· 公众号:业务连续性+ 原文链接 ↗

国际标准NFPA 1600/NFPA 1660和ISO 22301概要

NFPA 1600/NFPA 1660 和 ISO 22301

NFPA 1600/NFPA 1660和ISO 22301是业务连续性管理领域最重要的两个标准,在主流的业务连续性管理最佳实践中也各占据一席之地。

相对而言,国内对ISO 22301(及其等同采用国家标准GB/T 30146)介绍比较多,对NFPA 1600/NFPA 1660的介绍则比较少,本公众号曾发过以下几篇文章:

前几天,Preparedness公司CEO Donald L. Schmid(曾任NFPA应急管理和业务连续性技术委员会主席,领导开发了多个版本的NFPA 1600)在领英(Linkedin)上发表了一篇文章《NFPA 1600/1600和ISO 22301》,对NFPA 1600/NFPA 1660和ISO 22301进行了介绍,并做了一些对比,以下内容主要来自这篇文章(当然,也参考其它来源信息做了个别调整)。

1.NFPA 1600/NFPA 1660和ISO 22301的由来和使用情况

NFPA 1600是美国国家标准协会(ANSI)认可的美国国家标准。它在1995年发布了第1版,《NFPA 1600:2019 连续性、应急和危机管理标准》是它的第8版。它在2007年的公法110-53后被确立为美国的”国家准备标准”。NFPA 1600也是美国应急管理认可计划(EMAP)中标准的基础。

《NFPA 1660-2024 应急、连续性和危机管理标准:准备、响应和恢复》是NFPA 1600与《NFPA 1616-2020 大规模疏散、避护和重返计划标准》和《NFPA 1620-2020 事前规划标准》合编的结果。《NFPA 1600-2019》和《NFPA 1660-2024》的第4至第10章基本相同。目前,《NFPA 1600-2019》并未被撤销,仍然可用。

《ISO 22301:2019 安全与韧性 – 业务连续性管理体系 – 要求》是该标准的第2版,它取消并取代了2012年发布的第1版。英国标准《BS 25999》是《ISO 22301:2012》的基础之一。

这两项国际标准在全球范围内都得到了广泛应用。NFPA 1600在西半球占主导地位,并作为加拿大(Z1600)和南美洲几个国家标准的基础。NFPA 1600 的部分内容也被纳入或作为美国应急规划法规的基础。NFPA 1600在中东和东亚一些国家也得到广泛使用。而ISO 22301在欧洲占主导地位,在美国也得到了广泛应用。

标准是宝贵的工具。(Standards are valuable tools.)

两大国际标准定义了应急管理、业务连续性和危机管理项目集的开发、实施、执行、评估和维护。(Two leading international standards define the development, implementation, execution, evaluation, and maintenance of emergency management, business continuity, and crisis management programs.)

标准应指导开发项目集以保护生命、财产、业务以及组织声誉、与相关方关系和财务,并提供评估的标准。(Standards should guide the development of, and provide the criteria for assessment of, programs to protect life, property, operations, and the organization’s reputation, relationship with stakeholders, and finances.)

2.两个标准的主要区别

ISO 22301是众多ISO管理体系标准之一。管理体系的基本要求比NFPA 1600中项目集管理要求更为广泛。ISO 22301和所有ISO管理体系标准都采用了”计划-执行-检查-改进”(Plan, Do, Check, Act)循环。而NFPA 1600则按照项目集管理、策划、实施、执行、培训/教育、演练/测试和维护/改进的过程编写。

ISO 22301专注于业务连续性,它没有涉及预防、缓解、应急行动(保护生命、财产、环境)、战略危机管理和事件管理。所以,NFPA 1600在风险评估、脆弱性分析和影响分析方面有更多指导。

3.两个标准各自的重点领域

与其名称一致,ISO 22301是业务连续性标准,它对业务连续性策划以及对危机沟通至关重要的相关方沟通方面有严格的要求。该标准和其他ISO管理体系标准的核心是组织”建立、实施、维护和持续改进业务连续性管理体系(BCMS),包括所需的流程及其相互作用”的要求。

NFPA 1600采用了”全危害方法”(all-hazards approach),它要求制定策略和计划,以”预防、缓解、准备、响应、连续和恢复,解决包括自然、人为和技术造成的各种威胁和危害”。

4.NFPA 1600/NFPA 1660独有的内容

“全灾害方法”从风险评估、业务影响分析和资源需求评估开始。它规定了保护生命、财产、环境和组织的要求,并纳入事件响应(应急管理)、业务连续性、危机管理、危机沟通以及员工援助和支持的要求。主要内容包括:

  • 项目集协调员和管理项目集的项目集委员会;
  • 财务和行政管理要求;
  • “危害”清单将作为风险评估的一部分被评估,以及要求进行脆弱性评估和影响分析,并持续监控危害;
  • 资源需求评估涉及保护生命、财产和环境,不只是连续性解决方案方面的资源需求;
  • 风险评估为损失预防和危害缓解策略提供依据;
  • 应急行动/响应计划和能力,以”保护人们(包括残障人士)、信息、财产、业务、环境和组织”;
  • 员工援助和支持(包括事前和作为恢复的一部分);
  • 事件管理系统,用于管理所有计划和能力的执行;
  • 战略级危机管理能力,指定了相关责任和流程;
  • 事件响应的计划执行要求,包括事件管理系统的激活;
  • 培训和教育课程,以支持在项目集中承担角色的人员。

NFPA 1600的项目集管理过程

NFPA 1600的项目集管理过程

5.ISO 22301独有或强调的内容

ISO 22301是众多ISO管理体系标准之一,其管理体系的基本要求比NFPA 1600中项目集管理的要求更为广泛。

  • 由于管理体系是ISO 22301的核心,因此需要”确定并持续评估BCMS的风险和机会”,并要求最高管理者参与和对BCMS定期审查;
  • 第5条详细说明了领导力和承诺、方针以及在整个组织中分配和传达角色和职权的重点要求;
  • 第6条定义了变更管理,特别是BCMS的变更;
  • 理解组织及相关方的需要和期望(即”组织环境”),决定业务连续性管理系统的范围;
  • 对业务连续性目标、业务连续性策略和解决方案有大量的要求;
  • 业务连续性文档和能力评估,以及对审计和管理评审的要求非常多。

ISO 22301 PDCA循环

ISO 22301 PDCA循环

ISO为ISO 22301制定了越来越多的配套标准,为其各个方面提供详细指导,包括:

  • 《ISO 22313:2020 安全与韧性 - 业务连续性管理体系 – ISO 22301应用指南》;
  • 《ISO/TS 22317:2021 安全与韧性 - 业务连续性管理体系 – 业务影响分析指南》;
  • 《ISO/TS 22318:2021 安全与韧性 – 业务连续性管理体系 - 供应链连续性管理指南》;
  • 《ISO/TS 22330:2018 安全与韧性 – 业务连续性管理体系 – 业务连续性中人员方面的指南》;
  • 《ISO/TS 22331:2018 安全与韧性 – 业务连续性管理体系 - 业务连续性策略指南》;
  • 《ISO/TS 22332:2021 安全与韧性 – 业务连续性管理体系 - 业务连续性计划和程序编制指南》。

此外,《ISO/IEC 27031 ICT的业务连续性准备指南》(新版将于几个月内发布)是补充ISO 22301的众多信息技术标准之一。

小结

在高层次上,这两个标准有许多相似之处,但在细节层面存在显著差异。

业务连续性是ISO 22301的重点,它是一个优秀的总体标准。ISO 22301通常是那些认证国际标准的组织的选择。该标准的高层次性质及其对管理体系的关注,使其成为一个有吸引力的选择。

管理体系的要求组成了其许多条款。其中,对管理体系的重视和最高管理层的参与非常有力。在制定BCMS的范围时,要求理解”组织背景”是必要的指导。

与其他ISO 223xx标准一起使用时,它为每位从业人员提供了深入的指导。

NFPA 1600的”全灾害”方法涵盖了预防、缓解、准备、响应、业务连续性和恢复,使其成为一个有吸引力的标准。寻求准备和韧性整体方法的组织,可以在组织内纵向和现场层面横向对齐工作,从而受益于其使用。

风险评估、业务影响分析和资源需求评估的要求为确定所需能力和计划提供了信息。NFPA 1600对于生命安全、财产保护、危机管理、沟通和事件管理的要求是许多组织相关法规中常常规定的基本要素。

以上为Donald L. Schmid所写文章的主要内容,我会在知识星球放上NFPA 1600/NFPA 1660和ISO 22301自评表的PDF文件,大家也可以到Preparedness公司网站下载,文件链接在 https://preparednessllc.com/standards 的”Free Resources”部分。

原文发表于公众号”业务连续性+” | 原文链接