业务连续性管理体系咨询方案及模板

精品文档你我共享最近“快证通〃平台的许多咨询师都在做业务连续性管理体系咨询工作，觉得对大家还是蛮有意义的，发个简单的资料和大家分享一下，应该比单看标准会更清晰简单一些。更多资料可欢送来电咨询或进入官网。、业务连续性管理体系咨询工作阶段划分及主要内容筹划业务连续性管理体系咨询一般需经历：工程启动和准备、现状调查和分析、业务连续性管理体系的筹划与设计〔确定业务连续性管理体系范围、业务影响分析及风险评估、制定业务连续性方针/业务连续性目标、管理体系涉及的岗位/职责/权限、BCP的建立、监视和测量、绩效评价活动的系统筹划、文件化信息的系统筹划等）、业务连续性管理体系的运行〔体系运行准备、体系运行〕，内部审核、管理评审、第三方认证审核、持续改良八个阶段，每个阶段又可分为假设干具体步骤。业务连续性管理体系咨询工作阶段及主要内容，应根据组织的规模、组织的活动/过程/产品和效劳类型进行适当调整。1、工程启动和培训确定该工程的人员组成， 明确各自职责；商讨确定业务连续性管理体系领导小组或工作小组的设置；提出该工程的目标要求，商讨确定总体进度要求与工作方案。①组织贯标领导小组和工作小组公司最高管理层统一认识，作出建立业务连续性管理体系的决策后，成立一个精干的领导小组和工作班子。领导小组对业务连续性管理体系建设重大问题进行决策，组织各部门协调工作。工作班子组织识别业务连续性管理体系所需的过程、文件编写，负责对全员进行业务连续性管理体系培训，实施业务连续性管理体系内部审核。AAAAAA精品文档你我共享由于业务连续性管理体系几乎涉及组织的各个部门、全体员工以及生产经营活动的各个方面，因此工作班子成员应具备一定的业务连续性管理和生产技术、IT相关的知识和能力。工作班子成员最好由对组织有较深了解并来自不同部门的人员组成。② 标准培训业务连续性管理体系建立和完善的过程，是始于培训，终于培训的过程，也是提高认识和统一认识的过程，培训内容可分层次、分阶段、循序渐进地进行。重要的是受培训者〔公司管理层、管理骨干、内审员及建立业务连续性管理体系工作人员等〕通过培训了解建立业务连续性管理体系的必要性和重要性，掌握并理解业务连续性管理体系标准的根本内容，掌握业务连续性管理体系相关法规要求等。第一层次为决策层，包括组织技术、管理高层分管领导。主要培训:a.通过介绍业务连续性管理的开展和本单位的经验教训，说明建立、完善业务连续性管理体系的迫切性和重要性；通过ISO22301：2021标准的总体介绍，提高按标准要求建立业务连续性管理体系的认识；通过业务连续性管理体系要素讲解〔重点应讲解“领导力〃等总体要素〕，明确决策层领导在业务连续性管理体系建设中的关键地位和主导作用。第二层次为管理层，重点是管理、技术和生产部门的负责人，以及与建立业务连续性管理体系有关的工作人员。第二层次的人员是建设、完善业务连续性体系的骨干力量，起着承上启下的作用，要使他们全面接受ISO22301：2021标准有关内容的培训，在方法上可采取讲解与研讨结合。AAAAAA精品文档你我共享精品文档你我共享第三层次为执行层，即与产品业务连续性形成全过程有关的作业人员。对这一层次人员主要培训与本岗位业务连续性管理活动有关的内容，包括在业务连续性管理活动中应承当的任务，完成任务应赋予的权限，以及造成业务连续性过失应承当的责任等。③制定贯标工作方案贯标工作方案至少应包括工作内容、责任划分及时间节点等。制定贯标工作方案时应注意：明确目标。明确需完成什么任务，解决哪些主要问题，到达什么目的？b.控制进程。建立业务连续性管理体系的主要阶段要规定完成任务的时间表、主要负责人和参与人员、以及他们的职责分工及相互协作关系。c.突出重点。重点主要是业务连续性管理体系中的薄弱和关键环节。、现状调查和分析现场调查和分析主要内容：了解建立和管理业务连续性管理体系相关的组织环境，包括组织的风险偏好、业务连续性策略等。与业务连续性管理体系有关的相关方都是哪些，他们的要求是什么。组织管理体系的边界、适用性，范围确定的合理性。组织的岗位、职责和权限。组织的业务系统重要程度分类和资源配置情况以及组织运作的相关风险及控制情况。、业务连续性管理体系的筹划与设计AAAAAA精品文档你我共享IU该阶段主要包括确定业务连续性管理体系范围、业务影响分析、风险评估、制定业务连续性方针/业务连续性目标、管理体系涉及的岗位/职责淑限、BCP的建立和文件化信息的系统筹划、监视和测量、绩效评价活动的系统筹划等等方面。①确定业务连续性管理体系范围业务连续性管理体系范围的界定通常由组织来决定。在组织确定范围后，防止对组织内外部因素、相关方及其需求、 组织产品及效劳的描述过于宽泛或受限，并对每一要求的适用精品文档你我共享IU1=性进行正确评估。业务连续性管理体系的适用性方面使用“删减〃一词，组织可根据其规模和复杂程度、所采用的管理模式、业务影响分析或风险评估和适用的法律法规要求，对相关要求的适用性进行评审。组织应根据内外部环境分析、 相1=IU关方的需求和期望、组织的产品和效劳，界定业务连续性管理体系的边界和适用性，以确定其范围。组织的业务连续性管理体系的范围应形成文件并加以保持，该范围应描述覆盖的产品和效劳类型、过程〔活动）、部门〔机构）和场所等。业务连续性管理体系范围发生变更，相关业务连续性管理体系文件应作出相应变更并可被获取。②业务影响分析及风险评估企业应进行业务影响分析， 总体步骤如下：业务范围界定和数据采集分析、业务重要性分析、资源分析、恢复顺序与IU优先级确定、总结归档等。业务范围界定和数据采集分析主要工作为：根据企业所在行业及其内部管理与业务的特点，合理选择信息采集工具， 对即将进行业务影响的企业包括的具体业务类别、每一类业务归口的具体管理部门、 业务与信息系统对应关系等内容进行信息搜集分析，形成一个或几个标示对应关系的表格。AAAAAA业务重要性分析主要工作为：对所识别的业务进行功能分析，从业务功能上确定关键程度。以定量与定性相结合的方法，评估业务运行中断后造成的影响和损失。根据业务功能和中断影响的分析结果，初步确定各项业务及其对应系统的重要程度。资源分析主要工作为：重点识别业务持续运行必须的资源和业务恢复必须的资源，对两类资源进行分析。结合业务恢复顺序与优先级确定主要工作为：根据业务系统重要程度分类和资源分析，结合业务恢复本钱情况，确定每项业务和信息系统的RTO恢复本钱情况，确定每项业务和信息系统的RTO和RPO。风险评估企业应进行风险评估，风险评估的实施步骤如下:企业应进行风险评估，风险评估的实施步骤如下:资产信息收集与识别、脆弱性分析、威胁识别分析、风险识别与分析、防护措施选取和可接受风险确定、风险评价结果资料的归档。制定业务连续性方针、业务连续性目标胁识别分析、风险识别与分析、防护措施选取和可接受风险确定、风险评价结果资料的归档。制定业务连续性方针、业务连续性目标组织的最高管理者应依据明确的组织的战略方向，充分考虑影响组织运营的内部、外部组织的最高管理者应依据明确的组织的战略方向，充分考虑影响组织运营的内部、外部针对组织的过程、产品和效劳发布、管理和维护，通过有效组织在相关职能、层次、过程上建立与方针、战略、愿景相一致的业务连续性目标或绩针对组织的过程、产品和效劳发布、管理和维护，通过有效组织在相关职能、层次、过程上建立与方针、战略、愿景相一致的业务连续性目标或绩环境因素，考虑法律法规要求、各利益相关方的需求和期望，的性质和特点，在识别了风险和时机的根底上，建立业务连续性方针。业务连续性方针组织应作为成文信息以正式的形式表述、的渠道和方式与组织内各级员工进行沟通，使员工理解业务连续性方针并应用于其工作中。效指标。管理体系涉及的岗位、职责、权限组织应以文件形式发布与业务连续性有关人员的职责和权限，通常应就业务连续性管理体系有关职能明确各部门的职责并形成文件，部门的职责应分配到相关岗位，如以“岗位说明书〃的形式，明确各岗位的任职要求及岗位的作用、职责和权限。AAAAAA精品文档你我共享BCP的建立和文件化信息的系统筹划组织应确定业务连续策略，策略确实定应包括批准精品文档你我共享活动恢复的优先级时间表。企业事先筹划制定一个完备的业务连续性方案，积极防范并且应变处理灾难发生的一系列后果，将灾难的蔓延和损失控制在企业能够承当的范围之内。BCP的典型内容如下：根本工程、预防保护、紧急响应、业务接续、业务恢复、复原等。根据ISO22301:2021标准中条款要求，本标准所要求的存档信息，即需要形成文件的主要有：——组织的环境〔）——法律法规和其他要求识别、利用和评估〔条款）；——BCMS的范围和与范围有关的任何删减〔条款）；——业务连续性方针〔条款）；——业务连续性目标〔条款）；——业务影响分析过程〔条款〕；——风险评估过程〔条款）；——业务连续性策略〔条款）；——连续性、事件管理和恢复程序〔条款）——业务连续性监视、测量、分析和评价程序〔条款）b.组织为过程运行沟通信息的目的而保持的成文信息〔低层、特定文件-隐含要求〕，如：一一组织结构图、岗位说明书；一一程序；一一作业和/或测试指引；一一包含内部沟通的文件;——测试和演练方案；一一业务连续性方案；AAAAAA战略方案； 表格。战略方案； 表格。c.组织基于为以证实其过程、产品和效劳及业务连续性管已实现的结果提供证据的目的而需保存的存档信息“记录〃）的是：——客户协议和效劳等级；——业务影响分析的结果（条款）；——风险评估的结果〔条款）；——与员工和相关方就BCMS及事件进行的沟通，如通讯、会议纪要等；——组织和个人的培训记录； 演练和测试记录、维护记录；——与供给商的合同和效劳级别协议；——对已发生的事件和未遂事件的报告和采取纠正措施的记录〔）； 内审记录〔）；——管理评审记录等〔）组织可开发其他可需要的记录，性。⑦监视和测量、绩效评价活动的系统筹划为确定到达预期的结果，组织应监视、测量、分析和评价的对象、方法和时机，以确保监视、测量、分析和评价活动的有效性。目标实现程度的监视/测量和改良行动；业务连续性程序的监视/测量和评价行动；体系运作要求的监视和改良行动。、业务连续性管理体系运行业务连续性体系文件编制完成后，业务连续性体系将进入运行阶段。①体系运行准备AAAAAA精品文档你我共享精品文档你我共享组织在业务连续性管理体系文件发布后，应进行管理体系运行前的准备，准备工作包括:法律法规、标准等收集；记录表单的复制与配备；业务连续性管理体系文件的培训：组织各部门有针对性进行业务连续性管理体系文件的宣贯和培训工作。按领导层、管理层和执行层不同层面，分别进行相应的培训，确保各级人员准确理解体系文件规定的工作程序和应到达的要求；培训考核；管理体系运行气氛的营造〔会议、宣传等）；体系运行方案制定与运行职责落实。②体系运行〔运行时间3个月以上〕组织各部门按照业务连续性管理体系规定实施。实施过程中，相关部门应做好如下工作：管理部门进行现场宣传与指导；相关部门与作业场所应全面落实业务连续性管理体系文件等控制要求；信息管理和组织协调：高效、及时的信息传递和反应是体系正常运行的有力保证。所有与业务连续性活动有关的人员都应按体系文件要求，做好业务连续性信息的收集、分析、传递、反应、处理和归档等工作。公司全体员工应将业务连续性体系文件在运行中暴露出的问题和改良意见如实反映给有关部门，以便采取纠正措施，解决运行中可能出现的理论和实际脱节的“两张皮〃问题。5、内部审核AAAAAA①内审员培训：举办内审员培训班， 使参加培训的人员掌握内审的方法、步骤和技巧，建议采用全封闭式培训。②内审及内审整改。内审频次建议每年至少安排一次。内审应关注组织业务连续性管理体系文件执行、法律法规和标准执行的落实情况，重点应关注：与业务连续性管理体系相关的法律法规和行业标准的符合性；组织业务连续性管理的绩效；改良机制的持续性和有效性。、管理评审最高管理层组织管理评审，评价业务连续性管理体系的充分性、适宜性和有效性，完成管理评审决定所采取的改良措施。、第三方认证审核接受第三方认证审核，纠正审核中发现的不符合项，确保认证审核顺利通过。、持续改良持续改良是业务连续性管理体系过程、PDCA循环过程的终点，也是一个新的业务连续性管理体系过程、PDCA循环活动的起点。持续改良是业务连续性管理体系的精神，是指增强满足要求的能力的循环活动，它要求企业不断寻求改良的时机。AAAAAA精品文档你我共享 利用业务连续性方针和目标指标、管理评审、各种检查和审核的结果、数据分析、纠正和纠正措施等，持续改良业务连续性管理体系的有效性；包括收集相关信息、识别改良的过程、制订改良方案、提供资源、实施改良、处理改良中的问题、改良效果验证、改良工程的评价、改良方法和成果的推广应用等。二、业务连续性管理体系文件框架在组织业务连续性管理体系运行过程中，组织应根据组织的规模、活动、过程、产品和效劳的要求、过程的复杂程度及其相互作用、人员能力，有些方面需要形成文件的信息，以保证业务连续性管理体系的有效运行。对于不同的组织，其形成文件的信息的多少与详略程度可以不同。业务连续性管理体系文件应根据2021版标准要求并结合组织自身具体实际情况而定，一般〔但不限于）由：业务连续性手册、程序文件、管理制度、作业文件以及各类记录构成。企业可根据实际情况来编制业务连续性手册、程序文件。其主要内容如下：①业务连续性手册，推荐与ISO30146:2021版标准一致的高阶结构方法编制，便于理解和系统管理。②程序文件，企业根据具体情况而定。表1某企业程序文件清单〔例如）序号编号名称1BCMS/P01-2021业务连续性法律法规识别、获取控制程序2BCMS/P02-2021业务影响分析控制程序3BCMS/P03-2021风险评估控制程序4BCMS/P04-2021中断事件响应控制程序5BCMS/P05-2021预警和沟通控制程序6BCMS/P06-2021演练和测试控制程序AAAAAA精品文档 你我共享7BCMS/P07-2021BCMS检测、测量、分析和评价控制程序8BCMS/P08-2021内部审核控制程序9BCMS/P09-2021文件控制程序10BCMS/P10-2021记录控制程序③管理制度、作业规程〔此处省略，根据不同行业及企业的特点具体编制），如：岗位说明书；演练大纲、预案等;测试规程及方案；设备管理及维护制度等记录〔此处省略，根据不同行业及企业的特点会具体编制〕。组织基于为已实现的结果提供证据的目的而需保存的存档信息“记录〃的主要是：一一客户协议和效劳等级；一一业务影响分析的结果〔条款）；——风险评估的结果〔条款）；——与员工和相关方就BCMS及事件进行的沟通，如通讯、会议纪要等；——组织和个人的培训记录；——演练和测试记录、维护记录；——与供给商的合同和效劳级别协议；——对已发生的事件和未遂事件的报告和采取纠正措施的记录〔）； 内审记录〔〕；——管理评审记录等〔）组织可开发其他可需要的记录，以证实其过程、产品和效劳及业务连续性管理体系符合性。AAAAAA“快证通〃是国内首创的第三方认证咨询平台，个体咨询师、认证机构、咨询公司只需注册会员，即可享受免费推广和共享文档模板更多资料可欢送来电咨询或进入官网，，公众号“快证通〃。“快证通〃能做什么？“快证通〃是一个认证、咨询、培训产业的第三方平台，通过智能算法与数据分析，帮助企业对接认证机构、咨询公司和咨询师，使认证和咨询更高效和更具信任。“快证通〃第一大功能1、帮助咨询认证从业者拓展业务，“快证通〃整合了产业内95%以上的效劳机构资源，咨询师可多处挂靠；、“咨询汇〃小程序帮助咨询师变得高大上，利用超算功能实时捕捉客户真实需求。“快证通〃第二大功能、帮助认证机构、咨询机构推广业务和差异化展示；|=>最2、最重要的是各效劳机构拥有独立的营销后台， 可发布差异化的认证效劳或咨询效劳产品;|=>最3、“快证通〃还提供机构的流程管理独立部署软件，与其他不同的是， “快证通〃不仅仅是一个ERP软件，还具备CRM、客户资产和营销模块；AAAAAA精品文档你我共享“快证通〃第三大功能帮助企业按需求选择效劳机构，知道该选哪个认证机构， 自由选择咨询师，再也不会担忧咨询师不靠谱、认证机构不公正。AAAAAA那么具体有什么好处呢