ISO 22301:2019《安全和彈性業(yè)務連續(xù)性管理體系要求》比較ISO 22301:2012 版的關鍵變化

靳喜軍 李艷杰

摘要：ISO 22301：2019《安全和彈性 業(yè)務連續(xù)性管理體系 要求》 于2019年10月31日發(fā)布，修訂后的標準更易讀和易采用。ISO 22301：2019標準的內容延續(xù)了舊版本的高階結構（HLS）。新版本精簡了術語，反映了業(yè)務連續(xù)性管理認識（理解）及使用上的變化，在結構方面，對部分章節(jié)進行了重新編排，有合并也有刪減。

關鍵詞：業(yè)務連續(xù)性 安全與彈性 管理體系 關鍵變化

Abstract： ISO 22301：2019 "Security and resilience—Business continuity management system—Requirements" was released on October 31， 2019. The revised standard is easier to read and adopt.The content of the ISO 22301： 2019 standard continues the older version of the high-level structure （HLS）.The new standard streamlines terminology and reflects changes in understanding and use of business continuity management. In terms of structure， some chapters have been rearranged， and some have been merged or deleted.

Key words： business continuity， security and resilience， management system， key changes

1 引言

ISO 22301：2019《安全和彈性 業(yè)務連續(xù)性管理體系 要求》 于2019年10月31日發(fā)布。距2012版正式發(fā)布已有7年，修訂后的標準更易讀和易采用。業(yè)務連續(xù)性管理體系國際標準幫助組織面對各種威脅，并根據業(yè)務影響分析，對業(yè)務中斷的影響的重要性進行排序，優(yōu)先預防和處理關鍵業(yè)務的中斷和業(yè)務恢復。幫助組織實施保護，減少中斷事件發(fā)生的可能性，以及當中斷事件發(fā)生時準備、響應并恢復，降低中斷事件產生的影響。

標準名稱的變化：

ISO 22301：2012 公共安全 業(yè)務連續(xù)性管理體系 要求（Societal security—Business continuity management systems—Requirements）

ISO 22301：2019 安全和彈性 業(yè)務連續(xù)性管理體系 要求（Security and? resilience— Business continuity management systems—Requirements）

新版本ISO 22301：2019結構沿用了ISO 22301：2012版本（High level structure）的結構，與其他新版ISO管理體系標準（如ISO 9001：2015和ISO/IEC 27001：2013）采用的通用核心文本及定義相一致。

2總體變化

2.1 思路變化

與ISO 22301：2012相比，本次修訂的主要變化包括：

1） 對第8章內容進行重新排序，刪除重復內容，簡化術語并趨于一致;

2） 刪除風險偏好的引用;

3） 刪除介紹性指南信息，這些信息包含在ISO 22313 BCMS 指南性文件里;

4） 更側重于對BCMS變更的規(guī)劃;

5） 更少的規(guī)范性程序和文檔要求;

6） 將業(yè)務連續(xù)性戰(zhàn)略表述為“業(yè)務連續(xù)性戰(zhàn)略與解決方案”，更清晰;

7） 將業(yè)務連續(xù)性計劃與應對業(yè)務中斷的支持團隊和人員相關聯(lián)，更明確;

8） 術語更加精簡，反映了業(yè)務連續(xù)性管理認識（理解）及使用上的變化，結構方面，對部分章節(jié)進行了重新編排，有合并也有刪減。

2.2 架構變化

ISO 22301：2019結構沿用了ISO 22301：2012版本（High level structure）的結構，結構圖見圖1。

3 詳細變化對比

3.1 與管理系統(tǒng)的整合

ISO 22301：2019標準的內容保持了ISO 22301：2012的高階結構（HLS），并引入了一些新要求，與ISO/IEC 27001：2013，ISO 9001：2015和ISO 14001：2015等其他管理體系標準采用的結構相同。

高階結構（HLS）：

除了Introduction（引言）以外，主要包含10個章節(jié)：

1. Scope（范圍）

2. Normative references（規(guī)范性引用文件）

3. Terms and definitions（術語和定義）

4. Context of the organization（組織環(huán)境）

5. Leadership（領導力）

6. Planning（策劃）

7. Support（支持）

8. Operation（實施）

9. Performance evaluation（績效評估）

10. Improvement（改進）

3.2 術語和定義的變化

3.2.1 不再引入的術語共26項，見表1。

3.2.2 新增術語，見表2。

3.2.3 術語被重新定義共8項，見表3。

3.3 標準條款被重新定義

3.3.1 “業(yè)務連續(xù)性策略”被“業(yè)務連續(xù)性策略和解決方案”取代，見表4。

3.3.2 “建立資源要求”被“資源要求”取代，見表5 。

3.3.3 “保護和緩解”被“解決方案的實施”取代，見表6 。

3.3.4 “建立和實施業(yè)務連續(xù)性程序”被“業(yè)務連續(xù)性計劃和程序”取代，見表7 。

3.4 條款內容變化

3.4.1 “了解組織和組織環(huán)境”條款內容變化對比見表8 。

3.4.2 “業(yè)務連續(xù)性管理體系的范圍”條款內容變化對比見表9 。

3.4.3 “溝通”條款內容變化對比見表10 。

3.4.4 “事件響應機制”條款內容變化對比見表11 。

3.4.5 “預警和溝通”條款，拆分成2個小條款分別進行描述，見表12 。

3.4.6 條款合并，“領導力”由4個條款合并為3個條款，見表13 。

3.4.7 條款拆分，8.3.1條款拆分成3個條款（8.3.1 、8.3.2 、8.3.3），見表14。

3.5 增加新的要求，見表15。

4 結論

ISO 22301：2019標準采用更清晰的區(qū)分業(yè)務連續(xù)性能力交付和管理體系的實現(xiàn)與維護; 簡化后，新的標準更易讀和易于采用，術語從55項調整為31項，反映了業(yè)務連續(xù)性管理認識（理解）及使用上的變化。結構方面，對部分章節(jié)進行調整，有合并也有刪減（因為重復）。對認證企業(yè)而言，新版本中的要求更少，從106項減少為91項，但更有效。

參考文獻

[1] Security and resilience— Business continuity management systems—Requirements： BS EN ISO 22301：2019[S/OL].[2020-5-19]. https：//www. iso.org/standard/75106.html.

[2] Societal security—Business continuity management systems—Requirements： ISO 22301：2012[S/OL]. [2020-5-19]. https：//www.iso.org/standard/50038. html.