ISO22301：2019程序文件-业务连续性管理程序

BCM业务连续性文件编号版本号修改号方针BCM5.3-01A01.目的：为了确保BCM管理体系有效运行，以确保满足法律法规相关方的要求，明确管理目的和方向，特制定BCM管理承诺和方针管理规范，对承诺、方针进行宣传、理解并评审进行规范，必要时改进以提高管理水平。

2.适用范围：适用于BCM体系承诺、方针的制定贯彻和实施。

3.职责：3.1 最高管理者负责确定BCM承诺、审批方针；3.2 各级各部门负责宣传贯彻和实施BCM承诺、方针；3.3 有关人员理解和掌握并贯彻实施BCM承诺、方针。

4.承诺管理4.1 总经理负责制定并落实在BCMS方面的领导力和承诺如下：---确保已经为业务连续性管理体系制定了方针和目标并确保方针目标与组织的战略方向是一致的；---确保业务连续性管理体系的要求纳入组织的业务过程中；---确保业务连续性管理体系所需资源可用；---就业务连续性管理体系的有效性和符合BCMS要求的重要性进行传达；---确保业务连续性管理体系达到预期结果；---指导和支持员工为BCMS的有效性作出贡献；---推动持续改进---支持其他相关管理者在其职责领域内展示其领导作用和承诺。

4.2 总经理通过下列活动为建立实施、运行、监视、评审、保持和改进BCMS的承诺提供证据：---建立业务连续性方针---确保BCMS目标和和计划已被制定；---为业务连续性管理确定角色、职责和能力；---任命一名或多名具有适当权限和能力的BCMS责任人员来负责实施和保持BCMS .4.3 总经理通过下列方式确保相关角色的职责和职权在组织内被授权和传达：----确定风险接受准则和可接受的风险级别；----积极参与演练和测试；----确保BCMS的内部审核被执行；----实施BCMS的管理评审；----证明其对持续改进的承诺。

5.方针管理：5.1方针制定的要求：a)适应组织的宗旨并支持其战略方向；b)为业务连续性目标的制定提供框架；c)包括满足适用要求的承诺；d)包括对BCMS进行持续改进的承诺。

QR8.1-01 NO.01业务连续性实施总策划控制业务总活动准则及要求主题 1：项目启动和管理确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

A. 专业角色是：1. 引导项目发起人定义目标、政策和关键成功要素a. 范围和目标b. 法律和需求动机c. 案例和业界最佳实务2. （通过策划指导委员会和项目任务组）协调和组织／管理BCP项目和整体BCP过程3. 使用效益控制方法和更改管理机制检查BCP过程4. 向管理层和关键人员介绍（推销）BCP过程。

5. 制定项目计划和预算（来启动BCP过程）6. 定义和建议过程结构和管理方式7. 管理项目以制定和实施BCP过程B. 专家应该证明其具有以下领域的实务知识：1. 确定业务连续性需求a. 参考相关的法律／法规／法令／合同的需求和约束b. 如果合适，参考相关的行业贸易组织或机构的规定c. 参考相关当局的当前建议d. 将立法、规章和要求与机构的政策相联系e. 识别机构政策与相关外部需求的任何冲突f. 识别任何审计记录g. 提出解决机构政策与相关外部需求之间任何冲突的方法，可以包括BCP在内h. 识别可能对机构灾难恢复能力具有负面影响的业务措施。

2. 传播业务连续性计划的需求a. 通过正式的报告和介绍进行意识培养b. 陈述BCP的优点并将其与机构的使命、目标和营运利益联系起来。

c. 获得机构对BCP过程的承诺d. 制定BCP过程的任务条款／宪章3. 将行政管理层包括在BCP过程中a. 解释行政管理层在BCP过程中的角色b. 解释和传播管理层在BCP过程中的职责和义务。

4. 建立一个计划／策划指导委员会：角色和职责、机构的类型、控制和发展、以及成员a. 选择适当的人员b. 定义角色和职责c. 制定一套适当的BCP过程目标5. 编制预算需求a. 清晰定义资源需求b. 获得财务需求评估c. 验证资源需求的正确性d. 验证财务需求评估e. 与管理层协商资源和财务需求f. 获得财务需求的执行承诺6. 确定计划团队及职责a. 紧急事件管理／事件响应／危机管理团队b. 业务连续性计划团队（多地点、多分支、等。

iso 22301 2019 术语ISO 22301:2019术语解析一、业务连续性管理体系（BCMS）业务连续性管理体系是指一个组织为应对潜在的中断事件而建立的一系列政策、程序、流程和资源，旨在确保组织能够在中断事件发生时维持业务运营，并尽快恢复正常运营。

二、上下文上下文是指组织内外部环境中的各种因素和条件，这些因素和条件可能对组织的业务连续性产生影响。

上下文分析是指对这些因素和条件进行评估和理解，以便组织能够制定适当的业务连续性策略和计划。

三、风险风险是指潜在的不确定性事件或情况，可能对组织的业务连续性产生负面影响。

风险评估是指对潜在风险进行识别、分析和评估，以便组织能够采取适当的措施来降低风险和减轻潜在影响。

四、业务连续性策略业务连续性策略是指组织为应对潜在的中断事件而制定的一系列措施和方法。

业务连续性策略应该基于上下文分析和风险评估的结果，并包括预防、准备、应对和恢复等方面的措施。

五、业务连续性计划业务连续性计划是指组织为应对中断事件而制定的详细计划和程序。

业务连续性计划应该明确指定各个部门和人员的责任和职责，包括紧急响应、资源调配、通信和恢复等方面的内容。

六、演练和测试演练和测试是指组织定期进行的业务连续性计划验证活动。

通过演练和测试，组织可以评估业务连续性计划的有效性和可行性，并发现其中的问题和改进点，以便进一步完善和提升业务连续性能力。

七、绩效评估绩效评估是指对业务连续性管理体系的运行情况进行评估和审查。

组织应该制定相应的绩效指标和评估方法，并定期对业务连续性管理体系进行自我评估或由第三方进行审核，以确保其持续有效和符合要求。

八、持续改进持续改进是业务连续性管理体系的核心原则之一。

组织应该通过持续监测、评估和改进，不断提升其业务连续性能力和应对灾难的能力，以适应不断变化的环境和需求。

九、供应链业务连续性供应链业务连续性是指组织在供应链中的各个环节都能够保持业务连续性的能力。

组织应该与供应商和合作伙伴建立紧密的合作关系，并制定相应的业务连续性要求和措施，以确保供应链的稳定和可靠。

ISO22301：2019程序文件-业务连续性管理程序文件编号版本号修改号业务连续性管理程序BCM8.4-01A01.目的为了防止营运活动的中断,结合应急准备和响应控制程序,将灾难和管理缺失导致的营运中断情形降低到最低。

2.适用范围适用于本公司。

3.定义无4.职责4.1 最高管理者（总经理）:A、危机第一责任人，负责运营策划、实施、保持和持续改进；B、担任特别重大危机(Ⅰ级)的总指挥；C、重大危机后接受媒体报告。

4.2 质量负责人:A、危机第二责任人，负责各事业部运营执行；B、较大危机(Ⅱ级)及一般性危机(Ⅲ级)的总指挥。

4.3 管理部负责人:A、人才危机进行预测；B、收集各部门危机信息进行分析，启动危机预警；C、危机后人员的安抚及人力的调整；D、危机后对外信息的发布及媒体沟通；E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障。

4.4 市场营销部负责人:A、市场危机进行预测，收集市场信息；B、危机后负责向客户沟通，稳定市场。

4.5 事业部负责人:A、对本事业部存在危机信息的收集并汇报；B、危机后本事业部人员的安抚及人力的调整。

4.6 财务部负责人:A、财务危机进行预测；B、危机后提供危机所需的资金保障。

4.7 采购认证部负责人:A、供方危机进行预测；B、危机后物料的调配。

4.8 BCM工作小组:A、进行业务影响分析，识别关键活动及依赖，通过识别、定性或定量分析组织的业务功能的丧失、中断或损坏所造成的损失，为制定业务持续性策略提供依据；B、进行风险评估，对那些会导致关键业务中断的一系列的风险和威胁进行识别，通过分析其影响程度和发生概率，确定风险等级，进行风险排序并采取应对方案和措施，从而将风险尽可能降到最低；C、根据业务目标、收益成本和客户要求等因素，结合业务影响分析和风险评估，制定关键业务流程和恢复策略；D、依据BCM方法、工具和模板，在风险评估、业务影响和策略选择的基础上,拟制突发事件应急预案（IMP）和业务连续性计划（BCP）；E、进行BCM测试及演练，发现其中不足并加以改进；F、进行维护和改进，不断优化发展，满足公司业务需求。

1.目的：为了建立业务连续性/可恢复性的计划与措施，本程序对生产时可能发生的不可预测因素（包括水灾、火灾、地震、雷击、台风、材料/能源供应意外、储运意外、生产人力不足，网络中断以及生产现场事故等），造成的资源保障失控、生产停顿等状况，建立应急机制，做好必要的安排与准备，确保一旦出现故障，能做出快速反应，稳定和扭转局势、快速集结并整合各方面资源，确保在交货期内向顾客提供符合质量、数量要求的产品。

2.范围：适用于本公司订单产品生产的应急处置，确保业务连续性、可恢复性，满足发生重大异常状况下客户订单的需求。

3.组织管理与职责3.1 危机应急处理小组：迅速成立以管理部经理为组长，采购课/品保部/制造部/营业部/仓库等部门负责人为成员的危机应急处理小组，统筹指挥生产的恢复。

具体应急分工是：3.2品保部：负责恢复生产时必须的来料、制程与成品的检验，并对不合格品进行检测、分析，制定有效的纠正预防措施，控制不合格品流入顾客。

3.3制造部：负责制定生产应急计划，恢复各生产线的运作，对现场各方面资源进行全面调配，重新组织顾客所需产品的生产加工。

3.4总经办：负责重大异常事件发生后，指导管理部对公司人员及机器设备/厂房/物料、信息资讯等各方面可用资源进行整合，制定应急计划，并统一调度与指挥各部门协调动作、恢复生产。

3.5营业部：负责客户订单的协调处理事宜，将客户的信息及时反馈给品保部、制造部等部门，并与之沟通公司应急计划进展情况。

3.6人事课：紧急招募、调配、组织各方面人力，以及相关工作协调。

包括：恢复生产时必须的管理/技术人员；足够的生产现场的各部门作业员；紧急状况下生产经营、管理秩序的建立与维护；紧急状况下为恢复生产对各方面可用资源迅速集结与整合；调配紧急状况下抢险的人力；对事件发生时对来自媒体、政府、社会团体、安全拯救部门的介入或咨询，作出安全、正面的公关应对与接待。

3.7各部门：负责向制造部联络各种紧急情况及做好相应的配合工作。

最新ISO22301：2019业务连续性管理体系管理评审一整套资料汇编B R9.3-01NO. 2020有限公司2020年BCM体系管理评审计划（通知）通 [2020] 12 号各部门、室、车间：为确保公司ISO22301：2019业务连续性管理体系持续的充分性、适宜性和有效性，决定开展2020年管理评审，具体评审计划安排如下:一、管理评审目的1、评价BCM体系的持续适宜性、充分性、有效性，确定各部门能否满足体系运行的各项要求，组织机构设置、资源配备能否充分发挥各职能的效率；2、评价BCM方针目标的实现情况及各部门满足体系运行的能力；确定BCM 管理体系运行总体状况；3、确定BCM体系运行中存在的不足和改进的机会，以持续改进。

二、评审依据1、 ISO22301：2019 公共安全业务连续性管理体系要求2、相关法规标准、顾客要求2、 BCM9.3-01管理评审控制程序等三、会议时间地点人员安排时间：20XX年X月XX日地点：会议室参加人员：各部门负责人、特邀人员等四、评审前的各部门报告准备各部门具体报告内容要求见附件“管理评审输入、输出文件表”。

要求各部门在 9月 28 日前提交书面或电子版的各《部门管理评审报告》交综合部汇总。

附件：管理评审输入输出报告分工有限公司20XX年X月XX日附件：管理评审输入输出分工（即会议汇报流程）编号输入资料名称或发言顺序负责部门※1风险机遇及措施有效性评价报告管代※2体系运行报告：体系目标实现情况管代※3体系相关内外部因素的变化管代※4知识信息及人力资源培训充分性情况报告综合部※5客户反馈、满意、投诉、退货情况报告。

评价公司质量、价格水平、顾客满意，公司在行业中所处的地位；业务部※6外部提供及绩效管控情况：采购及供方管理、绩效报告，对供方施加质量的影响控制情况采购部※7设计开发情况报告：评价公司新技术、研发新产品能力、及应对市场战略、社会需求和环境条件等的考虑或计划。

QR8.1-01 NO.01业务连续性实施总策划控制业务总活动准则及要求主题 1：项目启动和管理确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

A. 专业角色是：1. 引导项目发起人定义目标、政策和关键成功要素a. 范围和目标b. 法律和需求动机c. 案例和业界最佳实务2. （通过策划指导委员会和项目任务组）协调和组织／管理BCP项目和整体BCP过程3. 使用效益控制方法和更改管理机制检查BCP过程4. 向管理层和关键人员介绍（推销）BCP过程。

5. 制定项目计划和预算（来启动BCP过程）6. 定义和建议过程结构和管理方式7. 管理项目以制定和实施BCP过程B. 专家应该证明其具有以下领域的实务知识：1. 确定业务连续性需求a. 参考相关的法律／法规／法令／合同的需求和约束b. 如果合适，参考相关的行业贸易组织或机构的规定c. 参考相关当局的当前建议d. 将立法、规章和要求与机构的政策相联系e. 识别机构政策与相关外部需求的任何冲突f. 识别任何审计记录g. 提出解决机构政策与相关外部需求之间任何冲突的方法，可以包括BCP在内h. 识别可能对机构灾难恢复能力具有负面影响的业务措施。

2. 传播业务连续性计划的需求a. 通过正式的报告和介绍进行意识培养b. 陈述BCP的优点并将其与机构的使命、目标和营运利益联系起来。

c. 获得机构对BCP过程的承诺d. 制定BCP过程的任务条款／宪章3. 将行政管理层包括在BCP过程中a. 解释行政管理层在BCP过程中的角色b. 解释和传播管理层在BCP过程中的职责和义务。

4. 建立一个计划／策划指导委员会：角色和职责、机构的类型、控制和发展、以及成员a. 选择适当的人员b. 定义角色和职责c. 制定一套适当的BCP过程目标5. 编制预算需求a. 清晰定义资源需求b. 获得财务需求评估c. 验证资源需求的正确性d. 验证财务需求评估e. 与管理层协商资源和财务需求f. 获得财务需求的执行承诺6. 确定计划团队及职责a. 紧急事件管理／事件响应／危机管理团队b. 业务连续性计划团队（多地点、多分支、等。

XXX有限公司程序规范ISO22301:2019文件编号: 4.2— 10.2版本/状态: A/0生效日期: 2020年2月21日编制：日期: 2020-2-21 审核: 日期：2020-2-21 批准：日期：2020-2-21目录过程名称标准条款号程序规范归口部门4.1 理解组织及其环境4.2 理解利益相关方的需求和期望4.3 确定业务连续性管理体系的范围P1-组织环境4.4 业务连续性管理体系4.2-01法律法规相关方要求控制程序综合部5.1 领导力和承诺.5.2管理承诺5.3方针P2-领导力5.4组织角色职责和权限5.3-01《业务连续性承诺方针》5.4-01《体系及各岗位职责权限分配》综合部P3-风险机会 6.1 应对风险和机会措施 6.1-01风险和机会控制程序综合部P4-目标计划.6.2 业务连续性目标及实现计划.BR6.2-01 S目标展开计划综合部P5-资源7.1 资源7.1-01资源控制程序综合部7.2 能力7.3 意识P6-人力资源7.4 沟通7.2-01人力资源控制程序7.4-01信息交流沟通控制程序综合部7.5 存档信息7.5.1 总则7.5.2 创建和更新P7-存档信息7.5.3 存档信息管理7.5-01存档信息控制程序综合部P8-实施策划控制8.1 实施的策划和控制.8.1-01实施策划和控制程序业务部P9-影响分析评估8.2 业务影响分析和风险评估8.2-01业务影响分析控制程序8.2-02信息化风险评估控制程序业务部P10-连续性策略8.3 业务连续性策略BR8.3-01业务连续性策略业务部P11-连续性程序8.4 建立和实施业务连续性程序8.4-01业务连续性管理程序8.4-02灾害灾难紧急预案8.4-03消防安全管理制度8.4-04危险化学品管理制度8.4-05供应商管理程序8.4-06外部提供过程产品服务控制程序8.4-07顾客反馈投诉控制程序8.4-08预警沟通管理程序8.4-09备份和恢复管理程序业务部等P12-演练和测试8.5 演练和测试8.5-01应急准备响应管理程序业务部P13-监测量分析评价9.1 监视、测量、分析和评价9.1-01监测分析评价程序综合部P14-内部审核9.2 内部审核9.2-01内部审核控制程序综合部P15-管理评审9.3 管理评审9.3-01管理评审控制程序综合部P16-改进10.1 总则10.1-01不合格纠正措施控制程序综合部10.2 不合格和纠正措施10.2-01持续改进控制程序10.3 持续改进。

ISO22301企业连续性管理系统控制程序ISO 22301 企业连续性管理系统控制程序响应格式1. 引言1.1 目的本文档旨在详细阐述 ISO 22301 标准下企业连续性管理系统的控制程序。

本程序的制定和实施旨在确保公司在面临各种潜在风险和灾难时，能够持续运营，保障企业的长期稳定发展。

1.2 范围本控制程序适用于我公司全范围内，包括各分支机构、部门和子公司。

1.3 参考资料- ISO 22301:2019 标准- 国家相关法律法规- 企业内部管理文件2. 术语和定义- 企业连续性管理（Business Continuity Management）：企业为应对各种风险和灾难，采取措施以保障企业在遭遇突发事件时，能够尽快恢复正常运营的过程。

- 控制程序（Control Procedure）：为确保特定目标实现而制定的一系列具体、可操作的措施和方法。

3. 控制程序要素3.1 风险评估- 收集和分析与业务连续性相关的风险信息，包括自然灾害、技术故障、人为错误等。

- 评估风险的可能性和影响，确定风险等级，制定相应的风险应对措施。

3.2 连续性计划- 制定企业连续性计划，明确在遭遇突发事件时的应急响应措施、人员职责、资源调配等。

- 定期审查和更新连续性计划，确保其与企业运营实际情况保持一致。

3.3 应急响应- 建立应急响应机制，包括预警系统、应急联络人、应急物资等。

- 组织应急演练，提高员工应对突发事件的能力。

3.4 业务恢复- 制定业务恢复计划，明确在突发事件后恢复业务的步骤、方法和时间表。

- 确保关键业务系统和数据能够在规定时间内恢复。

3.5 沟通与协调- 建立内部、外部沟通机制，确保在突发事件发生时，相关信息能够及时、准确地传递给相关人员。

- 与政府、行业协会、供应商等外部单位建立协调机制，共同应对突发事件。

3.6 培训与宣传- 对员工进行连续性管理培训，提高员工的意识、知识和技能。

- 通过各种渠道宣传连续性管理的重要性，形成全员参与的良好氛围。

1 目的基于BIA过程所确定的优先级过程、活动和相对应的依存活动，对可能造成公司中断事件的固有风险进行识别、分析与评定，并采取相适应的措施来消除或减少其风险，把握好机遇，从而实现业务连续性管理体系的改进。

2 范围本程序适用于以下范围：2.1 考虑公司所处的内外部环境和相关方的需求和期望（包括法律和法规要求）所确定的需要应对的风险和机会。

2.2 已确定的优先级过程、活动和相对应的依存活动中的固有风险的识别、分析与评定，以及应对措施的策划、实施与改进。

3 职责由品保部主导业务连续性的风险评估（RA），并组织策划、实施应对措施，其它部门配合实施。

4 程序4.1 风险识别的时机a）业务连续性管理体系策划时；b）内、外部环境发生变化时；c）相关方的需求和期望发生变化时；d）相关法律和法规新发布或修订时；e）中断事件发生时；f）业务连续性计划（BCP）、灾难恢复计划（DRP）演练未达成预期结果时；g）可能产生新风险的其他情况。

4.2 风险识别4.2.1 品保部组织各相关部门对影响业务连续性管理体系预期结果的各种风险进行识别，并将识别结果记录于《业务连续性风险评估表RA》中。

4.2.2 风险识别的方法包括但不局限于以下：a）现场调查法：在各相关部门工作现场与相关人员进行沟通并现场讨论，列出各种与该依存活动相关的风险。

b）头脑风暴法：基于本公司所有人员的经验及掌握的历史数据，通过会议讨论的方式进行识别。

4.3 风险分析与评定4.3.1 品保部组织各责任部门及人员对各自识别的风险进行“严重度（S）、频度（O）”二个方面的分析，其分析的评分准则如下：b）频度（O）评分准则4.3.2 根据以下公式计算出风险值，并评定其风险等级：a）风险值=严重度（S）X频度（O）b）风险等级：当风险值为16～25时属于高风险；当风险值为9～15时属于中风险；当风险值为1～8时属于低风险。

4.3.3 风险分析与评定的结果记录于《业务连续性风险评估表RA》相应的栏位中。

1.目的为避免违反任何法律、法规，以及法定的或者合同约定的义务，使BCMS的策划、运行、绩效评价和改进置于法律、法规和合同约定的要求的约束之下，特制定本程序。

2.范围国家和地方法律、法规的相关规定，以及与相关方的合同约定的业务连续性方面的义务。

3.职责3.1 品保部负责组织收集与业务连续性有关的法律法规并对适用性评价，并按照国家、地方有关规定对录入的相关方提供的个人信息进行妥善管理与保护。

3.2 营业部负责根据与客户的合同约定确定我方所必需遵守的义务，并保证日常业务的进行处于合同约定的要求之下。

3.3 管理部负责对公司使用的软件定期进行评审，避免盗版软件的下载与安装。

3.4 各部门应按照有关法律、法规要求，为重要记录提供适当的保护。

4.程序4.1 法律法规的识别与符合性评价4.1.1 品保部负责组织收集与业务连续性有关的法律、法规并对适用性评价，确定其使用范围和具体适用条款，形成有效最新版本的《法律法规、标准清单》，将法律法规相关存档信息一起通过内部邮件等方式传达给有关部门并予以执行。

4.1.2 相关部门负责每年至少一次对法律、法规的合规性进行评价，保持适用的法律、法规得以有效执行，并填写《法律法规合规性评价表》。

4.2 相关方要求的识别与符合性评估4.2.1 本公司识别的与业务连续性管理相关的相关方有：员工、股东、体系认证机构、客户、供方和合作伙伴、政府单位等。

4.2.2 品保部于业务连续性管理体系建立之初，负责组织各相关部门进行相关方需求和期望的获取，并填写《相关方需求与期望清单》。

4.2.3 品保部对各部门获取的相关方需求和期望进行汇总，充分考虑技术条件、经济条件等因素，并对其进行分析，应用于业务连续性管理体系中。

4.2.4 品保部根据行业特点及公司发展需要，适当时组织相关部门人员对影响企业发展的相关方需求和期望进行监视和评审，并依此及时更新《相关方需求与期望清单》。

4.2.5 相关方需求和期望的监视和评审结果，将作为管理评审的输入予以讨论。

文件编号版本号修改号业务影响分析控制程序BCM8.2-01A01 目的本标准规定了业务影响分析控制的流程、要求，以确保与标准相关的风险都得到有效控制。

分析主要业务的灾备需求指标及信息系统恢复范围及指标，在物理场所和人员没有受到灾难的影响，中断发生在业务正常的对外服务时段，业务系统发生意外中断，其他备份业务运行的系统和网络可用2 范围本程序适用于公司BCMS业务影响分析的控制。

3 职责由业务部负责业务影响分析控制的计划、分析控制总归口管理，其它部门配合实施。

4程序内容4.1明确业务范围和目标，通常可以采用图表的形式，如核心业务：产品制造、销售、管理系统等。

4.2灾难恢复需求可以根据业务重点的财务影响和非财务影响两个因素进行评估。

进行财务影响评估，考虑制造业的特点，有的盈利信息即使对内部员工也不公开，可以采用主观评测的方法，定义财务影响级别，如极高，高，略高，中，稍低，低和无财务损失。

4.3非财务影响可以从几个方面考虑如：对公司声誉的影响，不能满足政府监督部门的要求，业务经营资质的影响，法律/诉讼风险，影响客户满意度，造成客户流失，影响投资者信心，给国家安全、社会稳定造成影响等，同样需要定义非财务影响的级别，如非常严重，严重，一般，轻微和无影响。

4.4分析业务中断影响情况： a)定义服务时间（如：7*24,7*8)和评估估值之间的对应关系，根据实际的业务的服务时间推测出服务时间估值。

b)定义用户数量和评估值之间的对应关系，根据每个业务的用户量推出用户数量估值， c)定义月业务量和评估估值之间的对应关系，并分析每个业务的月服务评估值。

d)假设业务中断30分钟，1小时，8小时和2天，评估每个业务在中断各个时间段对财务影响情况，推导出每个业务的月评估估值，还可以得出随着时间的增长，财务损失情况。

e)同样的方法分析，假设业务中断30分钟，1小时，8小时和2天，对非财务影响的情况，根据对公司声誉的影响，不能满足政府监管部门的要求，业务经营资质的影响，法律/诉讼风险，影响客户满意度，造成客户流失，影响投资者信心，给国家安全、社会稳定造成影响等几种非财务情况分别的进行估值。

e.评审时间安排。

f.评审方式。

5.3.管理评审的准备
5.3.1.综合部将总经理批准后的评审计划分发至各个部门,由部门负责
人准备并提供与本部门工作有关的评审所需的资料。

5.3.2.根据评审输入的要求，负责对评审资料进行收集后交由管理者代表进行整理和
确认，准备必要的文件。

5.3.3.综合部负责向参加评审的人员发放管理评审计划通知和有关资料。

5.4.管理评审输入
管理评审的输入一般包括以下内容：
a)以往管理评审措施的状态；
b)与业务连续性管理体系有关的外部和内部因素的变化；
c)业务连续性绩效的信息，包括以下方面的趋势：
1）不符合项及纠正措施；
2）监视和测量评价结果；
3）审核的结果
d)持续改进的机会
e)组织的绩效，包括：
——以往管理审核的后续跟进；
——改变BCMS的变更需求，包括方针和目标；
——改进机会
——BCM审核和评审的结果，包括对关键供应商和合作方（适用时）
——可能用于改进组织的BCMS绩效和有效性的技术、产品或程序
——纠正措施的状态；
——演练和测试的结果；
——在以往的风险评估中没有引起足够重视的风险和问题；
——无论是BCMS范围内部还是外部的任何能对BCMS产生影响的
变化；
——方针的充分性
——改进的建议。

BR8.3-02业务连续性策略控制1适用范围区域范围：办公区域。

业务范围：基础软件的销售和数据库维保服务、培训服务。

部门及人员范围：公司领导、综合部、系统支持部IT系统范围：系统运行管理、应用系统运行管理和介质管理网络范围：网络运行管理业务持续性专业服务范围：灾难演练服务和持续管理服务2术语、定义和缩略语灾难事件：可能导致全部或部分业务中断，继而威胁到业务的持续运营场景，并可能导致整个在商誉、财务能力、持续营运能力、业务开拓能力等方面造成打击的事件。

恢复时间点目标（RTO）：灾难发生后，系统和数据必须恢复到的时间点要求。

恢复时间目标（RPO）：灾难发生后，信息系统或业务功能从停顿到必须回复的时间要求。

3业务连续性方针和策略业务连续性战略方针：通过技术、运维管理能力以及灾难应急恢复预案，确保发生灾难后，业务可以在一定的时间内恢复到可以接受的运营状态。

保护优先活动，稳定、连续、重启和恢复优先活动及按该活动所依赖的活动和支持资源；减轻、响应和管理影响。

策略的确定，包括批准活动恢复的优先级时间表。

对供应商的业务连续能力进行评价。

业务连续性策略：按照业务连续性恢复资源的成本与风险可能造成的损失之间取得平衡的原则，即：“成本风险平衡原则”，确定关键业务功能的业务连续性策略。

4业务连续性恢复需求分析4.1风险分析：根据风险评估原则，对所有存在的风险进行风险评估和识别，现存的主要风险包括：⏹信息系统安全：通讯网络、数据、操作系统、办公软件、财务软件、开发软件、信息系统各类硬件⏹消防安全：火灾⏹供配电安全⏹空调系统安全⏹疾病防控安全：食物中毒、生产人身事故⏹自然灾害⏹设备设施异常：设备设施故障、老化、⏹外部故障：质量不良、退货投诉、⏹化学品泄漏⏹人力短缺⏹保密性文档资料证书印章丢失⏹相关方服务中断（供方）4.2业务影响分析：4.2.1业务影响分析（BIA）目的：⏹提供制定业务持续计划的基础；⏹提供客观的、可理解的、信息充分的结果，以使管理层能够用来指导业务持续计划的制定；⏹利用风险评估方式发现业务流程和系统的脆弱性；⏹确认哪些业务流程和资产需要更高级别的保护；⏹提供确认策略和后备方案所需的信息；⏹确认恢复目标及其时效性。

ISO22301-2019业务连续性管理体系新版标准的变化最新版本IS022301：2019的关键改进包括更倾向的结构和术语,以促进对所需内容的更好理解，并进行更新使其以其它ISO 管理体系标准保持一致。

自2012年首次发布以来，ISO22301标准已成为业务连续性管理系统的国际基准。

根据ISO调查,超过4000个组织持有ISO22301证书。

该标准的受欢迎程度已经在非常不同的行业中传播-仅举几个例子，DQS拥有认证银行，化工厂,IT服务提供商以及汽车零件制造商。

考虑到这种流行性，仅适合ISO审查标准并结合其使用最初几年的经验。

IS022301：2019新版本于2019専年11月发布。

ISO22301:2019好消息:变化是有限的让我们从要点开始:如果您已经通过IS022301：2012认证，那么过渡IS022301：2019应该没有任何问题。

IS022301:2019与2012并排比较表明，ISO22301:2019标准没有重大的结构更改。

在过去的几年中，对ISO管理体系标准进行修订具有挑战性的主要原因之了高级结构，它是所有ISO管理体系系标准的统一结构和核心文本。

但是，2012年版的IS022301:2012已经具有高级结构,这是最早采用这种新结构的ISO标准之一。

因此，工作组不必重写整个标准，而可以专注于措辞和清晰度。

减少了许多多余的部分，定义变得更加一致，案文变得更加合乎逻辑.ISO22301:2019好消息:回到BCM的本质特别有趣的是，有多少要求已被还原到本质上.第4.1节就是一个很好的例子:IS022301:2012年版规定了组织需要做些什么（和记录了！）才能理解组织及其背景，而新版IS022301:2019仅说明了“确定外部和内部问题”的需要，而没有具体说明这意味着什么。

IS022301:2019没有说需要考虑哪些方面，也没有包括记录该过程的要求。

关于通讯的第7.4节发生了类似的事情：新版本IS022301:2019的说明性明显降低。