一、了解组织和组织环境
组织宜评估和了解与其意图和运行有关的内部和外部因素,组织在建立、实施保持和改进
ISO22301管理体系应考虑以下信息并排列优先级:
①供应链承诺和关联关系;
②国际、国家、地区或本地的文化、金融、科技、经济、自然和竞争环境;
③组织外部相关方的关系、观念和价值。
在考虑对风险的内部研究时,将其它相关的信息管理体系和知识管理中更通用的信息考虑在内;
①国际、国家、地区或本地的政治、法律和监管环境;
②影响组织目标和运行的关键驱动和趋势;
③业务连续性政策之间的联系和组织的目标和其他政策,包括其整体风险管理策略;
④组织的活动、功能、服务、产品、合作伙伴关系、供应链,破坏性的事件相关的潜在影响;
⑤组织的风险与机会;
在建立的背景下,组织应
①阐明其目标,包括那些关心业务连续性,
②设置标准考虑到风险
③定义创建的外部和内部因素产生的风险的不确定性,
④定义BCMS的目的。
理解相关方的需求和期望
建立
ISO22301管理体系时,组织应确定
①与管理体系相关的利益相关方
②相关方的需求和要求(即他们的需求和期望,包括隐含或义务)。
二、法律和法规要求
公司综合管理部应建立、实施和保持识别、获得和评估适用的法律和法规,与产品相关的连续性的操作,产品和服务,以及相关方的利益。组织应确保这些适用的法律、法规和其他要求得到建立、实施和保持其BCMS,并每年进行更新,并将传达给员工和其他相关方,法律法规包括以下:
①事件响应:包括应急管理、健康、安全和权益法;
②连续性:指明方案的范围、响应的程度或速度;
③风险:要求定义的风险
④确定管理体系的范围
三、ISO22301的范围
组织应根据其规模、性质和复杂程度来确定合适的范围(见1.2),并文件化管理:
①识别产品和服务和ISO22301的范围内的所有相关的活动,
②建立管理体系时,考虑组织的使命,目标,内部和外部义务(包括相关利益方),法律和监管责任;
③考虑相关方的需求和利益,如客户、投资者、股东,供应链,输入和需求,期望和利益(合适的),
④识别组织的部分也包括在内;
在定义的范围时,还考虑事件规模和组织风险偏好的说明,满足业务连续性管理体系需求,还考虑业务影响分析或风险评估和适用的法规要求。
四、业务连续性管理体系
组织应建立、实施、保持和持续改进体系,包括流程,需要和他们的相互作用,符合本国际标准的要求。
