ISO22301-2019业务连续性管理体系BCMS文件清单.doc

第 第 PAGE 1 页 共 NUMPAGES 10 页 ISO22301-2019业务连续性管理体系BCMS文件清单 1．体系文件清单 以下是基于ISO 22301：2019实施业务连续性管理体系涉及到的体系文件清单(加黑部分是标准要求的强制文件)。当然，这并非实施ISO 22301：2019 BCMS可以用到的所有文件，只要你觉得助于提升组织的业务连续性能力和韧性水平，你可以增添任何你觉得需要的文件(或将以下文件分拆成多个文件)。 文件名 ISO 22301：2019要求 文档和记录控制程序 7.5 项目实施计划 需求识别程序 4.2 法律法规和其它要求清单 4.2 业务连续性方针(目标和范围) 4.3, 5.3, 6.2 业务连续性管理年度计划 6.1，6.2，8.1，10.2 BCMS变更计划 6.3，10.1 培训和意识教育计划 7.2，7.3 人员能力记录 7.2 合同和服务水平协议 8.1 业务影响分析过程和生成报告(结果) 8.2.1, 8.2.2 业务影响分析调查问卷 8.2.1, 8.2.2 风险评估过程和生成报告(结果) 8.2.1，8.2.3 业务连续性策略和解决方案 8.3.3 资源要求(基于解决方案) 8.3.4 解决方案实施计划 8.3.5 业务连续性计划、程序和中断事件记录 8.4 与相关方的成文沟通 8.4.3.1 事件场景 8.5 演练与测试计划 8.5 演练总结 8.5 事后分析和总结 8.6 监视、测量、分析和评价方法 9.1.1 监视和测量的数据和结果 9.1.1 内审方案 9.2 内审程序 9.2 内审的结果(报告) 9.2 管理评审程序 9.3 管理评审的结果(记录) 9.3 纠正措施程序 10.1 纠正措施及结果 10.1 2．必需的(强制)文件和记录 以下文件和记录是ISO 22301：2019实施必须具备的(标准中称其为“成文信息”)： 文件和记录 ISO 22301：2019条款 1.法律法规和其它要求清单 4.2.2 该清单及相应的需求识别程序，宜在项目最初就确定，因为需要它作为整个BCMS的输入。 2. BCMS的范围及删减解释 4.3 该文件也很短，宜在项目初就编写完成。它宜根据已识别的要求和组织的期望，清晰规定BCMS将应用于组织的哪些部分。它宜解释为什么组织中有部分被排除。 该文件通常被合并到业务连续性方针中。 3.业务连续性方针 5.3 4.业务连续性目标 6.2 这是BCMS的核心文件，最高管理者宜在其中声明他们想用BCMS达到什么，以及他们如何管理它。(如果有可能的话，还可以在其中描述BCMS是如何策划、实施、运行和持续改进的) 通常，最高管理者只需审批这个顶层文件，其它的BCMS文件由指定负责人审批。 该文件不用长篇大论，中小型组织通常把业务连续性范围和业务连续性目标合并进来；大型组织则可将范围和目标分成不同的文件。 注意：BCMS的目标不要和RTO混淆，BCMS的目标是设定给整个BCMS的，而不是面向特定业务的。 5.人员能力 7.2 人员能力记录通常由人力资源部(如果有的话)维护，如果没有人力资源部，维护员工记录的人员宜负责该工作，有一个包含所有文件的文件夹就可以了。 6.业务连续性计划、程序和中断事件记录 8.4 一般而言，业务连续性计划和程序包括： 事件响应计划，用于初始响应。事件响应计划需要解决组织面临的所有重大风险，内容包括在这些事件发生时如何初始响应，记录中断事件实际情况、采取行动和所做决策有关信息的方法—可以简单到在执行计划步骤时手写便条； 业务恢复计划，侧重于恢复组织的业务； 灾难恢复计划(IT DRP)，侧重于恢ICT系统和基础设施； 沟通计划，规定与内外部相关方的沟通内容、时机、对象和沟通方式。如有必要，还可以开发与媒体沟通的模板，能帮助你快速发布新闻稿； 复原(事后重建)计划，侧重于将业务从临时措施恢复到正常运营状态； 支持文件，如设备手册、建筑物图纸等。 可以将以上计划作为附录组织在一个业务连续性计划文件中。 7.与相关方的成文沟通 8.4.3.1 这些沟通可能是不同的形式，如电子邮件、常规邮件、电话等。记录它们并不复杂，对电邮、邮件和文件的拷贝进行存档，对电话可以按事先预定的方式记录。 第8.4.3.1条是指接收、记录和回应相关方的程序，即根据沟通计划回应沟通内容，其重点在于组织与任何国家或地区性风险预警系统或类似系统(如海啸预警中心)之间的信息交换。关于沟通计划，对中小型公司来说，此类程序可作为事件响应计划的一部分，对于大公司，这些程序会是独立的文件。 8.监视和测量的数据和结果 9.1.1 所有相关报告、KPIs、通过电子邮件发送的非正式结果、以及决策等，都宜保存一段指定的时间。 9.内审方案 9.2 10.内