Tiêu chuẩn quốc gia TCVN ISO 22301:2018 (ISO 22301:2012) về An ninh xã hội - Hệ thống quản lý kinh doanh liên tục - Các yêu cầu
ISO 22301:2012
AN NINH XÃ HỘI - HỆ THỐNG QUẢN LÝ KINH DOANH LIÊN TỤC - CÁC YÊU CẦU
Societal Security - Business Continuity Management Systems - Requirements
Lời nói đầu
TCVN ISO 22301:2018 hoàn toàn tương đương với ISO 22301:2012;
TCVN ISO 22301:2018 do Ban kỹ thuật Tiêu chuẩn Quốc gia TCVN/176 Quản lý chất lượng và Đảm bảo chất lượng biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ công bố.
Lời giới thiệu
0.1 Khái quát
Tiêu chuẩn này quy định các yêu cầu đối với việc thiết lập và quản lý hệ thống quản lý kinh doanh liên tục (BCMS) một cách hiệu lực.
BCMS nhấn mạnh tầm quan trọng của:
- việc hiểu nhu cầu của tổ chức và sự cần thiết đối với việc thiết lập chính sách và mục tiêu quản lý kinh doanh liên tục,
- áp dụng và triển khai các kiểm soát và biện pháp để quản lý khả năng tổng thể của tổ chức nhằm quản lý các sự cố gián đoạn,
- theo dõi và xem xét kết quả thực hiện và hiệu lực của BCMS, và
- cải tiến liên tục dựa trên đo lường khách quan.
BCMS cũng giống như các hệ thống quản lý khác có các thành phần chính sau:
a) chính sách;
b) con người với các trách nhiệm xác định;
c) các quá trình quản lý liên quan đến
1) chính sách,
2) hoạch định,
3) áp dụng và triển khai,
4) đánh giá kết quả thực hiện,
5) xem xét của lãnh đạo, và
6) cải tiến;
d) hệ thống tài liệu cung cấp bằng chứng có thể đánh giá được; và
e) quá trình quản lý kinh doanh liên tục bất kỳ liên quan đến tổ chức.
Kinh doanh liên tục đóng góp cho một xã hội có khả năng thích ứng cao hơn. Cộng đồng lớn hơn và tác động của môi trường của tổ chức tới tổ chức lớn hơn và vì vậy những tổ chức khác có thể cần tham gia vào quá trình phục hồi.
0.2 Mô hình Hoạch định - Thực hiện - Kiểm tra - Hành động (PDCA)
Tiêu chuẩn này áp dụng mô hình Hoạch định - Thực hiện - Kiểm tra - Hành động (PDCA) cho việc hoạch định, thiết lập, áp dụng, triển khai, theo dõi, xem xét, duy trì và cải tiến liên tục hiệu lực của BCMS của tổ chức.
Điều này đảm bảo mức độ nhất quán với các tiêu chuẩn khác về hệ thống quản lý như TCVN ISO 9001 Hệ thống quản lý chất lượng, TCVN ISO 14001 Hệ thống quản lý môi trường, TCVN ISO/IEC 27001 Hệ thống quản lý an ninh thông tin, ISO/IEC 20000-1 Công nghệ thông tin - Quản lý dịch vụ và TCVN ISO 28000 Quy định đối với hệ thống quản lý an toàn chuỗi cung ứng, do đó hỗ trợ việc áp dụng và triển khai nhất quán và tích hợp với các hệ thống quản lý khác có liên quan.
Hình 1 minh họa cách thức BCMS đưa các bên quan tâm, các yêu cầu đối với quản lý tính liên tục thành các đầu vào và thông qua các hành động và quá trình cần thiết tạo ra kết quả đầu ra là tính liên tục (nghĩa là tính liên tục trong kinh doanh được quản lý) đáp ứng các yêu cầu đó.
Hình 1 - Mô hình PDCA áp dụng cho các quá trình của BCMS
Bảng 1- Diễn giải mô hình PDCA
|
Hoạch định (Thiết lập) |
Thiết lập chính sách, mục tiêu, chỉ tiêu, kiểm soát, quá trình vả thủ tục thích hợp về kinh doanh liên tục nhằm cải tiến kinh doanh liên tục và mang lại các kết quả thống nhất với chính sách và mục tiêu chung của tổ chức. |
|
Thực hiện (Áp dụng và triển khai) |
Áp dụng và triển khai chính sách, kiểm soát, quá trình và thủ tục về kinh doanh liên tục. |
|
Kiểm tra (Theo dõi và xem xét) |
Theo dõi và xem xét kết quả thực hiện theo chính sách và mục tiêu kinh doanh liên tục, báo cáo kết quả cho lãnh đạo để xem xét, xác định và cho phép hành động để khắc phục và cải tiến. |
|
Hành động (Duy trì và cải tiến) |
Duy trì và cải tiến BCMS thông qua việc thực hiện hành động khắc phục dựa trên kết quả xem xét của lãnh đạo và đánh giá lại phạm vi của BCMS và chính sách và mục tiêu kinh doanh liên tục. |
0.3 Các thành phần của PDCA trong tiêu chuẩn này
Trong mô hình Hoạch định - Thực hiện - Kiểm tra - Hành động nêu ở Bảng 1, các điều từ 4 đến 10 trong tiêu chuẩn này bao trùm các thành phần dưới đây.
- Điều 4 thuộc Hoạch định. Điều này đưa ra các yêu cầu cần thiết cho việc thiết lập bối cảnh của BCMS khi áp dụng cho tổ chức cũng như các nhu cầu, yêu cầu và phạm vi.
- Điều 5 thuộc Hoạch định. Điều này tóm tắt các yêu cầu cụ thể đối với vai trò của lãnh đạo cao nhất trong BCMS và cách thức sự lãnh đạo kết nối mong đợi của mình với tổ chức thông qua tuyên bố về chính sách.
- Điều 6 thuộc Hoạch định. Điều này quy định các yêu cầu liên quan đến việc thiết lập các mục tiêu chiến lược và hướng dẫn các nguyên tắc đối với BCMS như một tổng thể. Nội dung của điều 6 khác với việc thiết lập các cơ hội xử lý rủi ro xác định từ đánh giá rủi ro, cũng như các mục tiêu phục hồi bắt nguồn từ phân tích tác động kinh doanh (BIA).
CHÚ THÍCH: Các yêu cầu của quá trình phân tích tác động kinh doanh và đánh giá rủi ro được nêu chi tiết ở Điều 8.
- Điều 7 thuộc Hoạch định. Điều này hỗ trợ việc triển khai BCMS liên quan đến thiết lập năng lực và trao đổi thông tin trên cơ sở định kỳ/hoặc khi cần với các bên quan tâm, đồng thời lập thành văn bản, kiểm soát, duy trì và lưu giữ hệ thống tài liệu theo yêu cầu.
- Điều 8 thuộc Thực hiện. Điều này xác định các yêu cầu đối với kinh doanh liên tục, xác định cách thức giải quyết các yêu cầu này và xây dựng các thủ tục/quy trình để quản lý sự cố gián đoạn.
- Điều 9 thuộc Kiểm tra. Điều này tóm tắt các yêu cầu cần thiết đối với việc đo lường kết quả thực hiện quản lý kinh doanh liên tục, sự phù hợp của BCMS với tiêu chuẩn này và những mong đợi của lãnh đạo, tìm kiếm phản hồi của lãnh đạo về những mong đợi này.
- Điều 10 thuộc Hành động. Điều này nhận biết và hành động đối với sự không phù hợp của BCMS thông qua hành động khắc phục.
AN NINH XÃ HỘI - HỆ THỐNG QUẢN LÝ KINH DOANH LIÊN TỤC - CÁC YÊU CẦU
Societal Security - Business Continuity Management Systems - Requirements
Tiêu chuẩn về quản lý kinh doanh liên tục này quy định các yêu cầu đối với việc hoạch định, thiết lập, áp dụng, triển khai, theo dõi, xem xét, duy trì và cải tiến liên tục hệ thống quản lý được lập thành văn bản nhằm bảo vệ khỏi, giảm khả năng xảy ra của, chuẩn bị cho, ứng phó với và khôi phục sau sự cố gián đoạn khi sự cố nảy sinh.
Các yêu cầu xác định trong tiêu chuẩn này mang tính khái quát và nhằm áp dụng cho mọi tổ chức hoặc các bộ phận của tổ chức, không phân biệt loại hình, quy mô và tính chất của tổ chức. Mức độ áp dụng các yêu cầu này phụ thuộc vào môi trường hoạt động và mức độ phức tạp của tổ chức.
Tiêu chuẩn này không hàm ý sự đồng nhất về cấu trúc của hệ thống quản lý kinh doanh liên tục (BCMS) mà để tổ chức thiết kế BCMS thích hợp với nhu cầu của mình và đáp ứng yêu cầu của các bên quan tâm của tổ chức. Những nhu cầu này được hình thành từ yêu cầu pháp lý, chế định, yêu cầu của tổ chức và ngành công nghiệp, sản phẩm và dịch vụ, các quá trình được thực hiện, quy mô và cơ cấu của tổ chức và yêu cầu của các bên quan tâm của tổ chức.
Tiêu chuẩn này áp dụng cho tổ chức ở mọi loại hình và quy mô và mong muốn:
a) thiết lập, áp dụng, duy trì và cải tiến BCMS,
b) đảm bảo sự phù hợp với chính sách kinh doanh liên tục đã tuyên bố,
c) chứng tỏ sự phù hợp với các bên khác,
d) muốn chứng nhận/đăng ký BCMS của mình bởi tổ chức chứng nhận bên thứ ba được công nhận,hoặc
e) thực hiện việc tự xác định và tự công bố sự phù hợp với tiêu chuẩn này.
Tiêu chuẩn này cổ thể được dùng để đánh giá khả năng của tổ chức trong việc đáp ứng nhu cầu và nghĩa vụ về tính liên tục của chính mình.
Không có tài liệu viện dẫn.
Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa dưới đây.
3.1
Hoạt động
Quá trình hoặc tập hợp các quá trình được thực hiện bởi tổ chức (hoặc với danh nghĩa của tổ chức) để đưa ra hoặc hỗ trợ một hoặc nhiều sản phẩm và dịch vụ.
VÍ DỤ: Các quá trình này bao gồm kế toán, tổng đài, IT, sản xuất, phân phối.
3.2
Đánh giá
Quá trình có hệ thống, độc lập và được lập thành văn bản để thu được bằng chứng đánh giá và xem xét đánh giá chúng một cách khách quan để xác định mức độ thực hiện các chuẩn mực đánh giá.
CHÚ THÍCH 1: Đánh giá có thể là đánh giá nội bộ (bên thứ nhất) hoặc đánh giá bên ngoài (bên thứ hai hoặc thứ ba) và có thể là đánh giá kết hợp (kết hợp hai hay nhiều lĩnh vực)
CHÚ THÍCH 2: “Bằng chứng đánh giá” và “chuẩn mực đánh giá” được định nghĩa tại TCVN ISO 19011.
3.3
Kinh doanh liên tục
Tính liên tục trong kinh doanh
Khả năng của tổ chức trong việc duy trì cung cấp sản phẩm hoặc dịch vụ ở mức chấp nhận đã được xác định sau sự cố gián đoạn.
[NGUỒN: TCVN ISO 22300]
3.4
Quản lý kinh doanh liên tục
Quản lý tính liên tục trong kinh doanh
Quá trình quản lý toàn diện nhận biết các mối đe dọa tiềm ẩn với tổ chức và các tác động mà các mối đe dọa đó, nếu xảy ra, có thể gây ra cho các hoạt động kinh doanh và đưa ra khuôn khổ để xây dựng khả năng thích ứng của tổ chức với khả năng ứng phó có hiệu lực nhằm bảo vệ các lợi ích của các bên liên quan chủ yếu, danh tiếng, thương hiệu và các hoạt động tạo dựng giá trị của tổ chức.
3.5
Hệ thống quản lý kinh doanh liên tục
BCMS
Một phần trong tổng thể hệ thống quản lý thiết lập, áp dụng, triển khai, theo dõi, xem xét, duy trì và cải tiến kinh doanh liên tục.
CHÚ THÍCH 1: Hệ thống quản lý bao gồm cơ cấu tổ chức, chính sách, hoạt động hoạch định, trách nhiệm, thủ tục, quá trình và nguồn lực.
3.6
Kế hoạch kinh doanh liên tục
Các thủ tục dạng văn bản hướng dẫn tổ chức ứng phó, phục hồi, tiếp tục và khôi phục lại hoạt động đến mức độ đã được xác định sau khi bị gián đoạn.
CHÚ THÍCH 1: Thông thường điều này bao gồm nguồn lực, dịch vụ và hoạt động cần thiết để đảm bảo tính liên tục của các chức năng kinh doanh quan trọng.
3.7
Chương trình kinh doanh liên tục
Quá trình quản lý và quản trị liên tục được hỗ trợ bởi lãnh đạo cao nhất và trang bị nguồn lực thích hợp để thực hiện và duy trì quản lý kinh doanh liên tục.
3.8
Phân tích tác động kinh doanh
Quá trình phân tích các hoạt động và ảnh hưởng mà việc gián đoạn kinh doanh có thể gây ra đối với các hoạt động này.
[NGUỒN; TCVN ISO 22300]
3.9
Năng lực
Khả năng áp dụng kiến thức và kỹ năng để đạt được kết quả dự kiến.
3.10
Sự phù hợp
Sự đáp ứng một yêu cầu.
[NGUỒN: TCVN ISO 22300]
3.11
Cải tiến liên tục
Hoạt động lặp lại để nâng cao kết quả thực hiện.
[NGUỒN: TCVN ISO 22300]
Ý kiến bạn đọc
