| 4 组织环境/4.3 确定业务连续性管理体系的范围 |
4.3 确定业务连续性管理体系的范围 4.3.1 总则 组织应通过确定BCMS的边界和适用性来建立其范围。 组织在确定范围时应考虑: a) 4.1涉及的外部和内部情况; b) 4.2涉及的要求; c) 其使命、目标以及内外部责任。 该范围应为可获得的成文信息。 4.3.2 业务连续性管理体系的范围 组织应: a) 在考虑组织的地点、规模、性质和复杂性的情况下,确定组织中BCMS覆盖的部分; b) 识别包含在BCMS范围内的产品和服务。 在定义范围时,组织应记录并解释删减情况,任何删减应不影响根据业务影响分析或风险评估以及适用的法律或法规要求而确定的组织的业务连续性能力和责任。 |
【标准理解】
(1)组织应确定业务连续性管理体系(BCMS)的范围,以明确其适用范围和边界。
(2)业务连续性管理体系(BCMS)范围通常包含以下信息:组织名称(如XX公司等)、组织地址、具体的产品和服务提供过程(如XXX产品设计,生产和销售等)、以及涉及的支持过程(如人力资源,采购,行政,IT)等。
(3)在确定业务连续性管理体系(BCMS)范围时,应以4.1和4.2的输出信息,以及组织使命、目标和内外部责任,作为输入信息,以确保业务连续性管理体系(BCMS)范围符合组织的需求。
(4)业务连续性管理体系(BCMS)范围应识别其覆盖的产品和服务、地点、以及相关的过程活动。
(5)业务连续性管理体系(BCMS)范围,应保持书面的记录。
(6)ISO 22301: 2019 条款4至条款10的要求均是不能删除的,对于组织一些地点,产品和服务,以及过程活动,排除在业务连续性管理体系(BCMS)覆盖范围之外的,应有合理的理由,且不能影响组织的业务连续性能力和责任。
【行动要点】
(1)建立BCMS范围管理过程。
(2)形成书面的《BCMS范围管理流程》或《BCMS范围管理程序》,明确BCMS范围确定流程和要求。
(3)按照《BCMS范围管理流程》或《BCMS范围管理程序》,对BCMS范围进行确认、评审和更新,并输出相应的记录。
【输出文档】
(1)《BCMS范围管理流程》或《BCMS范围管理程序》(可选)。
(2)书面的业务连续性管理体系范围。
【审核要点】
(1)是否有对业务连续性管理体系的范围进行确定,并能提供书面的记录。
(2)业务连续性管理体系的范围是否与4.1和4.2的输出信息,以及组织组织使命、目标和内外部责任存在不一致的地方。
