Isoiec223012019 Htqlkinhdoanhlientuc Nqavnver2 210809085000

https://nqa.com.
vn
TIÊU CHUẨN
ISO / IEC 22301: 2019
Phiên bản 2.1
(Lưu hành nội bộ và cho mục đích đào tạo)
An toàn và Khả năng Thích ứng - Hệ thống Quản lý Kinh

doanh Liên tục – Các Yêu cầu
Security and resilience — Business continuity

management systems — Requirements
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
0.1 Khái quát 0.1 General

Tài liệu này quy định cấu trúc và các yêu cầu để This document specifies the structure and
thực hiện và duy trì hệ thống quản lý tính kinh requirements for implementing and maintaining a
doanh liên tục (BCMS) nhằm phát triển kinh business continuity management system (BCMS)
doanh liên tục phù hợp với mức độ và loại tác that develops business continuity appropriate to
động mà tổ chức có thể chấp nhận hoặc không the amount and type of impact that the
thể chấp nhận sau một sự gián đoạn. organization may or may not accept following a
Kết quả của việc duy trì một BCMS được định disruption.
hình bởi các yêu cầu pháp lý, quy định, tổ chức The outcomes of maintaining a BCMS are
và ngành của tổ chức, các sản phẩm và dịch vụ shaped by the organization’s legal, regulatory,
được cung cấp, các quá trình thuê ngoài, quy mô organizational and industry requirements,
và cấu trúc của tổ chức cũng như các yêu cầu products and services provided, processes
của các bên liên quan. employed, size and structure of the organization,
BCMS nhấn mạnh tầm quan trọng của: and the requirements of its interested parties.
 Hiểu rõ nhu cầu của tổ chức và sự cần A BCMS emphasizes the importance of:
thiết của việc thiết lập các chính sách và  — understanding the organization’s
mục tiêu kinh doanh liên tục; needs and the necessity for establishing
 vận hành và duy trì các quá trình, khả business continuity policies and
năng và cấu trúc ứng phó để đảm bảo tổ objectives;
chức sẽ tồn tại sau những gián đoạn;  — operating and maintaining processes,
 giám sát và xem xét việc thực hiện và capabilities and response structures for
hiệu lực của BCMS; ensuring the organization will survive
disruptions;
 cải tiến liên tục dựa trên các biện pháp
định tính và định lượng.  — monitoring and reviewing the
performance and effectiveness of the
BCMS, giống như bất kỳ hệ thống quản lý nào BCMS;
khác, bao gồm các thành phần sau:
 — continual improvement based on
a) Chính sách;
qualitative and quantitative measures.
b) những người có đủ năng lực với những trách
A BCMS, like any other management system,
nhiệm được xác định rõ ràng;
includes the following components:
c) các quá trình quản lý liên quan đến:
a) a policy;
 1) chính sách; b) competent people with defined responsibilities;
 2) hoạch định; c) management processes relating to:
 3) triển khai và vận hành;  1) policy;
 4) đánh giá kết quả thực hiện;  2) planning;
 5) xem xét của lãnh đạo;  3) implementation and operation;
 6) cải tiến liên tục;  4) performance assessment;
d) Thông tin được lập tài liệu hỗ trợ kiểm soát  5) management review;
vận hành và cho phép đánh giá kết quả thực
hiện.  6) continual improvement;
d) documented information supporting
operational control and enabling performance
evaluation.
0.2 Lợi ích của hệ thống quản lý kinh doanh 0.2 Benefits of a business continuity
liên tục management system
Mục đích của BCMS là chuẩn bị, cung cấp và The purpose of a BCMS is to prepare for, provide
duy trì các biện pháp kiểm soát và khả năng để and maintain controls and capabilities for
quản lý khả năng tiếp tục hoạt động chung của managing an organization’s overall ability to
một tổ chức trong thời gian gián đoạn. Để đạt continue to operate during disruptions. In
được điều này, tổ chức là: achieving this, the organization is:
a) từ góc độ kinh doanh: a) from a business perspective:
 1) hỗ trợ các mục tiêu chiến lược của tổ  1) supporting its strategic objectives;
chức;  2) creating a competitive advantage;
 2) tạo lợi thế cạnh tranh;  3) protecting and enhancing its
reputation and credibility;
https://nqa.com.vn
 3) bảo vệ và nâng cao danh tiếng và sự  4) contributing to organizational

tín nhiệm của tổ chức; resilience;
 4) đóng góp vào khả năng phục hồi của b) from a financial perspective:
tổ chức;  1) reducing legal and financial exposure;
b) từ góc độ tài chính:  2) reducing direct and indirect costs of
 1) giảm rủi ro pháp lý và tài chính; disruptions;
 2) giảm chi phí gián tiếp và trực tiếp của c) from the perspective of interested parties:
sự gián đoạn;  1) protecting life, property and the
c) từ quan điểm của các bên quan tâm: environment;
 1) bảo vệ cuộc sống, tài sản và môi  2) considering the expectations of
trường; interested parties;
 2) xem xét kỳ vọng của các bên quan  3) providing confidence in the
tâm; organization’s ability to succeed;
 3) cung cấp niềm tin vào khả năng thành d) from an internal processes perspective:
công của tổ chức;  1) improving its capability to remain
d) từ góc độ quá trình nội bộ: effective during disruptions;
 1) cải thiện khả năng của tổ chức để duy  2) demonstrating proactive control of
trì hiệu quả trong thời gian gián đoạn; risks effectively and efficiently;
 2) thể hiện khả năng chủ động kiểm soát 3) addressing operational vulnerabilities.
rủi ro một cách hiệu quả và hưu hiệu;
 3) giải quyết các lỗ hổng vận hành.
1 Phạm vi 1 Scope
Tài liệu này quy định các yêu cầu để thực hiện, This document specifies requirements to
duy trì và cải tiến hệ thống quản lý nhằm bảo vệ, implement, maintain and improve a management
giảm thiểu khả năng xảy ra, chuẩn bị, ứng phó system to protect against, reduce the likelihood of
và phục hồi sau những gián đoạn khi chúng phát the occurrence of, prepare for, respond to and
sinh. recover from disruptions when they arise.
Các yêu cầu quy định trong tài liệu này là chung The requirements specified in this document are
và nhằm áp dụng cho tất cả các tổ chức hoặc generic and intended to be applicable to all
các bộ phận của tổ chức đó, bất kể loại hình, quy organizations, or parts thereof, regardless of
mô và tính chất của tổ chức. Mức độ áp dụng các type, size and nature of the organization. The
yêu cầu này tùy thuộc vào môi trường hoạt động extent of application of these requirements
và mức độ phức tạp của tổ chức. depends on the organization’s operating
Tài liệu này có thể áp dụng cho tất cả các loại environment and complexity.
hình và quy mô tổ chức: This document is applicable to all types and sizes
 a) thực hiện, duy trì và cải tiến một of organizations that:
BCMS;  a) implement, maintain and improve a
 b) tìm biện pháp để đảm bảo sự phù hợp BCMS;
với chính sách kinh doanh liên tục đã  b) seek to ensure conformity with stated
nêu; business continuity policy;
 c) cần có khả năng tiếp tục cung cấp các  c) need to be able to continue to deliver
sản phẩm và dịch vụ với công suất xác products and services at an acceptable
định trước có thể chấp nhận được trong predefined capacity during a disruption;
thời gian gián đoạn;  d) seek to enhance their resilience
 d) tìm biện pháp nâng cao khả năng through the effective application of the
phục hồi của tổ chức thông qua việc áp BCMS.
dụng hiệu quả BCMS. This document can be used to assess an
Tài liệu này có thể được sử dụng để đánh giá organization’s ability to meet its own business
khả năng của tổ chức trong việc đáp ứng các nhu continuity needs and obligations.
cầu và nghĩa vụ liên tục kinh doanh của chính tổ
chức đó.
https://nqa.com.vn
3 Terms and definitions / Thuật ngữ và đinh nghĩa

3.1
Hoạt động activity
tập hợp một hoặc nhiều nhiệm vụ với đầu ra xác set of one or more tasks with a defined output
định [SOURCE: ISO 22300:2018, 3.1, modified —
[NGUỒN: ISO 22300: 2018, 3.1, được sửa đổi - The definition has been replaced and the
Định nghĩa đã được thay thế và ví dụ đã bị xóa.] example has been deleted.]
3.2
Đánh giá audit
quá trình có hệ thống, độc lập và được lập thành systematic, independent and
văn bản (3.26) để thu thập bằng chứng đánh giá documented process (3.26) for obtaining audit
và đánh giá hệ thống một cách khách quan nhằm evidence and evaluating it objectively to
xác định mức độ đáp ứng các tiêu chí đánh giá determine the extent to which the audit criteria
CHÚ THÍCH 1: Cuộc đánh giá có thể là cuộc đánh are fulfilled
giá nội bộ (bên thứ nhất) hoặc cuộc đánh giá bên Note 1 to entry: An audit can be an internal audit
ngoài (bên thứ hai hoặc bên thứ ba) và nó có thể (first party) or an external audit (second party or
là cuộc đánh giá kết hợp (kết hợp hai hoặc nhiều third party), and it can be a combined audit
lĩnh vực). (combining two or more disciplines).
CHÚ THÍCH 2: Đánh giá nội bộ được tiến hành Note 2 to entry: An internal audit is conducted by
bởi chính tổ chức (3.21) hoặc bởi một bên bên the organization (3.21) itself, or by an external
ngoài thay mặt tổ chức. party on its behalf.
CHÚ THÍCH 3: “Bằng chứng đánh giá” và “tiêu chí Note 3 to entry: “Audit evidence” and “audit
đánh giá” được định nghĩa trong ISO 19011. criteria” are defined in ISO 19011.
CHÚ THÍCH 4: Các yếu tố cơ bản của cuộc đánh Note 4 to entry: The fundamental elements of an
giá bao gồm việc xác định sự phù hợp (3.7) của audit include the determination of
một đối tượng theo một quy trình tục được thực the conformity (3.7) of an object according to a
hiện bởi nhân viên không chịu trách nhiệm về đối procedure carried out by personnel not being
tượng được đánh giá. responsible for the object audited.
CHÚ THÍCH 5: Đánh giá nội bộ có thể nhằm mục Note 5 to entry: An internal audit can be for
đích xem xét của ban giám đốc và các mục đích management review and other internal purposes
nội bộ khác và có thể tạo cơ sở cho tuyên bố về and can form the basis for an organization’s
sự phù hợp của một tổ chức. Tính độc lập có thể declaration of conformity. Independence can be
được chứng minh bằng sự giải thoát khỏi trách demonstrated by the freedom from responsibility
nhiệm đối với hoạt động (3.1) được đánh giá. for the activity (3.1) being audited. External
Đánh giá bên ngoài bao gồm đánh giá của bên audits include second- and third-party audits.
thứ hai và thứ ba. Đánh giá của bên thứ hai được Second-party audits are conducted by parties
thực hiện bởi các bên có lợi ích trong tổ chức, having an interest in the organization, such as
chẳng hạn như khách hàng hoặc bởi những customers, or by other persons on their behalf.
người khác thay mặt họ. Đánh giá của bên thứ ba Third-party audits are conducted by external,
được thực hiện bởi các tổ chức đánh giá độc lập, independent auditing organizations, such as
bên ngoài, chẳng hạn như các tổ chức cung cấp those providing certification/registration of
chứng nhận / đăng ký sự phù hợp hoặc các cơ conformity or government agencies.
quan chính phủ. Note 6 to entry: This constitutes one of the
CHÚ THÍCH 6: Điều này tạo thành một trong common terms and core definitions of the high
những thuật ngữ chung và định nghĩa cốt lõi của level structure for ISO management system
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống standards. The original definition has been
quản lý ISO. Định nghĩa ban đầu đã được sửa đổi modified by adding Notes 4 and 5 to entry.
bằng cách thêm Ghi chú 4 và 5 vào mục nhập.
3.3
Kinh doanh liên tục business continuity
khả năng của một tổ chức (3.21) để tiếp tục capability of an organization (3.21) to continue
cung cấp các sản phẩm và dịch vụ (3.27) trong the delivery of products and
các khung thời gian có thể chấp nhận được với services (3.27) within acceptable time frames at
predefined capacity during a disruption (3.10)
https://nqa.com.vn
khả năng được xác định trước trong thời gian [SOURCE: ISO 22300:2018, 3.24, modified —
gián đoạn (3.10) The definition has been replaced.]
[NGUỒN: ISO 22300: 2018, 3.24, được sửa đổi
- Định nghĩa đã được thay thế.]
3.4
Kế hoạch kinh doanh liên tục business continuity plan
thông tin được lập tài liệu (3.11) hướng dẫn tổ documented information (3.11) that guides
chức (3.21) ứng phó với sự gián đoạn (3.10) và an organization (3.21) to respond to
tiếp tục, phục hồi và khôi phục việc cung cấp sản a disruption (3.10) and resume, recover and
phẩm và dịch vụ (3.27) phù hợp với mục tiêu restore the delivery of products and
(3.20) services (3.27) consistent with its business
kinh doanh liên tục (3.3) continuity (3.3)objectives (3.20)
[NGUỒN: ISO 22300: 2018, 3.27, được sửa đổi [SOURCE: ISO 22300:2018, 3.27, modified —
- Định nghĩa đã được thay thế và Chú thích 1 The definition has been replaced and Note 1 to
của mục nhập đã bị xóa.] entry has been deleted.]
3.5
Phân tích tác động kinh doanh business impact analysis
quá trình (3.26) phân tích tác động (3.13) theo process (3.26) of analysing
thời gian gián đoạn (3.10) đối với tổ chức (3.21) the impact (3.13) over time of
CHÚ THÍCH 1: Kết quả là một tuyên bố và biện a disruption (3.10) on the organization (3.21)
minh cho các yêu cầu (3.28) về kinh doanh liên Note 1 to entry: The outcome is a statement and
tục (3.3). justification of business
[NGUỒN: ISO 22300: 2018, 3.29, được sửa đổi continuity (3.3)requirements (3.28).
- Định nghĩa đã được thay thế và Chú thích 1 [SOURCE: ISO 22300:2018, 3.29, modified —
cho mục nhập đã được bổ sung.] The definition has been replaced and Note 1 to
entry has been added.]
3.6
năng lực competence
khả năng áp dụng kiến thức và kỹ năng để đạt ability to apply knowledge and skills to achieve
được kết quả dự định intended results
CHÚ THÍCH 1: Điều này tạo thành một trong Note 1 to entry: This constitutes one of the
những thuật ngữ chung và định nghĩa cốt lõi của common terms and core definitions of the high
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống level structure for ISO management system
quản lý ISO. standards.
3.7
sự phù hợp conformity
Sự đáp ứng một yêu cầu (3,28) fulfilment of a requirement (3.28)
3.8
cải tiến liên tục continual improvement
hoạt động (3.1) lặp lại để nâng cao kết quả recurring activity (3.1) to
thực hiện (3.23) enhance performance (3.23)
https://nqa.com.vn
3.9
hành động khắc phục corrective action
hành động để loại bỏ (các) nguyên nhân của sự action to eliminate the cause(s) of
không phù hợp (3.19) và ngăn ngừa tái diễn a nonconformity (3.19) and to prevent
CHÚ THÍCH 1: Điều này tạo thành một trong recurrence
những thuật ngữ chung và định nghĩa cốt lõi của Note 1 to entry: This constitutes one of the
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống common terms and core definitions of the high
quản lý ISO. level structure for ISO management system
standards.
3.10
gián đoạn disruption
sự cố (3.14), dù dự đoán hay không lường incident (3.14), whether anticipated or
trước, gây ra sự sai lệch tiêu cực ngoài kế unanticipated, that causes an unplanned, negative
hoạch so với việc cung cấp sản phẩm và dịch deviation from the expected delivery of products
vụ dự kiến (3.27) theo các mục tiêu (3.21) của and services (3.27) according to
tổ chức (3.20) an organization’s (3.21)objectives (3.20)
[NGUỒN: ISO 22300: 2018, 3.70, được sửa đổi [SOURCE: ISO 22300:2018, 3.70, modified —
- Định nghĩa đã được thay thế.] The definition has been replaced.]
3.11
thông tin được lập tài liệu documented information
thông tin cần thiết phải được kiểm soát và duy information required to be controlled and
trì bởi một tổ chức (3.21) và phương tiện chứa maintained by an organization (3.21) and the
thông tin đó medium on which it is contained
CHÚ THÍCH 1: Thông tin được lập tài liệu có thể Note 1 to entry: Documented information can be
ở bất kỳ định dạng và phương tiện nào, và từ in any format and media, and from any source.
bất kỳ nguồn nào. Note 2 to entry: Documented information can refer
CHÚ THÍCH 2: Thông tin tài liệu có thể tham to:
khảo:  — the management system (3.16),
• - hệ thống quản lý (3.16), bao gồm các quá including related processes (3.26);
trình (3.26) liên quan;  — information created in order for the
• - thông tin được tạo ra để tổ chức vận hành (tài organization to operate (documentation);
liệu);
 — evidence of results achieved (records).
• - bằng chứng về kết quả đạt được (hồ sơ).
Note 3 to entry: This constitutes one of the
CHÚ THÍCH 3: Đây là một trong những thuật common terms and core definitions of the high
ngữ chung và định nghĩa cốt lõi của cấu trúc cấp level structure for ISO management system
cao đối với các tiêu chuẩn hệ thống quản lý ISO. standards.
3.12
hiệu lực effectiveness
mức độ thực hiện các hoạt động (3.1) theo extent to which planned activities (3.1) are
hoạch định và đạt được các kết quả theo hoạch realized and planned results achieved
định Note 1 to entry: This constitutes one of the
CHÚ THÍCH 1: Điều này tạo thành một trong common terms and core definitions of the high
những thuật ngữ chung và định nghĩa cốt lõi của level structure for ISO management system
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống standards.
quản lý ISO.
3.13
tác động impact
kết quả của sự gián đoạn (3.10) ảnh hưởng đến outcome of
các mục tiêu (3.20) a disruption (3.10) affecting objectives (3.20)
https://nqa.com.vn
[NGUỒN: ISO 22300: 2018, 3.107, được sửa [SOURCE: ISO 22300:2018, 3.107, modified —
đổi - Định nghĩa đã được thay thế.] The definition has been replaced.]
3.14
Sự cố incident
sự kiện có thể xảy ra hoặc có thể dẫn đến sự event that can be, or could lead to,
gián đoạn (3.10), mất mát, khẩn cấp hoặc khủng a disruption (3.10), loss, emergency or crisis
hoảng [SOURCE: ISO 22300:2018, 3.111, modified —
[NGUỒN: ISO 22300: 2018, 3.111, được sửa đổi The definition has been replaced.]
- Định nghĩa đã được thay thế.]
3.15
bên quan tâm (thuật ngữ ưu tiên) interested party (preferred term)
bên liên quan (thuật ngữ được thừa nhận) stakeholder (admitted term)
cá nhân hoặc tổ chức (3.21) có thể ảnh hưởng, person or organization (3.21) that can affect, be
bị ảnh hưởng bởi hoặc nhận thức được bản thân affected by, or perceive itself to be affected by a
bị ảnh hưởng bởi một quyết định hoặc hoạt động decision or activity (3.1)
(3.1) EXAMPLE:
VÍ DỤ: Customers, owners, personnel, providers,
Khách hàng, chủ sở hữu, nhân sự, nhà cung bankers, regulators, unions, partners or society
cấp, chủ ngân hàng, cơ quan quản lý, công that can include competitors or opposing
đoàn, đối tác hoặc xã hội có thể bao gồm đối thủ pressure groups.
cạnh tranh hoặc nhóm áp lực chống đối. Note 1 to entry: A decision maker can be an
CHÚ THÍCH 1: Người ra quyết định có thể là một interested party.
bên quan tâm. Note 2 to entry: Impacted communities and local
CHÚ THÍCH 2: Các cộng đồng bị ảnh hưởng và populations are considered to be interested
người dân địa phương được coi là các bên quan parties.
tâm. Note 3 to entry: This constitutes one of the
cao đối với các tiêu chuẩn hệ thống quản lý ISO. standards. The original definition has been
Định nghĩa ban đầu đã được sửa đổi bằng cách modified by adding an example and Notes 1
thêm một ví dụ và Ghi chú 1 và 2 vào mục nhập. and 2 to entry.
3.16
hệ thống quản lý management system
Tập hợp các yếu tố có liên quan hoặc tương tác set of interrelated or interacting elements of
với nhau của một tổ chức (3.21) để thiết lập các an organization (3.21) to
chính sách (3.24) và các mục tiêu (3.20) và các establish policies (3.24) and objectives (3.20)
quá trình (3.26) để đạt được các mục tiêu đó and processes (3.26) to achieve those
CHÚ THÍCH 1: Hệ thống quản lý có thể giải quyết objectives
một lĩnh vực duy nhất hoặc một số lĩnh vực. Note 1 to entry: A management system can
CHÚ THÍCH 2: Các yếu tố của hệ thống bao gồm address a single discipline or several disciplines.
cơ cấu, vai trò và trách nhiệm, hoạch định và vận Note 2 to entry: The system elements include the
hành của tổ chức. organization’s structure, roles and
CHÚ THÍCH 3: Phạm vi của hệ thống quản lý có responsibilities, planning and operation.
thể bao gồm toàn bộ tổ chức, các chức năng cụ Note 3 to entry: The scope of a management
thể và được xác định của tổ chức, các bộ phận system can include the whole of the organization,
cụ thể và được xác định của tổ chức, hoặc một specific and identified functions of the
hoặc nhiều chức năng trong một nhóm tổ chức. organization, specific and identified sections of
CHÚ THÍCH 4: Đây là một trong những thuật ngữ the organization, or one or more functions across
chung và định nghĩa cốt lõi của cấu trúc cấp cao a group of organizations.
đối với các tiêu chuẩn hệ thống quản lý ISO. Note 4 to entry: This constitutes one of the
common terms and core definitions of the high
level structure for ISO management system
standards.
https://nqa.com.vn
3.17
đo lường measurement
quá trình (3.26) để xác định một giá trị process (3.26) to determine a value
3.18
giám sát monitoring
xác định trạng thái của một hệ thống, một quá determining the status of a system,
trình (3.26) hoặc một hoạt động (3.1) a process (3.26) or an activity (3.1)
CHÚ THÍCH 1: Để xác định tình trạng, có thể cần Note 1 to entry: To determine the status, there
phải kiểm tra, giám sát hoặc quan sát nghiêm can be a need to check, supervise or critically
túc. observe.
CHÚ THÍCH 2: Đây là một trong những thuật Note 2 to entry: This constitutes one of the
ngữ chung và định nghĩa cốt lõi của cấu trúc cấp common terms and core definitions of the high
cao đối với các tiêu chuẩn hệ thống quản lý ISO. level structure for ISO management system
standards.
3.19
sự không phù hợp nonconformity
không đáp ứng yêu cầu (3.28) non-fulfilment of a requirement (3.28)
3.20
mục tiêu objective
kết quả cần đạt được result to be achieved
CHÚ THÍCH 1: Mục tiêu có thể là chiến lược, Note 1 to entry: An objective can be strategic,
chiến thuật hoặc vận hành. tactical, or operational.
CHÚ THÍCH 2: Các mục tiêu có thể liên quan Note 2 to entry: Objectives can relate to different
đến các lĩnh vực khác nhau (chẳng hạn như các disciplines (such as financial, health and safety,
mục tiêu tài chính, sức khỏe và an toàn, và môi and environmental goals) and can apply at
trường) và có thể áp dụng ở các cấp độ khác different levels (such as strategic, organization-
nhau (chẳng hạn như chiến lược, toàn tổ chức, wide, project, product and process (3.26)).
dự án, sản phẩm và quá trình (3.26)). Note 3 to entry: An objective can be expressed in
CHÚ THÍCH 3: Mục tiêu có thể được thể hiện other ways, e.g. as an intended outcome, a
theo những cách khác, ví dụ: như một kết quả purpose, an operational criterion, as a business
dự định, một mục đích, một tiêu chí vận hành, continuity (3.3) objective, or by the use of other
như một mục tiêu kinh doanh liên tục (3.3), hoặc words with similar meaning (e.g. aim, goal, or
bằng cách sử dụng các từ khác có nghĩa tương target).
tự (ví dụ: mục tiêu, …). Note 4 to entry: In the context of business
CHÚ THÍCH 4: Trong bối cảnh của các hệ thống continuitymanagement systems (3.16),
quản lý kinh doanh liên tục (3.16), các mục tiêu business continuity objectives are set by
về tính kinh doanh liên tục do tổ chức (3.21) đặt the organization (3.21), consistent with the
ra, phù hợp với chính sách (3.24) kinh doanh liên business continuity policy (3.24), to achieve
tục, để đạt được các kết quả cụ thể. specific results.
standards.
https://nqa.com.vn
3.21
Tổ chức organization
cá nhân hoặc nhóm người có chức năng riêng person or group of people that has its own
với trách nhiệm, quyền hạn và các mối quan hệ functions with responsibilities, authorities and
để đạt được các mục tiêu (3.20) của mình relationships to achieve its objectives (3.20)
CHÚ THÍCH 1: Khái niệm tổ chức bao gồm, Note 1 to entry: The concept of organization
nhưng không giới hạn ở, thương nhân độc includes, but is not limited to, sole-trader,
quyền, công ty, tập đoàn, công ty, doanh nghiệp, company, corporation, firm, enterprise, authority,
cơ quan, đối tác, tổ chức từ thiện hoặc tổ chức, partnership, charity or institution, or part or
hoặc một phần hoặc sự kết hợp của chúng, cho combination thereof, whether incorporated or not,
dù được hợp nhất hay không, công khai hoặc public or private.
riêng tư. Note 2 to entry: For organizations with more than
CHÚ THÍCH 2: Đối với các tổ chức có nhiều đơn one operating unit, a single operating unit can be
vị vận hành, một đơn vị vận hành duy nhất có thể defined as an organization.
được xác định là một tổ chức. Note 3 to entry: This constitutes one of the
cao đối với các tiêu chuẩn hệ thống quản lý ISO. standards. The original definition has been
Định nghĩa ban đầu đã được sửa đổi bằng cách modified by adding Note 2 to entry.
thêm Chú thích 2 vào mục nhập.
3.22
thuê ngoài outsource
thực hiện một thỏa thuận trong đó tổ chức (3.21) make an arrangement where an
bên ngoài thực hiện một phần chức năng hoặc external organization (3.21) performs part of an
quá trình (3.26) của tổ chức organization’s function or process (3.26)
CHÚ THÍCH 1: Tổ chức bên ngoài nằm ngoài Note 1 to entry: An external organization is outside
phạm vi của hệ thống quản lý (3.16), mặc dù the scope of the management system (3.16),
chức năng hoặc quá trình được thuê ngoài nằm although the outsourced function or process is
trong phạm vi đó. within the scope.
standards.
3.23
Kết quả thực hiện performance
kết quả đo lường được measurable result
CHÚ THÍCH 1: Kết quả thực hiện có thể liên Note 1 to entry: Performance can relate either to
quan đến các phát hiện định lượng hoặc định quantitative or qualitative findings.
tính. Note 2 to entry: Performance can relate to
CHÚ THÍCH 2: Kết quả thực hiện có thể liên managing activities (3.1), processes (3.26),
quan đến việc quản lý các hoạt động (3.1), quá products (including services), systems
trình (3.26), sản phẩm (bao gồm cả dịch vụ), hệ or organizations (3.21).
thống hoặc tổ chức (3.21). Note 3 to entry: This constitutes one of the
ngữ chung và định nghĩa cốt lõi của cấu trúc level structure for ISO management system
cấp cao đối với các tiêu chuẩn hệ thống quản standards.
lý ISO.
3.24
chính sách policy
ý định và định hướng của một tổ chức (3.21), intentions and direction of
được chính thức thể hiện bởi lãnh đạo cao nhất an organization (3.21), as formally expressed by
(3.31) của tổ chức its top management (3.31)
https://nqa.com.vn
3.25
hoạt động ưu tiên prioritized activity
hoạt động (3.1) được đưa ra khẩn cấp để tránh activity (3.1) to which urgency is given in order to
các tác động (3.13) không thể chấp nhận được avoid unacceptable impacts (3.13) to the
đối với hoạt động kinh doanh trong thời gian gián business during a disruption (3.10)
đoạn (3.10) [SOURCE: ISO 22300:2018, 3.176, modified —
[NGUỒN: ISO 22300: 2018, 3.176, được sửa The definition has been replaced and Note 1 to
đổi - Định nghĩa đã được thay thế và Chú thích entry has been deleted.]
1 của mục nhập đã bị xóa.]
3.26
quá trình process
Tập hợp các hoạt động (3.1) có liên quan hoặc set of interrelated or
tương tác với nhau biến đầu vào thành đầu ra interacting activities (3.1) which transforms
CHÚ THÍCH 1: Điều này tạo thành một trong inputs into outputs
những thuật ngữ chung và định nghĩa cốt lõi của Note 1 to entry: This constitutes one of the
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống common terms and core definitions of the high
quản lý ISO. level structure for ISO management system
standards.
3.27
sản phẩm và dịch vụ product and service
đầu ra hoặc kết quả do một tổ chức (3.21) cung output or outcome provided by
cấp cho các bên quan tâm (3.15) an organization (3.21) to interested
VÍ DỤ: parties (3.15)
Các mặt hàng đã sản xuất, bảo hiểm xe hơi, EXAMPLE:
điều dưỡng cộng đồng. Manufactured items, car insurance, community
[NGUỒN: ISO 22300: 2018, 3.181, được sửa nursing.
đổi - Thuật ngữ "sản phẩm và dịch vụ" đã thay [SOURCE: ISO 22300:2018, 3.181, modified —
thế "sản phẩm hoặc dịch vụ" và định nghĩa đã The term "product and service" has replaced
được thay thế.] "product or service" and the definition has been
replaced.]
3.28
yêu cầu requirement
nhu cầu hoặc kỳ vọng được nêu, thường ngụ ý need or expectation that is stated, generally
hoặc bắt buộc implied or obligatory
CHÚ THÍCH 1: “Ngụ ý chung” có nghĩa là thông Note 1 to entry: “Generally implied” means that it
lệ hoặc thông lệ đối với tổ chức (3.21) và các is custom or common practice for
bên quan tâm (3.15) đều ngụ ý nhu cầu hoặc kỳ the organization (3.21) and interested
vọng đang được xem xét. parties (3.15) that the need or expectation under
CHÚ THÍCH 2: Yêu cầu cụ thể là yêu cầu được consideration is implied.
nêu rõ, ví dụ: trong thông tin được lập tài liệu Note 2 to entry: A specified requirement is one that
(3.11). is stated, e.g. in documented information (3.11).
standards.
3.29
https://nqa.com.vn
nguồn lực resource

tất cả các tài sản (bao gồm cả nhà máy và thiết all assets (including plant and equipment),
bị), con người, kỹ năng, công nghệ, cơ sở, vật people, skills, technology, premises, and supplies
tư và thông tin (dù là điện tử hay không) mà một and information (whether electronic or not) that
tổ chức (3.21) phải có sẵn để sử dụng, khi cần, an organization (3.21) has to have available to
để vận hành và đáp ứng mục tiêu (3,20) use, when needed, in order to operate and meet
[NGUỒN: ISO 22300: 2018, 3.193, được sửa its objective (3.20)
đổi - Định nghĩa đã được thay thế.] [SOURCE: ISO 22300:2018, 3.193, modified —
The definition has been replaced.]
3.30
rủi ro risk
tác động của sự không chắc chắn lên các mục effect of uncertainty on objectives (3.20)
tiêu (3.20) Note 1 to entry: An effect is a deviation from the
CHÚ THÍCH 1: tác động là độ lệch so với dự kiến expected — positive or negative.
- tích cực hoặc tiêu cực. Note 2 to entry: Uncertainty is the state, even
CHÚ THÍCH 2: Sự không chắc chắn là trạng thái, partial, of deficiency of information related to,
thậm chí một phần, thiếu hụt thông tin liên quan understanding or knowledge of, an event, its
đến, sự hiểu biết hoặc kiến thức về một sự kiện, consequence, or likelihood.
hệ quả của rủi ro hoặc khả năng xảy ra. Note 3 to entry: Risk is often characterized by
CHÚ THÍCH 3: Rủi ro thường được đặc trưng reference to potential “events” (as defined in
bởi sự tham chiếu đến các “sự kiện” tiềm ẩn ISO Guide 73) and “consequences” (as defined
(như được định nghĩa trong ISO Guide 73) và in ISO Guide 73), or a combination of these.
“hậu quả” (như được định nghĩa trong ISO Guide Note 4 to entry: Risk is often expressed in terms
73), hoặc sự kết hợp của những điều này. of a combination of the consequences of an event
CHÚ THÍCH 4: Rủi ro thường được thể hiện (including changes in circumstances) and the
dưới dạng sự kết hợp giữa hậu quả của một sự associated likelihood (as defined in ISO Guide
kiện (bao gồm cả những thay đổi trong hoàn 73) of occurrence.
cảnh) và khả năng xảy ra liên quan (như được Note 5 to entry: This constitutes one of the
định nghĩa trong ISO Guide 73). common terms and core definitions of the high
CHÚ THÍCH 5: Đây là một trong những thuật level structure for ISO management system
ngữ chung và định nghĩa cốt lõi của cấu trúc cấp standards. The definition has been modified to
cao đối với các tiêu chuẩn hệ thống quản lý ISO. add "on objectives" to be consistent with
Định nghĩa đã được sửa đổi để bổ sung "mục ISO 31000.
tiêu" để phù hợp với ISO 31000.
3.31
Lãnh đạo cao nhất top management
người hoặc nhóm người chỉ đạo và kiểm soát person or group of people who directs and
một tổ chức (3.21) ở cấp cao nhất controls an organization (3.21) at the highest
CHÚ THÍCH 1: Lãnh đạo cao nhất có quyền level
phân quyền và cung cấp các nguồn lực (3.29) Note 1 to entry: Top management has the power
trong tổ chức. to delegate authority and
CHÚ THÍCH 2: Nếu phạm vi của hệ thống quản provide resources (3.29) within the organization.
lý (3.16) chỉ bao gồm một phần của tổ chức, thì Note 2 to entry: If the scope of the management
lãnh đạo cao nhất đề cập đến những người chỉ system (3.16) covers only part of an
đạo và kiểm soát phần đó của tổ chức. organization, then top management refers to
CHÚ THÍCH 3: Đây là một trong những thuật those who direct and control that part of the
ngữ chung và định nghĩa cốt lõi của cấu trúc cấp organization.
cao đối với các tiêu chuẩn hệ thống quản lý ISO. Note 3 to entry: This constitutes one of the
common terms and core definitions of the high
level structure for ISO management system
standards.
https://nqa.com.vn
ISO 22301 : 2019 VN ISO 22301 : 2019 EN
4 Bối cảnh của tổ chức 4 Context of the organization
4.1 Understanding the organization and its

4.1 Hiểu biết về tổ chức và bối cảnh của tổ chức
context
Tổ chức cần xác định các vấn đề bên ngoài và bên trong
The organization shall determine external and internal
có liên quan đến mục đích của mình và điều đó ảnh
issues that are relevant to its purpose and that affect its
hưởng đến khả năng đạt được các kết quả dự định (đầu
ability to achieve the intended outcome(s) of its BCMS.
ra) của BCMS.
NOTE These issues will be influenced by the
CHÚ THÍCH: Những vấn đề này sẽ bị ảnh hưởng bởi các
organization’s overall objectives, its products and
mục tiêu tổng thể của tổ chức, các sản phẩm và dịch vụ
services and the amount and type of risk that it may or
của tổ chức cũng như số lượng và loại rủi ro mà tổ chức
may not take.
có thể chấp nhận hoặc không.
4.2 Hiểu nhu cầu và mong đợi của các bên quan 4.2 Understanding the needs and expectations of
tâm interested parties
4.2.1 General
4.2.1 Khái quát
When establishing its BCMS, the organization shall
Khi thiết lập BCMS, tổ chức phải xác định
determine:
a) các bên quan tâm có liên quan đến BCMS; • a) the interested parties that are relevant to the BCMS;
• b) the relevant requirements of these interested

b) các yêu cầu liên quan của các bên quan tâm.
parties.
4.2.2 Các Yêu cầu quy định và pháp lý 4.2.2 Legal and regulatory requirements
Tổ chức phải: The organization shall:
• a) thực hiện và duy trì một quá trình để xác định, tiếp • a) implement and maintain a process to identify, have
cận và đánh giá các yêu cầu pháp lý và quy định hiện access to, and assess the applicable legal and regulatory
hành liên quan đến tính liên tục của các sản phẩm và requirements related to the continuity of its products and
dịch vụ, các hoạt động và nguồn lực của mình; services, activities and resources;
• b) đảm bảo rằng các yêu cầu pháp lý, quy định và các • b) ensure that these applicable legal, regulatory and
yêu cầu khác hiện hành này được tính đến khi thực hiện other requirements are taken into account in
và duy trì BCMS của mình; implementing and maintaining its BCMS;
• c) ghi lại thông tin này và cập nhật thông tin. • c) document this information and keep it up to date.
4.3 Xác định phạm vi của hệ thống quản lý kinh 4.3 Determining the scope of the business
doanh liên tục continuity management system
4.3.1 Khái quát 4.3.1 General
Tổ chức phải xác định ranh giới và khả năng áp dụng của The organization shall determine the boundaries and
BCMS để thiết lập phạm vi của tổ chức. applicability of the BCMS to establish its scope.
Khi xác định phạm vi này, tổ chức phải xem xét: When determining this scope, the organization shall
a) các vấn đề bên ngoài và bên trong được đề cập tại consider:
điều khoản 4.1; • a) the external and internal issues referred to in 4.1;
b) các yêu cầu được đề cập tại điều khoản 4.2; • b) the requirements referred to in 4.2;
c) sứ mệnh của tổ chức, các mục tiêu và các nghĩa vụ • c) its mission, goals, and internal and external
bên trong và bên ngoài. obligations.
Phạm vi phải sẵn có bằng thông tin được lập tài liệu. The scope shall be available as documented information.
4.3.2 Scope of the business continuity

4.3.2 Phạm vi của BCMS
management system
https://nqa.com.vn
Tổ chức phải: The organization shall:

a) thiết lập các phần của tổ chức thuộc BCMS, có xem • a) establish the parts of the organization to be included
xét đến (các) vị trí, quy mô, bản chất và mức độ phức in the BCMS, taking into account its location(s), size,
tạp ; nature and complexity;
b) xác định các sản phẩm và dịch vụ được đưa vào • b) identify products and services to be included in the
BCMS. BCMS.
Khi xác định phạm vi, tổ chức phải lập thành tài liệu và When defining the scope, the organization shall
giải thích các loại trừ. Chúng sẽ không ảnh hưởng đến document and explain exclusions. They shall not affect
khả năng và trách nhiệm của tổ chức trong việc cung cấp the organization’s ability and responsibility to provide
tính kinh doanh liên tục, như được xác định bởi phân tích business continuity, as determined by the business
tác động kinh doanh hoặc đánh giá rủi ro và các yêu cầu impact analysis or risk assessment and applicable legal or
pháp lý hoặc quy định hiện hành. regulatory requirements.
4.4 Hệ thống quản lý liên tục kinh doanh 4.4 Business continuity management system
Tổ chức phải thiết lập, thực hiện, duy trì và liên tục cải The organization shall establish, implement, maintain and
tiến BCMS, bao gồm các quá trình cần thiết và các tương continually improve a BCMS, including the processes
tác, phù hợp với các yêu cầu của Tiêu chuẩn Quốc tế needed and their interactions, in accordance with the
này. requirements of this document.
5 Lãnh đạo 5 Leadership
5.1 Lãnh đạo và cam kết 5.1 Leadership and commitment
Lãnh đạo cao nhất phải thể hiện khả năng lãnh đạo và Top management shall demonstrate leadership and
cam kết đối với BCMS bằng cách: commitment with respect to the BCMS by:
• a) ensuring that the business continuity policy and

• a) đảm bảo rằng chính sách kinh doanh liên tục và các
business continuity objectives are established and are
mục tiêu kinh doanh liên tục được thiết lập và phù hợp
compatible with the strategic direction of the
với định hướng chiến lược của tổ chức;
organization;
• b) đảm bảo tích hợp các yêu cầu BCMS vào các quá
• b) ensuring the integration of the BCMS requirements
trình kinh doanh của tổ chức;
into the organization’s business processes;
• c) đảm bảo rằng các nguồn lực cần thiết cho BCMS
• c) ensuring that the resources needed for the BCMS are
luôn sẵn sàng;
available;
• d) truyền đạt tầm quan trọng của kinh doanh liên tục
• d) communicating the importance of effective business
có hiệu lực và việc tuân thủ các yêu cầu BCMS;
continuity and of conforming to the BCMS requirements;
• e) đảm bảo rằng BCMS đạt được (các) kết quả (đầu ra)
• e) ensuring that the BCMS achieves its intended
dự kiến của tổ chức;
outcome(s);
• f) định hướng và hỗ trợ mọi người đóng góp vào hiệu
• f) directing and supporting persons to contribute to the
lực của BCMS;
effectiveness of the BCMS;
• g) thúc đẩy cải tiến liên tục;
• g) promoting continual improvement;
• h) hỗ trợ các vị trí quản lý liên quan khác chứng tỏ sự
• h) supporting other relevant managerial roles to
lãnh đạo và cam kết của họ khi hệ thống quản lý áp
demonstrate their leadership and commitment as it
dụng trong các khu vực họ trách nhiệm.
applies to their areas of responsibility.
CHÚ THÍCH: Tham chiếu đến “kinh doanh” trong tài liệu
NOTE Reference to “business” in this document can be
này có thể được hiểu theo nghĩa rộng có nghĩa là những
interpreted broadly to mean those activities that are core
hoạt động cốt lõi cho mục đích tồn tại của tổ chức.
to the purposes of the organization’s existence.
5.2 Chính sách 5.2 Policy
https://nqa.com.vn
5.2.1 Establishing the business continuity policy

5.2.1 Thiết lập chính sách liên tục của doanh nghiệp
Top management shall establish a business continuity
Lãnh đạo cao nhất phải thiết lập một chính sách kinh
policy that:
doanh liên tục:
• a) is appropriate to the purpose of the organization;
• a) phù hợp với mục đích của tổ chức;
• b) provides a framework for setting business continuity
• b) cung cấp một khuôn khổ để thiết lập các mục tiêu
objectives;
kinh doanh liên tục;
• c) includes a commitment to satisfy applicable
• c) bao gồm cam kết thỏa mãn các yêu cầu được áp
requirements;
dụng;
• d) includes a commitment to continual improvement of
• d) bao gồm cam kết cải tiến liên tục BCMS.
the BCMS.
5.2.2 Truyền đạt chính sách liên tục của doanh nghiệp
5.2.2 Communicating the business continuity policy
Chính sách liên tục kinh doanh sẽ:
The business continuity policy shall:
• a) sẵn có bằng thông tin được lập tài liệu;
• a) be available as documented information;
• b) được truyền đạt trong tổ chức;
• b) be communicated within the organization;
• c) sẵn có cho các bên quan tâm, nếu thích hợp.
• c) be available to interested parties, as appropriate.
5.3 Vai trò tổ chức, trách nhiệm và quyền hạn 5.3 Roles, responsibilities and authorities
Lãnh đạo cao nhất phải đảm bảo rằng trách nhiệm và
Top management shall ensure that the responsibilities
quyền hạn đối với các vai trò liên quan được phân công
and authorities for relevant roles are assigned and
và truyền đạt trong tổ chức.
communicated within the organization.
Top management shall assign the responsibility and
Lãnh đạo cao nhất phải giao trách nhiệm và quyền hạn
authority for:
để:
• a) ensuring that the BCMS conforms to the
a) đảm bảo rằng hệ thống quản lý phù hợp với các yêu
requirements of this document;
cầu của Tiêu chuẩn quốc tế này
• b) reporting on the performance of the BCMS to top
b) báo cáo về việc thực hiện của BCMS tới lãnh đạo cao
management.
nhất.
6. Hoạch định 6 Planning
6.1 Hành động để giải quyết rủi ro và cơ hội 6.1 Actions to address risks and opportunities
https://nqa.com.vn
6.1.1 Xác định rủi ro và cơ hội

6.1.1 Determining risks and opportunities
Khi lập hoạch định cho BCMS, tổ chức phải xem xét các
When planning for the BCMS, the organization shall
vấn đề được đề cập trong 4.1 và các yêu cầu đề cập
consider the issues referred to in 4.1 and the
trong 4.2 và xác định các rủi ro và cơ hội cần được giải
requirements referred to in 4.2 and determine the risks
quyết:
and opportunities that need to be addressed to:
• a) đảm bảo rằng BCMS có thể đạt được (các) kết quả
• a) give assurance that the BCMS can achieve its
dự kiến của BCMS;
intended outcome(s);
• b) ngăn ngừa, hoặc giảm thiểu các tác động không
• b) prevent, or reduce, undesired effects;
mong muốn;
• c) achieve continual improvement.
• c) đạt được sự cải tiến liên tục.
6.1.2 Addressing risks and opportunities
6.1.2 Giải quyết rủi ro và cơ hội
The organization shall plan:
Tổ chức phải hoạch định:
• a) actions to address these risks and opportunities;
• a) các hành động để chỉ ra những rủi ro và cơ hội;
• b) how to:
• b) Phương pháp thực hiện:
o 1) integrate and implement the actions into its BCMS
o 1) tích hợp và thực hiện các hành động vào các quá
processes (see 8.1);
trình BCMS của mình (xem 8.1);
o 2) evaluate the effectiveness of these actions (see 9.1).
o 2) đánh giá hiệu lực của các hành động này (xem 9.1).
NOTE Risks and opportunities relate to the effectiveness
CHÚ THÍCH: Rủi ro và cơ hội liên quan đến hiệu lực của
of the management system. Risks related to disruption of
hệ thống quản lý. Các rủi ro liên quan đến gián đoạn
the business are addressed in 8.2.
hoạt động kinh doanh được đề cập trong 8.2.
6.2 Các mục tiêu và kế hoạch để đạt được kinh 6.2 Business continuity objectives and plans to
doanh liên tục achieve them
6.2.1 Establishing business continuity objectives

6.2.1 Thiết lập các mục tiêu kinh doanh liên tục
The organization shall establish business continuity
Tổ chức phải thiết lập các mục tiêu kinh doanh liên tục ở
objectives at relevant functions and levels.
các cấp và bộ phận chức năng có liên quan.
The business continuity objectives shall:
Các mục tiêu kinh doanh liên tục phải:
• a) be consistent with the business continuity policy;
• a) nhất quán với chính sách liên tục của doanh nghiệp;
• b) be measurable (if practicable);
• b) có thể đo lường được (nếu có thể thực hiện được);
• c) take into account applicable requirements (see 4.1
• c) tính đến các yêu cầu áp dụng (xem 4.1 và 4.2);
and 4.2);
• d) được giám sát;
• d) be monitored;
• e) được truyền đật;
• e) be communicated;
• f) được cập nhật khi thích hợp.
• f) be updated as appropriate.
Tổ chức phải lưu giữ thông tin được lập tài liệu về các
The organization shall retain documented information on
mục tiêu kinh doanh liên tục.
the business continuity objectives.
6.2.2 Xác định mục tiêu kinh doanh liên tục
6.2.2 Determining business continuity objectives
Khi hoạch định làm thế nào để đạt được các mục tiêu
When planning how to achieve its business continuity
kinh doanh liên tục, tổ chức phải xác định:
objectives, the organization shall determine:
• a) những gì sẽ được thực hiện;
• a) what will be done;
• b) những nguồn lực nào sẽ được yêu cầu;
• b) what resources will be required;
• c) ai sẽ chịu trách nhiệm;
• c) who will be responsible;
• d) khi nào nó sẽ được hoàn thành;
• d) when it will be completed;
• e) kết quả sẽ được đánh giá như thế nào.
• e) how the results will be evaluated.
6.3 Planning changes to the business continuity

6.3 Hoạch định sự thay đổi của BCMS
management system
https://nqa.com.vn
Khi tổ chức xác định nhu cầu thay đổi đối với BCMS, bao
When the organization determines the need for changes
gồm cả những thay đổi được xác định trong Điều khoản
to the BCMS, including those identified in Clause 10, the
10, các thay đổi phải được thực hiện một cách có hệ
changes shall be carried out in a planned manner.
thống và có kế hoạch.
The organization shall consider:
Tổ chức phải xem xét:
• a) the purpose of the changes and their potential
• a) mục đích của những thay đổi và hậu quả tiềm ẩn
consequences;
của chúng;
• b) the integrity of the BCMS;
• b) tính toàn vẹn của BCMS;
• c) the availability of resources;
• c) sự sẵn có của các nguồn lực;
• d) the allocation or reallocation of responsibilities and
• d) việc phân bổ hoặc tái phân bổ trách nhiệm và quyền
authorities.
hạn.
7 Hỗ trợ 7 Support
7.1 Các nguồn lực 7.1 Resources
Tổ chức phải xác định và cung cấp các nguồn lực cần The organization shall determine and provide the
thiết cho việc thiết lập, triển khai, duy trì và cải tiến liên resources needed for the establishment, implementation,
tục BCMS. maintenance and continual improvement of the BCMS.
7.2 Năng lực 7.2 Competence
Tổ chức phải:
The organization shall:
• a) xác định năng lực cần thiết của (những) người đang
• a) determine the necessary competence of person(s)
thực hiện công việc dưới sự kiểm soát của mình mà tác
doing work under its control that affects its business
động đến thực hiện kinh doanh liên tục của tổ chức;
continuity performance;
• b) đảm bảo rằng những người này có đủ năng lực trên
• b) ensure that these persons are competent on the
cơ sở được giáo dục, đào tạo hoặc kinh nghiệm thích
basis of appropriate education, training, or experience;
hợp;
• c) where applicable, take actions to acquire the
• c) Khi có thể cần thực hiện các hành động để đạt được
necessary competence, and evaluate the effectiveness of
năng lực cần thiết và đánh giá hiệu lực của các hành
the actions taken;
động đã thực hiện;
• d) retain appropriate documented information as
• d) lưu giữ thông tin được lập tài liệu thích hợp làm
evidence of competence.
bằng chứng về năng lực.
NOTE Applicable actions can include, for example, the
CHÚ THÍCH: Các hành động có thể áp dụng có thể bao
provision of training to, the mentoring of, or the re-
gồm, ví dụ, cung cấp đào tạo, cố vấn hoặc phân công lại
assignment of currently employed persons; or the hiring
những người hiện đang làm việc; hoặc việc thuê hoặc ký
or contracting of competent persons.
hợp đồng của những người có thẩm quyền.
7.3 Nhận thức 7.3 Awareness
Persons doing work under the organization’s control shall

Những người làm công việc dưới sự kiểm soát của tổ be aware of:
chức phải nhận thức được: • a) the business continuity policy;
• a) chính sách liên tục của doanh nghiệp; • b) their contribution to the effectiveness of the BCMS,
• b) đóng góp của họ vào hiệu lực của BCMS, bao gồm including the benefits of improved business continuity
cả những lợi ích của việc cải tiến kinh doanh liên tục; performance;
• c) hậu quả của việc không tuân thủ các yêu cầu BCMS; • c) the implications of not conforming with the BCMS
• d) vai trò và trách nhiệm của chính họ trước, trong và requirements;
sau khi gián đoạn. • d) their own role and responsibilities before, during and
after disruptions.
7.4 Trao đổi thông tin 7.4 Communication
https://nqa.com.vn
The organization shall determine the internal and

Tổ chức phải xác định việc trao đổi thông tin nội bộ và
external communications relevant to the BCMS,
bên ngoài liên quan đến BCMS, bao gồm:
including:
• a) điều gì sẽ truyền đạt;
• a) on what it will communicate;
• b) khi nào truyền đạt;
• b) when to communicate;
• c) truyền đạt tới ai;
• c) with whom to communicate;
• d) truyền đạt như thế nào;
• d) how to communicate;
• e) ai sẽ truyền đạt.
• e) who will communicate.
7.5 Thông tin được lập tài liệu 7.5 Documented information
BCMS của tổ chức phải bao gồm: The organization’s BCMS shall include:
• a) văn bản hóa các yêu cầu của tiêu chuẩn này; • a) documented information required by this document;
• b) thông tin được lập tài liệu được tổ chức xác định là • b) documented information determined by the
cần thiết cho hiệu lực của BCMS. organization as being necessary for the effectiveness of
CHÚ THÍCH: Mức độ thông tin được lập tài liệu cho một the BCMS.
BCMS có thể khác nhau giữa các tổ chức này do: NOTE The extent of documented information for a BCMS
• - quy mô của tổ chức và loại hình hoạt động, quá trình, can differ from one organization to another due to:
sản phẩm và dịch vụ và nguồn lực của tổ chức; • — the size of organization and its type of activities,
• - mức độ phức tạp của các quá trình và sự tương tác processes, products and services, and resources;
của chúng; • — the complexity of processes and their interactions;
• - năng lực của con người. • — the competence of persons.
7.5.2 Thiết lập tài liệu và cập nhật 7.5.2 Creating and updating
Khi lập và cập nhật lập tài liệu, tổ chức phải đảm bảo
When creating and updating documented information the
sự thích hợp :
organization shall ensure appropriate:
• a) nhận dạng và mô tả (ví dụ như tiêu đề, ngày tháng,
• a) identification and description (e.g. a title, date,
tác giả, hoặc số tham chiếu);
author, or reference number);
• b) định dạng (ví dụ: ngôn ngữ, phiên bản phần mềm,
• b) format (e.g. language, software version, graphics)
đồ họa) và phương tiện (ví dụ: giấy, điện tử);
and media (e.g. paper, electronic);
• c) xem xét và phê duyệt cho sự thích hợp và thỏa
• c) review and approval for suitability and adequacy.
đáng.
7.5.3 Kiểm soát thông tin được lập tài liệu 7.5.3 Control of documented information
https://nqa.com.vn
7.5.3.1 Documented information required by the BCMS

7.5.3.1 Thông tin được lập tài liệu theo BCMS và yêu
and by this document shall be controlled to ensure:
cầu này phải được kiểm soát để đảm bảo:
• a) it is available and suitable for use, where and when
• a) nó sẵn có và thích hợp để sử dụng, ở đâu và khi nào
it is needed;
là cần thiết;
• b) it is adequately protected (e.g. from loss of
• b) nó được bảo vệ đầy đủ (ví dụ như không bị mất tính
confidentiality, improper use, or loss of integrity).
bảo mật, sử dụng không đúng cách hoặc mất tính toàn
7.5.3.2 For the control of documented information, the
vẹn).
organization shall address the following activities, as
7.5.3.2 Để kiểm soát thông tin được lập tài liệu, tổ chức
applicable:
phải đáp ứng các hoạt động sau, nếu có:
• a) distribution, access, retrieval and use;
• a) phân phối, truy cập, thu hồi và sử dụng;
• b) storage and preservation, including preservation of
• b) lưu trữ và bảo quản, bao gồm bảo quản tính dễ đọc;
legibility;
• c) kiểm soát các thay đổi (ví dụ: kiểm soát phiên bản);
• c) control of changes (e.g. version control);
• d) lưu giữ và hủy bỏ.
• d) retention and disposition.
Thông tin được lập tài liệu có nguồn gốc bên ngoài được
Documented information of external origin determined by
tổ chức xác định là cần thiết cho việc lập kế hoạch và
the organization to be necessary for the planning and
vận hành BCMS phải được xác định, phù hợp và được
operation of the BCMS shall be identified, as appropriate,
kiểm soát.
and controlled.
CHÚ THÍCH: Quyền truy cập có thể ngụ ý một quyết định
NOTE Access can imply a decision regarding the
liên quan đến quyền chỉ xem thông tin được lập tài liệu,
permission to view the documented information only, or
hoặc quyền và quyền hạn để xem và thay đổi thông tin
the permission and authority to view and change the
được lập tài liệu.
documented information.
8 Vận hành 8 Operation

8.1 Hoạch định và kiểm soát vận hành 8.1 Operational planning and control
Tổ chức phải hoạch định, thực hiện và kiểm soát các quá
The organization shall plan, implement and control the
trình cần thiết để đáp ứng các yêu cầu và để thực hiện
processes needed to meet requirements, and to
các hành động được xác định trong 6.1, bằng cách:
implement the actions determined in 6.1, by:
• a) thiết lập các tiêu chí cho các quá trình;
• a) establishing criteria for the processes;
• b) thực hiện kiểm soát các quá trình phù hợp với các
• b) implementing control of the processes in accordance
tiêu chí;
with the criteria;
• c) lưu giữ thông tin được lập tài liệu ở mức độ cần thiết
• c) keeping documented information to the extent
để tin tưởng rằng các quá trình đã được thực hiện như
necessary to have confidence that the processes have
hoạch định.
been carried out as planned.
Tổ chức phải kiểm soát những thay đổi theo kế hoạch và
The organization shall control planned changes and
xem xét hậu quả của những thay đổi ngoài ý muốn, thực
review the consequences of unintended changes, taking
hiện hành động để giảm thiểu mọi tác động bất lợi, nếu
action to mitigate any adverse effects, as necessary.
cần.
The organization shall ensure that outsourced processes
Tổ chức phải đảm bảo rằng các quá trình thuê ngoài và
and the supply chain are controlled.
chuỗi cung ứng được kiểm soát.
8.2 Phân tích tác động kinh doanh và đánh giá rủi
8.2 Business impact analysis and risk assessment
ro
https://nqa.com.vn

Tổ chức phải:
• a) implement and maintain systematic processes for
• a) thực hiện và duy trì các quá trình có hệ thống để
analysing the business impact and assessing the risks of
phân tích tác động kinh doanh và đánh giá rủi ro gián
disruption;
đoạn;
• b) review the business impact analysis and risk
• b) xem xét phân tích tác động kinh doanh và đánh giá
assessment at planned intervals and when there are
rủi ro định kỳ như hoạch định và khi có những thay đổi
significant changes within the organization or the context
đáng kể trong tổ chức hoặc bối cảnh mà tổ chức đang
in which it operates.
vận hành.
NOTE The organization determines the order in which
CHÚ THÍCH: Tổ chức xác định thứ tự tiến hành phân tích
the business impact analysis and risk assessment are
tác động kinh doanh và đánh giá rủi ro.
conducted.
8.2.2 Phân tích tác động kinh doanh 8.2.2 Business impact analysis
Tổ chức phải sử dụng quá trình phân tích các tác động
kinh doanh để xác định các ưu tiên kinh doanh liên tục
và các yêu cầu. Quá trình phải: The organization shall use the process for analysing
• a) xác định các loại tác động và tiêu chí liên quan đến business impacts to determine business continuity
bối cảnh của tổ chức; priorities and requirements. The process shall:
• b) nhận biết các hoạt động hỗ trợ việc cung cấp các • a) define the impact types and criteria relevant to the
sản phẩm và dịch vụ; organization’s context;
• c) sử dụng các loại tác động và tiêu chí để đánh giá các • b) identify the activities that support the provision of
tác động theo thời gian do sự gián đoạn của các hoạt products and services;
động này; • c) use the impact types and criteria for assessing the
• d) xác định khung thời gian mà trong đó các tác động impacts over time resulting from the disruption of these
của việc không tiếp tục các hoạt động sẽ trở nên không activities;
thể chấp nhận được đối với tổ chức; • d) identify the time frame within which the impacts of
CHÚ THÍCH 1: Khung thời gian này có thể được coi là not resuming activities would become unacceptable to
"khoảng thời gian gián đoạn tối đa có thể chấp nhận the organization;
được (MTPD)". NOTE 1 This time frame can be referred to as the
• e) thiết lập các khung thời gian ưu tiên trong khoảng "maximum tolerable period of disruption (MTPD)".
thời gian được xác định trong d) để tiếp tục các hoạt • e) set prioritized time frames within the time identified
động bị gián đoạn ở mức công suất tối thiểu có thể chấp in d) for resuming disrupted activities at a specified
nhận được; minimum acceptable capacity;
CHÚ THÍCH 2: Khung thời gian này có thể được gọi là NOTE 2 This time frame can be referred to as the
"mục tiêu thời gian phục hồi (RTO)". "recovery time objective (RTO)".
• f) sử dụng phân tích này để xác định các hoạt động ưu • f) use this analysis to identify prioritized activities;
tiên; • g) determine which resources are needed to support
• g) xác định nguồn lực nào cần thiết để hỗ trợ các hoạt prioritized activities;
động ưu tiên; • h) determine the dependencies, including partners and
• h) xác định sự phụ thuộc, bao gồm các đối tác và nhà suppliers, and interdependencies of prioritized activities.
cung cấp, và sự phụ thuộc lẫn nhau của các hoạt động
ưu tiên.
8.2.3 Đánh giá rủi ro 8.2.3 Risk assessment
https://nqa.com.vn
Tổ chức phải triển khai và duy trì quá trình đánh giá rủi
The organization shall implement and maintain a risk
ro.
assessment process.
CHÚ THÍCH: Quá trình đánh giá rủi ro được đề cập trong
NOTE The process for risk assessment is addressed in
ISO 31000.
ISO 31000.
Tổ chức phải:
• a) xác định các rủi ro gây gián đoạn đối với các hoạt
• a) identify the risks of disruption to the organization’s
động ưu tiên của tổ chức và các nguồn lực cần thiết của
prioritized activities and to their required resources;
tổ chức;
• b) analyse and evaluate the identified risks;
• b) phân tích và đánh giá các rủi ro đã xác định;
• c) determine which risks require treatment.
• c) xác định những rủi ro nào cần được xử lý.
NOTE Risks in this subclause relate to the disruption of
CHÚ THÍCH Rủi ro trong điều khoản này liên quan đến
business activities. Risks and opportunities related to the
sự gián đoạn các hoạt động kinh doanh. Các rủi ro và cơ
effectiveness of the management system are addressed
hội liên quan đến hiệu quả của hệ thống quản lý được đề
in 6.1.
cập trong 6.1.
8.3 Chiến lược và giải pháp kinh doanh liên tục 8.3 Business continuity strategies and solutions
Dựa trên kết quả đầu ra từ phân tích tác động kinh Based on the outputs from the business impact analysis
doanh và đánh giá rủi ro, tổ chức phải xác định và lựa and risk assessment, the organization shall identify and
chọn các chiến lược kinh doanh liên tục có cân nhắc các select business continuity strategies that consider options
lựa chọn trước, trong và sau khi gián đoạn. Các chiến for before, during and after disruption. The business
lược kinh doanh liên tục phải bao gồm một hoặc nhiều continuity strategies shall be comprised of one or more
giải pháp. solutions.
8.3.2 Xác định các chiến lược và giải pháp 8.3.2 Identification of strategies and solutions
Việc xác định phải dựa trên mức độ mà các chiến lược và Identification shall be based on the extent to which
giải pháp: strategies and solutions:
• a) đáp ứng các yêu cầu để tiếp tục và phục hồi các • a) meet the requirements to continue and recover
hoạt động ưu tiên trong các khung thời gian đã xác định prioritized activities within the identified time frames and
và năng lực đã thỏa thuận; agreed capacity;
• b) bảo vệ các hoạt động ưu tiên của tổ chức; • b) protect the organization’s prioritized activities;
• c) giảm khả năng bị gián đoạn; • c) reduce the likelihood of disruption;
• d) rút ngắn thời gian gián đoạn; • d) shorten the period of disruption;
• e) hạn chế tác động của sự gián đoạn đối với các sản • e) limit the impact of disruption on the organization’s
phẩm và dịch vụ của tổ chức; products and services;
• f) cung cấp sự sẵn có của các nguồn lực thích hợp. • f) provide for the availability of adequate resources.
8.3.3 Lựa chọn các chiến lược và giải pháp 8.3.3 Selection of strategies and solutions
https://nqa.com.vn
Việc lựa chọn phải dựa trên mức độ mà các chiến lược và Selection shall be based on the extent to which strategies
giải pháp: and solutions:
• a) đáp ứng các yêu cầu để tiếp tục và phục hồi các • a) meet the requirements to continue and recover
hoạt động ưu tiên trong các khung thời gian đã xác định prioritized activities within the identified time frames and
và năng lực đã thỏa thuận; agreed capacity;
• b) xem xét số lượng và loại rủi ro mà tổ chức có thể • b) consider the amount and type of risk the
chấp nhận hoặc không; organization may or may not take;
• c) xem xét chi phí và lợi ích liên quan. • c) consider associated costs and benefits.
8.3.4 Các yêu cầu về nguồn lực 8.3.4 Resource requirements

Tổ chức phải xác định các yêu cầu về nguồn lực để thực The organization shall determine the resource
hiện các giải pháp kinh doanh liên tục đã chọn. Các loại requirements to implement the selected business
nguồn lực được xem xét phải bao gồm, nhưng không giới continuity solutions. The types of resources considered
hạn: shall include, but not be limited to:
• a) con người; • a) people;
• b) thông tin và dữ liệu; • b) information and data;
• c) cơ sở hạ tầng vật chất như tòa nhà, nơi làm việc • c) physical infrastructure such as buildings, workplaces
hoặc các cơ sở khác và các tiện ích liên quan; or other facilities and associated utilities;
• d) thiết bị và vật tư tiêu hao; • d) equipment and consumables;
• e) hệ thống công nghệ thông tin và truyền thông • e) information and communication technology (ICT)
(ICT); systems;
• f) vận chuyển và hậu cần; • f) transportation and logistics;
• g) tài chính; • g) finance;
• h) các đối tác và nhà cung cấp. • h) partners and suppliers.
8.3.5 Triển khai các giải pháp 8.3.5 Implementation of solutions
Tổ chức phải thực hiện và duy trì các giải pháp kinh The organization shall implement and maintain selected
doanh liên tục đã chọn để chúng có thể được kích hoạt business continuity solutions so they can be activated
khi cần thiết. when needed.
8.4 Các kế hoạch và quy trình kinh doanh liên tục 8.4 Business continuity plans and procedures
https://nqa.com.vn
The organization shall implement and maintain a

Tổ chức phải thực hiện và duy trì một cấu trúc ứng phó
response structure that will enable timely warning and
để có thể cảnh báo và thông tin kịp thời cho các bên
communication to relevant interested parties. It shall
quan tâm có liên quan. Nó sẽ cung cấp các kế hoạch và
provide plans and procedures to manage the
thủ tục để quản lý tổ chức trong thời gian gián đoạn. Các
organization during a disruption. The plans and
kế hoạch và quy trình phải được sử dụng khi cần thiết để
procedures shall be used when required to activate
kích hoạt các giải pháp kinh doanh liên tục.
business continuity solutions.
CHÚ THÍCH: Có nhiều loại quy trình khác nhau bao gồm
NOTE There are different types of procedures that
các kế hoạch kinh doanh liên tục.
comprise business continuity plans.
Tổ chức phải xác định và lập thành văn bản các kế hoạch
The organization shall identify and document business
và quy trình kinh doanh liên tục dựa trên kết quả đầu ra
continuity plans and procedures based on the output of
của các chiến lược và giải pháp đã chọn.
the selected strategies and solutions.
Các quy trình phải:
The procedures shall:
• a) cụ thể về các bước ngay lập tức sẽ được thực hiện
• a) be specific regarding the immediate steps that are to
trong thời gian gián đoạn;
be taken during a disruption;
• b) linh hoạt để ứng phó với các điều kiện bên trong và
• b) be flexible to respond to the changing internal and
bên ngoài thay đổi của sự gián đoạn;
external conditions of a disruption;
• c) tập trung vào tác động của các sự cố có khả năng
• c) focus on the impact of incidents that potentially lead
dẫn đến gián đoạn;
to disruption;
• d) có hiệu quả trong việc giảm thiểu tác động thông
• d) be effective in minimizing the impact through the
qua việc thực hiện các giải pháp thích hợp;
implementation of appropriate solutions;
• e) phân công vai trò và trách nhiệm cho các nhiệm vụ
• e) assign roles and responsibilities for tasks within
bên trong quy trình.
them.
8.4.2 Cấu trúc ứng phó 8.4.2 Response structure
https://nqa.com.vn
8.4.2.1 Tổ chức phải thực hiện và duy trì một cấu trúc,
xác định một hoặc nhiều nhóm chịu trách nhiệm ứng phó 8.4.2.1 The organization shall implement and maintain
với sự gián đoạn. a structure, identifying one or more teams responsible
8.4.2.2 Phải nêu rõ vai trò và trách nhiệm của mỗi nhóm for responding to disruptions.
và mối quan hệ giữa các nhóm. 8.4.2.2 The roles and responsibilities of each team and
8.4.2.3 Nói chung, các nhóm phải có đủ năng lực để: the relationships between the teams shall be clearly
• a) đánh giá bản chất và mức độ của sự gián đoạn và stated.
tác động tiềm tàng của nó; 8.4.2.3 Collectively, the teams shall be competent to:
• b) đánh giá tác động đối với các ngưỡng được xác định • a) assess the nature and extent of a disruption and its
trước để biện minh cho việc bắt đầu phản ứng chính potential impact;
thức; • b) assess the impact against pre-defined thresholds
• c) kích hoạt một ứng phó kinh doanh liên tục thích that justify initiation of a formal response;
hợp; • c) activate an appropriate business continuity response;
• d) lập kế hoạch các hành động cần được thực hiện; • d) plan actions that need to be undertaken;
• e) thiết lập các ưu tiên (sử dụng an toàn tính mạng là • e) establish priorities (using life safety as the first
ưu tiên hàng đầu); priority);
• f) giám sát các tác động của sự gián đoạn và ứng phó • f) monitor the effects of the disruption and the
của tổ chức; organization’s response;
• g) kích hoạt các giải pháp kinh doanh liên tục; • g) activate the business continuity solutions;
• h) trao đổi với các bên quan tâm có liên quan, các cơ • h) communicate with relevant interested parties,
quan chức năng và giới truyền thông. authorities and the media.
8.4.2.4 Đối với mỗi đội phải có: 8.4.2.4 For each team there shall be:
• a) nhân sự đã được xác định và những người thay thế • a) identified personnel and their alternates with the
họ có trách nhiệm, quyền hạn và năng lực cần thiết để necessary responsibility, authority and competence to
thực hiện vai trò được chỉ định của họ; perform their designated role;
• b) các quy trình được lập thành văn bản để hướng dẫn • b) documented procedures to guide their actions (see
các hành động của họ (xem 8.4.4), bao gồm các quy 8.4.4), including those for the activation, operation,
trình để kích hoạt, vận hành, điều phối và truyền đạt coordination and communication of the response.
hành động ứng phó.
8.4.3 Cảnh báo và trao đổi thông tin 8.4.3 Warning and communication
https://nqa.com.vn
8.4.3.1 The organization shall document and maintain

8.4.3.1 Tổ chức phải lập tài liệu và duy trì các quy
procedures for:
trình đối với:
• a) communicating internally and externally to relevant
• a) liên lạc nội bộ và bên ngoài với các bên quan tâm có
interested parties, including what, when, with whom and
liên quan, bao gồm cái gì, khi nào, với ai và giao tiếp như
how to communicate;
thế nào;
NOTE The organization can document and maintain
CHÚ THÍCH: Tổ chức có thể lập thành văn bản và duy trì
procedures for how, and under what circumstances, the
các quy trình về cách thức và trong những trường hợp
organization communicates with employees and their
nào, tổ chức liên lạc với nhân viên và những người liên
emergency contacts.
hệ khẩn cấp của họ.
• b) receiving, documenting and responding to
• b) nhận, lập hồ sơ và phản hồi trao đổi thông tin từ các
communications from interested parties, including any
bên quan tâm, bao gồm bất kỳ hệ thống tư vấn rủi ro
national or regional risk advisory system or equivalent;
quốc gia hoặc khu vực nào hoặc hệ thống tương đương;
• c) ensuring the availability of the means of
• c) đảm bảo sự sẵn có của các phương tiện trao đổi
communication during a disruption;
thông tin trong thời gian gián đoạn;
• d) facilitating structured communication with
• d) hỗ trợ giao tiếp có cấu trúc với những người ứng
emergency responders;
cứu khẩn cấp;
• e) providing details of the organization’s media
• e) cung cấp thông tin chi tiết về phản ứng truyền thông
response following an incident, including a
của tổ chức sau một sự cố, bao gồm cả chiến lược trao
communications strategy;
đổi thông tin;
• f) recording the details of the disruption, the actions
• f) ghi lại các chi tiết của sự gián đoạn, các hành động
taken and the decisions made.
được thực hiện và các quyết định được đưa ra.
8.4.3.2 Where applicable, the following shall also be
8.4.3.2 Nếu có thể, những điều sau đây cũng phải được
considered and implemented:
xem xét và thực hiện:
• a) alerting interested parties potentially impacted by an
• a) cảnh báo cho các bên quan tâm có khả năng bị ảnh
actual or impending disruption;
hưởng bởi sự gián đoạn thực tế hoặc sắp xảy ra;
• b) ensuring appropriate coordination and
• b) đảm bảo sự phối hợp và giao tiếp thích hợp giữa
communication between multiple responding
nhiều tổ chức phản hồi.
organizations.
Các quy trình cảnh báo và trao đổi thông tin phải được
The warning and communication procedures shall be
thực hiện như một phần của chương trình diễn tập của
exercised as part of the organization’s exercise
tổ chức được mô tả trong 8.5.
programme described in 8.5.
8.4.4 Kế hoạch liên tục kinh doanh 8.4.4 Business continuity plans
https://nqa.com.vn
8.4.4.1 Tổ chức phải lập tài liệu và duy trì các kế hoạch 8.4.4.1 The organization shall document and maintain
và quy trình kinh doanh liên tục. Các kế hoạch kinh business continuity plans and procedures. The business
doanh liên tục phải cung cấp hướng dẫn và thông tin để continuity plans shall provide guidance and information
hỗ trợ các nhóm ứng phó với sự gián đoạn và hỗ trợ tổ to assist teams to respond to a disruption and to assist
chức đối phó và phục hồi. the organization with response and recovery.
8.4.4.2 Nói chung, kế hoạch kinh doanh liên tục phải bao 8.4.4.2 Collectively, the business continuity plans shall
gồm: contain:
• a) chi tiết về các hành động mà các nhóm sẽ thực hiện • a) details of the actions that the teams will take in
để: order to:
o 1) tiếp tục hoặc phục hồi các hoạt động được ưu tiên o 1) continue or recover prioritized activities within
trong các khung thời gian định trước; predetermined time frames;
o 2) giám sát tác động của sự gián đoạn và ứng phó của o 2) monitor the impact of the disruption and the
tổ chức đối với các tác động; organization’s response to it;
• b) tham chiếu đến (các) ngưỡng được xác định trước • b) reference to the pre-defined threshold(s) and
và quá trình để kích hoạt phục hồi; process for activating the response;
• c) các quy trình để cho phép cung cấp các sản phẩm và • c) procedures to enable the delivery of products and
dịch vụ với năng lực đã thỏa thuận; services at agreed capacity;
• d) thông tin chi tiết để quản lý các hậu quả tức thời • d) details to manage the immediate consequences of a
của sự gián đoạn có quan tâm đến: disruption giving due regard to:
o 1) phúc lợi của các cá nhân; o 1) the welfare of individuals;
o 2) việc ngăn ngừa mất mát thêm hoặc không có sẵn o 2) the prevention of further loss or unavailability of
các hoạt động ưu tiên; prioritized activities;
o 3) tác động đến môi trường. o 3) the impact on the environment.
8.4.4.3 Mỗi kế hoạch phải bao gồm:

• a) mục đích, phạm vi và các mục tiêu; 8.4.4.3 Each plan shall include:
• b) vai trò và trách nhiệm của nhóm sẽ thực hiện kế • a) the purpose, scope and objectives;
hoạch; • b) the roles and responsibilities of the team that will
• c) các hành động để thực hiện các giải pháp; implement the plan;
• d) thông tin hỗ trợ cần thiết để kích hoạt (bao gồm các • c) actions to implement the solutions;
tiêu chí kích hoạt), vận hành, điều phối và truyền đạt các • d) supporting information needed to activate (including
hành động của nhóm; activation criteria), operate, coordinate and communicate
• e) sự phụ thuộc lẫn nhau bên trong nội bộ và bên the team’s actions;
ngoài; • e) internal and external interdependencies;
• f) các yêu cầu về nguồn lực; • f) the resource requirements;
• g) các yêu cầu báo cáo; • g) the reporting requirements;
• h) một quá trình để dừng lại (kết thúc hoạt động phục • h) a process for standing down.
hồi). Each plan shall be usable and available at the time and
Mỗi kế hoạch phải sử dụng được và có sẵn tại thời điểm place at which it is required.
và địa điểm nơi được yêu cầu.
8.4.5 Phục hồi 8.4.5 Recovery
Tổ chức phải có các quá trình được lập tài liệu để khôi The organization shall have documented processes to
phục và trở lại các hoạt động kinh doanh từ các biện pháp restore and return business activities from the temporary
tạm thời được áp dụng trong và sau khi bị gián đoạn. measures adopted during and after a disruption.
8.5 Chương trình luyện tập 8.5 Exercise programme
https://nqa.com.vn
Tổ chức phải thực hiện và duy trì một chương trình luyện The organization shall implement and maintain a
tập và thử nghiệm để xác nhận theo thời gian tính hiệu programme of exercising and testing to validate over
lực của các chiến lược và giải pháp kinh doanh liên tục của time the effectiveness of its business continuity strategies
mình. and solutions.
Tổ chức phải tiến hành các luyện tập và thử nghiệm nhằm: The organization shall conduct exercises and tests that:
• a) nhất quán với các mục tiêu liên tục kinh doanh; • a) are consistent with its business continuity objectives;
• b) dựa trên các kịch bản thích hợp được lập kết hoạch • b) are based on appropriate scenarios that are well
với các mục tiêu và hướng được xác định rõ ràng; planned with clearly defined aims and objectives;
• c) phát triển tinh thần đồng đội, năng lực, sự tự tin và • c) develop teamwork, competence, confidence and
tri thức cho những người có vai trò thực hiện liên quan knowledge for those who have roles to perform in
đến sự gián đoạn; relation to disruptions;
• d) được thực hiện đồng thời theo thời gian, xác nhận giá • d) taken together over time, validate its business
trị sử dụng của các chiến lược và giải pháp kinh doanh liên continuity strategies and solutions;
tục của mình; • e) produce formalized post-exercise reports that
• e) tạo ra các báo cáo chính thức sau luyện tập bao gồm contain outcomes, recommendations and actions to
các kết quả, khuyến nghị và hành động để thực hiện các implement improvements;
cải tiến; • f) are reviewed within the context of promoting
• f) được xem xét trong bối cảnh thúc đẩy cải tiến liên tục; continual improvement;
• g) được thực hiện định kỳ theo khoảng thời gian đã • g) are performed at planned intervals and when there
hoạch định và khi có những thay đổi đáng kể trong tổ chức are significant changes within the organization or the
hoặc bối cảnh mà tổ chức vận hành. context in which it operates.
Tổ chức phải hành động dựa trên kết quả luyện tập và thử The organization shall act on the results of its exercising
nghiệm của mình để thực hiện các thay đổi và cải tiến. and testing to implement changes and improvements.
8.6 Đánh giá các tài liệu và khả năng kinh doanh 8.6 Evaluation of business continuity
liên tục documentation and capabilities

Tổ chức phải:
• a) evaluate the suitability, adequacy and effectiveness
• a) đánh giá tính phù hợp, đầy đủ và hiệu lực của phân
of its business impact analysis, risk assessment,
tích tác động kinh doanh, đánh giá rủi ro, các chiến lược,
strategies, solutions, plans and procedures;
các giải pháp, các kế hoạch và các quy trình;
• b) undertake evaluations through reviews, analysis,
• b) thực hiện đánh giá thông qua xem xét, phân tích,
exercises, tests, post-incident reports and performance
luyện tập, thử nghiệm, báo cáo sau sự cố và đánh giá kết
evaluations;
quả thực hiện;
• c) conduct evaluations of the business continuity
• c) tiến hành đánh giá khả năng kinh doanh liên tục của
capabilities of relevant partners and suppliers;
các đối tác và nhà cung cấp có liên quan;
• d) evaluate compliance with applicable legal and
• d) đánh giá sự tuân thủ với các yêu cầu pháp lý và quy
regulatory requirements, industry best practices, and
định hiện hành, các thông lệ (quy tắc thực hành) tốt nhất
conformity with its own business continuity policy and
của ngành, và sự phù hợp với chính sách và mục tiêu kinh
objectives;
doanh liên tục;
• e) update documentation and procedures in a timely
• e) cập nhật tài liệu và quy trình một cách kịp thời.
manner.
Các đánh giá này phải được thực hiện theo khoảng thời
These evaluations shall be conducted at planned
gian đã hoạch định, sau khi xảy ra sự cố hoặc kích hoạt,
intervals, after an incident or activation, and when
và khi có những thay đổi quan trọng.
significant changes occur.
https://nqa.com.vn
9 Đánh giá việc thực hiện 9 Performance evaluation

9.1 Monitoring, measurement, analysis and
9.1 Theo dõi, đo lường, phân tích và đánh giá
evaluation
Tổ chức phải xác định: The organization shall determine:

• a) những gì cần được theo dõi và đo lường; • a) what needs to be monitored and measured;
• b) các phương pháp theo dõi, đo lường, phân tích và • b) the methods for monitoring, measurement, analysis
đánh giá, nếu có thể, để đảm bảo kết quả hợp lệ; and evaluation, as applicable, to ensure valid results;
• c) việc giám sát và đo lường phải được thực hiện khi • c) when and by whom the monitoring and measuring
nào và bởi ai; shall be performed;
• d) các kết quả từ việc theo dõi và đo lường phải được • d) when and by whom the results from monitoring and
phân tích và đánh giá khi nào và bởi ai. measurement shall be analysed and evaluated.
Tổ chức phải lưu giữ thông tin được lập tài liệu thích hợp The organization shall retain appropriate documented
làm bằng chứng về kết quả. information as evidence of the results.
Tổ chức phải đánh giá việc thực hiện BCMS và hiệu lực The organization shall evaluate the BCMS performance
của BCMS. and the effectiveness of the BCMS.
9.2 Đánh giá nội bộ 9.2 Internal audit
9.2.1 Khái quát

9.2.1 General
Tổ chức phải tiến hành đánh giá nội bộ định kỳ theo
The organization shall conduct internal audits at planned
hoạch định để cung cấp thông tin về việc liệu BCMS có:
intervals to provide information on whether the BCMS:
• a) tuân thủ:
• a) conforms to:
o 1) các yêu cầu riêng của tổ chức đối với BCMS của
o 1) the organization’s own requirements for its BCMS;
mình;
o 2) the requirements of this document;
o 2) các yêu cầu của tài liệu này;
• b) is effectively implemented and maintained.
• b) được thực hiện và duy trì một cách hiệu quả.
9.2.2 (Các) chương trình đánh giá

9.2.2 Audit programme(s)
Tổ chức phải:
• a) lập kế hoạch, thiết lập, thực hiện và duy trì (các)
• a) plan, establish, implement and maintain an audit
chương trình đánh giá bao gồm tần suất, phương pháp,
programme(s) including the frequency, methods,
trách nhiệm, yêu cầu lập kế hoạch và báo cáo, trong đó
responsibilities, planning requirements and reporting,
phải xem xét đến tầm quan trọng của các quá trình liên
which shall take into consideration the importance of the
quan và kết quả của các cuộc đánh giá trước đó;
processes concerned and the results of previous audits;
• b) xác định các tiêu chí và phạm vi đánh giá cho mỗi
• b) define the audit criteria and scope for each audit;
cuộc đánh giá;
• c) select auditors and conduct audits to ensure
• c) lựa chọn đánh giá viên và thực hiện đánh giá để đảm
objectivity and the impartiality of the audit process;
bảo tính khách quan và vô tư của quá trình đánh giá;
• d) ensure that the results of the audits are reported to
• d) đảm bảo rằng kết quả của các cuộc đánh giá được
relevant managers;
báo cáo cho các nhà quản lý có liên quan;
• e) retain documented information as evidence of the
• e) lưu giữ thông tin được lập tài liệu làm bằng chứng về
implementation of the audit programme(s) and the audit
việc thực hiện (các) chương trình đánh giá và kết quả đánh
results;
giá;
• f) ensure that any necessary corrective actions are
• f) đảm bảo rằng mọi hành động khắc phục cần thiết
taken without undue delay to eliminate detected
được thực hiện không chậm trễ quá mức để loại bỏ sự
nonconformities and their causes;
không phù hợp đã phát hiện và nguyên nhân của chúng;
• g) ensure that follow-up audit actions include the
• g) đảm bảo rằng các hành động theo dõi sau đánh giá
verification of the actions taken and the reporting of
bao gồm việc kiểm tra xác nhận các hành động đã thực
verification results.
hiện và báo cáo các kết quả kiểm tra.
9.3 Xem xét của lãnh đạo 9.3 Management review
https://nqa.com.vn

Lãnh đạo cao nhất phải xem xét BCMS của tổ chức, định Top management shall review the organization’s BCMS,
kỳ theo hoạch định, để đảm bảo tính phù hợp, đầy đủ và at planned intervals, to ensure its continuing suitability,
hiệu lực liên tục của tổ chức. adequacy and effectiveness.
9.3.2 Management review input

9.3.2 Đầu vào xem xét của lãnh đạo
The management review shall include consideration of:
Việc xem xét của lãnh đạo phải bao gồm việc xem xét:
• a) the status of actions from previous management
• a) trạng thái của các hành động từ các cuộc xem xét của
reviews;
lãnh đạo trước đó;
• b) changes in external and internal issues that are
• b) những thay đổi về các vấn đề bên ngoài và bên trong
relevant to the BCMS;
có liên quan đến BCMS;
• c) information on the BCMS performance, including
• c) thông tin về thực hiện BCMS, bao gồm các xu hướng
trends in:
trong:
o 1) nonconformities and corrective actions;
o 1) sự không phù hợp và các hành động khắc phục;
o 2) monitoring and measurement evaluation results;
o 2) kết quả đánh giá theo dõi và đo lường;
o 3) audit results;
o 3) kết quả đánh giá;
• d) feedback from interested parties;
• d) phản hồi từ các bên quan tâm;
• e) the need for changes to the BCMS, including the
• e) nhu cầu thay đổi đối với BCMS, bao gồm cả chính sách
policy and objectives;
và mục tiêu;
• f) procedures and resources that could be used in the
• f) các quy trình và nguồn lực có thể được sử dụng trong
organization to improve the BCMS’ performance and
tổ chức để cải thiện việc thực hiện và hiệu lực của BCMS;
effectiveness;
• g) thông tin từ phân tích tác động kinh doanh và đánh
• g) information from the business impact analysis and
giá rủi ro;
risk assessment;
• h) đầu ra từ việc đánh giá các tài liệu (văn bản) và năng
• h) output from the evaluation of business continuity
lực kinh doanh liên tục (xem 8.6);
documentation and capabilities (see 8.6);
• i) rủi ro hoặc các vấn đề chưa được giải quyết thỏa đáng
• i) risks or issues not adequately addressed in any
trong bất kỳ lần đánh giá rủi ro trước đó;
previous risk assessment;
• j) các bài học kinh nghiệm và các hành động phát sinh
• j) lessons learned and actions arising from near-misses
từ những lần bỏ sót và các lần gián đoạn;
and disruptions;
• k) cơ hội cải tiến liên tục.
• k) opportunities for continual improvement.
https://nqa.com.vn
9.3.3 Đầu ra xem xét của lãnh đạo

9.3.3.1 Đầu ra của việc xem xét của lãnh đạo phải bao 9.3.3 Management review outputs
gồm các quyết định liên quan đến các cơ hội cải tiến liên 9.3.3.1 The outputs of the management review shall
tục và bất kỳ nhu cầu thay đổi nào đối với BCMS để cải include decisions related to continual improvement
thiện hiệu quả và hiệu lực của tổ chức, bao gồm các nội opportunities and any need for changes to the BCMS to
dung sau: improve its efficiency and effectiveness, including the
• a) các thay đổi đối với phạm vi của BCMS; following:
• b) cập nhật phân tích tác động kinh doanh, đánh giá rủi • a) variations to the scope of the BCMS;
ro, các chiến lược và giải pháp kinh doanh liên tục, và kế • b) update of the business impact analysis, risk
hoạch kinh doanh liên tục; assessment, business continuity strategies and solutions,
• c) sửa đổi các quy trình và kiểm soát để ứng phó với các and business continuity plans;
vấn đề nội bộ hoặc bên ngoài có thể ảnh hưởng đến • c) modification of procedures and controls to respond
BCMS; to internal or external issues that may impact the BCMS;
• d) mức độ hiệu lực của các biện pháp kiểm soát sẽ được • d) how the effectiveness of controls will be measured.
đo lường như thế nào. 9.3.3.2 The organization shall retain documented
9.3.3.2 Tổ chức phải lưu giữ thông tin được lập tài liệu làm information as evidence of the results of management
bằng chứng về kết quả xem xét của lãnh đạo. Phải: reviews. It shall:
• a) truyền đạt kết quả xem xét của lãnh đạo cho các bên • a) communicate the results of the management review
quan tâm có liên quan; to relevant interested parties;
• b) thực hiện hành động thích hợp liên quan đến những • b) take appropriate action relating to those results.
kết quả đó.
https://nqa.com.vn
10 Cải tiến 10 Improvement
10.1 Sự không phù hợp và hành động khắc phục 10.1 Nonconformity and corrective action
10.1.1 Tổ chức phải xác định các cơ hội cải tiến và thực 10.1.1 The organization shall determine opportunities
hiện các hành động cần thiết để đạt được các kết quả dự for improvement and implement necessary actions to
kiến của BCMS của mình. achieve the intended outcomes of its BCMS.
10.1.2 Khi xảy ra sự không phù hợp, tổ chức phải: 10.1.2 When a nonconformity occurs, the organization
• a) hành động với sự không phù hợp, và nếu có: shall:
o 1) thực hiện hành động để kiểm soát và sửa chữa sự • a) react to the nonconformity, and, as applicable:
không phù hợp; o 1) take action to control and correct it;
o 2) giải quyết hậu quả; o 2) deal with the consequences;
• b) đánh giá nhu cầu hành động để loại bỏ (các) • b) evaluate the need for action to eliminate the
nguyên nhân của sự không phù hợp, để sự không phù cause(s) of the nonconformity, in order that it does not
hợp không tái diễn hoặc xảy ra ở nơi khác, bằng cách: recur or occur elsewhere, by:
o 1) xem xét sự không phù hợp; o 1) reviewing the nonconformity;
o 2) xác định nguyên nhân của sự không phù hợp; o 2) determining the causes of the nonconformity;
o 3) xác định xem sự không phù hợp tương tự có tồn tại o 3) determining if similar nonconformities exist, or can
hoặc có thể có khả năng xảy ra hay không; potentially occur;
• c) thực hiện bất kỳ hành động nào cần thiết; • c) implement any action needed;
• d) xem xét tính hiệu lực của bất kỳ hành động khắc • d) review the effectiveness of any corrective action
phục nào được thực hiện; taken;
• e) thực hiện các thay đổi đối với BCMS, nếu cần. • e) make changes to the BCMS, if necessary.
Các hành động khắc phục phải phù hợp với các tác động Corrective actions shall be appropriate to the effects of
của sự không phù hợp gặp phải. the nonconformities encountered.
10.1.3 Tổ chức phải lưu giữ thông tin được lập tài liệu 10.1.3 The organization shall retain documented
làm bằng chứng về: information as evidence of:
• a) bản chất của sự không phù hợp và bất kỳ hành động • a) the nature of the nonconformities and any
tiếp theo nào được thực hiện; subsequent actions taken;
• b) kết quả của mọi hành động khắc phục. • b) the results of any corrective action.
10.2 Cải tiến liên tục 10.2 Continual improvement
Tổ chức phải liên tục cải tiến tính phù hợp, đầy đủ và The organization shall continually improve the suitability,
hiệu quả của BCMS, dựa trên các biện pháp định tính và adequacy and effectiveness of the BCMS, based on
định lượng. qualitative and quantitative measures.
Tổ chức phải xem xét các kết quả phân tích và đánh giá, The organization shall consider the results of analysis
và các kết quả từ việc xem xét của lãnh đạo, để xác định and evaluation, and the outputs from management
xem liệu có nhu cầu hoặc cơ hội, liên quan đến doanh review, to determine if there are needs or opportunities,
nghiệp hoặc BCMS, sẽ được giải quyết như một phần của relating to the business, or to the BCMS, that shall be
cải tiến liên tục. addressed as part of continual improvement.
CHÚ THÍCH: Tổ chức có thể sử dụng các quá trình của NOTE The organization can use the processes of the
BCMS, chẳng hạn như lãnh đạo, hoạch định và đánh giá BCMS, such as leadership, planning and performance
kết quả thực hiện, để đạt được sự cải tiến. evaluation, to achieve improvement.
https://nqa.com.vn
Mọi góp ý về bản dịch. Vui lòng liên hệ email: ndquang@nqa.com.vn

Cám ơn.

Isoiec223012019 Htqlkinhdoanhlientuc Nqavnver2 210809085000

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Isoiec223012019 Htqlkinhdoanhlientuc Nqavnver2 210809085000

Uploaded by

Copyright:

Available Formats

https://nqa.com.

An toàn và Khả năng Thích ứng - Hệ thống Quản lý Kinh

Security and resilience — Business continuity

0.1 Khái quát 0.1 General

 3) bảo vệ và nâng cao danh tiếng và sự  4) contributing to organizational

3 Terms and definitions / Thuật ngữ và đinh nghĩa

nguồn lực resource

ISO 22301 : 2019 VN ISO 22301 : 2019 EN

4 Bối cảnh của tổ chức 4 Context of the organization

4.1 Understanding the organization and its

• b) the relevant requirements of these interested

4.3.2 Scope of the business continuity

Tổ chức phải: The organization shall:

5 Lãnh đạo 5 Leadership

5.1 Lãnh đạo và cam kết 5.1 Leadership and commitment

• a) ensuring that the business continuity policy and

5.2 Chính sách 5.2 Policy

5.2.1 Establishing the business continuity policy

6. Hoạch định 6 Planning

6.1.1 Xác định rủi ro và cơ hội

6.2.1 Establishing business continuity objectives

6.3 Planning changes to the business continuity

7.2 Năng lực 7.2 Competence

7.3 Nhận thức 7.3 Awareness

Persons doing work under the organization’s control shall

7.4 Trao đổi thông tin 7.4 Communication

The organization shall determine the internal and

7.5.1 Khái quát 7.5.1 General

7.5.3.1 Documented information required by the BCMS

8 Vận hành 8 Operation

The organization shall:

8.2.3 Đánh giá rủi ro 8.2.3 Risk assessment

8.3.1 Khái quát 8.3.1 General

8.3.4 Các yêu cầu về nguồn lực 8.3.4 Resource requirements

8.4.1 Khái quát 8.4.1 General

The organization shall implement and maintain a

8.4.2 Cấu trúc ứng phó 8.4.2 Response structure

8.4.3.1 The organization shall document and maintain

8.4.4.3 Mỗi kế hoạch phải bao gồm:

8.4.5 Phục hồi 8.4.5 Recovery

8.5 Chương trình luyện tập 8.5 Exercise programme

The organization shall:

9 Đánh giá việc thực hiện 9 Performance evaluation

Tổ chức phải xác định: The organization shall determine:

9.2 Đánh giá nội bộ 9.2 Internal audit

9.2.1 Khái quát

9.2.2 (Các) chương trình đánh giá

9.3 Xem xét của lãnh đạo 9.3 Management review

9.3.1 Khái quát 9.3.1 General

9.3.2 Management review input

9.3.3 Đầu ra xem xét của lãnh đạo

10 Cải tiến 10 Improvement

10.2 Cải tiến liên tục 10.2 Continual improvement

Mọi góp ý về bản dịch. Vui lòng liên hệ email: ndquang@nqa.com.vn

You might also like