客服热线:
手机版
二维码
关于ISO22301业务连续性管理体系认证
当前,由于自然灾害及事故频繁发生,企业业务运作的不明确性和风险大幅度增加,而加强企业的业务连续性管理则成为打造最佳企业应急预案的必然选择。
GB/T 30146-2013/ISO 22301:2012 业务连续性管理体系(BCMS——Business Continuity Management System)是国内同等转换ISO业务连续性管理体系的国家标准。
ISO 22301:2012致力于使公共或私有部门的组织更具有适应性,其管理体系框架能够协助企业制定一套一体化的管理流程计划,使企业对潜在的灾难加以辨别分析,协助其明确可能发生的冲击对企业的运作造成的威胁,并提供1个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来的损失。
业务连续性管理体系认证标准目的和意义
震惊世界的911事件,双子塔中大部分公司的数据、资料都化为尘土,人员损失惨重,部分企业也因此而不复存在。而摩根士丹利投资公司由于事先多次演习,所有员工在事发时迅速找到最近的楼梯,有序地下楼逃生。最终,公司有2687名员工成功撤离世贸中心,仅有6名员工丧生。该公司也成为911事件后最早恢复运营的企业之一。
类似的例子还有许多,数据的丢失损坏、关键人员的流失、供应中断,都有可能造成企业的业务中断,甚至因此倒闭,影响的是与企业息息相关的股东、员工以及家庭,以及广大的顾客等。
怎样构建业务连续性体系,为企业抵抗风险保驾护航呢?业务连续性管理体系认证标准ISO22301认证标准致力于使公共或私有部门的组织更具有适应性,其管理体系框架能够协助企业制定一套一体化的管理流程计划,使企业对潜在的灾难加以辨别分析,协助其明确可能发生的冲击对企业的运作造成的威胁,并提供1个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来的损失。
什么叫ISO 22301
ISO22301是国际框架标准,旨在协助企业识别关键业务功能的潜在威胁,并设计业务连续性管理计划。该标准可协助企业建立高效的备份系统和流程,用于防范 盗窃、自然灾害、疾病爆发、恐怖袭击和其他特别事件。ISO22301规定了计划、实施、监控、审查和改进公司业务连续性管理系统的要求,从而将中断可能产生的影响降至最少。
ISO 22301标准的基本要求
1. 在灾难或轻微的事件持续操作的任何业务的基本要求,要有个应急计划,以保持企业的活动是必不可少的;
2. 改进单纯形法的努力使ISO认证尽可能简单地为顾客服务;
3. 致力于质量;
4. 实现1个ISO标准,表明企业是通过测试过程提供质量体系的;
5. 内部标准提供重点学科,外部将获得信誉,权威和识别。
业务连续性管理体系认证标准适用范围
业务连续性管理体系适用于各种类型的组织(包含大、中、小型从事工业,商业,公共和非盈利等所有规模和类型的组织),尤其是对业务连续性要求较高的银行、证券等金融机构;制造业;软件和信息技术服务企业等。
ISO 22301的到来将为您的企业带来许多的好处:
1. 协助您更好的了解业务的漏洞和建立有效的和强大的业务连续性管理程序;
2. 能够协助恢复基础设施,信息流和关键目标的快速和有效;
3. 而其标准是开发和执行处理轻微事故,重大灾害的一切故障安全策略;
4. ISO 22301框架将减少中断的风险和维护员工和声誉;
5. 提供利益相关者和顾客可靠性的信心;
6. 打开你的业务到新的全球市场的机会。
关于ISO26262汽车功能安全标准流程认证
一、汽车功能安全流程认证的出处
许多人说:翻遍ISO26262标准,没看到标准有流程认证一说。是的,你没看错,ISO26262没有明确提流程认证。标准中提到了“Functional Safety Audit”,并且对审核的独立性进行了要求:要求ASIL D的项目,必须I3独立性的人实施流程审核;ASIL C的项目必须I2独立性的人实施流程审核(如图1)。
图1:审核独立性要求(sourCE:ISO26262-2, table 1)
那么什么样的人,算是I3独立性呢?标准要求是来自不同的部门或者组织的人员(如图2所示)。
图2:人员独立性解释
标准还对人员的能力进行了要求(参考ISO26262-2 5.4.4 competence management),可是ISO26262没有明确审核员应该具备什么样的资质。当然,熟悉ISO26262和一定的审核经验是必不可少的。目前国内企业,这种人才还十分稀缺,许多公司没有ISO26262的审核员,因此,来自不同部门的人执行I3独立性审核变得不太现实。许多公司纷纷寻求第三方(例如SGS或者上海先起)执行Functional Safety Audit。当然,也有公正性方面的考虑,这里不再展开。
既然花了钱找第三方做了审核,又通过了审核,为何不拿张证书呢?因此就派生出了ISO26262流程证书,证明企业的开发流程符合ISO26262的要求。
二、关于认证公司
许多人问怎样选择认证公司呢?如刚才所说,ISO26262没有明确要求流程审核员应具备什么样的能力,当然更不可能规定什么公司能够进行ISO26262流程审核。
目前没有1个全球性的组织,对ISO26262的认证公司进行统一管控和授权。由于ISO26262标准源于德国,德国认监委(DAkkS)授权了一些服务机构,开展ISO26262的业务(下图是DAkkS对SGS的授权书和授权范围)。截至目前,SGS全球总共颁发了218张ISO26262流程和产品认证。
三、怎样获得流程证书
要想通过流程认证,当然先要建立公司的功能安全流程体系,并在项目中实施并改进流程。
先说说公司流程体系,功能安全流程体系通常包含:安全方针、流程描述、作业指导书、模板和检查表。这是1个庞大的体系,例如仅仅软件定制阶段,就有流程体系文件48份(如下)。如需完整流程体系文件清单,请发送email索取。
找个试点项目,按照流程定义,在项目中实施流程一轮完整的开发,需求、设计、分析、验证,都有流程实施的证据,其次就能够申请流程认证了。
其它常见问题
1. 证书有效期:3年
2. 是否必须年审:是的
3. 项目周期:取决于认证范围,通常必须9个月-1年。
4. 必须什么样的人员配置?必须1个专职的人员,以及5-6个兼职人员。
专职人员:是企业内部从技术角度整体把握ISO26262技术要求的人员,参与所有功能安全流程方案的探讨和制定。
兼职人员:对于某些必须专门的领域经验的阶段(例如软件架构设计),必须选取实际实施该阶段的代表作为兼职人员,参与该流程定义的探讨和制定,并在项目中实施流程。
5. 假如已经取得了ISO26262:2011版证书,怎样升版到ISO26262:2018?流程体系中必须增加ISO26262:2018新版要求,新版的转变,参考文章《ISO26262第二版新看点》
