ISO22301：2019程序文件-风险机会控制程序.pdfVIP

文件编号版本号修改号

风险机会控制程序

BCM6.1-01A0

1.目的

通过对公司的中断事件带来的风险、机会进行识别、分析、评价、控制，确保所有风

险均处于可接受的水平，确保BCM管理体系能够实现其预期的结果，增强期望的影响，预防

或减少非预期的影响，实现持续改进。

2.适用范围

适用于公司在BCM体系的所有风险、机会的识别分析评价控制。

信息化类风险识别分析评价控制，按《信息化风险评估控制程序》执行。

3.职责

3.1.总经理

1）提供风险评估所需的资源；

2）批准风险和机会管理计划；

3）批准风险和机会管理报告。

4）组织实施风险管理活动。

3.2.综合部

1）负责对参与风险机会管理人员的资格认可；

2）全面监督、组织实施风险管理活动；

3）参与风险机会分析和评价。

3.3.业务部

1）编制风险评估计划和风险评估报告；

2）对风险控制措施的结果进行验证；

3）负责对风险机会措施的有效性评价；

3.4.其它部门

1）参与中断事件的相关信息反馈；

2）参与风险分析和评价。

4．风险评估活动策划

4.1风险信息识别、评价

1）每年进行一次风险、机会信息的识别、评价，加以补充完善新的风险机会，并根据

评价结果决定是否再次对风险机遇进行分析、控制和评价；

2）识别中断对于公司优先活动及过程、系统、信息、人员、资产、外包方、和其它支

持资源所带来的风险。

3）系统地分析风险。

4）评价哪种风险中断风险需要处理

5）识别与业务连续性目标相符及与公司风险偏好一致的处理措施。

4.3风险机会控制措施的验证评价

1）验证风险控制措施在最终设计中得到实施；

2）验证、评价风险控制措施的有效性；

3）所有的对风险控制措施的结果进行验证的活动由质量部负责组织实施；

4）验证活动完成后，由质量部负责保持文档。

5．风险的可接受性评价准则制定

5.1风险的发生概率分级（发生频度）-O

发生的可能性可能的发生率定量分析描述

表示符评价数值

定性描述

O55极高肯定发生，1个项目可能发生1次以上

O44高经常发生，10个项目发生1次

O33中等有时发生，100个项目发生1次

O22低很少发生，1000个项目发生1次

O11极低几乎不可能发生，10000个以上项目发生1次

5.2风险的严重度水平-S

表示评价严重度后果风险严重度定量的描述

符数值的描述进度成本恢复时间RTO

S55灾难的（极整体进度拖延大于成本增加大于30%超出规定RTO时间30%以上

高）30%

S44危险的（高）整体进度拖延成本增加介于10%～超出规定RTO时间10%-30%

10%～30%30%

S33重大的（中）整体进度拖延成本增加介于超出规定RTO时间5%-10%

5%～10%5%～10%

S22显著的（低）进度拖延小于5%成本增加小于5％在RTO界限内，接近RTO时