| 4 组织环境/4.2 理解相关方的需求和期望 |
4.2 理解相关方的需求和期望 4.2.1 总则 在建立 BCMS时,组织应确定: a) 与 BCMS有关的相关方; b) 相关方的要求。 4.2.2 法律和法规要求 组织应: a) 实施并保持一个过程,用以识别、获取和评估与其产品和服务、活动和资源的连续性相关的、适用的法律和法规要求; b) 确保在实施和保持其 BCMS时考虑这些适用的法律、法规以及经组织认同的其他要求; c) 将这些信息形成文件并保持更新。 |
【标准理解】
(1)相关方可以是政府,社区,员工,顾客,供应商等。而与业务连续性管理有关的主要相关方有政府,顾客,员工,供应商以及组织内部各部门(如生产部门、销售部门等)。通常会提出相关方要求的相关方主要是政府(如与业务连续性有关的法律法规),顾客(如质量协议),以及组织内部各部门(如生产部门供电、网络、设备等可用性要求等、销售部门产品和服务交付要求等)。
(2)ISO 22301: 2019单独增加4.2.2条款,把法律法规要求单独列出来了,像ISO 9001等体系标准,没有这个单独条款,但也包含了适用法律法规的识别和评价要求。
(3)本条款要求组织必须识别出与业务连续性有关的适用法律法规,顾客相关的业务连续性要求,以及组织内部各部门业务连续性要求。
(4)组织应对业务连续性适用法律法规清单,顾客业务连续性要求清单,以及组织内部各部门业务连续性要求清单进行监视和评审。
(5)要注意的是,本条款也仅仅是要求输出业务连续性适用法律法规清单,顾客业务连续性要求清单以及组织内部各部门业务连续性要求清单,而对于清单中的要求相关风险和机遇的分析,以及应对这些风险和机遇的措施的制定,则是6.1的要求。这一点,很多人也是没有理清楚。
【行动要点】
(1)建立相关方要求管理过程。
(2)形成书面的《相关方要求管理流程》或《相关方要求管理程序》,明确管控相关方要求的范围(如法律法规要求,顾客要求,内部各部门要求),以及相关方要求识别途径,时机和频率,以及相关方要求清单的监视和评审要求等。
(3)按照《相关方要求管理流程》或《相关方要求管理程序》,输出业务连续性适用法律法规清单,顾客业务连续性要求清单以及组织内部各部门业务连续性要求清单,并定期对其进行监视和评审,必要时,对其进行更新。
【输出文档】
(1)《相关方要求管理流程》或《相关方要求管理程序》。
(2)业务连续性适用法律法规清单,顾客业务连续性要求清单以及组织内部各部门业务连续性要求清单。
(3)业务连续性适用法律法规清单,顾客业务连续性要求清单以及组织内部各部门业务连续性要求清单监视和评审记录。
【审核要点】
(1)是否建立相关方要求管理过程,并形成书面的二阶文件。
(2)是否按照文件输出业务连续性适用法律法规清单,顾客业务连续性要求清单以及组织内部各部门业务连续性要求清单。
(3)是否定期对业务连续性适用法律法规清单,顾客业务连续性要求清单以及组织内部各部门业务连续性要求清单进行监视和评审,能否提供相关监视和评审的记录。
