ISO 22301业务连续性管理体系认证

大多数企业在某些时候，不得不对可能破坏或威胁其日常业务运作的事件作出回应。一个成功的业务连续性管理(BCM)的程序，能够应对任何潜在的干扰反应，是组织必不可少的；完善的业务持续管理系统(BCMS)不仅能帮助你的组织从灾难中恢复，也将防止可能出现的任何运作中断（例如错过了最后交期，困扰客户，或者直接的经济损失而带来的声誉损失等）。

一、服务概述
ISO22301管理体系框架能够帮助企业制定一套一体化的管理流程计划，使企业对潜在的灾难加以辨别分析，帮助其确定可能发生的冲击对企业运作造成的威胁，并提供一个有效的管理机制来阻止或抵消这些威胁，减少灾难事件给企业带来损失。整体BCM方案必须通过确定范围、风险评估、业务连续性管理战略、业务连续性目标、开发计划、教育训练、演习、测试、审查和持续改进等活动得到管理。

BCMS也应包括风险评估(RA)和业务影响分析(BIA)，这是ISO22301的内在组成部分和基本组成部分、是确定优先活动、受依赖和资源应支持的关键产品和服务，他们的失败将对组织产生的影响。

二、ISO22301管理点
成本效益分析应该用来检讨所有业务连续性安排，如服务等级协议、共享空间、劳动力，紧急事件中或紧急事件后的替代工艺和技术。 因为每年需要进行计划的基于业务优先级和风险的一系列演练，所以建议进行定期评审整体的管理中断事件的业务连续性能力。这样设计是为了突出任一弱点区域，给你一个更好的能力管理所有类型的潜在事故或灾难。

三、具体内容（BCM的过程包括六个步骤）
  步骤1 - BCM方案管理。方案管理的建立（如果有必要）和维护组织的业务连续性能力，并与组织的规模和复杂程度相适宜。在这第一步骤中，文件化BCM的范围和BCM核心团队及其角色和职责被批准是关键问题。

  步骤2 – 理解组织。与此步骤相关的活动是提供决定组织产品和服务的优先次序的信息，识别关键的支持活动及其资源，业务影响分析(BIA)和风险评估也是这个阶段的关键部分。

  步骤3 - 确定业务连续性管理策略。允许选择适当的响应优先的业务活动，使得组织遇中断后能够在预先设定的时间内恢复和继续提供产品或服务，在开发持续计划之前需预先定义的关键时间，如MAO、MBCO、MTPD、RTO和RPO。

  步骤4 – 开发和实施BCM响应。涵盖了开发应急响应、危机管理和业务连续性计划，详细阐明在中断中及中断后采取维持和复原优先级业务过程，或运营到预先定义水平的步骤。

  步骤5 – 演练、维护和评审BCM安排。在计划的时间间隔内进行演练，以达到业务连续性目标和识别改进机会，可以让组织证明其战略及计划和与目标的符合性。

  步骤6 – 嵌入BCM在组织文化中。这使BCM成为组织的核心价值的一部分，在组织所有相关方的各层级中灌输信心，应对中断；企业需要培训那些负责执行BCM、响应中断，以及受计划影响的相关人员；组织不仅应把计划落到实处，还应定期审查计划得到更新，确保其有效性；组织可以考虑将多个管理体系整合，以最大限度地提高效率。

ISO22301验审活动有助于通过各层级有计划、有效的BCM改善业务，包括：

1. 组织内识别和理解关键业务过程及其中断的影响。
2. 增强组织的弹性、恢复能力及持续生存能力水平。
3. 具备超越弹性较弱的竞争对手的优势。
4. 正面的讯息传达给媒体和利益相关者，以应对危机处理。
5. 提升保险公司对组织风险管理的印象，从而降低保费。
6. 符合监管机构、保险公司、商业伙伴和其他主要利益相关者的期望。
7. 在事故、破坏甚至灾难发生时显著降低财务影响。
8. 增加组织和员工双方的生存机会。
9. 通过展示具备专业的管理中断的方法而保持甚至提升声誉。
10. 如合同或协议的承诺，在可接受的预先定义的级别，及时和有序应对事件和业务中断，保证业务连续运营。
11. 鼓励跨团队和跨组织的协调。
12. 通过场景演练，展示可信的响应能力。
13. 以可见的证据证明整体风险管理的管理承诺。

SGS是信息安全和业务连续性管理体系的认证机构，有承接并成功执行大型，复杂国际项目的历史。随着在全球每一个地区的拓展，SGS能提供既符合当地市场文化，又稳定，可靠和有效的全球运作方式。

一、行业标准类
1. ISO/IEC27001认证
2. ISO/IEC20000认证
3. ISO/IEC27017& ISO/IEC27018认证
4. ISO28000认证

二、流程优化类
供应链质量管理

三、培训类
1. ISO31000风险管理理解应用
2. BCM意识培训
3. BCM体系结构与实施
4. 风险管理和业务影响分析(BIA)
5. 业务连续性计划(BCP)
6. BCM内部审核员培训
7. BCM主任审核员培训
8. 6Sigma黑带(BB)
9. 5S现场管理