ISO 22301:2019《安全和弹性业务连续性管理体系要求》比较ISO 22301:2012 版的关键变化

靳喜军 李艳杰

摘要：ISO 22301：2019《安全和弹性 业务连续性管理体系 要求》 于2019年10月31日发布，修订后的标准更易读和易采用。ISO 22301：2019标准的内容延续了旧版本的高阶结构（HLS）。新版本精简了术语，反映了业务连续性管理认识（理解）及使用上的变化，在结构方面，对部分章节进行了重新编排，有合并也有删减。

关键词：业务连续性 安全与弹性 管理体系 关键变化

Abstract： ISO 22301：2019 "Security and resilience—Business continuity management system—Requirements" was released on October 31， 2019. The revised standard is easier to read and adopt.The content of the ISO 22301： 2019 standard continues the older version of the high-level structure （HLS）.The new standard streamlines terminology and reflects changes in understanding and use of business continuity management. In terms of structure， some chapters have been rearranged， and some have been merged or deleted.

Key words： business continuity， security and resilience， management system， key changes

1 引言

ISO 22301：2019《安全和弹性 业务连续性管理体系 要求》 于2019年10月31日发布。距2012版正式发布已有7年，修订后的标准更易读和易采用。业务连续性管理体系国际标准帮助组织面对各种威胁，并根据业务影响分析，对业务中断的影响的重要性进行排序，优先预防和处理关键业务的中断和业务恢复。帮助组织实施保护，减少中断事件发生的可能性，以及当中断事件发生时准备、响应并恢复，降低中断事件产生的影响。

标准名称的变化：

ISO 22301：2012 公共安全 业务连续性管理体系 要求（Societal security—Business continuity management systems—Requirements）

ISO 22301：2019 安全和弹性 业务连续性管理体系 要求（Security and  resilience— Business continuity management systems—Requirements）

新版本ISO 22301：2019结构沿用了ISO 22301：2012版本（High level structure）的结构，与其他新版ISO管理体系标准（如ISO 9001：2015和ISO/IEC 27001：2013）采用的通用核心文本及定义相一致。

2总体变化

2.1 思路变化

与ISO 22301：2012相比，本次修订的主要变化包括：

1） 对第8章内容进行重新排序，删除重复内容，简化术语并趋于一致;

2） 删除风险偏好的引用;

3） 删除介绍性指南信息，这些信息包含在ISO 22313 BCMS 指南性文件里;

4） 更側重于对BCMS变更的规划;

5） 更少的规范性程序和文档要求;

6） 将业务连续性战略表述为“业务连续性战略与解决方案”，更清晰;

7） 将业务连续性计划与应对业务中断的支持团队和人员相关联，更明确;

8） 术语更加精简，反映了业务连续性管理认识（理解）及使用上的变化，结构方面，对部分章节进行了重新编排，有合并也有删减。

2.2 架构变化

ISO 22301：2019结构沿用了ISO 22301：2012版本（High level structure）的结构，结构图见图1。

3 详细变化对比

3.1 与管理系统的整合

ISO 22301：2019标准的内容保持了ISO 22301：2012的高阶结构（HLS），并引入了一些新要求，与ISO/IEC 27001：2013，ISO 9001：2015和ISO 14001：2015等其他管理体系标准采用的结构相同。

高阶结构（HLS）：

除了Introduction（引言）以外，主要包含10个章节：

1. Scope（范围）

2. Normative references（规范性引用文件）

3. Terms and definitions（术语和定义）

4. Context of the organization（组织环境）

5. Leadership（领导力）

6. Planning（策划）

7. Support（支持）

8. Operation（实施）

9. Performance evaluation（绩效评估）

10. Improvement（改进）

3.2 术语和定义的变化

3.2.1 不再引入的术语共26项，见表1。

3.2.2 新增术语，见表2。

3.2.3 术语被重新定义共8项，见表3。

3.3 标准条款被重新定义

3.3.1 “业务连续性策略”被“业务连续性策略和解决方案”取代，见表4。

3.3.2 “建立资源要求”被“资源要求”取代，见表5 。

3.3.3 “保护和缓解”被“解决方案的实施”取代，见表6 。

3.3.4 “建立和实施业务连续性程序”被“业务连续性计划和程序”取代，见表7 。

3.4 条款内容变化

3.4.1 “了解组织和组织环境”条款内容变化对比见表8 。

3.4.2 “业务连续性管理体系的范围”条款内容变化对比见表9 。

3.4.3 “沟通”条款内容变化对比见表10 。

3.4.4 “事件响应机制”条款内容变化对比见表11 。

3.4.5 “预警和沟通”条款，拆分成2个小条款分别进行描述，见表12 。

3.4.6 条款合并，“领导力”由4个条款合并为3个条款，见表13 。

3.4.7 条款拆分，8.3.1条款拆分成3个条款（8.3.1 、8.3.2 、8.3.3），见表14。

3.5 增加新的要求，见表15。

4 结论

ISO 22301：2019标准采用更清晰的区分业务连续性能力交付和管理体系的实现与维护; 简化后，新的标准更易读和易于采用，术语从55项调整为31项，反映了业务连续性管理认识（理解）及使用上的变化。結构方面，对部分章节进行调整，有合并也有删减（因为重复）。对认证企业而言，新版本中的要求更少，从106项减少为91项，但更有效。

参考文献

[1] Security and resilience— Business continuity management systems—Requirements： BS EN ISO 22301：2019[S/OL].[2020-5-19]. https：//www. iso.org/standard/75106.html.

[2] Societal security—Business continuity management systems—Requirements： ISO 22301：2012[S/OL]. [2020-5-19]. https：//www.iso.org/standard/50038. html.