ISO22301：2019 BCMS目标统计汇总表

ISO22301：2019程序文件-核心信息安全管理程序文件编号版本号修改号核心信息安全管理程序BCM7.5-02A01.目的为控制公司的核心信息安全，明确岗位职责，规范操作流程，维护网络正常运行，确保计算机等核心信息安全，特制订本办法。

2.适用范围在企业中组织建立、实施、运行、监视、评审、保持和改进文件化的核心信息安全管理程序，提供必要的技术条件和设备设施保障，识别和管理可能存在的信息安全风险，确保信息安全事件的有效处理。

3.职责信息中心负责公司核心信息安全管理工作，核心信息安全主要包括网络安全、终端安全、数据安全、机房安全和第三方人员管理。

3.1负责公司网络安全和运维工作，对公司信息网络的运行管理进行维护和检查。

3.2负责公司终端安全管理，为公司终端安全管理建设提供指导，提高对于分散终端的安全管理能力，规范系统中终端用户的行为，降低来自终端的安全威胁。

3.3负责公司电子数据安全管理，其中特指对主要信息系统相关的重要数据，采取适当的保护措施。

3.4负责机房安全管理，对可能影响机房安全的各种因素进行控制，确保机房内计算机系统、网络设备以及其他设施的正常运行，保障机房工作人员的人身安全。

3.5负责第三方人员安全管理，减少第三方人员对信息系统带来的安全风险。

4.工作内容4.1 运行4.1.1信息安全风险评估计划和控制信息中心对信息安全风险评估工作进行规划和控制，并实施风险处置计划，确保信息安全目标的达成。

4.1.2 信息安全风险评估实施公司每年开展1次信息资产识别和信息安全风险评估的工作，当出现下列情况时，管理者代表可以决定增加风险评估的次数：公司的信息安全风险评估工作在公司整体风险管理的框架下进行，与公司整体风险管理的年度工作同步进行，评估所发现的风险作为公司整体风险的一部分。

4.1.3 信息安全风险控制措施实施公司针对评估出的信息安全风险应制定并实施信息安全风险处置计划，并保留信息安全风险处置结果文档化信息以作为证据。

BCM业务连续性文件编号版本号修改号方针BCM5.3-01A01.目的：为了确保BCM管理体系有效运行，以确保满足法律法规相关方的要求，明确管理目的和方向，特制定BCM管理承诺和方针管理规范，对承诺、方针进行宣传、理解并评审进行规范，必要时改进以提高管理水平。

2.适用范围：适用于BCM体系承诺、方针的制定贯彻和实施。

3.职责：3.1 最高管理者负责确定BCM承诺、审批方针；3.2 各级各部门负责宣传贯彻和实施BCM承诺、方针；3.3 有关人员理解和掌握并贯彻实施BCM承诺、方针。

4.承诺管理4.1 总经理负责制定并落实在BCMS方面的领导力和承诺如下：---确保已经为业务连续性管理体系制定了方针和目标并确保方针目标与组织的战略方向是一致的；---确保业务连续性管理体系的要求纳入组织的业务过程中；---确保业务连续性管理体系所需资源可用；---就业务连续性管理体系的有效性和符合BCMS要求的重要性进行传达；---确保业务连续性管理体系达到预期结果；---指导和支持员工为BCMS的有效性作出贡献；---推动持续改进---支持其他相关管理者在其职责领域内展示其领导作用和承诺。

4.2 总经理通过下列活动为建立实施、运行、监视、评审、保持和改进BCMS的承诺提供证据：---建立业务连续性方针---确保BCMS目标和和计划已被制定；---为业务连续性管理确定角色、职责和能力；---任命一名或多名具有适当权限和能力的BCMS责任人员来负责实施和保持BCMS .4.3 总经理通过下列方式确保相关角色的职责和职权在组织内被授权和传达：----确定风险接受准则和可接受的风险级别；----积极参与演练和测试；----确保BCMS的内部审核被执行；----实施BCMS的管理评审；----证明其对持续改进的承诺。

5.方针管理：5.1方针制定的要求：a)适应组织的宗旨并支持其战略方向；b)为业务连续性目标的制定提供框架；c)包括满足适用要求的承诺；d)包括对BCMS进行持续改进的承诺。

1.目的：为了建立业务连续性/可恢复性的计划与措施，本程序对生产时可能发生的不可预测因素（包括水灾、火灾、地震、雷击、台风、材料/能源供应意外、储运意外、生产人力不足，网络中断以及生产现场事故等），造成的资源保障失控、生产停顿等状况，建立应急机制，做好必要的安排与准备，确保一旦出现故障，能做出快速反应，稳定和扭转局势、快速集结并整合各方面资源，确保在交货期内向顾客提供符合质量、数量要求的产品。

2.范围：适用于本公司订单产品生产的应急处置，确保业务连续性、可恢复性，满足发生重大异常状况下客户订单的需求。

3.组织管理与职责3.1 危机应急处理小组：迅速成立以管理部经理为组长，采购课/品保部/制造部/营业部/仓库等部门负责人为成员的危机应急处理小组，统筹指挥生产的恢复。

具体应急分工是：3.2品保部：负责恢复生产时必须的来料、制程与成品的检验，并对不合格品进行检测、分析，制定有效的纠正预防措施，控制不合格品流入顾客。

3.3制造部：负责制定生产应急计划，恢复各生产线的运作，对现场各方面资源进行全面调配，重新组织顾客所需产品的生产加工。

3.4总经办：负责重大异常事件发生后，指导管理部对公司人员及机器设备/厂房/物料、信息资讯等各方面可用资源进行整合，制定应急计划，并统一调度与指挥各部门协调动作、恢复生产。

3.5营业部：负责客户订单的协调处理事宜，将客户的信息及时反馈给品保部、制造部等部门，并与之沟通公司应急计划进展情况。

3.6人事课：紧急招募、调配、组织各方面人力，以及相关工作协调。

包括：恢复生产时必须的管理/技术人员；足够的生产现场的各部门作业员；紧急状况下生产经营、管理秩序的建立与维护；紧急状况下为恢复生产对各方面可用资源迅速集结与整合；调配紧急状况下抢险的人力；对事件发生时对来自媒体、政府、社会团体、安全拯救部门的介入或咨询，作出安全、正面的公关应对与接待。

3.7各部门：负责向制造部联络各种紧急情况及做好相应的配合工作。

最新ISO22301：2019业务连续性管理体系管理评审一整套资料汇编B R9.3-01NO. 2020有限公司2020年BCM体系管理评审计划（通知）通 [2020] 12 号各部门、室、车间：为确保公司ISO22301：2019业务连续性管理体系持续的充分性、适宜性和有效性，决定开展2020年管理评审，具体评审计划安排如下:一、管理评审目的1、评价BCM体系的持续适宜性、充分性、有效性，确定各部门能否满足体系运行的各项要求，组织机构设置、资源配备能否充分发挥各职能的效率；2、评价BCM方针目标的实现情况及各部门满足体系运行的能力；确定BCM 管理体系运行总体状况；3、确定BCM体系运行中存在的不足和改进的机会，以持续改进。

二、评审依据1、 ISO22301：2019 公共安全业务连续性管理体系要求2、相关法规标准、顾客要求2、 BCM9.3-01管理评审控制程序等三、会议时间地点人员安排时间：20XX年X月XX日地点：会议室参加人员：各部门负责人、特邀人员等四、评审前的各部门报告准备各部门具体报告内容要求见附件“管理评审输入、输出文件表”。

要求各部门在 9月 28 日前提交书面或电子版的各《部门管理评审报告》交综合部汇总。

附件：管理评审输入输出报告分工有限公司20XX年X月XX日附件：管理评审输入输出分工（即会议汇报流程）编号输入资料名称或发言顺序负责部门※1风险机遇及措施有效性评价报告管代※2体系运行报告：体系目标实现情况管代※3体系相关内外部因素的变化管代※4知识信息及人力资源培训充分性情况报告综合部※5客户反馈、满意、投诉、退货情况报告。

评价公司质量、价格水平、顾客满意，公司在行业中所处的地位；业务部※6外部提供及绩效管控情况：采购及供方管理、绩效报告，对供方施加质量的影响控制情况采购部※7设计开发情况报告：评价公司新技术、研发新产品能力、及应对市场战略、社会需求和环境条件等的考虑或计划。

1 目的规定管理评审的内容与方法，确保本公司BCM管理体系持续的适宜性、充分性和有效性。

2 范围适用于本公司BCM管理体系评审。

3 定义无4 职责4.1 总经理：4.1.1 负责主持公司的管理评审，对公司BCM体系作出评价；4.1.2 对涉及公司BCM体系的重大修改作出决定；4.1.3 委托管理者代表、品保部进行管理评审的组织工作；4.1.4 对以往管理评审后纠正措施的实施效果作出评价4.2 管理者代表：负责向总经理报告公司BCM管理体系运行情况和改进建议的报告；4.3 品保部：4.3.1 受总经理委托协助管理者代表进行管理评审的组织工作；4.3.2 将内部审核结果递交管理评审；4.3.3 收集BCMS状况记录和BCMS目标的完成情况并递交管理评审；4.3.4 收集预防措施的有关信息并递交管理评审；4.3.5 管理评审后的纠正措施实施的监督。

4.4 新产品开发部、工艺工程部负责收集工艺能力状况信息并递交管理评审。

4.5 营业部负责收集顾客满意度调查等顾客的信息并递交管理评审；4.6 工艺工程部、技术模具部、总务课、品保部收集设备保养维护方面的信息，并递交管理评审；4.7 各相关部门负责将各自业务范围内体系运行情况及其评价、营业目标、质量指标的完成情况，涉及BCMS体系的重大信息递交管理者代表、在管理评审会议上发表意见并负责评审后有关纠正措施的实施。

4.8 品保部受总经理委托制订《管理评审年度计划》和《实施计划》，内容包括评审目的、内容、日程安排和参加人员，经管理者代表批准后，提前向参会者发放。

4.9 品保部负责组织管理评审会议相关事宜等。

5 程序内容5.1 管理评审每12个月进行一次，时间一般安排在年底或年初。

5.2 如有下列情况发生可随时进行评审：5.2.1本公司的组织机构及体制发生重大变化；5.2.2当外部环境发生重大变化，影响到本公司产品的市场或本公司的BCMS方针、目标，BCM管理体系可能与其不适时；5.2.3发生其他特殊情况必须进行管理评审时。

文件编号版本号修改号业务影响分析控制程序BCM8.2-01A01 目的本标准规定了业务影响分析控制的流程、要求，以确保与标准相关的风险都得到有效控制。

分析主要业务的灾备需求指标及信息系统恢复范围及指标，在物理场所和人员没有受到灾难的影响，中断发生在业务正常的对外服务时段，业务系统发生意外中断，其他备份业务运行的系统和网络可用2 范围本程序适用于公司BCMS业务影响分析的控制。

3 职责由业务部负责业务影响分析控制的计划、分析控制总归口管理，其它部门配合实施。

4程序内容4.1明确业务范围和目标，通常可以采用图表的形式，如核心业务：产品制造、销售、管理系统等。

4.2灾难恢复需求可以根据业务重点的财务影响和非财务影响两个因素进行评估。

进行财务影响评估，考虑制造业的特点，有的盈利信息即使对内部员工也不公开，可以采用主观评测的方法，定义财务影响级别，如极高，高，略高，中，稍低，低和无财务损失。

4.3非财务影响可以从几个方面考虑如：对公司声誉的影响，不能满足政府监督部门的要求，业务经营资质的影响，法律/诉讼风险，影响客户满意度，造成客户流失，影响投资者信心，给国家安全、社会稳定造成影响等，同样需要定义非财务影响的级别，如非常严重，严重，一般，轻微和无影响。

4.4分析业务中断影响情况： a)定义服务时间（如：7*24,7*8)和评估估值之间的对应关系，根据实际的业务的服务时间推测出服务时间估值。

b)定义用户数量和评估值之间的对应关系，根据每个业务的用户量推出用户数量估值， c)定义月业务量和评估估值之间的对应关系，并分析每个业务的月服务评估值。

d)假设业务中断30分钟，1小时，8小时和2天，评估每个业务在中断各个时间段对财务影响情况，推导出每个业务的月评估估值，还可以得出随着时间的增长，财务损失情况。

e)同样的方法分析，假设业务中断30分钟，1小时，8小时和2天，对非财务影响的情况，根据对公司声誉的影响，不能满足政府监管部门的要求，业务经营资质的影响，法律/诉讼风险，影响客户满意度，造成客户流失，影响投资者信心，给国家安全、社会稳定造成影响等几种非财务情况分别的进行估值。

e.评审时间安排。

f.评审方式。

5.3.管理评审的准备
5.3.1.综合部将总经理批准后的评审计划分发至各个部门,由部门负责
人准备并提供与本部门工作有关的评审所需的资料。

5.3.2.根据评审输入的要求，负责对评审资料进行收集后交由管理者代表进行整理和
确认，准备必要的文件。

5.3.3.综合部负责向参加评审的人员发放管理评审计划通知和有关资料。

5.4.管理评审输入
管理评审的输入一般包括以下内容：
a)以往管理评审措施的状态；
b)与业务连续性管理体系有关的外部和内部因素的变化；
c)业务连续性绩效的信息，包括以下方面的趋势：
1）不符合项及纠正措施；
2）监视和测量评价结果；
3）审核的结果
d)持续改进的机会
e)组织的绩效，包括：
——以往管理审核的后续跟进；
——改变BCMS的变更需求，包括方针和目标；
——改进机会
——BCM审核和评审的结果，包括对关键供应商和合作方（适用时）
——可能用于改进组织的BCMS绩效和有效性的技术、产品或程序
——纠正措施的状态；
——演练和测试的结果；
——在以往的风险评估中没有引起足够重视的风险和问题；
——无论是BCMS范围内部还是外部的任何能对BCMS产生影响的
变化；
——方针的充分性
——改进的建议。

实施策划和控制
文件编号版本号修改号
程序BCM8.1-01A0
1 目的
业务全程运行进行合理的策划及控制，使服务在各阶段中对均能建立有效之管制方法
2 范围
适用于公司实施策划和控制。

3 权责
项目责任部门
8.2 业务影响分析和风险评估业务部
业务部
8.3 业务连续性策略
业务部
8.4 建立和实施业务连续性程序
8.5 演练和测试业务部
4工作流程
总工作流程：
维护工作流程：
5 作业内容
5.1总则
公司策划、实施和控制满足要求所需的过程，制定本程序，并实施各类相关风险所确定的措施，包括以下：
A建立过程准则：确定服务的要求、各过程控制的程序规范文件
B按照准则执行这些过程的控制
C 确定和保持必要的存档信息。

各类策划输出应适合组织的运行；
控制有计划内的变更，评审非预期的变更的后果，必要时采取措施减轻任何不良影响。

如有外包过程时，确保外包过程的风险控制。

5.2业务影响分析和风险评估的控制
具体按照BCM8.2-01《业务影响分析控制程序》、BCM8.2-02《风险评估控制程序》执行。

5.3业务连续性策略。

1、目的对已出现的不合格原因进行分析，采取必要的措施，防止不合格的发生或再发生；以及在产品和过程特性、成本及服务等方面采取措施进行持续改进，从而不断提高产品、过程的质量水平和顾客满意度。

2、范围适用于本公司过程运作中，对已出现的不合格，采取纠正措施，以及进行持续改进的控制。

3、定义3.1 不合格―—没有满足某个规定的要求。

（包括一个或多个质量特性或BCM体系要素，偏离规定要求或缺陷）。

3.2 纠正措施――为防止已出现的不合格、缺陷或其它不希望的情况再次发生，消除其原因所采用的措施。

3.3 持续改进－－有别于纠正措施，是在满足规定要求的基础上更进一步的提升。

4、职责4.1 品保部负责不合格纠正措施的归口管理，负责纠正措施实施过程中的跟踪、协调、验证和评估；以及持续改进计划的编制、跟踪与验证。

4.2 管理者代表负责公司内重大的纠正措施制定的组织，在全公司贯彻推行持续改进的思想体系，协调跨部门的持续改进工作。

4.3 各有关部门按职能分配，负责本部门不符合的原因分析、所需采取纠正措施的制定和实施；以及持续改进项目在本部门的实施、资料整理与报告工作。

5、程序内容5．1 纠正措施5.1.1 纠正措施提出时机：当出现下列情况时，相关部门应填写纠正和预防措施报告，并发给责任部门处理。

5.1.1.1当顾客反馈信息的统计分析中已表明质量有下降趋势时；5.1.1.2当进货、过程和最终产品的不合格品信息的统计分析中已表明质量有下降趋势时；5.1.1.3当生产过程中出现不合格品时；5.1.1.4当内审或外审不合格时；5.1.1.5当管理评审要求时。

5.1.2 原因分析：责任部门应对不合格现象进行分析，确定不合格产生的原因，并填入《纠正和预防措施报告》中。

5.1.3 纠正措施的制定：针对不合格原因，责任部门制定纠正措施，措施应包括短期和长期的。

并规定责任人及完成期限。

然后交给品保部进行跟踪、验证确认。

5.1.4 纠正措施的执行：纠正措施经品保部确认后，由责任部门遵照执行，并保留相关记录。

存档信息控制程序 文件编号： 页 码：1 / 4 版本状态：0.0 制定部门：品保部 制定日期： 2019/3/101 目的本标准规定了存档信息控制的要求，以确保与标准相关的文件信息都得到有效控制。

2 范围本标准适用于公司与BCMS体系运行有关的程序、规范、外来文件和证据记录的控制。

3 定义存档信息：指内部程序、规范、记录、外来文件记录等。

3.1管理类文件内部管理资料，包括各类规范（制度）、证据记录、实物、标本等；外来文件资料，包括外来文件、信息等3.2外来文件有关的法律法规、标准和顾客提供的标准/规范、业务要求、更改通知等资料以及其它与管理体系有关的外来管理文件、记录。

3.3证据记录公司管理体系运行活动的相关证据、书面记录、电子版载体、实物等。

4 职责由品保部负责对各类文件的统一编号、登记、发放、回收、销毁归档管理工作。

具体存档信息的归口部门负责文件的编制、修订、实施、维护等工作。

5 程序内容存档信息的总控制权限见附件1.5.1编写与审批5.1.1 管理规范文件由各相关职能部门编制，部门负责人审核，主管批准。

5.1.2记录空白表格由各部门负责编制，部门负责人审核批准。

报体系归口部门-文管中心进行备案。

5.1.3存档信息的载体格式书面、电子版本、实物等媒体形式。

5.2 编号、标识5.2.1管理程序规范文件的编号方法：存档信息控制程序 文件编号： 页 码：2 / 4 版本状态：0.0 制定部门：品保部 制定日期： 2019/3/10一二三四阶文件编号原则如下： □ □ □ □1 2 3 4第1码 --- XXX公司通用文件代码；第2码 --- 文件类别：X--品质；X--环境；X--职业健康安全；X--品质和环境共享；X--品质、环境和职业健康安全、业务连续性管理共享；X--环境和职业健康安全共享；X--BCM体系 第3码 --- X--手册；X--程序；X--作业指导书；X--表单；第4码 ---流水码，对应所编份数，如：001，002…。

QR8.1-01 NO.01业务连续性实施总策划控制业务总活动准则及要求主题 1：项目启动和管理确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

A. 专业角色是：1. 引导项目发起人定义目标、政策和关键成功要素a. 范围和目标b. 法律和需求动机c. 案例和业界最佳实务2. （通过策划指导委员会和项目任务组）协调和组织／管理BCP项目和整体BCP过程3. 使用效益控制方法和更改管理机制检查BCP过程4. 向管理层和关键人员介绍（推销）BCP过程。

5. 制定项目计划和预算（来启动BCP过程）6. 定义和建议过程结构和管理方式7. 管理项目以制定和实施BCP过程B. 专家应该证明其具有以下领域的实务知识：1. 确定业务连续性需求a. 参考相关的法律／法规／法令／合同的需求和约束b. 如果合适，参考相关的行业贸易组织或机构的规定c. 参考相关当局的当前建议d. 将立法、规章和要求与机构的政策相联系e. 识别机构政策与相关外部需求的任何冲突f. 识别任何审计记录g. 提出解决机构政策与相关外部需求之间任何冲突的方法，可以包括BCP在内h. 识别可能对机构灾难恢复能力具有负面影响的业务措施。

2. 传播业务连续性计划的需求a. 通过正式的报告和介绍进行意识培养b. 陈述BCP的优点并将其与机构的使命、目标和营运利益联系起来。

c. 获得机构对BCP过程的承诺d. 制定BCP过程的任务条款／宪章3. 将行政管理层包括在BCP过程中a. 解释行政管理层在BCP过程中的角色b. 解释和传播管理层在BCP过程中的职责和义务。

4. 建立一个计划／策划指导委员会：角色和职责、机构的类型、控制和发展、以及成员a. 选择适当的人员b. 定义角色和职责c. 制定一套适当的BCP过程目标5. 编制预算需求a. 清晰定义资源需求b. 获得财务需求评估c. 验证资源需求的正确性d. 验证财务需求评估e. 与管理层协商资源和财务需求f. 获得财务需求的执行承诺6. 确定计划团队及职责a. 紧急事件管理／事件响应／危机管理团队b. 业务连续性计划团队（多地点、多分支、等。

BR8.3-02业务连续性策略控制1适用范围区域范围：办公区域。

业务范围：基础软件的销售和数据库维保服务、培训服务。

部门及人员范围：公司领导、综合部、系统支持部IT系统范围：系统运行管理、应用系统运行管理和介质管理网络范围：网络运行管理业务持续性专业服务范围：灾难演练服务和持续管理服务2术语、定义和缩略语灾难事件：可能导致全部或部分业务中断，继而威胁到业务的持续运营场景，并可能导致整个在商誉、财务能力、持续营运能力、业务开拓能力等方面造成打击的事件。

恢复时间点目标（RTO）：灾难发生后，系统和数据必须恢复到的时间点要求。

恢复时间目标（RPO）：灾难发生后，信息系统或业务功能从停顿到必须回复的时间要求。

3业务连续性方针和策略业务连续性战略方针：通过技术、运维管理能力以及灾难应急恢复预案，确保发生灾难后，业务可以在一定的时间内恢复到可以接受的运营状态。

保护优先活动，稳定、连续、重启和恢复优先活动及按该活动所依赖的活动和支持资源；减轻、响应和管理影响。

策略的确定，包括批准活动恢复的优先级时间表。

对供应商的业务连续能力进行评价。

业务连续性策略：按照业务连续性恢复资源的成本与风险可能造成的损失之间取得平衡的原则，即：“成本风险平衡原则”，确定关键业务功能的业务连续性策略。

4业务连续性恢复需求分析4.1风险分析：根据风险评估原则，对所有存在的风险进行风险评估和识别，现存的主要风险包括：⏹信息系统安全：通讯网络、数据、操作系统、办公软件、财务软件、开发软件、信息系统各类硬件⏹消防安全：火灾⏹供配电安全⏹空调系统安全⏹疾病防控安全：食物中毒、生产人身事故⏹自然灾害⏹设备设施异常：设备设施故障、老化、⏹外部故障：质量不良、退货投诉、⏹化学品泄漏⏹人力短缺⏹保密性文档资料证书印章丢失⏹相关方服务中断（供方）4.2业务影响分析：4.2.1业务影响分析（BIA）目的：⏹提供制定业务持续计划的基础；⏹提供客观的、可理解的、信息充分的结果，以使管理层能够用来指导业务持续计划的制定；⏹利用风险评估方式发现业务流程和系统的脆弱性；⏹确认哪些业务流程和资产需要更高级别的保护；⏹提供确认策略和后备方案所需的信息；⏹确认恢复目标及其时效性。