连续性管理体系范围的界定:应用GB/T30146的总要求,建立组织的业务连续性管理体系;
2、领导力:领导力和承诺:业务连续性管理方针;组织架构及职责分工;
3、策划:通过分析实际发生的风险,识别组织的潜在损失的过程,识别导致组织中断和灾难的影响,即采用定性也可以采用定量技术,建立关键功能、恢复优先权和依存关系,设定RTO (恢复时间目标) RPO (恢复点目标) ;识别关键业务功能和业务过程,定性和定量化破坏造成的影响,建立优先权和RTO的过程,制定应对风险和机遇的措施,策划业务连续性目标的实现方法及程序;
4、支持:资源提供,包括人员及基础设施等;人员技能;人员意识;沟通;存档信息;
5、实施:通过业务影响分析( BIA)和风险评估(RA)对业务连续性的优先级和要求达成理解井取得一致, 使组织能确定支持其产品或服务的活动的恢复优先级。组织能够选取合适的业务连续性策略,识别和评估业务连续性的范围,使组织能够选择合适的方法预防优先活动的中断并处理发生的任何中断。使业务在认可的时间范围内恢复到可接受的程度,可接受的运行级别和允许的时间范围内为活动的恢复做准备,同时也需考虑任何风险的处置,建立事件响应机制,监测和响应事件的方法。业务连续行计划以及恢复到正常业务的程序。组织适时安排应急演练和测试,以识别改进组织的业务连续性;
6、绩效评估:业务连续性程序的监视、测量、分析和评价;按照计划的间隔进行内部审核、管理评审,以确保业务连续性管理体系持续的适宜、充分和有效;
7、改进:不符合和纠正措施:持续改进BCMS的适宜性、充分性和有效性。


四、业务连续性管理体系认证的目的及意义
       提高组织内部应对灾难、风险预测和快速应对的能力,适应需求和威胁的变化,保持竞争优势,提高业务连续性管理绩效及经济效益,保障公司、客户、合作伙伴等的相关单位的利益,对组织持续健康发展具有深远的意义。
       提高组织国际竞争力,维护组织正常运行秩序,保障社会安全、维护社会稳定,促进经济和社会发展起到非常积极的作用
       实施业务连续性标准的组织将能够向立法、执法部门、消费者以及其他的利益相关方证明,他们满足了良好规范的要求。
       通过第三方认证的方式促进组织提升业务连续性管理水平并实现持续改进,提供满足或超过组织预期的规范化服务。
       为行业主管部门提供采信的依据,助力市场监管和规范化管理,促使行业通过高标准的经营管理提升整体水平,激发市场活力,实现行业健康和可持续发展。


五、认证流程
六、认证结果的公布及查询方式
1.可通过国家认监委官方网站查询( www.zgwsjd.org ) ;