《ISO22301业务连续性管理体系程序文件汇编.docx》由会员分享,可在线阅读,更多相关《ISO22301业务连续性管理体系程序文件汇编.docx(80页珍藏版)》请在优知文库上搜索。
1、文件管制一览表序号文件名称文件编号版本1法律法规及相关方要求控制程序0.02业务连续性承诺及方针管理程序0.03风险和机会控制程序0.04资源控制程序0.05人力资源控制程序0.06信息交流沟通控制程序0.07存档信息控制程序0.08实施策划和控制程序0.09业务影响分析控制程序0.010风险评估控制程序0.011备份和恢复管理程序0.012供应商管理程序0.013顾客反馈投诉控制程序0.014外部提供过程产品服务控制程序0.015业务连续性管理程序0.016预警沟通管理程序0.017应急准备响应管理程序0.018监测分析评价程序0.019内部审核控制程序0.020管理评审控制程序0.021持
2、续改进控制程序0.022不合格纠正措施控制程序0.023事件恢复控制程序0.0文件编号:页码:2/77法律法规及相关方要求控制程序版本状态:0.0制定部门:品保部制定日期:2019/3/101 .目的为避免违反任何法律、法规,以及法定的或者合同约定的义务,使BCMS的策划、运行、绩效评价和改进置于法律、法规和合同约定的要求的约束之下,特制定本程序。2 .范围国家和地方法律、法规的相关规定,以及与相关方的合同约定的业务连续性方面的义务。3 .职责3.1 品保部负责组织收集与业务连续性有关的法律法规并对适用性评价,并按照国家、地方有关规定对录入的相关方提供的个人信息进行妥善管理与保护。3.2 营业
3、部负责根据与客户的合同约定确定我方所必需遵守的义务,并保证日常业务的进行处于合同约定的要求之下。3.3 管理部负责对公司使用的软件定期进行评审,避免盗版软件的下载与安装。3.4 各部门应按照有关法律、法规要求,为重要记录提供适当的保护。4 .程序4.1 法律法规的识别与符合性评价4.1.1 品保部负责组织收集与业务连续性有关的法律、法规并对适用性评价,确定其使用范围和具体适用条款,形成有效最新版本的法律法规、标准清单,将法律法规相关存档信息一起通过内部邮件等方式传达给有关部门并予以执行。4.1.2 相关部门负责每年至少一次对法律、法规的合规性进行评价,保持适用的法律、法规得以有效执行,并填写法
4、律法规合规性评价表。4.2相关方要求的识别与符合性评估4. 2.1本公司识别的与业务连续性管理相关的相关方有:员工、股东、体系认证机构、客户、供方和合作伙伴、政府单位等。5. 2.2品保部于业务连续性管理体系建立之初,负责组织各相关部门进行相关方需求和期望的获取,并填写相关方需求与期望清单。6. 2.3品保部对各部门获取的相关方需求和期望进行汇总,充分考虑技术条件、经济条件等因素,并对其进行分析,应用于业务连续性管理体系中。7. 2.4品保部根据行业特点及公司发展需要,适当时组织相关部门人员对影响企业发展的相关方需求和期望进行监文件编号:页码:3/77法律法规及相关方要求控制程序版本状态:0.
5、0制定部门:品保部制定日期:2019/3/10视和评审,并依此及时更新相关方需求与期望清单。4. 2.5相关方需求和期望的监视和评审结果,将作为管理评审的输入予以讨论。5.相关存档信息5.1 法律法规、标准清单5. 2法律法规合规性评价表5. 3相关方需求与期望清单业务连续性承诺及方针管理程序文件编号:页码:4/77版本状态:0.0制定部门:品保部制定日期:2019/3/101 .目的:为了确保BCM管理体系有效运行,以确保满足法律法规相关方的要求,明确管理目的和方向,特制定BCM管理承诺和方针管理规范,对承诺、方针进行宣传、理解并评审进行规范,必要时改进以提高管理水平。2 .适用范围:适用于
6、BCM体系承诺、方针的制定贯彻和实施。3 .职责:3.1 最高管理者负责确定BCM承诺、审批方针;3.2 各级各部门负责宣传贯彻和实施BCM承诺、方针;3.3 有关人员理解和掌握并贯彻实施BCM承诺、方针。4 .程序4.1承诺管理4.1.1总经理负责制定并落实在BCMS方面的领导力和承诺如下:a)确保已经为业务连续性管理体系制定了方针和目标并确保方针目标与组织的战略方向是一致的;b)确保业务连续性管理体系的要求纳入组织的业务过程中;c)确保业务连续性管理体系所需资源可用;d)就业务连续性管理体系的有效性和符合BCMS要求的重要性进行传达;e)确保业务连续性管理体系达到预期结果;f)指导和支持员
7、工为BCMS的有效性作出贡献;g)推动持续改进;h)支持其他相关管理者在其职责领域内展示其领导作用和承诺。4.1.2总经理通过下列活动为建立实施、运行、监视、评审、保持和改进BCMS的承诺提供证据:a)建立业务连续性方针;b)确保BCMS目标和和计划已被制定;C)为业务连续性管理确定角色、职责和能力;d)任命一名或多名具有适当权限和能力的BCMS责任人员来负责实施和保持BCMSo4.1.3总经理通过下列方式确保相关角色的职责和职权在组织内被授权和传达:a)确定风险接受准则和可接受的风险级别;业务连续性承诺及方针管理程序文件编号:页码:5/77版本状态:0.0制定部门:品保部制定日期:2019/
8、3/10b)积极参与演练利测试;C)确保BCMS的内部审核被执行;d)实施BCMS的管理评审;e)证明其对持续改进的承诺。4.2方针管理:4.2.1方针制定的要求:a)适应组织的宗旨并支持其战略方向;b)为业务连续性目标的制定提供框架;C)包括满足适用要求的承诺;d)包括对BCMS进行持续改进的承诺。4.2.2方针宣传、贯彻要求:a)可获得的存档信息;b)在组织内部得到沟通、理解和传达C)适当时,可为有关相关方所获取。d)在规定时间间隔内或当重大变化发生时对持续适用性进行评审。4.2.3本公司业务连续性方针如下:满足相关法律法规和相关方要求,任何时候都做好积极准备,持续保障和改进我们的商业伙伴
9、以及主要利益相关方的互利关系。a)本方针规定我们对业务连续性管理的愿景,规定了我司同仁在业务中断或灾难事件中的相关责任和期望行为,以最大化保障股东、社区、员工、供应商和客户的利益。b)本方针为业务连续性目标提供一个框架,以确保业务持续性管理系统在整个企业运营及相关合作伙伴中实施;依本方针建立的BCMS,以支持和确保在不利的条件下业务的复原力,在预定的时间内恢复/复原我们客户至关重要的产品和服务到可接受的水平。C)本方针确保将BCU作为日常运营和流程的重要组成部分嵌入组织活动中,推动卓越运营;管理团队,以协调各项活动,提供一个适宜的组织结构,统一和协调各地不同的本地方法和术语,确保公司治理。d)
10、本方针的所有者是BOMS委员会,并须在每年或显著的变化时进行评审。BCM相关事宜的支持和建议给分包商和合作伙伴。每年将方针提交管理评审进行年度评审,已决定是否需要进行修订、提升。业务连续性承诺及方针管理程序文件编号:页码:6/77版本状态:0.0制定部门:品保部制定日期:2019/3/104.2.4相关部门负责保留业务连续性方针方面的存档信息。5.相关存档信息5.1岗位BCM职责权限及要求风险机会控制程序文件编号:页码:7/77版本状态:0.0制定部门:品保部制定日期:2019/3/101 .目的通过对公司的中断事件带来的风险、机会进行识别、分析、评价、控制,确保所有风险均处于可接受的水平,确
11、保BCM管理体系能够实现其预期的结果,增强期望的影响,预防或减少非预期的影响,实现持续改进。2 .适用范围适用于公司在BCM体系的风险、机会的控制。3 .职责3.1. 总经理D提供风险评估所需的资源;2)批准风险和机会管理计划;3)批准风险和机会管理报告。4)组织实施风险管理活动。3. 2.管理部1)负责对参与风险机会管理人员的资格认可;2)全面监督、组织实施风险管理活动;3)参与风险机会分析和评价。4. 3.营业部D编制风险评估计划和风险评估报告;2)对风险控制措施的结果进行验证;3)负责对风险机会措施的有效性评价;3. 4.其它部门1)参与中断事件的相关信息反馈;2)参与风险分析和评价。4
12、风险评估活动策划4.1风险信息识别、评价D每年进行一次风险、机会信息的识别、评价,加以补充完善新的风险机会,并根据评价结果决定是否再次对风险机遇进行分析、控制和评价;2)识别中断对于公司优先活动及过程、系统、信息、人员、资产、外包方、和其它支持资源所带来的风险。3)系统地分析风险。4)评价哪种风险中断风险需要处理5)识别与业务连续性目标相符及与公司风险偏好一致的处理措施。4. 2风险机会控制措施的验证评价1)验证风险控制措施在最终设计中得到实施;2)验证、评价风险控制措施的有效性;3)所有的对风险控制措施的结果进行验证的活动由品保部负责组织实施:4)验证活动完成后,由品保部负责保存文档。5风险
13、的可接受性评价准则制定风险机会控制程序文件编号:页码:8/77版本状态:0.0制定部门:品保部制定日期:2019/3/105.1风险的发生概率分级(发生频度)等级标识分级定义1很低几乎不可能出现的频率极小(或二1次/十年);仅可能在非常罕见和例外的情况下发生2低不太可能出现的频率较小(或次/两年);或一般不太可能发生;或没有被证实发生过3中可能出现的频率中等(或Ql次/半年);或在某种情况下可能会发生;或被证实曾经发生过4高很可能出现的频率较高(或*1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过5极高非常可能出现的频率极高(或=1次/周);或在大多数情况下几乎不可避免;或可以
14、证实经常发生过5. 2风险的严重度水平分值标识描述1不严重一旦发生造成的影响几乎不存在,通过简单的措施就能弥补。2一般严重一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决。3严重一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。4非常严重一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害。5极其严重一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣。风险机会控制程序文件编号:页码:9/77版本状态:0.0制定部门:品保部制定日期:2019/3/105.3 风险值:频度X严重度5.4 风险评价准则:风险值风险等级措施分类16-25高接受风险降低风险规避风险915中18低6风险评价准则系数值分析根据上述风险评价准则所构成的(频度X严重度)风险评价准则表,确定风险可接受区域