最新ISO22301：2019业务连续性管理体系管理评审一整套资料汇编

ISO22301-2019业务连续性管理体系新版标准的变化

ISO22301-2019业务连续性管理体系新版标准的变化最新版本IS022301：2019的关键改进包括更倾向的结构和术语,以促进对所需内容的更好理解，并进行更新使其以其它ISO 管理体系标准保持一致。

自2012年首次发布以来，ISO22301标准已成为业务连续性管理系统的国际基准。

根据ISO调查,超过4000个组织持有ISO22301证书。

该标准的受欢迎程度已经在非常不同的行业中传播-仅举几个例子，DQS拥有认证银行，化工厂,IT服务提供商以及汽车零件制造商。

考虑到这种流行性，仅适合ISO审查标准并结合其使用最初几年的经验。

IS022301：2019新版本于2019専年11月发布。

ISO22301:2019好消息:变化是有限的让我们从要点开始:如果您已经通过IS022301：2012认证，那么过渡IS022301：2019应该没有任何问题。

IS022301:2019与2012并排比较表明，ISO22301:2019标准没有重大的结构更改。

在过去的几年中，对ISO管理体系标准进行修订具有挑战性的主要原因之了高级结构，它是所有ISO管理体系系标准的统一结构和核心文本。

但是，2012年版的IS022301:2012已经具有高级结构,这是最早采用这种新结构的ISO标准之一。

因此，工作组不必重写整个标准，而可以专注于措辞和清晰度。

减少了许多多余的部分，定义变得更加一致，案文变得更加合乎逻辑.ISO22301:2019好消息:回到BCM的本质特别有趣的是，有多少要求已被还原到本质上.第4.1节就是一个很好的例子:IS022301:2012年版规定了组织需要做些什么（和记录了！）才能理解组织及其背景，而新版IS022301:2019仅说明了“确定外部和内部问题”的需要，而没有具体说明这意味着什么。

IS022301:2019没有说需要考虑哪些方面，也没有包括记录该过程的要求。

关于通讯的第7.4节发生了类似的事情：新版本IS022301:2019的说明性明显降低。

ISO22301：2019程序文件-业务连续性承诺方针

BCM业务连续性文件编号版本号修改号方针BCM5.3-01A01.目的：为了确保BCM管理体系有效运行，以确保满足法律法规相关方的要求，明确管理目的和方向，特制定BCM管理承诺和方针管理规范，对承诺、方针进行宣传、理解并评审进行规范，必要时改进以提高管理水平。

2.适用范围：适用于BCM体系承诺、方针的制定贯彻和实施。

3.职责：3.1 最高管理者负责确定BCM承诺、审批方针；3.2 各级各部门负责宣传贯彻和实施BCM承诺、方针；3.3 有关人员理解和掌握并贯彻实施BCM承诺、方针。

4.承诺管理4.1 总经理负责制定并落实在BCMS方面的领导力和承诺如下：---确保已经为业务连续性管理体系制定了方针和目标并确保方针目标与组织的战略方向是一致的；---确保业务连续性管理体系的要求纳入组织的业务过程中；---确保业务连续性管理体系所需资源可用；---就业务连续性管理体系的有效性和符合BCMS要求的重要性进行传达；---确保业务连续性管理体系达到预期结果；---指导和支持员工为BCMS的有效性作出贡献；---推动持续改进---支持其他相关管理者在其职责领域内展示其领导作用和承诺。

4.2 总经理通过下列活动为建立实施、运行、监视、评审、保持和改进BCMS的承诺提供证据：---建立业务连续性方针---确保BCMS目标和和计划已被制定；---为业务连续性管理确定角色、职责和能力；---任命一名或多名具有适当权限和能力的BCMS责任人员来负责实施和保持BCMS .4.3 总经理通过下列方式确保相关角色的职责和职权在组织内被授权和传达：----确定风险接受准则和可接受的风险级别；----积极参与演练和测试；----确保BCMS的内部审核被执行；----实施BCMS的管理评审；----证明其对持续改进的承诺。

5.方针管理：5.1方针制定的要求：a)适应组织的宗旨并支持其战略方向；b)为业务连续性目标的制定提供框架；c)包括满足适用要求的承诺；d)包括对BCMS进行持续改进的承诺。

ISO22301：2019程序文件-业务连续性管理程序

文件编号版本号修改号业务连续性管理程序BCM8.4-01A01.目的为了防止营运活动的中断,结合应急准备和响应控制程序,将灾难和管理缺失导致的营运中断情形降低到最低。

2.适用范围适用于本公司。

3.定义无4.职责4.1 最高管理者（总经理）:A、危机第一责任人，负责运营策划、实施、保持和持续改进；B、担任特别重大危机(Ⅰ级)的总指挥；C、重大危机后接受媒体报告。

4.2 质量负责人:A、危机第二责任人，负责各事业部运营执行；B、较大危机(Ⅱ级)及一般性危机(Ⅲ级)的总指挥。

4.3 管理部负责人:A、人才危机进行预测；B、收集各部门危机信息进行分析，启动危机预警；C、危机后人员的安抚及人力的调整；D、危机后对外信息的发布及媒体沟通；E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障。

4.4 市场营销部负责人:A、市场危机进行预测，收集市场信息；B、危机后负责向客户沟通，稳定市场。

4.5 事业部负责人:A、对本事业部存在危机信息的收集并汇报；B、危机后本事业部人员的安抚及人力的调整。

4.6 财务部负责人:A、财务危机进行预测；B、危机后提供危机所需的资金保障。

4.7 采购认证部负责人:A、供方危机进行预测；B、危机后物料的调配。

4.8 BCM工作小组:A、进行业务影响分析，识别关键活动及依赖，通过识别、定性或定量分析组织的业务功能的丧失、中断或损坏所造成的损失，为制定业务持续性策略提供依据；B、进行风险评估，对那些会导致关键业务中断的一系列的风险和威胁进行识别，通过分析其影响程度和发生概率，确定风险等级，进行风险排序并采取应对方案和措施，从而将风险尽可能降到最低；C、根据业务目标、收益成本和客户要求等因素，结合业务影响分析和风险评估，制定关键业务流程和恢复策略；D、依据BCM方法、工具和模板，在风险评估、业务影响和策略选择的基础上,拟制突发事件应急预案（IMP）和业务连续性计划（BCP）；E、进行BCM测试及演练，发现其中不足并加以改进；F、进行维护和改进，不断优化发展，满足公司业务需求。

ISO22301：2019业务连续性实施总策划控制

QR8.1-01 NO.01业务连续性实施总策划控制业务总活动准则及要求主题 1：项目启动和管理确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

A. 专业角色是：1. 引导项目发起人定义目标、政策和关键成功要素a. 范围和目标b. 法律和需求动机c. 案例和业界最佳实务2. （通过策划指导委员会和项目任务组）协调和组织／管理BCP项目和整体BCP过程3. 使用效益控制方法和更改管理机制检查BCP过程4. 向管理层和关键人员介绍（推销）BCP过程。

5. 制定项目计划和预算（来启动BCP过程）6. 定义和建议过程结构和管理方式7. 管理项目以制定和实施BCP过程B. 专家应该证明其具有以下领域的实务知识：1. 确定业务连续性需求a. 参考相关的法律／法规／法令／合同的需求和约束b. 如果合适，参考相关的行业贸易组织或机构的规定c. 参考相关当局的当前建议d. 将立法、规章和要求与机构的政策相联系e. 识别机构政策与相关外部需求的任何冲突f. 识别任何审计记录g. 提出解决机构政策与相关外部需求之间任何冲突的方法，可以包括BCP在内h. 识别可能对机构灾难恢复能力具有负面影响的业务措施。

2. 传播业务连续性计划的需求a. 通过正式的报告和介绍进行意识培养b. 陈述BCP的优点并将其与机构的使命、目标和营运利益联系起来。

c. 获得机构对BCP过程的承诺d. 制定BCP过程的任务条款／宪章3. 将行政管理层包括在BCP过程中a. 解释行政管理层在BCP过程中的角色b. 解释和传播管理层在BCP过程中的职责和义务。

4. 建立一个计划／策划指导委员会：角色和职责、机构的类型、控制和发展、以及成员a. 选择适当的人员b. 定义角色和职责c. 制定一套适当的BCP过程目标5. 编制预算需求a. 清晰定义资源需求b. 获得财务需求评估c. 验证资源需求的正确性d. 验证财务需求评估e. 与管理层协商资源和财务需求f. 获得财务需求的执行承诺6. 确定计划团队及职责a. 紧急事件管理／事件响应／危机管理团队b. 业务连续性计划团队（多地点、多分支、等。

ISO22301：2019程序文件-业务连续性管理程序

ISO22301：2019程序文件-业务连续性管理程序文件编号版本号修改号业务连续性管理程序BCM8.4-01A01.目的为了防止营运活动的中断,结合应急准备和响应控制程序,将灾难和管理缺失导致的营运中断情形降低到最低。

2.适用范围适用于本公司。

3.定义无4.职责4.1 最高管理者（总经理）:A、危机第一责任人，负责运营策划、实施、保持和持续改进；B、担任特别重大危机(Ⅰ级)的总指挥；C、重大危机后接受媒体报告。

4.2 质量负责人:A、危机第二责任人，负责各事业部运营执行；B、较大危机(Ⅱ级)及一般性危机(Ⅲ级)的总指挥。

4.3 管理部负责人:A、人才危机进行预测；B、收集各部门危机信息进行分析，启动危机预警；C、危机后人员的安抚及人力的调整；D、危机后对外信息的发布及媒体沟通；E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障。

4.4 市场营销部负责人:A、市场危机进行预测，收集市场信息；B、危机后负责向客户沟通，稳定市场。

4.5 事业部负责人:A、对本事业部存在危机信息的收集并汇报；B、危机后本事业部人员的安抚及人力的调整。

4.6 财务部负责人:A、财务危机进行预测；B、危机后提供危机所需的资金保障。

4.7 采购认证部负责人:A、供方危机进行预测；B、危机后物料的调配。

4.8 BCM工作小组:A、进行业务影响分析，识别关键活动及依赖，通过识别、定性或定量分析组织的业务功能的丧失、中断或损坏所造成的损失，为制定业务持续性策略提供依据；B、进行风险评估，对那些会导致关键业务中断的一系列的风险和威胁进行识别，通过分析其影响程度和发生概率，确定风险等级，进行风险排序并采取应对方案和措施，从而将风险尽可能降到最低；C、根据业务目标、收益成本和客户要求等因素，结合业务影响分析和风险评估，制定关键业务流程和恢复策略；D、依据BCM方法、工具和模板，在风险评估、业务影响和策略选择的基础上,拟制突发事件应急预案（IMP）和业务连续性计划（BCP）；E、进行BCM测试及演练，发现其中不足并加以改进；F、进行维护和改进，不断优化发展，满足公司业务需求。

ISO22301业务连续性管理体系

体系简介
“业务连续性”的概念来源于计算机技术中的“容灾”和“恢复计划”，是一个组织整体或部分过程持续运行能力的指标。经过多年发展，“业务连续性”已广泛应用于各种规模的生产型和服务型组织，并进一步发展成为“业务连续性管理体系”（简称BCMS），成为各个组织整体管理体系中的核心部分。BCMS采用PDCA的过程方法，通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生，并且制定完备的“业务连续性计划“，有效的应对中断发生后的快速恢复，保持核心功能正常运行，将损失和恢复成本降至最低。
（3）适用的法律法规的标准的清单；
（4）取得相关法规规定的行政许可文件(适用时)；
（5）业务影响分析报告、风险评估报告和业务连续性计划；
（6）BCMS体系文件，包括：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件；
BCMS是多个过程的集合，它将组织管理体系中的各个环节连系并统一起来，为识别的风险制定适宜的风险策略和风险计划，并且为组织制定一套有效的业务连续性计划演练和测量方案。BCMS广泛适用于信息安全、信息技术服务、公共服务、社会组织等社会服务行业，同时还适用于各种规模的商业、金融业、加工制造业等风险级别较高的组织。
ISO22301业务连续性管理体系
国内同等转换ISO业务连续性管理体系的国家标准
01 体系简介
03 必备条件 05 注意事项
目录
02 认证机构 04 资料清单
GB/T -2013/ISO ：2012业务连续性管理体系（BCMS——Business Continuity Management System）是国内同等转换ISO业务连续性管理体系的国家标准。

ISO22301：2019业务连续性策略控制

BR8.3-02业务连续性策略控制1适用范围区域范围：办公区域。

业务范围：基础软件的销售和数据库维保服务、培训服务。

部门及人员范围：公司领导、综合部、系统支持部IT系统范围：系统运行管理、应用系统运行管理和介质管理网络范围：网络运行管理业务持续性专业服务范围：灾难演练服务和持续管理服务2术语、定义和缩略语灾难事件：可能导致全部或部分业务中断，继而威胁到业务的持续运营场景，并可能导致整个在商誉、财务能力、持续营运能力、业务开拓能力等方面造成打击的事件。

恢复时间点目标（RTO）：灾难发生后，系统和数据必须恢复到的时间点要求。

恢复时间目标（RPO）：灾难发生后，信息系统或业务功能从停顿到必须回复的时间要求。

3业务连续性方针和策略业务连续性战略方针：通过技术、运维管理能力以及灾难应急恢复预案，确保发生灾难后，业务可以在一定的时间内恢复到可以接受的运营状态。

保护优先活动，稳定、连续、重启和恢复优先活动及按该活动所依赖的活动和支持资源；减轻、响应和管理影响。

策略的确定，包括批准活动恢复的优先级时间表。

对供应商的业务连续能力进行评价。

业务连续性策略：按照业务连续性恢复资源的成本与风险可能造成的损失之间取得平衡的原则，即：“成本风险平衡原则”，确定关键业务功能的业务连续性策略。

4业务连续性恢复需求分析4.1风险分析：根据风险评估原则，对所有存在的风险进行风险评估和识别，现存的主要风险包括：⏹信息系统安全：通讯网络、数据、操作系统、办公软件、财务软件、开发软件、信息系统各类硬件⏹消防安全：火灾⏹供配电安全⏹空调系统安全⏹疾病防控安全：食物中毒、生产人身事故⏹自然灾害⏹设备设施异常：设备设施故障、老化、⏹外部故障：质量不良、退货投诉、⏹化学品泄漏⏹人力短缺⏹保密性文档资料证书印章丢失⏹相关方服务中断（供方）4.2业务影响分析：4.2.1业务影响分析（BIA）目的：⏹提供制定业务持续计划的基础；⏹提供客观的、可理解的、信息充分的结果，以使管理层能够用来指导业务持续计划的制定；⏹利用风险评估方式发现业务流程和系统的脆弱性；⏹确认哪些业务流程和资产需要更高级别的保护；⏹提供确认策略和后备方案所需的信息；⏹确认恢复目标及其时效性。

ISO22301:2023业务连续性管理体系管理评审资料

ISO22301:2023业务连续性管理体系管理评审资料1. 背景ISO :2023是国际标准化组织（ISO）制定的业务连续性管理体系的标准。

该标准旨在帮助组织建立和维护有效的业务连续性管理体系，以应对突发事件和业务中断的风险。

2. 管理评审目的本次管理评审的目的是评估组织的业务连续性管理体系是否符合ISO :2023的要求，并提出改进建议，以确保组织在面对突发事件时能够持续运作。

3. 评审范围本次管理评审将覆盖以下方面：- 组织的业务连续性政策和策略；- 业务连续性风险评估和管理；- 业务连续性计划的制定和维护；- 组织对关键资源、业务流程和技术系统的保护措施；- 业务连续性演练和测试的执行情况；- 业务连续性管理体系的绩效评估和持续改进。

4. 管理评审流程本次管理评审将按照以下步骤进行：1. 评审准备阶段：- 收集和审查相关的文件和记录；- 制定评审计划和评审表格；- 分配评审任务和确定评审小组成员。

2. 实地评审：- 进行现场观察和记录；- 进行面谈，了解业务连续性管理体系的实施情况。

3. 资料分析：- 对收集到的资料进行综合分析和评估；- 确定符合和不符合ISO :2023要求的情况。

4. 编写评审报告：- 汇总评审结果和发现的问题；- 提出改进建议和行动计划。

5. 管理评审会议：- 召开评审会议，与相关人员讨论评审结果和建议；- 确定改进措施和责任人。

5. 评审结果和改进建议根据本次管理评审的结果，将提出符合ISO :2023要求的方面，以及需要改进的方面，并制定相应的改进计划。

改进建议将涉及业务连续性管理体系的完善、流程的优化和资源的调整等方面。

6. 后续行动组织应根据管理评审的结果和改进建议，及时采取行动进行改进，确保业务连续性管理体系的有效运作。

同时，还应定期进行管理评审，以监督和评估业务连续性管理体系的持续改进情况。

以上为《ISO22301:2023业务连续性管理体系管理评审资料》的大致内容概要，供参考使用。

ISO22301：2019业务连续性策略控制

BR8.3-02业务连续性策略控制1适用范围区域范围：办公区域。

业务范围：基础软件的销售和数据库维保服务、培训服务。

部门及人员范围：公司领导、综合部、系统支持部IT系统范围：系统运行管理、应用系统运行管理和介质管理网络范围：网络运行管理业务持续性专业服务范围：灾难演练服务和持续管理服务2术语、定义和缩略语灾难事件：可能导致全部或部分业务中断，继而威胁到业务的持续运营场景，并可能导致整个在商誉、财务能力、持续营运能力、业务开拓能力等方面造成打击的事件。

恢复时间点目标（RTO）：灾难发生后，系统和数据必须恢复到的时间点要求。

恢复时间目标（RPO）：灾难发生后，信息系统或业务功能从停顿到必须回复的时间要求。

3业务连续性方针和策略业务连续性战略方针：通过技术、运维管理能力以及灾难应急恢复预案，确保发生灾难后，业务可以在一定的时间内恢复到可以接受的运营状态。

保护优先活动，稳定、连续、重启和恢复优先活动及按该活动所依赖的活动和支持资源；减轻、响应和管理影响。

策略的确定，包括批准活动恢复的优先级时间表。

对供应商的业务连续能力进行评价。

业务连续性策略：按照业务连续性恢复资源的成本与风险可能造成的损失之间取得平衡的原则，即：“成本风险平衡原则”，确定关键业务功能的业务连续性策略。

4业务连续性恢复需求分析4.1风险分析：根据风险评估原则，对所有存在的风险进行风险评估和识别，现存的主要风险包括：⏹信息系统安全：通讯网络、数据、操作系统、办公软件、财务软件、开发软件、信息系统各类硬件⏹消防安全：火灾⏹供配电安全⏹空调系统安全⏹疾病防控安全：食物中毒、生产人身事故⏹自然灾害⏹设备设施异常：设备设施故障、老化、⏹外部故障：质量不良、退货投诉、⏹化学品泄漏⏹人力短缺⏹保密性文档资料证书印章丢失⏹相关方服务中断（供方）4.2业务影响分析：4.2.1业务影响分析（BIA）目的：⏹提供制定业务持续计划的基础；⏹提供客观的、可理解的、信息充分的结果，以使管理层能够用来指导业务持续计划的制定；⏹利用风险评估方式发现业务流程和系统的脆弱性；⏹确认哪些业务流程和资产需要更高级别的保护；⏹提供确认策略和后备方案所需的信息；⏹确认恢复目标及其时效性。

ISO22301：2019业务连续性实施总策划控制

QR8.1-01 NO.01业务连续性实施总策划控制业务总活动准则及要求主题 1：项目启动和管理确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

A. 专业角色是：1. 引导项目发起人定义目标、政策和关键成功要素a. 范围和目标b. 法律和需求动机c. 案例和业界最佳实务2. （通过策划指导委员会和项目任务组）协调和组织／管理BCP项目和整体BCP过程3. 使用效益控制方法和更改管理机制检查BCP过程4. 向管理层和关键人员介绍（推销）BCP过程。

5. 制定项目计划和预算（来启动BCP过程）6. 定义和建议过程结构和管理方式7. 管理项目以制定和实施BCP过程B. 专家应该证明其具有以下领域的实务知识：1. 确定业务连续性需求a. 参考相关的法律／法规／法令／合同的需求和约束b. 如果合适，参考相关的行业贸易组织或机构的规定c. 参考相关当局的当前建议d. 将立法、规章和要求与机构的政策相联系e. 识别机构政策与相关外部需求的任何冲突f. 识别任何审计记录g. 提出解决机构政策与相关外部需求之间任何冲突的方法，可以包括BCP在内h. 识别可能对机构灾难恢复能力具有负面影响的业务措施。

2. 传播业务连续性计划的需求a. 通过正式的报告和介绍进行意识培养b. 陈述BCP的优点并将其与机构的使命、目标和营运利益联系起来。

c. 获得机构对BCP过程的承诺d. 制定BCP过程的任务条款／宪章3. 将行政管理层包括在BCP过程中a. 解释行政管理层在BCP过程中的角色b. 解释和传播管理层在BCP过程中的职责和义务。

4. 建立一个计划／策划指导委员会：角色和职责、机构的类型、控制和发展、以及成员a. 选择适当的人员b. 定义角色和职责c. 制定一套适当的BCP过程目标5. 编制预算需求a. 清晰定义资源需求b. 获得财务需求评估c. 验证资源需求的正确性d. 验证财务需求评估e. 与管理层协商资源和财务需求f. 获得财务需求的执行承诺6. 确定计划团队及职责a. 紧急事件管理／事件响应／危机管理团队b. 业务连续性计划团队（多地点、多分支、等。

最新ISO22301：2019业务连续性管理体系一整套程序文件

XXX有限公司程序规范ISO22301:2019文件编号: 4.2— 10.2版本/状态: A/0生效日期: 2020年2月21日编制：日期: 2020-2-21 审核: 日期：2020-2-21 批准：日期：2020-2-21目录过程名称标准条款号程序规范归口部门4.1 理解组织及其环境4.2 理解利益相关方的需求和期望4.3 确定业务连续性管理体系的范围P1-组织环境4.4 业务连续性管理体系4.2-01法律法规相关方要求控制程序综合部5.1 领导力和承诺.5.2管理承诺5.3方针P2-领导力5.4组织角色职责和权限5.3-01《业务连续性承诺方针》5.4-01《体系及各岗位职责权限分配》综合部P3-风险机会 6.1 应对风险和机会措施 6.1-01风险和机会控制程序综合部P4-目标计划.6.2 业务连续性目标及实现计划.BR6.2-01 S目标展开计划综合部P5-资源7.1 资源7.1-01资源控制程序综合部7.2 能力7.3 意识P6-人力资源7.4 沟通7.2-01人力资源控制程序7.4-01信息交流沟通控制程序综合部7.5 存档信息7.5.1 总则7.5.2 创建和更新P7-存档信息7.5.3 存档信息管理7.5-01存档信息控制程序综合部P8-实施策划控制8.1 实施的策划和控制.8.1-01实施策划和控制程序业务部P9-影响分析评估8.2 业务影响分析和风险评估8.2-01业务影响分析控制程序8.2-02信息化风险评估控制程序业务部P10-连续性策略8.3 业务连续性策略BR8.3-01业务连续性策略业务部P11-连续性程序8.4 建立和实施业务连续性程序8.4-01业务连续性管理程序8.4-02灾害灾难紧急预案8.4-03消防安全管理制度8.4-04危险化学品管理制度8.4-05供应商管理程序8.4-06外部提供过程产品服务控制程序8.4-07顾客反馈投诉控制程序8.4-08预警沟通管理程序8.4-09备份和恢复管理程序业务部等P12-演练和测试8.5 演练和测试8.5-01应急准备响应管理程序业务部P13-监测量分析评价9.1 监视、测量、分析和评价9.1-01监测分析评价程序综合部P14-内部审核9.2 内部审核9.2-01内部审核控制程序综合部P15-管理评审9.3 管理评审9.3-01管理评审控制程序综合部P16-改进10.1 总则10.1-01不合格纠正措施控制程序综合部10.2 不合格和纠正措施10.2-01持续改进控制程序10.3 持续改进。

2、业务连续性管理体系管理评审资料(全套)

编号： BCMS-R-30 管理评审计划第 1 页，共 1 页评审目的：评价和审定公司业务连续性管理体系，以确保其适宜性、充分性和有效性。

评审组织：由总经理主持、管理者代表及公司各部门经理主管参加评审。

评审内容：a)管理者代表汇报以往管理评审措施的状态，以往管理审核的后续跟进；b ) 管理者代表汇报与业务连续性管理体系有关的外部和内部因素的变化，包括法律法规的变化情况等；c)品控部汇报业务连续性相关不符合项及纠正措施的实施情况，监视和测量评价结果；管理者代表汇报审核的结果；d)管理者代表汇报持续改进的机会。

e) 管理者代表汇报改变 BCMS 的变更需求，包括方针和目标；f)服务部汇报 BCMS 的审核和评审的结果，总经办对关键供应商和合作方的审核和评审结果汇报(合用时)；g) 服务部汇报可能用于改进公司的BCMS 绩效和有效性的技术、产品或者程序；h)服务部汇报演练和测试的结果；i )服务部汇报在以往的风险评估中没有引起足够重视的风险和问题；j )管理者代表汇报无论是 BCMS 范围内部还是外部的任何能对 BCMS 产生影响的变化； k)管理者代表汇报方针的充分性；l )各部门汇报改进建议；m)服务部汇报在中断事件中釆取的措施以及从中吸取的经验；n)各部门汇报新浮现的良好实践和指导。

O)各部门汇报资源需求情况；针对以上内容进行整体讨论,提出改进和提高的方法和措施。

评审准备工作要求：各责任部门或者个人针对上述评审内容作好相应准备，尽量形成书面资料报告。

评审时间安排：2022 年 9 月 26 日下午 14:30在公司会议室举行管理评审会议。

编制：王钰审批：谢锦锋 (签名： ) 日期: 2022-9-22业务连续性管理评审会议签到表2022 年 9 月 26 日日期：会议主题：管理评审会议时间：2022 年 9 月 26 日14:30-16:30 会议主持：谢锦锋参加人员：总经理、管理者代表、各部门负责人等部门姓名签名备注管理层管理层人力资源部总经办财务部市场部服务部品控部备注：表格编号： BCMS-R-31 版本号： A/0 保存期限： 3 年。

ISO22301-2019业务连续性管理体系新版标准的变化

ISO22301-2019业务连续性管理体系新版标准的变化
最新版本IS022301：2019的关键改进包括更倾向的结构和术语,以促进对所需内容的更好理解，并进行更新使其以其它ISO 管理体系标准保持一致。

自2012年首次发布以来，ISO22301标准已成为业务连续性管理系统的国际基准。

根据ISO调查,超过4000个组织持有ISO22301证书。

该标准的受欢迎程度已经在非常不同的行业中传播-仅举几个例子，DQS拥有认证银行，化工厂,IT服务提供商以及汽车零件制造商。

考虑到这种流行性，仅适合ISO审查标准并结合其使用最初几年的经验。

IS022301：2019新版本于2019専年11月发布。

ISO22301:2019好消息:变化是有限的
让我们从要点开始:如果您已经通过IS022301：2012认证，那么过渡IS022301：2019应该没有任何问题。

IS022301:2019与2012并排比较表明，ISO22301:2019标准没有重大的结构更改。

在过去的几年中，对ISO管理体系标准进行修订具有挑战性的主要原因之了高级结构，它是所有ISO管理体系系标准的统一结构和核心文本。

但是，2012年版的IS022301:2012已经具有高级结构,这是最早采用这种新结构的ISO标准之一。

ISO22301-2019业务连续性管理体系中英文对照版

IS022301-2019业务连续性管理体系中英文对照版4组织环境4 Context of the organization4.1了解组织及其环境4. 1 Understanding the organization and its context组织应确定与其宗旨及影响其达成BCMS预期结果的能力有关的内外部问题。

注：这些问题会受到组织的总体目标、产品和服务以及能承受或不能承受的风险的类型和数量的影响。

The organization shall det ermi刀e external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome (s) of its BCMS.NOTE These issues will be influenced by the organization ' s overall objectives, its products and services and the amount and type of risk that it may or may not take.4.2了解相关方的需要和期望4. 2 Understanding the needs and expectations of interested parties4.2.1总则在建立BCMS时，组织应确定：a）与BCMS有关的相关方；b）这些相关方的有关要求。

4. 2. 1 GeneralWhen establishing its BCMS, theorganization shall determine:a）the interested parties that are relevant to the BCMS;b）the relevant requirements of these interested parties・4.2.2法律和法规要求组织应：a）实现和保持一个过程，以识别、获取和评估与其产品和服务、活动和资源连续性有关的适用法律和法规要求；b）确保这些适用的法律、法规和其它要求在实现和保持BCMS时得到考虑；C）记录这些信息并保持更新。

ISO22301：2019程序文件-管理评审控制程序

e.评审时间安排。

f.评审方式。

5.3.管理评审的准备
5.3.1.综合部将总经理批准后的评审计划分发至各个部门,由部门负责
人准备并提供与本部门工作有关的评审所需的资料。

5.3.2.根据评审输入的要求，负责对评审资料进行收集后交由管理者代表进行整理和
确认，准备必要的文件。

5.3.3.综合部负责向参加评审的人员发放管理评审计划通知和有关资料。

5.4.管理评审输入
管理评审的输入一般包括以下内容：
a)以往管理评审措施的状态；
b)与业务连续性管理体系有关的外部和内部因素的变化；
c)业务连续性绩效的信息，包括以下方面的趋势：
1）不符合项及纠正措施；
2）监视和测量评价结果；
3）审核的结果
d)持续改进的机会
e)组织的绩效，包括：
——以往管理审核的后续跟进；
——改变BCMS的变更需求，包括方针和目标；
——改进机会
——BCM审核和评审的结果，包括对关键供应商和合作方（适用时）
——可能用于改进组织的BCMS绩效和有效性的技术、产品或程序
——纠正措施的状态；
——演练和测试的结果；
——在以往的风险评估中没有引起足够重视的风险和问题；
——无论是BCMS范围内部还是外部的任何能对BCMS产生影响的
变化；
——方针的充分性
——改进的建议。

19 业务连续性管理-(BCM)ISO22301实务培训-ppt

• 明确业务活动恢复的策略（灾备建设要求、连续性计划的制定要求）；
1. 保障相关资源的配置。
• 实施、跟踪连续性风险处置；
• 编制连续性计划（BCP、IT DRP），包括：预警、响应、沟通上报、恢复、复原。
• 连续性计划培训；
• 排定演练计划；
• 连续性计划测试、演练。
• 演练总结，识别改进机会；
制定差别化的业务恢复策略关键资源恢复、业务替代手段、数据追补和恢复优先级别
BCM策略： •承上（BIA、RA）：恢复要求
•关键资源备份、选择恢复方式、恢复优先顺序 •设置应急指挥中心（EOC）场所 •启下（BCP）：BCP的总前提、总框架
-
17
银行业务（某国有银行样例）
业务类别公司金融业务
个人金融业务
信息技术应急响应与恢复（制定信息科技部门BCP、IT 连续性计划）
人力、物力、财力以及安全保障、法律咨询、对外媒体公关（制定保障部门BCP）
-
14
“业务连续性治理结构”— 应急组织
应急管理层级应急决策层
角色高级管理人员
应急指挥层
BCM主管、执行和保障部门负责人
职责 • 决定运营中断事件通报、对外报告和公告； • 批准启动BCP/总体应急预案
8.5 演练和测试 -
• 第一章总则 • 第二章业务连续性组织架构
• 第一章总则（第九条）
• 第三章业务影响分析
• 第四章业务连续性计划与资源建设
• 第六章运营中断事件应急处置
• 第五章业务连续性演练与持续改进
• 第七章监管和处置
-
8
业务连续性与IT服务连续性
业务连续性（Business Continuity）：关注于一个组织提供产品、服务的业务流程、业务活动的持续运行。

ISO22301-2019业务连续性管理体系内部审核资料(内审计划+内审报告)

质量部
7.1.5/7.3/8.1/8.2/8.3/8.4/8.5/8.6/9.2/9.3/10.2
B
12月20日
13:30-16:00
综管部
（人事、行政、业务）
5.3/7.1.6/7.2/7.1.2/7.5/6.3/9.1
A
13:30-16:00
生产部
7.1.3/7.1.4/5.2.2/6.2/7.2/8.1/8.2/8.3/8.4/8.5/8.6
审核范围
业务连续性管理体系覆盖的所有过程、部门、场所，重点是ISO22301：2019所要求的内容。
审核依据
1、ISO22301:2019标准；
2、公司业务连续性管理体系文件；
3、合同；
4、国家有关法律、法规等。
审核日期
2020年12月20日至2020年12月20日
审核小组
审核组长：张三
小组成员：
A：张三、李四B：王五、赵七
7、改进：公司从对个角度方面进行发现不合格，采取措施，加以改进体系过程。
8、内审发现的有关业务连续性方面不符合项1项，主要是售后服务不够彻底，客户产生抱怨。
四、结论
通过近一年来的实际运行，经过本次业务连续性管理体系的内部审核，根据收集到的证据，并依据审核准则得出以下结论：
公司的业务连续性管理体系基本符合规范的要求，确保了业务连续性管理体系在公司内部得到了有效的实施和保持，并确保了业务连续性管理体系改进机制在公司内部的初步建立与实施。
B
16:17:00
审核组成员
审核组会议
A+B
17:00-17:30
总经理、管理者代表、高层管理者、各部门负责人陪同人员、审核员
末次会议
A+B

最新ISO22301：2019业务连续性管理体系质量手册英文版

最新ISO22301：2019业务连续性管理体系质量手册英文版This document is classified as VC – Restricted if the Annexes are attached. Integrated Management System (IMS)Manual31 October 2019Contents1Overview of the Integrated Management System (IMS) (7)1.1Purpose (7)1.2Scope of the IMS (7)1.3Documents of the IMS (7)1.4Policies (7)1.5Organisation Chart and Job Descriptions (8)1.6Training Records (8)1.7Processes and Procedures (8)1.7.1Job Function (JF) Procedures (8)1.7.2Business Management (BM) Procedures (9)1.7.3Information Security (IS) Procedures (9)1.7.4Business Continuity (BC) Procedures (9)1.7.5Anti-Corruption (AC) Procedure (9)1.7.6Data Protection (DP) Procedures (9)1.7.7Management System (MS) Procedures (9)1.8Approved Suppliers (9)1.9Work Instructions (10)IMS Essentials (11)InfoSec Essentials (12)Acceptable ICT Use and Information Security Agreement (13) Quality Policy (15)Information Security Policy (16)Business Continuity Policy (17)Anti-Corruption Policy (18)Data Protection Policy (19)Environmental Policy (20)Anti-Slavery Statement (21)Appendix 1 – Legal and Regulatory Compliance (23)Appendix 2 – Context and Interested Parties (27)Appendix 3 – Processes (39)Appendix 4 – Guide to Opportunities and Risks (43)Appendix 5 – How to Maintain a Risk Register (47)Appendix 6 – Maintain a Business Impact Analysis (53)Appendix 7 – InfoSec Guide 1 – Overview (55)Appendix 8 – InfoSec Guide 2 – Legislation (57)Appendix 9 – InfoSec Guide 3 – Encryption (59)Appendix 10 – InfoSec Guide 4 – Guidance and Good Practice (77)Appendix 11 – Company Information (79)Appendix 12 – Important Dates (81)Appendix 13 – How to Maintain this Manual (83)Appendix 14 – Data Protection Privacy Notice (85)Appendix 15 – Data Processing Register (87)Annex 1 – Job Descriptions (93)Managing Director (94)Sales Director (95)Technical Director (96)Commercial Director (97)Operations Director (98)Technical Consultant and Network Manager (99)Chief Design Engineer (100)Design Engineer (101)Test Engineer (102)IMS Manager, Technical Author and Health and Safety Administrator (103)Projects Coordinator (104)Projects Coordinator and Account Manager (105)Technical Support Assistant Manager (106)Help Desk and Build Engineer (107)Technical Support Engineer (108)Technical Support and Build Engineer (109)Technical Support and Test Engineer (110)Marketing Assistant (111)Telemarketing Consultant (112)Internal Sales Consultant (113)New Business Sales and Account Development Manager (114)Customer Relations Manager (115)Alarm Handler (116)Financial Accountant (117)Accounts Assistant (118)Annex 2 – Procedures (119)Procedure JF-1 – Software Design and Development (121) Procedure JF-2 – Marketing (131)Procedure JF-3 – T elemarketing (133)Procedure JF-4 – Sales (135)Procedure JF-5 – Manage Customer Account (139)Procedure JF-6 – Channel Sales (143)Procedure JF-7 – Project Management (145)Procedure JF-8 – Purchasing (149)Procedure JF-9 – Build (153)Procedure JF-10 – Transport of Product (155)Procedure JF-11 – Installation (157)Procedure JF-12 – Training (161)Procedure JF-13 – Help Desk Support (165)Procedure JF-14 – Remote Service and Maintenance (169)Procedure JF-15 – On Site Service and Maintenance (171)Procedure JF-16 – Return Used Items to Stock (175)Procedure JF-17 – Technical Documentation (177)Procedure JF-18 – Customer Support (179)Procedure JF-19 – Alarm Receiving Centre Operation (183) Procedure BC-1 – Business Continuity (187)Procedure BC-2 – Emergency Lighting for the ARC (191)Procedure BC-3 – Disruption of the ARC (193)Procedure BM-1 – Starting and Finishing a Role (195)Procedure BM-2 – Manage Provider (199)Procedure BM-3 – Maintain Details of Legal and Regulatory Requirements (201)Procedure BM-4 –Internal and External Communications (203)Procedure IS-1 – Computer Data Backups (205)Procedure IS-2 – Mobile Computing (207)Procedure IS-3 – Network Management (211)Procedure IS-4 – Change Control (213)Procedure IS-5 – Working in Secure Areas (217)Procedure IS-6 –Information Classification, Handling and Clear Desk & Screen (219)Procedure IS-7 – Access Control and Rights Review (229)Procedure IS-8 – Intellectual Property (231)Procedure AC-1 – How to Respond to (Potential) Corruption (235)Procedure DP-1 – Data Protection Impact Assessment (DPIA) (237)Procedure DP-2 – Data Subject Access Request (DSAR) (239) Procedure DP-3 – Notification of Rights and Processing (243) Procedure MS-1 – Control of Documents (245)Procedure MS-2 – Control of Records (249)Procedure MS-3 – Internal Audit (251)Procedure MS-4 – Response to Non-Conformity or Incident (including Corrective Action) (253)Procedure MS-5 – IMS Review Meeting (257)Procedure MS-6 – Preventive Action (261)Annex 3 – Information Asset Register (263)Approved Free and Open Source Software (275)Annex 4 –ISO 9001, ISO/IEC 27001 and ISO 22301 Requirements (277)Changes (295)。