https://hqc-company.

com

Bản dịch tiêu chuẩn ISO 22313 : 2020

HƯỚNG DẪN SỬ DỤNG ISO 22301 : 2019
PART II – Bản dịch từ 1 -> 4.4

An toàn và khả năng thích ứng - Hệ thống Quản Security and resilience — Business continuity
lý Kinh doanh Liên tục - Hướng dẫn sử dụng ISO management systems — Guidance on the use of ISO
22301 22301

1 Phạm vi
Tài liệu này đưa ra hướng dẫn và khuyến nghị để
áp dụng các yêu cầu của hệ thống quản lý kinh
doanh liên tục (BCMS) được nêu trong ISO 22301.
Các hướng dẫn và khuyến nghị dựa trên thực hành
quốc tế tốt nhất.
Tài liệu này là áp dụng cho các tổ chức:
a) triển khai, duy trì và cải tiến BCMS;
b) tìm cách đảm bảo sự phù hợp với chính sách
kinh doanh liên tục đã nêu;
c) cần có khả năng tiếp tục cung cấp các sản phẩm
và dịch vụ với năng lực xác định trước có thể chấp
nhận được trong thời gian gián đoạn;
d) tìm cách nâng cao khả năng thích ứng của họ
thông qua việc áp dụng hiệu quả BCMS.
Hướng dẫn và khuyến nghị có thể áp dụng cho
mọi quy mô và loại hình tổ chức, bao gồm cả các
tổ chức lớn, vừa và nhỏ hoạt động trong các lĩnh
vực công nghiệp, thương mại, công cộng và phi
lợi nhuận. Cách tiếp cận được áp dụng phụ thuộc
vào môi trường hoạt động và mức độ phức tạp
của tổ chức.
1 Scope
This document gives guidance and recommendations for
applying the requirements of the business continuity
management system (BCMS ) given in ISO 22301 . The
guidance and recommendations are based on good
international practice .
This document is applicable to organizations that:
a) implement, maintain and improve a BCMS ;
b) seek to ensure conformity with stated business
continuity policy;
c) need to be able to continue to deliver products and
services at an acceptable predefined capacity during a
disruption ;
d) seek to enhance their resilience through the effective
application of the BCMS .
The guidance and recommendations are applicable to all
sizes and types of organizations , including large , medium
and small organizations operating in industrial , commercial
, public and not-for-profit sectors . The approach adopted
depends on the organization's operating environment and
complexity.

2 Tài liệu tham khảo 2 Normative references

Các tài liệu sau đây được đề cập đến trong văn bản
theo cách mà một số hoặc một l nội dung của chúng
tạo thành các yêu cầu của tài liệu này. Đối với tài liệu
ghi năm chỉ bản được nêu áp dụng . Đối với các tài
liệu tham khảo không ghi ngày tháng, phiên bản mới
nhất của tài liệu được tham chiếu (bao gồm mọi sửa
đổi) sẽ được áp dụng.
ISO 22300, An toàn và khả năng thích ứng - Từ vựng
ISO 22301, An toàn và khả năng thích ứng - Hệ thống
quản lý kinh doanh liên tục - Các yêu cầu
The following documents are referred to in the text in
such a way that some or a l l of their content constitutes
requirements of this document . For dated references ,
only the edition cited applies . For undated references
, the latest edition of the referenced document
(including any amendments) applies .
ISO 22300 , Security and resilience — Vocabulary
ISO 22301 , Security and resilience — Business
continuity management system s — Requirements

3 Thuật ngữ và định nghĩa 3 Terms and definitions

Đối với mục đích của tài liệu này, các thuật ngữ và định
nghĩa được đưa ra trong ISO 22300, ISO 22301 và được
áp dụng.
ISO và IEC duy trì cơ sở dữ liệu thuật ngữ để sử dụng
trong tiêu chuẩn hóa tại các địa chỉ sau:
- Nền tảng duyệt ISO Online: có tại https: // www. iso
.org / obp
- IEC Electropedia: available at http: //
www.electropedia.org/
3 .1
Quản lý kinh doanh liên tục
For the purposes of this document, the terms and
definitions given in ISO 22300 , ISO 22301 and the
following apply.
ISO and IEC maintain terminological databases for
use in standardization at the following addresses :
— ISO Online browsing platform : available at https
:// www . iso .org/ obp
— IEC Electropedia : available at http ://
www.electropedia.org/
3 .1
business continuity management

Tư vấn đào tạo HQC ver1.0 Part I


quá trình triển khai và duy trì kinh doanh liên tục
4 Bối cảnh của tổ chức
4 .1 Hiểu tổ chức và bối cảnh của tổ chức
Điều khoản này đưa ra các khuyến nghị để hiểu
bối cảnh của tổ chức liên quan đến BCMS. Các
khuyến nghị để thiết lập và duy trì kinh doanh liên
tục được đề cập trong điều khoản 8.1.
Tổ chức nên đánh giá và hiểu các vấn đề bên
ngoài và bên trong (bao gồm các yếu tố hoặc điều
kiện tích cực và tiêu cực để cân nhắc) có liên quan
đến các mục tiêu tổng thể, các sản phẩm và dịch
vụ của mình, cũng như số lượng và loại rủi ro mà
tổ chức có thể chấp nhận hoặc không. Thông tin
này cần được tính đến khi triển khai và duy trì
BCMS của tổ chức và chỉ định các ưu tiên.
Bối cảnh bên ngoài của tổ chức bao gồm, nếu có
liên quan, những điều sau:
- môi trường chính trị, luật pháp và quy định, bất
kể quốc tế, quốc gia, khu vực hay địa phương;
- các khía cạnh xã hội và văn hóa;
- môi trường tài chính, công nghệ, kinh tế, tự
nhiên và cạnh tranh, bất kể là môi trường quốc
tế, quốc gia, khu vực hoặc địa phương;
- các cam kết và mối quan hệ của chuỗi cung ứng
(xem ISO / TS 22318);
- các yếu tố thúc đẩy (ví dụ: rủi ro, công nghệ) và
các xu hướng có tác động đến các mục tiêu và
hoạt động của tổ chức;
- mối quan hệ với, và am hiểu và giá trị của, các
bên quan tâm bên ngoài tổ chức;
- các kênh trao đổi thông tin, bao gồm cả phương
tiện truyền thông xã hội, được sử dụng để tìm
hiểu chắc chắn và hình thành các mối quan hệ đó.
Bối cảnh nội bộ của tổ chức bao gồm, nếu có liên
quan, những điều sau đây:
- sản phẩm và dịch vụ, hoạt động, nguồn lực,
chuỗi cung ứng và mối quan hệ với các bên quan
tâm;
- năng lực về nguồn lực và tri thức (ví dụ: vốn,
thời gian, con người, quá trình, hệ thống, công
nghệ);
- hệ thống quản lý hiện có;
- thông tin và dữ liệu (được lưu trữ ở dạng vật lý
hoặc điện tử) và các quá trình tạo quyết định
(chính thức và theo cách khác);
- các bên quan tâm trong tổ chức, bao gồm các
nhà cung cấp nội bộ [cân nhắc các thỏa thuận
cung cấp dịch vụ (SLA), khả năng thích ứng được
đánh giá và các thỏa thuận phục hồi], xem ISO /
TS 22318;
- các chính sách và mục tiêu, và các chiến lược
kinh doanh được đưa ra để đạt được chúng;
- các cơ hội trong tương lai và các ưu tiên kinh
doanh;
- am hiểu, giá trị và văn hóa;
- các tiêu chuẩn và mô hình tham chiếu được tổ
chức thông qua;
Tư vấn đào tạo HQC
https://hqc-company.com
process of implementing and maintaining business
continuity
4 Context of the organization
4 .1 Understanding the organization and its context
This clause provides recommendations for understanding
the context of the organization in relation to the BCMS .
Recommendations for establishing and maintaining
business continuity are addressed in 8 .1.
The organization should evaluate and understand the
external and internal issues (including positive and
negative factors or conditions for consideration) that are
relevant to its overall objectives , its products and services
, and the amount and type of risk that it may or may not
take . This information should be taken into account when
implementing and maintaining the organization’s BCMS
and assigning priorities .
The organization’s external context includes , where
relevant, the following:
— the political , legal and regulatory environment,
whether international , national , regional or local ;
— social and cultural aspects ;
— the financial , technological , economic , natural and
competitive environment, whether international, national ,
regional or local ;
— supply chain commitments and relationships (see a lso
ISO/TS 22318) ;
— drivers (e.g. risk , technology) and trends having
impact on the objectives and operation of the organization
;
— relationships with , and perceptions and values of,
interested parties outside the organization ;
— communication channels , including social media , used
for ascertaining and forming such relationships .
The organization’s internal context includes , where
relevant, the following:
— products and services , activities , resources , supply
chains and relationships with interested parties ;
— capabilities in terms of resources and knowledge (e .g .
capital , time , people , processes , systems ,
technologies) ;
— existing management systems ;
— information and data (stored in physical or electronic
form) and decision-making processes (formal and
otherwise) ;
— interested parties within the organization, including
internal suppliers [consideration of service level
agreements (SLAs) , assessed resiliency and recovery
arrangements] , see ISO/TS 22318 ;
— policies and objectives, and the business strategies that
are in place to achieve them ;
— future opportunities and business priorities ;
— perceptions , values and culture ;
— standards and reference models adopted by the
organization ;
— structures (e .g . governance , roles , accountabilities) ;
— internal communication channels used for the exchange
of information within the workforce (e .g . social media) .
ver1.0 Part I

- cấu trúc (ví dụ: quản trị, vai trò, trách nhiệm giải
trình);
- các kênh trao đổi thông tin nội bộ được sử dụng
để trao đổi thông tin trong lực lượng lao động (ví
dụ: phương tiện truyền thông xã hội).
4 .2 Hiểu nhu cầu và mong đợi của các bên
quan tâm
4 .2 .1 Khái quát
Tổ chức có nhiệm vụ quan tâm đến nhiều người
trong và ngoài tổ chức (xem thêm ISO / TS 22330).
Khi thiết lập BCMS của mình, tổ chức cần đảm bảo
rằng các nhu cầu và yêu cầu của tất cả các bên
quan tâm được xem xét.
Tổ chức cần xác định tất cả các bên quan tâm có
liên quan đến BCMS của mình (xem Hình 4) và, dựa
trên nhu cầu và mong đợi của họ, cần xác định các
yêu cầu của họ. Điều quan trọng là phải xác định
không chỉ các yêu cầu bắt buộc và đã nêu, mà còn
bất kỳ yêu cầu nào được ngụ ý.
Khi hoạch định và triển khai BCMS, điều quan trọng
là phải xác định các hành động phù hợp với các bên
quan tâm nhưng phải khác biệt giữa chúng. Ví dụ,
mặc dù có thể thích hợp để trao đổi thông tin với
tất cả các bên quan tâm sau khi bị gián đoạn,
nhưng có thể không thích hợp để trao đổi thông tin
với tất cả các bên quan tâm khi triển khai và duy trì
quản lý kinh doanh liên tục (xem 8.1. 2).
4 .2 .2 Các yêu cầu pháp lý và quy định
Ứng dụng của tài liệu này bao hàm nhận thức về
các yêu cầu luật pháp và quy định hiện hành.
Yêu cầu có thể được ngụ ý, nêu rõ hoặc bắt buộc.
Thông tin liên quan đến các yêu cầu này cần được
lập thành tài liệu và cập nhật. Các yêu cầu mới hoặc
các thay đổi đối với các yêu cầu hiện tại cần được
truyền thông cho các nhân viên bị ảnh hưởng và các
bên quan tâm khác.
Tổ chức cần chứng tỏ rằng tổ chức có quyền tiếp
cận với các yêu cầu pháp lý và quy định hiện tại và
đang chờ xử lý có liên quan đến hoạt động của mình
và cách thức đáp ứng các yêu cầu này. Các yêu cầu
có thể bao gồm:
a) ứng phó sự cố, bao gồm quản lý tình huống khẩn
cấp và các luật liên quan khác;
b) kinh doanh liên tục, có thể quy định phạm vi của
chương trình hoặc quy mô hoặc tốc độ phục hồi;
c) rủi ro, các yêu cầu xác định phạm vi hoặc phương
pháp quản lý rủi ro;
d) các mối nguy hiểm (ví dụ: các yêu cầu vận hành
liên quan đến vật liệu nguy hiểm được lưu giữ tại
địa điểm).
Các tổ chức hoạt động ở nhiều địa điểm có thể cần
phải đáp ứng các yêu cầu của các khu vực pháp lý
khác nhau.
Tư vấn đào tạo HQC
https://hqc-company.com
4 .2 Understanding the needs and expectations of
interested parties
4 .2 .1 General
The organization owes a duty of care to a wide range of
people within and outside the organization (see also
ISO/TS 22330). When establishing its BCMS, the
organization should ensure that the needs and
requirements of all interested parties are taken into
consideration .
The organization should identify all interested parties
that are of relevance to its BCMS (see Figure 4) and,
based on their needs and expectations, should
determine their requirements. It is important to identify
not only obligatory and stated requirements, but also
any that are implied.
When planning and implementing the BCMS, it is
important to identify actions that are appropriate in
relation to interested parties but differentiate between
them. For example, while it can be appropriate to
communicate with all interested parties following a
disruption, it may not be appropriate to communicate
with all interested parties when implementing and
maintaining business continuity management (see 8.1.
2) .
4 .2 .2 Legal and regulatory requirements
The application of this document presupposes an
awareness of the applicable legal and regulatory
requirements .
Requirements can be implied , stated or obligatory. The
information regarding these requirements should be
documented and kept up to date . New requirements or
changes to existing requirements should be
communicated to affected employees and other
interested parties .
The organization should show that it has access to
current and pending legal and regulatory requirements
that are relevant to its operations and how these
requirements are met . Requirements can include :
a) incident response , including emergency
management and other relevant legislation ;
b) business continuity, which can dictate the scope of
the programme or the extent or speed of recovery;
c) risk, requirements defining the scope or methods of
risk management;
d) hazards (e .g . operating requirements relating to
dangerous material stored at the location) .
Organizations operating in multiple locations may need
to satisfy requirements of different jurisdictions .
ver1.0 Part I

4 .3 Xác định phạm vi của hệ thống quản lý kinh
doanh liên tục
4 .3 .1 Khái quát
Mục đích của việc xác định phạm vi của BCMS là nhận
diện ranh giới và khả năng áp dụng của BCMS để đảm
bảo phạm vi bao phủ của tất cả các sản phẩm và dịch
vụ, hoạt động, địa điểm, nguồn lực, nhà cung cấp và
các yếu tố phụ thuộc khác có liên quan.
Phạm vi cần giải quyết các vấn đề được xác định trong
4.1, các yêu cầu của các bên quan tâm được xác định
trong 4.2, và sứ mệnh, mục tiêu và nghĩa vụ của tổ
chức.
Tổ chức cần chuẩn bị một tuyên bố chỉ ra phạm vi của
BCMS theo cách thức và điều kiện phù hợp với quy
mô, bản chất và mức độ phức tạp của tổ chức. Tuyên
bố nên có sẵn cho các bên quan tâm.
4 .3 .2 Phạm vi của hệ thống quản lý kinh
doanh liên tục
Tổ chức cần:
a) thiết lập, bằng cách tham chiếu đến các sản
phẩm và dịch vụ, các bộ phận của tổ chức được bao
gồm áp dụng hoặc bị loại trừ khỏi phạm vi của
BCMS, ví dụ:
1) chỉ bao gồm việc giao một sản phẩm cụ thể đến
một quốc gia hoặc khu vực;
2) loại trừ một sản phẩm không còn khả thi hoặc có
giá trị thấp đối với tổ chức;
3) chỉ bao gồm một nhóm nhỏ các sản phẩm và dịch
vụ;
b) nhận diện các sản phẩm và dịch vụ của tổ chức
theo cách cho phép nhận diện tất cả các hoạt động,
nguồn lực và chuỗi cung ứng liên quan.
Phạm vi có thể:
- bao gồm ý nghĩa về quy mô hoặc tầm quan trọng
của sự cố mà BCMS sẽ giải quyết;
- nhận diện cách BCMS phù hợp với chiến lược kinh
doanh của tổ chức và cách tiếp cận để quản lý rủi
ro.
4 .3 .3 Các loại trừ trong phạm vi
Phạm vi xác định địa điểm, sản phẩm và dịch vụ, các
hoạt động và nguồn lực mà BCMS áp dụng. Theo đó,
tất cả các phụ thuộc sẽ nằm trong phạm vi ngay cả
khi chúng chưa được xác định rõ ràng trong tuyên bố
về phạm vi.
Ví dụ: nếu một công ty sản xuất bao gồm một sản
phẩm trong phạm vi BCMS của mình, thì việc cung
cấp nguyên liệu thô, gia công, giao hàng và bất kỳ
chức năng hỗ trợ nào (chẳng hạn như xử lý dữ liệu,
mua hàng và nguồn nhân lực) tại bất kỳ địa điểm nào
có liên quan trực tiếp hoặc gián tiếp đến giao hàng
của tổ chức cho khách hàng sẽ được bao gồm.
Các loại trừ không được ảnh hưởng đến khả năng của
tổ chức trong việc đáp ứng các yêu cầu về kinh doanh
liên tục như được xác định bởi phân tích tác động kinh
doanh (xem 8.2.2). Không thể loại trừ các hoạt động,
nguồn lực và chuỗi cung ứng để cung cấp các sản
phẩm và dịch vụ trong phạm vi.
Tư vấn đào tạo HQC
https://hqc-company.com
4 .3 Determining the scope of the business continuity
management system
4 .3 .1 General
The purpose of determining the scope of the BCMS is
to identify its boundaries and applicability to ensure
coverage of all relevant products and services ,
activities , locations , resources , suppliers and other
dependencies .
The scope should address the issues identified in 4.1,
the requirements of interested parties determined in
4.2 , and the organization's mission , goals and
obligations .
The organization should prepare a statement that sets
out the scope of the BCMS in a manner and in terms
appropriate to the size , nature and complexity of the
organization . The statement should be available to
interested parties .
4 .3 .2 Scope of the business continuity management
system
The organization should :
a) establish , by reference to products and services , the
parts of the organization that are included within or
excluded from the scope of the BCMS , for example :
1) only including delivery of a specific product to a
country or region ;
2 ) excluding a product that is no longer viable or is of
low value to the organization ;
3 ) only including a sub-set of products and services ;
b) identify the organization’s products and services in a
manner that enables all related activities , resources
and supply chains to be identified .
The scope may:
— include an indication of the scale or magnitude of
incident that the BCMS will address ;
— identify how the BCMS fits into the organization’s
business strategy and approach to risk management .
4 .3 .3 Exclusions to scope
The scope determines the locations , products and
services , activities and resources to which the BCMS
applies . It follows that all dependencies will be in
scope even if they have not been explicitly identified in
the scope statement .
For example , if a manufacturing company includes a
product in its BCMS scope , then the supply of raw
materials , processing , delivery and any support
functions (such as data processing , purchasing and
human resources) at any location that are involved
directly or indirectly in its delivery to the customer will
be included .
Exclusions should not affect the organization’s ability
to meet business continuity requirements as
determined by the business impact analysis is (see
8.2.2) . Activities, resources and supply chains that
are required to deliver in-scope products and services
cannot be excluded .
ver1.0 Part I

Các loại trừ khỏi phạm vi của BCMS cần được lập
thành tài liệu và giải thích lý do.
Nếu BCMS đang được tích hợp vào hệ thống quản lý
hiện có, tổ chức phải đảm bảo rằng tất cả các yếu tố
của BCMS đều được đưa vào.
4 .4 Hệ thống quản lý kinh doanh liên tục
Mục đích của điều khoản phụ này là nhấn mạnh
sự cần thiết của tổ chức để triển khai và duy trì
các quá trình cho phép BCMS đáp ứng các yêu
cầu của ISO 22301, bao gồm cả sự tương tác giữa
các quá trình.
Để xác định các quá trình và việc áp dụng chúng
trong toàn tổ chức, tổ chức cần:
a) xác định các đầu vào cần thiết và các đầu ra
dự kiến từ các quá trình này;
b) xác định trình tự và sự tương tác của các quá
trình này;
c) xác định và áp dụng các tiêu chí và phương
pháp (bao gồm giám sát, đo lường và các chỉ số
hoạt động liên quan) cần thiết để đảm bảo hoạt
động và kiểm soát hiệu quả của các quá trình này;
d) xác định các nguồn lực cần thiết cho các quá
trình này và đảm bảo tính sẵn sàng của chúng;
e) phân công trách nhiệm và quyền hạn cho các
quá trình này;
f) giải quyết các rủi ro và cơ hội như đã xác định
trong 6.1;
g) đánh giá các quá trình này và triển khai bất kỳ
thay đổi nào cần thiết để đảm bảo rằng các quá
trình này đạt được kết quả dự kiến;
h) cải tiến các quy trình và BCMS.
Trong quy mô cần thiết, tổ chức nên:
- duy trì thông tin được lập tài liệu để hỗ trợ hoạt
động của các quá trình của nó;
- lưu giữ thông tin được lập tài liệu để tin tưởng
rằng các quá trình đang được thực hiện theo
hoạch định.
Tư vấn đào tạo HQC
https://hqc-company.com
Exclusions from the scope of the BCMS should be
documented and the justification for them explained .
If the BCMS is being integrated into an existing
management system , the organization should ensure
that all elements of the BCMS are included .
4 .4 Business continuity management system
The purpose of this sub clause is to emphasize the need
for the organization to implement and maintain processes
that will enable the BCMS to meet the requirements of
ISO 22301 , including interactions between the processes
.
In determining the processes and their application
throughout the organization , the organization should :
a) determine the inputs required and the outputs expected
from these processes ;
b) determine the sequence and interaction of these
processes ;
c) determine and apply the criteria and methods (including
monitoring , measurements and related performance
indicators) needed to ensure the effective operation and
control of these processes ;
d) determine the resources needed for these processes
and ensure their availability;
e) assign the responsibilities and authorities for these
processes ;
f) address the risks and opportunities as determined in
6.1;
g) evaluate these processes and implement any changes
needed to ensure that these processes achieve their
intended results ;
h) improve the processes and the BCMS .
To the extent necessary, the organization should :
— maintain documented information to support the
operation of its processes ;
— retain documented information to have confidence that
the processes are being carried out as planned .
ver1.0 Part I