Professional Documents
Culture Documents
Isoiec223012019 Htqlkinhdoanhlientuc Nqavnver2 210809085000
Isoiec223012019 Htqlkinhdoanhlientuc Nqavnver2 210809085000
vn
TIÊU CHUẨN
ISO / IEC 22301: 2019
Phiên bản 2.1
(Lưu hành nội bộ và cho mục đích đào tạo)
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
0.2 Lợi ích của hệ thống quản lý kinh doanh 0.2 Benefits of a business continuity
liên tục management system
Mục đích của BCMS là chuẩn bị, cung cấp và The purpose of a BCMS is to prepare for, provide
duy trì các biện pháp kiểm soát và khả năng để and maintain controls and capabilities for
quản lý khả năng tiếp tục hoạt động chung của managing an organization’s overall ability to
một tổ chức trong thời gian gián đoạn. Để đạt continue to operate during disruptions. In
được điều này, tổ chức là: achieving this, the organization is:
a) từ góc độ kinh doanh: a) from a business perspective:
1) hỗ trợ các mục tiêu chiến lược của tổ 1) supporting its strategic objectives;
chức; 2) creating a competitive advantage;
2) tạo lợi thế cạnh tranh; 3) protecting and enhancing its
reputation and credibility;
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
1 Phạm vi 1 Scope
Tài liệu này quy định các yêu cầu để thực hiện, This document specifies requirements to
duy trì và cải tiến hệ thống quản lý nhằm bảo vệ, implement, maintain and improve a management
giảm thiểu khả năng xảy ra, chuẩn bị, ứng phó system to protect against, reduce the likelihood of
và phục hồi sau những gián đoạn khi chúng phát the occurrence of, prepare for, respond to and
sinh. recover from disruptions when they arise.
Các yêu cầu quy định trong tài liệu này là chung The requirements specified in this document are
và nhằm áp dụng cho tất cả các tổ chức hoặc generic and intended to be applicable to all
các bộ phận của tổ chức đó, bất kể loại hình, quy organizations, or parts thereof, regardless of
mô và tính chất của tổ chức. Mức độ áp dụng các type, size and nature of the organization. The
yêu cầu này tùy thuộc vào môi trường hoạt động extent of application of these requirements
và mức độ phức tạp của tổ chức. depends on the organization’s operating
Tài liệu này có thể áp dụng cho tất cả các loại environment and complexity.
hình và quy mô tổ chức: This document is applicable to all types and sizes
a) thực hiện, duy trì và cải tiến một of organizations that:
BCMS; a) implement, maintain and improve a
b) tìm biện pháp để đảm bảo sự phù hợp BCMS;
với chính sách kinh doanh liên tục đã b) seek to ensure conformity with stated
nêu; business continuity policy;
c) cần có khả năng tiếp tục cung cấp các c) need to be able to continue to deliver
sản phẩm và dịch vụ với công suất xác products and services at an acceptable
định trước có thể chấp nhận được trong predefined capacity during a disruption;
thời gian gián đoạn; d) seek to enhance their resilience
d) tìm biện pháp nâng cao khả năng through the effective application of the
phục hồi của tổ chức thông qua việc áp BCMS.
dụng hiệu quả BCMS. This document can be used to assess an
Tài liệu này có thể được sử dụng để đánh giá organization’s ability to meet its own business
khả năng của tổ chức trong việc đáp ứng các nhu continuity needs and obligations.
cầu và nghĩa vụ liên tục kinh doanh của chính tổ
chức đó.
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
3.2
Đánh giá audit
quá trình có hệ thống, độc lập và được lập thành systematic, independent and
văn bản (3.26) để thu thập bằng chứng đánh giá documented process (3.26) for obtaining audit
và đánh giá hệ thống một cách khách quan nhằm evidence and evaluating it objectively to
xác định mức độ đáp ứng các tiêu chí đánh giá determine the extent to which the audit criteria
CHÚ THÍCH 1: Cuộc đánh giá có thể là cuộc đánh are fulfilled
giá nội bộ (bên thứ nhất) hoặc cuộc đánh giá bên Note 1 to entry: An audit can be an internal audit
ngoài (bên thứ hai hoặc bên thứ ba) và nó có thể (first party) or an external audit (second party or
là cuộc đánh giá kết hợp (kết hợp hai hoặc nhiều third party), and it can be a combined audit
lĩnh vực). (combining two or more disciplines).
CHÚ THÍCH 2: Đánh giá nội bộ được tiến hành Note 2 to entry: An internal audit is conducted by
bởi chính tổ chức (3.21) hoặc bởi một bên bên the organization (3.21) itself, or by an external
ngoài thay mặt tổ chức. party on its behalf.
CHÚ THÍCH 3: “Bằng chứng đánh giá” và “tiêu chí Note 3 to entry: “Audit evidence” and “audit
đánh giá” được định nghĩa trong ISO 19011. criteria” are defined in ISO 19011.
CHÚ THÍCH 4: Các yếu tố cơ bản của cuộc đánh Note 4 to entry: The fundamental elements of an
giá bao gồm việc xác định sự phù hợp (3.7) của audit include the determination of
một đối tượng theo một quy trình tục được thực the conformity (3.7) of an object according to a
hiện bởi nhân viên không chịu trách nhiệm về đối procedure carried out by personnel not being
tượng được đánh giá. responsible for the object audited.
CHÚ THÍCH 5: Đánh giá nội bộ có thể nhằm mục Note 5 to entry: An internal audit can be for
đích xem xét của ban giám đốc và các mục đích management review and other internal purposes
nội bộ khác và có thể tạo cơ sở cho tuyên bố về and can form the basis for an organization’s
sự phù hợp của một tổ chức. Tính độc lập có thể declaration of conformity. Independence can be
được chứng minh bằng sự giải thoát khỏi trách demonstrated by the freedom from responsibility
nhiệm đối với hoạt động (3.1) được đánh giá. for the activity (3.1) being audited. External
Đánh giá bên ngoài bao gồm đánh giá của bên audits include second- and third-party audits.
thứ hai và thứ ba. Đánh giá của bên thứ hai được Second-party audits are conducted by parties
thực hiện bởi các bên có lợi ích trong tổ chức, having an interest in the organization, such as
chẳng hạn như khách hàng hoặc bởi những customers, or by other persons on their behalf.
người khác thay mặt họ. Đánh giá của bên thứ ba Third-party audits are conducted by external,
được thực hiện bởi các tổ chức đánh giá độc lập, independent auditing organizations, such as
bên ngoài, chẳng hạn như các tổ chức cung cấp those providing certification/registration of
chứng nhận / đăng ký sự phù hợp hoặc các cơ conformity or government agencies.
quan chính phủ. Note 6 to entry: This constitutes one of the
CHÚ THÍCH 6: Điều này tạo thành một trong common terms and core definitions of the high
những thuật ngữ chung và định nghĩa cốt lõi của level structure for ISO management system
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống standards. The original definition has been
quản lý ISO. Định nghĩa ban đầu đã được sửa đổi modified by adding Notes 4 and 5 to entry.
bằng cách thêm Ghi chú 4 và 5 vào mục nhập.
3.3
Kinh doanh liên tục business continuity
khả năng của một tổ chức (3.21) để tiếp tục capability of an organization (3.21) to continue
cung cấp các sản phẩm và dịch vụ (3.27) trong the delivery of products and
các khung thời gian có thể chấp nhận được với services (3.27) within acceptable time frames at
predefined capacity during a disruption (3.10)
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
khả năng được xác định trước trong thời gian [SOURCE: ISO 22300:2018, 3.24, modified —
gián đoạn (3.10) The definition has been replaced.]
[NGUỒN: ISO 22300: 2018, 3.24, được sửa đổi
- Định nghĩa đã được thay thế.]
3.4
Kế hoạch kinh doanh liên tục business continuity plan
thông tin được lập tài liệu (3.11) hướng dẫn tổ documented information (3.11) that guides
chức (3.21) ứng phó với sự gián đoạn (3.10) và an organization (3.21) to respond to
tiếp tục, phục hồi và khôi phục việc cung cấp sản a disruption (3.10) and resume, recover and
phẩm và dịch vụ (3.27) phù hợp với mục tiêu restore the delivery of products and
(3.20) services (3.27) consistent with its business
kinh doanh liên tục (3.3) continuity (3.3)objectives (3.20)
[NGUỒN: ISO 22300: 2018, 3.27, được sửa đổi [SOURCE: ISO 22300:2018, 3.27, modified —
- Định nghĩa đã được thay thế và Chú thích 1 The definition has been replaced and Note 1 to
của mục nhập đã bị xóa.] entry has been deleted.]
3.5
Phân tích tác động kinh doanh business impact analysis
quá trình (3.26) phân tích tác động (3.13) theo process (3.26) of analysing
thời gian gián đoạn (3.10) đối với tổ chức (3.21) the impact (3.13) over time of
CHÚ THÍCH 1: Kết quả là một tuyên bố và biện a disruption (3.10) on the organization (3.21)
minh cho các yêu cầu (3.28) về kinh doanh liên Note 1 to entry: The outcome is a statement and
tục (3.3). justification of business
[NGUỒN: ISO 22300: 2018, 3.29, được sửa đổi continuity (3.3)requirements (3.28).
- Định nghĩa đã được thay thế và Chú thích 1 [SOURCE: ISO 22300:2018, 3.29, modified —
cho mục nhập đã được bổ sung.] The definition has been replaced and Note 1 to
entry has been added.]
3.6
năng lực competence
khả năng áp dụng kiến thức và kỹ năng để đạt ability to apply knowledge and skills to achieve
được kết quả dự định intended results
CHÚ THÍCH 1: Điều này tạo thành một trong Note 1 to entry: This constitutes one of the
những thuật ngữ chung và định nghĩa cốt lõi của common terms and core definitions of the high
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống level structure for ISO management system
quản lý ISO. standards.
3.7
sự phù hợp conformity
Sự đáp ứng một yêu cầu (3,28) fulfilment of a requirement (3.28)
CHÚ THÍCH 1: Điều này tạo thành một trong Note 1 to entry: This constitutes one of the
những thuật ngữ chung và định nghĩa cốt lõi của common terms and core definitions of the high
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống level structure for ISO management system
quản lý ISO. standards.
3.8
cải tiến liên tục continual improvement
hoạt động (3.1) lặp lại để nâng cao kết quả recurring activity (3.1) to
thực hiện (3.23) enhance performance (3.23)
CHÚ THÍCH 1: Điều này tạo thành một trong Note 1 to entry: This constitutes one of the
những thuật ngữ chung và định nghĩa cốt lõi của common terms and core definitions of the high
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống level structure for ISO management system
quản lý ISO. standards.
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
3.9
hành động khắc phục corrective action
hành động để loại bỏ (các) nguyên nhân của sự action to eliminate the cause(s) of
không phù hợp (3.19) và ngăn ngừa tái diễn a nonconformity (3.19) and to prevent
CHÚ THÍCH 1: Điều này tạo thành một trong recurrence
những thuật ngữ chung và định nghĩa cốt lõi của Note 1 to entry: This constitutes one of the
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống common terms and core definitions of the high
quản lý ISO. level structure for ISO management system
standards.
3.10
gián đoạn disruption
sự cố (3.14), dù dự đoán hay không lường incident (3.14), whether anticipated or
trước, gây ra sự sai lệch tiêu cực ngoài kế unanticipated, that causes an unplanned, negative
hoạch so với việc cung cấp sản phẩm và dịch deviation from the expected delivery of products
vụ dự kiến (3.27) theo các mục tiêu (3.21) của and services (3.27) according to
tổ chức (3.20) an organization’s (3.21)objectives (3.20)
[NGUỒN: ISO 22300: 2018, 3.70, được sửa đổi [SOURCE: ISO 22300:2018, 3.70, modified —
- Định nghĩa đã được thay thế.] The definition has been replaced.]
3.11
thông tin được lập tài liệu documented information
thông tin cần thiết phải được kiểm soát và duy information required to be controlled and
trì bởi một tổ chức (3.21) và phương tiện chứa maintained by an organization (3.21) and the
thông tin đó medium on which it is contained
CHÚ THÍCH 1: Thông tin được lập tài liệu có thể Note 1 to entry: Documented information can be
ở bất kỳ định dạng và phương tiện nào, và từ in any format and media, and from any source.
bất kỳ nguồn nào. Note 2 to entry: Documented information can refer
CHÚ THÍCH 2: Thông tin tài liệu có thể tham to:
khảo: — the management system (3.16),
• - hệ thống quản lý (3.16), bao gồm các quá including related processes (3.26);
trình (3.26) liên quan; — information created in order for the
• - thông tin được tạo ra để tổ chức vận hành (tài organization to operate (documentation);
liệu);
— evidence of results achieved (records).
• - bằng chứng về kết quả đạt được (hồ sơ).
Note 3 to entry: This constitutes one of the
CHÚ THÍCH 3: Đây là một trong những thuật common terms and core definitions of the high
ngữ chung và định nghĩa cốt lõi của cấu trúc cấp level structure for ISO management system
cao đối với các tiêu chuẩn hệ thống quản lý ISO. standards.
3.12
hiệu lực effectiveness
mức độ thực hiện các hoạt động (3.1) theo extent to which planned activities (3.1) are
hoạch định và đạt được các kết quả theo hoạch realized and planned results achieved
định Note 1 to entry: This constitutes one of the
CHÚ THÍCH 1: Điều này tạo thành một trong common terms and core definitions of the high
những thuật ngữ chung và định nghĩa cốt lõi của level structure for ISO management system
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống standards.
quản lý ISO.
3.13
tác động impact
kết quả của sự gián đoạn (3.10) ảnh hưởng đến outcome of
các mục tiêu (3.20) a disruption (3.10) affecting objectives (3.20)
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
[NGUỒN: ISO 22300: 2018, 3.107, được sửa [SOURCE: ISO 22300:2018, 3.107, modified —
đổi - Định nghĩa đã được thay thế.] The definition has been replaced.]
3.14
Sự cố incident
sự kiện có thể xảy ra hoặc có thể dẫn đến sự event that can be, or could lead to,
gián đoạn (3.10), mất mát, khẩn cấp hoặc khủng a disruption (3.10), loss, emergency or crisis
hoảng [SOURCE: ISO 22300:2018, 3.111, modified —
[NGUỒN: ISO 22300: 2018, 3.111, được sửa đổi The definition has been replaced.]
- Định nghĩa đã được thay thế.]
3.15
bên quan tâm (thuật ngữ ưu tiên) interested party (preferred term)
bên liên quan (thuật ngữ được thừa nhận) stakeholder (admitted term)
cá nhân hoặc tổ chức (3.21) có thể ảnh hưởng, person or organization (3.21) that can affect, be
bị ảnh hưởng bởi hoặc nhận thức được bản thân affected by, or perceive itself to be affected by a
bị ảnh hưởng bởi một quyết định hoặc hoạt động decision or activity (3.1)
(3.1) EXAMPLE:
VÍ DỤ: Customers, owners, personnel, providers,
Khách hàng, chủ sở hữu, nhân sự, nhà cung bankers, regulators, unions, partners or society
cấp, chủ ngân hàng, cơ quan quản lý, công that can include competitors or opposing
đoàn, đối tác hoặc xã hội có thể bao gồm đối thủ pressure groups.
cạnh tranh hoặc nhóm áp lực chống đối. Note 1 to entry: A decision maker can be an
CHÚ THÍCH 1: Người ra quyết định có thể là một interested party.
bên quan tâm. Note 2 to entry: Impacted communities and local
CHÚ THÍCH 2: Các cộng đồng bị ảnh hưởng và populations are considered to be interested
người dân địa phương được coi là các bên quan parties.
tâm. Note 3 to entry: This constitutes one of the
CHÚ THÍCH 3: Đây là một trong những thuật common terms and core definitions of the high
ngữ chung và định nghĩa cốt lõi của cấu trúc cấp level structure for ISO management system
cao đối với các tiêu chuẩn hệ thống quản lý ISO. standards. The original definition has been
Định nghĩa ban đầu đã được sửa đổi bằng cách modified by adding an example and Notes 1
thêm một ví dụ và Ghi chú 1 và 2 vào mục nhập. and 2 to entry.
3.16
hệ thống quản lý management system
Tập hợp các yếu tố có liên quan hoặc tương tác set of interrelated or interacting elements of
với nhau của một tổ chức (3.21) để thiết lập các an organization (3.21) to
chính sách (3.24) và các mục tiêu (3.20) và các establish policies (3.24) and objectives (3.20)
quá trình (3.26) để đạt được các mục tiêu đó and processes (3.26) to achieve those
CHÚ THÍCH 1: Hệ thống quản lý có thể giải quyết objectives
một lĩnh vực duy nhất hoặc một số lĩnh vực. Note 1 to entry: A management system can
CHÚ THÍCH 2: Các yếu tố của hệ thống bao gồm address a single discipline or several disciplines.
cơ cấu, vai trò và trách nhiệm, hoạch định và vận Note 2 to entry: The system elements include the
hành của tổ chức. organization’s structure, roles and
CHÚ THÍCH 3: Phạm vi của hệ thống quản lý có responsibilities, planning and operation.
thể bao gồm toàn bộ tổ chức, các chức năng cụ Note 3 to entry: The scope of a management
thể và được xác định của tổ chức, các bộ phận system can include the whole of the organization,
cụ thể và được xác định của tổ chức, hoặc một specific and identified functions of the
hoặc nhiều chức năng trong một nhóm tổ chức. organization, specific and identified sections of
CHÚ THÍCH 4: Đây là một trong những thuật ngữ the organization, or one or more functions across
chung và định nghĩa cốt lõi của cấu trúc cấp cao a group of organizations.
đối với các tiêu chuẩn hệ thống quản lý ISO. Note 4 to entry: This constitutes one of the
common terms and core definitions of the high
level structure for ISO management system
standards.
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
3.17
đo lường measurement
quá trình (3.26) để xác định một giá trị process (3.26) to determine a value
CHÚ THÍCH 1: Điều này tạo thành một trong Note 1 to entry: This constitutes one of the
những thuật ngữ chung và định nghĩa cốt lõi của common terms and core definitions of the high
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống level structure for ISO management system
quản lý ISO. standards.
3.18
giám sát monitoring
xác định trạng thái của một hệ thống, một quá determining the status of a system,
trình (3.26) hoặc một hoạt động (3.1) a process (3.26) or an activity (3.1)
CHÚ THÍCH 1: Để xác định tình trạng, có thể cần Note 1 to entry: To determine the status, there
phải kiểm tra, giám sát hoặc quan sát nghiêm can be a need to check, supervise or critically
túc. observe.
CHÚ THÍCH 2: Đây là một trong những thuật Note 2 to entry: This constitutes one of the
ngữ chung và định nghĩa cốt lõi của cấu trúc cấp common terms and core definitions of the high
cao đối với các tiêu chuẩn hệ thống quản lý ISO. level structure for ISO management system
standards.
3.19
sự không phù hợp nonconformity
không đáp ứng yêu cầu (3.28) non-fulfilment of a requirement (3.28)
CHÚ THÍCH 1: Điều này tạo thành một trong Note 1 to entry: This constitutes one of the
những thuật ngữ chung và định nghĩa cốt lõi của common terms and core definitions of the high
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống level structure for ISO management system
quản lý ISO. standards.
3.20
mục tiêu objective
kết quả cần đạt được result to be achieved
CHÚ THÍCH 1: Mục tiêu có thể là chiến lược, Note 1 to entry: An objective can be strategic,
chiến thuật hoặc vận hành. tactical, or operational.
CHÚ THÍCH 2: Các mục tiêu có thể liên quan Note 2 to entry: Objectives can relate to different
đến các lĩnh vực khác nhau (chẳng hạn như các disciplines (such as financial, health and safety,
mục tiêu tài chính, sức khỏe và an toàn, và môi and environmental goals) and can apply at
trường) và có thể áp dụng ở các cấp độ khác different levels (such as strategic, organization-
nhau (chẳng hạn như chiến lược, toàn tổ chức, wide, project, product and process (3.26)).
dự án, sản phẩm và quá trình (3.26)). Note 3 to entry: An objective can be expressed in
CHÚ THÍCH 3: Mục tiêu có thể được thể hiện other ways, e.g. as an intended outcome, a
theo những cách khác, ví dụ: như một kết quả purpose, an operational criterion, as a business
dự định, một mục đích, một tiêu chí vận hành, continuity (3.3) objective, or by the use of other
như một mục tiêu kinh doanh liên tục (3.3), hoặc words with similar meaning (e.g. aim, goal, or
bằng cách sử dụng các từ khác có nghĩa tương target).
tự (ví dụ: mục tiêu, …). Note 4 to entry: In the context of business
CHÚ THÍCH 4: Trong bối cảnh của các hệ thống continuitymanagement systems (3.16),
quản lý kinh doanh liên tục (3.16), các mục tiêu business continuity objectives are set by
về tính kinh doanh liên tục do tổ chức (3.21) đặt the organization (3.21), consistent with the
ra, phù hợp với chính sách (3.24) kinh doanh liên business continuity policy (3.24), to achieve
tục, để đạt được các kết quả cụ thể. specific results.
CHÚ THÍCH 5: Đây là một trong những thuật Note 5 to entry: This constitutes one of the
ngữ chung và định nghĩa cốt lõi của cấu trúc cấp common terms and core definitions of the high
cao đối với các tiêu chuẩn hệ thống quản lý ISO. level structure for ISO management system
standards.
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
3.21
Tổ chức organization
cá nhân hoặc nhóm người có chức năng riêng person or group of people that has its own
với trách nhiệm, quyền hạn và các mối quan hệ functions with responsibilities, authorities and
để đạt được các mục tiêu (3.20) của mình relationships to achieve its objectives (3.20)
CHÚ THÍCH 1: Khái niệm tổ chức bao gồm, Note 1 to entry: The concept of organization
nhưng không giới hạn ở, thương nhân độc includes, but is not limited to, sole-trader,
quyền, công ty, tập đoàn, công ty, doanh nghiệp, company, corporation, firm, enterprise, authority,
cơ quan, đối tác, tổ chức từ thiện hoặc tổ chức, partnership, charity or institution, or part or
hoặc một phần hoặc sự kết hợp của chúng, cho combination thereof, whether incorporated or not,
dù được hợp nhất hay không, công khai hoặc public or private.
riêng tư. Note 2 to entry: For organizations with more than
CHÚ THÍCH 2: Đối với các tổ chức có nhiều đơn one operating unit, a single operating unit can be
vị vận hành, một đơn vị vận hành duy nhất có thể defined as an organization.
được xác định là một tổ chức. Note 3 to entry: This constitutes one of the
CHÚ THÍCH 3: Đây là một trong những thuật common terms and core definitions of the high
ngữ chung và định nghĩa cốt lõi của cấu trúc cấp level structure for ISO management system
cao đối với các tiêu chuẩn hệ thống quản lý ISO. standards. The original definition has been
Định nghĩa ban đầu đã được sửa đổi bằng cách modified by adding Note 2 to entry.
thêm Chú thích 2 vào mục nhập.
3.22
thuê ngoài outsource
thực hiện một thỏa thuận trong đó tổ chức (3.21) make an arrangement where an
bên ngoài thực hiện một phần chức năng hoặc external organization (3.21) performs part of an
quá trình (3.26) của tổ chức organization’s function or process (3.26)
CHÚ THÍCH 1: Tổ chức bên ngoài nằm ngoài Note 1 to entry: An external organization is outside
phạm vi của hệ thống quản lý (3.16), mặc dù the scope of the management system (3.16),
chức năng hoặc quá trình được thuê ngoài nằm although the outsourced function or process is
trong phạm vi đó. within the scope.
CHÚ THÍCH 2: Đây là một trong những thuật Note 2 to entry: This constitutes one of the
ngữ chung và định nghĩa cốt lõi của cấu trúc cấp common terms and core definitions of the high
cao đối với các tiêu chuẩn hệ thống quản lý ISO. level structure for ISO management system
standards.
3.23
Kết quả thực hiện performance
kết quả đo lường được measurable result
CHÚ THÍCH 1: Kết quả thực hiện có thể liên Note 1 to entry: Performance can relate either to
quan đến các phát hiện định lượng hoặc định quantitative or qualitative findings.
tính. Note 2 to entry: Performance can relate to
CHÚ THÍCH 2: Kết quả thực hiện có thể liên managing activities (3.1), processes (3.26),
quan đến việc quản lý các hoạt động (3.1), quá products (including services), systems
trình (3.26), sản phẩm (bao gồm cả dịch vụ), hệ or organizations (3.21).
thống hoặc tổ chức (3.21). Note 3 to entry: This constitutes one of the
CHÚ THÍCH 3: Đây là một trong những thuật common terms and core definitions of the high
ngữ chung và định nghĩa cốt lõi của cấu trúc level structure for ISO management system
cấp cao đối với các tiêu chuẩn hệ thống quản standards.
lý ISO.
3.24
chính sách policy
ý định và định hướng của một tổ chức (3.21), intentions and direction of
được chính thức thể hiện bởi lãnh đạo cao nhất an organization (3.21), as formally expressed by
(3.31) của tổ chức its top management (3.31)
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
CHÚ THÍCH 1: Điều này tạo thành một trong Note 1 to entry: This constitutes one of the
những thuật ngữ chung và định nghĩa cốt lõi của common terms and core definitions of the high
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống level structure for ISO management system
quản lý ISO. standards.
3.25
hoạt động ưu tiên prioritized activity
hoạt động (3.1) được đưa ra khẩn cấp để tránh activity (3.1) to which urgency is given in order to
các tác động (3.13) không thể chấp nhận được avoid unacceptable impacts (3.13) to the
đối với hoạt động kinh doanh trong thời gian gián business during a disruption (3.10)
đoạn (3.10) [SOURCE: ISO 22300:2018, 3.176, modified —
[NGUỒN: ISO 22300: 2018, 3.176, được sửa The definition has been replaced and Note 1 to
đổi - Định nghĩa đã được thay thế và Chú thích entry has been deleted.]
1 của mục nhập đã bị xóa.]
3.26
quá trình process
Tập hợp các hoạt động (3.1) có liên quan hoặc set of interrelated or
tương tác với nhau biến đầu vào thành đầu ra interacting activities (3.1) which transforms
CHÚ THÍCH 1: Điều này tạo thành một trong inputs into outputs
những thuật ngữ chung và định nghĩa cốt lõi của Note 1 to entry: This constitutes one of the
cấu trúc cấp cao đối với các tiêu chuẩn hệ thống common terms and core definitions of the high
quản lý ISO. level structure for ISO management system
standards.
3.27
sản phẩm và dịch vụ product and service
đầu ra hoặc kết quả do một tổ chức (3.21) cung output or outcome provided by
cấp cho các bên quan tâm (3.15) an organization (3.21) to interested
VÍ DỤ: parties (3.15)
Các mặt hàng đã sản xuất, bảo hiểm xe hơi, EXAMPLE:
điều dưỡng cộng đồng. Manufactured items, car insurance, community
[NGUỒN: ISO 22300: 2018, 3.181, được sửa nursing.
đổi - Thuật ngữ "sản phẩm và dịch vụ" đã thay [SOURCE: ISO 22300:2018, 3.181, modified —
thế "sản phẩm hoặc dịch vụ" và định nghĩa đã The term "product and service" has replaced
được thay thế.] "product or service" and the definition has been
replaced.]
3.28
yêu cầu requirement
nhu cầu hoặc kỳ vọng được nêu, thường ngụ ý need or expectation that is stated, generally
hoặc bắt buộc implied or obligatory
CHÚ THÍCH 1: “Ngụ ý chung” có nghĩa là thông Note 1 to entry: “Generally implied” means that it
lệ hoặc thông lệ đối với tổ chức (3.21) và các is custom or common practice for
bên quan tâm (3.15) đều ngụ ý nhu cầu hoặc kỳ the organization (3.21) and interested
vọng đang được xem xét. parties (3.15) that the need or expectation under
CHÚ THÍCH 2: Yêu cầu cụ thể là yêu cầu được consideration is implied.
nêu rõ, ví dụ: trong thông tin được lập tài liệu Note 2 to entry: A specified requirement is one that
(3.11). is stated, e.g. in documented information (3.11).
CHÚ THÍCH 3: Đây là một trong những thuật Note 3 to entry: This constitutes one of the
ngữ chung và định nghĩa cốt lõi của cấu trúc cấp common terms and core definitions of the high
cao đối với các tiêu chuẩn hệ thống quản lý ISO. level structure for ISO management system
standards.
3.29
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
3.30
rủi ro risk
tác động của sự không chắc chắn lên các mục effect of uncertainty on objectives (3.20)
tiêu (3.20) Note 1 to entry: An effect is a deviation from the
CHÚ THÍCH 1: tác động là độ lệch so với dự kiến expected — positive or negative.
- tích cực hoặc tiêu cực. Note 2 to entry: Uncertainty is the state, even
CHÚ THÍCH 2: Sự không chắc chắn là trạng thái, partial, of deficiency of information related to,
thậm chí một phần, thiếu hụt thông tin liên quan understanding or knowledge of, an event, its
đến, sự hiểu biết hoặc kiến thức về một sự kiện, consequence, or likelihood.
hệ quả của rủi ro hoặc khả năng xảy ra. Note 3 to entry: Risk is often characterized by
CHÚ THÍCH 3: Rủi ro thường được đặc trưng reference to potential “events” (as defined in
bởi sự tham chiếu đến các “sự kiện” tiềm ẩn ISO Guide 73) and “consequences” (as defined
(như được định nghĩa trong ISO Guide 73) và in ISO Guide 73), or a combination of these.
“hậu quả” (như được định nghĩa trong ISO Guide Note 4 to entry: Risk is often expressed in terms
73), hoặc sự kết hợp của những điều này. of a combination of the consequences of an event
CHÚ THÍCH 4: Rủi ro thường được thể hiện (including changes in circumstances) and the
dưới dạng sự kết hợp giữa hậu quả của một sự associated likelihood (as defined in ISO Guide
kiện (bao gồm cả những thay đổi trong hoàn 73) of occurrence.
cảnh) và khả năng xảy ra liên quan (như được Note 5 to entry: This constitutes one of the
định nghĩa trong ISO Guide 73). common terms and core definitions of the high
CHÚ THÍCH 5: Đây là một trong những thuật level structure for ISO management system
ngữ chung và định nghĩa cốt lõi của cấu trúc cấp standards. The definition has been modified to
cao đối với các tiêu chuẩn hệ thống quản lý ISO. add "on objectives" to be consistent with
Định nghĩa đã được sửa đổi để bổ sung "mục ISO 31000.
tiêu" để phù hợp với ISO 31000.
3.31
Lãnh đạo cao nhất top management
người hoặc nhóm người chỉ đạo và kiểm soát person or group of people who directs and
một tổ chức (3.21) ở cấp cao nhất controls an organization (3.21) at the highest
CHÚ THÍCH 1: Lãnh đạo cao nhất có quyền level
phân quyền và cung cấp các nguồn lực (3.29) Note 1 to entry: Top management has the power
trong tổ chức. to delegate authority and
CHÚ THÍCH 2: Nếu phạm vi của hệ thống quản provide resources (3.29) within the organization.
lý (3.16) chỉ bao gồm một phần của tổ chức, thì Note 2 to entry: If the scope of the management
lãnh đạo cao nhất đề cập đến những người chỉ system (3.16) covers only part of an
đạo và kiểm soát phần đó của tổ chức. organization, then top management refers to
CHÚ THÍCH 3: Đây là một trong những thuật those who direct and control that part of the
ngữ chung và định nghĩa cốt lõi của cấu trúc cấp organization.
cao đối với các tiêu chuẩn hệ thống quản lý ISO. Note 3 to entry: This constitutes one of the
common terms and core definitions of the high
level structure for ISO management system
standards.
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
Tổ chức cần xác định các vấn đề bên ngoài và bên trong
The organization shall determine external and internal
có liên quan đến mục đích của mình và điều đó ảnh
issues that are relevant to its purpose and that affect its
hưởng đến khả năng đạt được các kết quả dự định (đầu
ability to achieve the intended outcome(s) of its BCMS.
ra) của BCMS.
NOTE These issues will be influenced by the
CHÚ THÍCH: Những vấn đề này sẽ bị ảnh hưởng bởi các
organization’s overall objectives, its products and
mục tiêu tổng thể của tổ chức, các sản phẩm và dịch vụ
services and the amount and type of risk that it may or
của tổ chức cũng như số lượng và loại rủi ro mà tổ chức
may not take.
có thể chấp nhận hoặc không.
4.2 Hiểu nhu cầu và mong đợi của các bên quan 4.2 Understanding the needs and expectations of
tâm interested parties
4.2.1 General
4.2.1 Khái quát
When establishing its BCMS, the organization shall
Khi thiết lập BCMS, tổ chức phải xác định
determine:
a) các bên quan tâm có liên quan đến BCMS; • a) the interested parties that are relevant to the BCMS;
4.2.2 Các Yêu cầu quy định và pháp lý 4.2.2 Legal and regulatory requirements
Tổ chức phải: The organization shall:
• a) thực hiện và duy trì một quá trình để xác định, tiếp • a) implement and maintain a process to identify, have
cận và đánh giá các yêu cầu pháp lý và quy định hiện access to, and assess the applicable legal and regulatory
hành liên quan đến tính liên tục của các sản phẩm và requirements related to the continuity of its products and
dịch vụ, các hoạt động và nguồn lực của mình; services, activities and resources;
• b) đảm bảo rằng các yêu cầu pháp lý, quy định và các • b) ensure that these applicable legal, regulatory and
yêu cầu khác hiện hành này được tính đến khi thực hiện other requirements are taken into account in
và duy trì BCMS của mình; implementing and maintaining its BCMS;
• c) ghi lại thông tin này và cập nhật thông tin. • c) document this information and keep it up to date.
4.3 Xác định phạm vi của hệ thống quản lý kinh 4.3 Determining the scope of the business
doanh liên tục continuity management system
4.3.1 Khái quát 4.3.1 General
Tổ chức phải xác định ranh giới và khả năng áp dụng của The organization shall determine the boundaries and
BCMS để thiết lập phạm vi của tổ chức. applicability of the BCMS to establish its scope.
Khi xác định phạm vi này, tổ chức phải xem xét: When determining this scope, the organization shall
a) các vấn đề bên ngoài và bên trong được đề cập tại consider:
điều khoản 4.1; • a) the external and internal issues referred to in 4.1;
b) các yêu cầu được đề cập tại điều khoản 4.2; • b) the requirements referred to in 4.2;
c) sứ mệnh của tổ chức, các mục tiêu và các nghĩa vụ • c) its mission, goals, and internal and external
bên trong và bên ngoài. obligations.
Phạm vi phải sẵn có bằng thông tin được lập tài liệu. The scope shall be available as documented information.
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
b) xác định các sản phẩm và dịch vụ được đưa vào • b) identify products and services to be included in the
BCMS. BCMS.
Khi xác định phạm vi, tổ chức phải lập thành tài liệu và When defining the scope, the organization shall
giải thích các loại trừ. Chúng sẽ không ảnh hưởng đến document and explain exclusions. They shall not affect
khả năng và trách nhiệm của tổ chức trong việc cung cấp the organization’s ability and responsibility to provide
tính kinh doanh liên tục, như được xác định bởi phân tích business continuity, as determined by the business
tác động kinh doanh hoặc đánh giá rủi ro và các yêu cầu impact analysis or risk assessment and applicable legal or
pháp lý hoặc quy định hiện hành. regulatory requirements.
4.4 Hệ thống quản lý liên tục kinh doanh 4.4 Business continuity management system
Tổ chức phải thiết lập, thực hiện, duy trì và liên tục cải The organization shall establish, implement, maintain and
tiến BCMS, bao gồm các quá trình cần thiết và các tương continually improve a BCMS, including the processes
tác, phù hợp với các yêu cầu của Tiêu chuẩn Quốc tế needed and their interactions, in accordance with the
này. requirements of this document.
Lãnh đạo cao nhất phải thể hiện khả năng lãnh đạo và Top management shall demonstrate leadership and
cam kết đối với BCMS bằng cách: commitment with respect to the BCMS by:
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
5.3 Vai trò tổ chức, trách nhiệm và quyền hạn 5.3 Roles, responsibilities and authorities
Lãnh đạo cao nhất phải đảm bảo rằng trách nhiệm và
Top management shall ensure that the responsibilities
quyền hạn đối với các vai trò liên quan được phân công
and authorities for relevant roles are assigned and
và truyền đạt trong tổ chức.
communicated within the organization.
Top management shall assign the responsibility and
Lãnh đạo cao nhất phải giao trách nhiệm và quyền hạn
authority for:
để:
• a) ensuring that the BCMS conforms to the
a) đảm bảo rằng hệ thống quản lý phù hợp với các yêu
requirements of this document;
cầu của Tiêu chuẩn quốc tế này
• b) reporting on the performance of the BCMS to top
b) báo cáo về việc thực hiện của BCMS tới lãnh đạo cao
management.
nhất.
6.1 Hành động để giải quyết rủi ro và cơ hội 6.1 Actions to address risks and opportunities
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
6.2 Các mục tiêu và kế hoạch để đạt được kinh 6.2 Business continuity objectives and plans to
doanh liên tục achieve them
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
Khi tổ chức xác định nhu cầu thay đổi đối với BCMS, bao
When the organization determines the need for changes
gồm cả những thay đổi được xác định trong Điều khoản
to the BCMS, including those identified in Clause 10, the
10, các thay đổi phải được thực hiện một cách có hệ
changes shall be carried out in a planned manner.
thống và có kế hoạch.
The organization shall consider:
Tổ chức phải xem xét:
• a) the purpose of the changes and their potential
• a) mục đích của những thay đổi và hậu quả tiềm ẩn
consequences;
của chúng;
• b) the integrity of the BCMS;
• b) tính toàn vẹn của BCMS;
• c) the availability of resources;
• c) sự sẵn có của các nguồn lực;
• d) the allocation or reallocation of responsibilities and
• d) việc phân bổ hoặc tái phân bổ trách nhiệm và quyền
authorities.
hạn.
7 Hỗ trợ 7 Support
7.1 Các nguồn lực 7.1 Resources
Tổ chức phải xác định và cung cấp các nguồn lực cần The organization shall determine and provide the
thiết cho việc thiết lập, triển khai, duy trì và cải tiến liên resources needed for the establishment, implementation,
tục BCMS. maintenance and continual improvement of the BCMS.
Tổ chức phải:
The organization shall:
• a) xác định năng lực cần thiết của (những) người đang
• a) determine the necessary competence of person(s)
thực hiện công việc dưới sự kiểm soát của mình mà tác
doing work under its control that affects its business
động đến thực hiện kinh doanh liên tục của tổ chức;
continuity performance;
• b) đảm bảo rằng những người này có đủ năng lực trên
• b) ensure that these persons are competent on the
cơ sở được giáo dục, đào tạo hoặc kinh nghiệm thích
basis of appropriate education, training, or experience;
hợp;
• c) where applicable, take actions to acquire the
• c) Khi có thể cần thực hiện các hành động để đạt được
necessary competence, and evaluate the effectiveness of
năng lực cần thiết và đánh giá hiệu lực của các hành
the actions taken;
động đã thực hiện;
• d) retain appropriate documented information as
• d) lưu giữ thông tin được lập tài liệu thích hợp làm
evidence of competence.
bằng chứng về năng lực.
NOTE Applicable actions can include, for example, the
CHÚ THÍCH: Các hành động có thể áp dụng có thể bao
provision of training to, the mentoring of, or the re-
gồm, ví dụ, cung cấp đào tạo, cố vấn hoặc phân công lại
assignment of currently employed persons; or the hiring
những người hiện đang làm việc; hoặc việc thuê hoặc ký
or contracting of competent persons.
hợp đồng của những người có thẩm quyền.
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
BCMS của tổ chức phải bao gồm: The organization’s BCMS shall include:
• a) văn bản hóa các yêu cầu của tiêu chuẩn này; • a) documented information required by this document;
• b) thông tin được lập tài liệu được tổ chức xác định là • b) documented information determined by the
cần thiết cho hiệu lực của BCMS. organization as being necessary for the effectiveness of
CHÚ THÍCH: Mức độ thông tin được lập tài liệu cho một the BCMS.
BCMS có thể khác nhau giữa các tổ chức này do: NOTE The extent of documented information for a BCMS
• - quy mô của tổ chức và loại hình hoạt động, quá trình, can differ from one organization to another due to:
sản phẩm và dịch vụ và nguồn lực của tổ chức; • — the size of organization and its type of activities,
• - mức độ phức tạp của các quá trình và sự tương tác processes, products and services, and resources;
của chúng; • — the complexity of processes and their interactions;
• - năng lực của con người. • — the competence of persons.
7.5.2 Thiết lập tài liệu và cập nhật 7.5.2 Creating and updating
Khi lập và cập nhật lập tài liệu, tổ chức phải đảm bảo
When creating and updating documented information the
sự thích hợp :
organization shall ensure appropriate:
• a) nhận dạng và mô tả (ví dụ như tiêu đề, ngày tháng,
• a) identification and description (e.g. a title, date,
tác giả, hoặc số tham chiếu);
author, or reference number);
• b) định dạng (ví dụ: ngôn ngữ, phiên bản phần mềm,
• b) format (e.g. language, software version, graphics)
đồ họa) và phương tiện (ví dụ: giấy, điện tử);
and media (e.g. paper, electronic);
• c) xem xét và phê duyệt cho sự thích hợp và thỏa
• c) review and approval for suitability and adequacy.
đáng.
7.5.3 Kiểm soát thông tin được lập tài liệu 7.5.3 Control of documented information
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
Tổ chức phải hoạch định, thực hiện và kiểm soát các quá
The organization shall plan, implement and control the
trình cần thiết để đáp ứng các yêu cầu và để thực hiện
processes needed to meet requirements, and to
các hành động được xác định trong 6.1, bằng cách:
implement the actions determined in 6.1, by:
• a) thiết lập các tiêu chí cho các quá trình;
• a) establishing criteria for the processes;
• b) thực hiện kiểm soát các quá trình phù hợp với các
• b) implementing control of the processes in accordance
tiêu chí;
with the criteria;
• c) lưu giữ thông tin được lập tài liệu ở mức độ cần thiết
• c) keeping documented information to the extent
để tin tưởng rằng các quá trình đã được thực hiện như
necessary to have confidence that the processes have
hoạch định.
been carried out as planned.
Tổ chức phải kiểm soát những thay đổi theo kế hoạch và
The organization shall control planned changes and
xem xét hậu quả của những thay đổi ngoài ý muốn, thực
review the consequences of unintended changes, taking
hiện hành động để giảm thiểu mọi tác động bất lợi, nếu
action to mitigate any adverse effects, as necessary.
cần.
The organization shall ensure that outsourced processes
Tổ chức phải đảm bảo rằng các quá trình thuê ngoài và
and the supply chain are controlled.
chuỗi cung ứng được kiểm soát.
8.2 Phân tích tác động kinh doanh và đánh giá rủi
8.2 Business impact analysis and risk assessment
ro
8.2.1 Khái quát 8.2.1 General
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
8.2.2 Phân tích tác động kinh doanh 8.2.2 Business impact analysis
Tổ chức phải sử dụng quá trình phân tích các tác động
kinh doanh để xác định các ưu tiên kinh doanh liên tục
và các yêu cầu. Quá trình phải: The organization shall use the process for analysing
• a) xác định các loại tác động và tiêu chí liên quan đến business impacts to determine business continuity
bối cảnh của tổ chức; priorities and requirements. The process shall:
• b) nhận biết các hoạt động hỗ trợ việc cung cấp các • a) define the impact types and criteria relevant to the
sản phẩm và dịch vụ; organization’s context;
• c) sử dụng các loại tác động và tiêu chí để đánh giá các • b) identify the activities that support the provision of
tác động theo thời gian do sự gián đoạn của các hoạt products and services;
động này; • c) use the impact types and criteria for assessing the
• d) xác định khung thời gian mà trong đó các tác động impacts over time resulting from the disruption of these
của việc không tiếp tục các hoạt động sẽ trở nên không activities;
thể chấp nhận được đối với tổ chức; • d) identify the time frame within which the impacts of
CHÚ THÍCH 1: Khung thời gian này có thể được coi là not resuming activities would become unacceptable to
"khoảng thời gian gián đoạn tối đa có thể chấp nhận the organization;
được (MTPD)". NOTE 1 This time frame can be referred to as the
• e) thiết lập các khung thời gian ưu tiên trong khoảng "maximum tolerable period of disruption (MTPD)".
thời gian được xác định trong d) để tiếp tục các hoạt • e) set prioritized time frames within the time identified
động bị gián đoạn ở mức công suất tối thiểu có thể chấp in d) for resuming disrupted activities at a specified
nhận được; minimum acceptable capacity;
CHÚ THÍCH 2: Khung thời gian này có thể được gọi là NOTE 2 This time frame can be referred to as the
"mục tiêu thời gian phục hồi (RTO)". "recovery time objective (RTO)".
• f) sử dụng phân tích này để xác định các hoạt động ưu • f) use this analysis to identify prioritized activities;
tiên; • g) determine which resources are needed to support
• g) xác định nguồn lực nào cần thiết để hỗ trợ các hoạt prioritized activities;
động ưu tiên; • h) determine the dependencies, including partners and
• h) xác định sự phụ thuộc, bao gồm các đối tác và nhà suppliers, and interdependencies of prioritized activities.
cung cấp, và sự phụ thuộc lẫn nhau của các hoạt động
ưu tiên.
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
Tổ chức phải triển khai và duy trì quá trình đánh giá rủi
The organization shall implement and maintain a risk
ro.
assessment process.
CHÚ THÍCH: Quá trình đánh giá rủi ro được đề cập trong
NOTE The process for risk assessment is addressed in
ISO 31000.
ISO 31000.
Tổ chức phải:
The organization shall:
• a) xác định các rủi ro gây gián đoạn đối với các hoạt
• a) identify the risks of disruption to the organization’s
động ưu tiên của tổ chức và các nguồn lực cần thiết của
prioritized activities and to their required resources;
tổ chức;
• b) analyse and evaluate the identified risks;
• b) phân tích và đánh giá các rủi ro đã xác định;
• c) determine which risks require treatment.
• c) xác định những rủi ro nào cần được xử lý.
NOTE Risks in this subclause relate to the disruption of
CHÚ THÍCH Rủi ro trong điều khoản này liên quan đến
business activities. Risks and opportunities related to the
sự gián đoạn các hoạt động kinh doanh. Các rủi ro và cơ
effectiveness of the management system are addressed
hội liên quan đến hiệu quả của hệ thống quản lý được đề
in 6.1.
cập trong 6.1.
8.3 Chiến lược và giải pháp kinh doanh liên tục 8.3 Business continuity strategies and solutions
Dựa trên kết quả đầu ra từ phân tích tác động kinh Based on the outputs from the business impact analysis
doanh và đánh giá rủi ro, tổ chức phải xác định và lựa and risk assessment, the organization shall identify and
chọn các chiến lược kinh doanh liên tục có cân nhắc các select business continuity strategies that consider options
lựa chọn trước, trong và sau khi gián đoạn. Các chiến for before, during and after disruption. The business
lược kinh doanh liên tục phải bao gồm một hoặc nhiều continuity strategies shall be comprised of one or more
giải pháp. solutions.
8.3.2 Xác định các chiến lược và giải pháp 8.3.2 Identification of strategies and solutions
Việc xác định phải dựa trên mức độ mà các chiến lược và Identification shall be based on the extent to which
giải pháp: strategies and solutions:
• a) đáp ứng các yêu cầu để tiếp tục và phục hồi các • a) meet the requirements to continue and recover
hoạt động ưu tiên trong các khung thời gian đã xác định prioritized activities within the identified time frames and
và năng lực đã thỏa thuận; agreed capacity;
• b) bảo vệ các hoạt động ưu tiên của tổ chức; • b) protect the organization’s prioritized activities;
• c) giảm khả năng bị gián đoạn; • c) reduce the likelihood of disruption;
• d) rút ngắn thời gian gián đoạn; • d) shorten the period of disruption;
• e) hạn chế tác động của sự gián đoạn đối với các sản • e) limit the impact of disruption on the organization’s
phẩm và dịch vụ của tổ chức; products and services;
• f) cung cấp sự sẵn có của các nguồn lực thích hợp. • f) provide for the availability of adequate resources.
8.3.3 Lựa chọn các chiến lược và giải pháp 8.3.3 Selection of strategies and solutions
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
Việc lựa chọn phải dựa trên mức độ mà các chiến lược và Selection shall be based on the extent to which strategies
giải pháp: and solutions:
• a) đáp ứng các yêu cầu để tiếp tục và phục hồi các • a) meet the requirements to continue and recover
hoạt động ưu tiên trong các khung thời gian đã xác định prioritized activities within the identified time frames and
và năng lực đã thỏa thuận; agreed capacity;
• b) xem xét số lượng và loại rủi ro mà tổ chức có thể • b) consider the amount and type of risk the
chấp nhận hoặc không; organization may or may not take;
• c) xem xét chi phí và lợi ích liên quan. • c) consider associated costs and benefits.
8.4 Các kế hoạch và quy trình kinh doanh liên tục 8.4 Business continuity plans and procedures
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
8.4.2.1 Tổ chức phải thực hiện và duy trì một cấu trúc,
xác định một hoặc nhiều nhóm chịu trách nhiệm ứng phó 8.4.2.1 The organization shall implement and maintain
với sự gián đoạn. a structure, identifying one or more teams responsible
8.4.2.2 Phải nêu rõ vai trò và trách nhiệm của mỗi nhóm for responding to disruptions.
và mối quan hệ giữa các nhóm. 8.4.2.2 The roles and responsibilities of each team and
8.4.2.3 Nói chung, các nhóm phải có đủ năng lực để: the relationships between the teams shall be clearly
• a) đánh giá bản chất và mức độ của sự gián đoạn và stated.
tác động tiềm tàng của nó; 8.4.2.3 Collectively, the teams shall be competent to:
• b) đánh giá tác động đối với các ngưỡng được xác định • a) assess the nature and extent of a disruption and its
trước để biện minh cho việc bắt đầu phản ứng chính potential impact;
thức; • b) assess the impact against pre-defined thresholds
• c) kích hoạt một ứng phó kinh doanh liên tục thích that justify initiation of a formal response;
hợp; • c) activate an appropriate business continuity response;
• d) lập kế hoạch các hành động cần được thực hiện; • d) plan actions that need to be undertaken;
• e) thiết lập các ưu tiên (sử dụng an toàn tính mạng là • e) establish priorities (using life safety as the first
ưu tiên hàng đầu); priority);
• f) giám sát các tác động của sự gián đoạn và ứng phó • f) monitor the effects of the disruption and the
của tổ chức; organization’s response;
• g) kích hoạt các giải pháp kinh doanh liên tục; • g) activate the business continuity solutions;
• h) trao đổi với các bên quan tâm có liên quan, các cơ • h) communicate with relevant interested parties,
quan chức năng và giới truyền thông. authorities and the media.
8.4.2.4 Đối với mỗi đội phải có: 8.4.2.4 For each team there shall be:
• a) nhân sự đã được xác định và những người thay thế • a) identified personnel and their alternates with the
họ có trách nhiệm, quyền hạn và năng lực cần thiết để necessary responsibility, authority and competence to
thực hiện vai trò được chỉ định của họ; perform their designated role;
• b) các quy trình được lập thành văn bản để hướng dẫn • b) documented procedures to guide their actions (see
các hành động của họ (xem 8.4.4), bao gồm các quy 8.4.4), including those for the activation, operation,
trình để kích hoạt, vận hành, điều phối và truyền đạt coordination and communication of the response.
hành động ứng phó.
8.4.3 Cảnh báo và trao đổi thông tin 8.4.3 Warning and communication
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
8.4.4 Kế hoạch liên tục kinh doanh 8.4.4 Business continuity plans
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
8.4.4.1 Tổ chức phải lập tài liệu và duy trì các kế hoạch 8.4.4.1 The organization shall document and maintain
và quy trình kinh doanh liên tục. Các kế hoạch kinh business continuity plans and procedures. The business
doanh liên tục phải cung cấp hướng dẫn và thông tin để continuity plans shall provide guidance and information
hỗ trợ các nhóm ứng phó với sự gián đoạn và hỗ trợ tổ to assist teams to respond to a disruption and to assist
chức đối phó và phục hồi. the organization with response and recovery.
8.4.4.2 Nói chung, kế hoạch kinh doanh liên tục phải bao 8.4.4.2 Collectively, the business continuity plans shall
gồm: contain:
• a) chi tiết về các hành động mà các nhóm sẽ thực hiện • a) details of the actions that the teams will take in
để: order to:
o 1) tiếp tục hoặc phục hồi các hoạt động được ưu tiên o 1) continue or recover prioritized activities within
trong các khung thời gian định trước; predetermined time frames;
o 2) giám sát tác động của sự gián đoạn và ứng phó của o 2) monitor the impact of the disruption and the
tổ chức đối với các tác động; organization’s response to it;
• b) tham chiếu đến (các) ngưỡng được xác định trước • b) reference to the pre-defined threshold(s) and
và quá trình để kích hoạt phục hồi; process for activating the response;
• c) các quy trình để cho phép cung cấp các sản phẩm và • c) procedures to enable the delivery of products and
dịch vụ với năng lực đã thỏa thuận; services at agreed capacity;
• d) thông tin chi tiết để quản lý các hậu quả tức thời • d) details to manage the immediate consequences of a
của sự gián đoạn có quan tâm đến: disruption giving due regard to:
o 1) phúc lợi của các cá nhân; o 1) the welfare of individuals;
o 2) việc ngăn ngừa mất mát thêm hoặc không có sẵn o 2) the prevention of further loss or unavailability of
các hoạt động ưu tiên; prioritized activities;
o 3) tác động đến môi trường. o 3) the impact on the environment.
Tổ chức phải có các quá trình được lập tài liệu để khôi The organization shall have documented processes to
phục và trở lại các hoạt động kinh doanh từ các biện pháp restore and return business activities from the temporary
tạm thời được áp dụng trong và sau khi bị gián đoạn. measures adopted during and after a disruption.
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
Tổ chức phải thực hiện và duy trì một chương trình luyện The organization shall implement and maintain a
tập và thử nghiệm để xác nhận theo thời gian tính hiệu programme of exercising and testing to validate over
lực của các chiến lược và giải pháp kinh doanh liên tục của time the effectiveness of its business continuity strategies
mình. and solutions.
Tổ chức phải tiến hành các luyện tập và thử nghiệm nhằm: The organization shall conduct exercises and tests that:
• a) nhất quán với các mục tiêu liên tục kinh doanh; • a) are consistent with its business continuity objectives;
• b) dựa trên các kịch bản thích hợp được lập kết hoạch • b) are based on appropriate scenarios that are well
với các mục tiêu và hướng được xác định rõ ràng; planned with clearly defined aims and objectives;
• c) phát triển tinh thần đồng đội, năng lực, sự tự tin và • c) develop teamwork, competence, confidence and
tri thức cho những người có vai trò thực hiện liên quan knowledge for those who have roles to perform in
đến sự gián đoạn; relation to disruptions;
• d) được thực hiện đồng thời theo thời gian, xác nhận giá • d) taken together over time, validate its business
trị sử dụng của các chiến lược và giải pháp kinh doanh liên continuity strategies and solutions;
tục của mình; • e) produce formalized post-exercise reports that
• e) tạo ra các báo cáo chính thức sau luyện tập bao gồm contain outcomes, recommendations and actions to
các kết quả, khuyến nghị và hành động để thực hiện các implement improvements;
cải tiến; • f) are reviewed within the context of promoting
• f) được xem xét trong bối cảnh thúc đẩy cải tiến liên tục; continual improvement;
• g) được thực hiện định kỳ theo khoảng thời gian đã • g) are performed at planned intervals and when there
hoạch định và khi có những thay đổi đáng kể trong tổ chức are significant changes within the organization or the
hoặc bối cảnh mà tổ chức vận hành. context in which it operates.
Tổ chức phải hành động dựa trên kết quả luyện tập và thử The organization shall act on the results of its exercising
nghiệm của mình để thực hiện các thay đổi và cải tiến. and testing to implement changes and improvements.
8.6 Đánh giá các tài liệu và khả năng kinh doanh 8.6 Evaluation of business continuity
liên tục documentation and capabilities
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
10.1 Sự không phù hợp và hành động khắc phục 10.1 Nonconformity and corrective action
10.1.1 Tổ chức phải xác định các cơ hội cải tiến và thực 10.1.1 The organization shall determine opportunities
hiện các hành động cần thiết để đạt được các kết quả dự for improvement and implement necessary actions to
kiến của BCMS của mình. achieve the intended outcomes of its BCMS.
10.1.2 Khi xảy ra sự không phù hợp, tổ chức phải: 10.1.2 When a nonconformity occurs, the organization
• a) hành động với sự không phù hợp, và nếu có: shall:
o 1) thực hiện hành động để kiểm soát và sửa chữa sự • a) react to the nonconformity, and, as applicable:
không phù hợp; o 1) take action to control and correct it;
o 2) giải quyết hậu quả; o 2) deal with the consequences;
• b) đánh giá nhu cầu hành động để loại bỏ (các) • b) evaluate the need for action to eliminate the
nguyên nhân của sự không phù hợp, để sự không phù cause(s) of the nonconformity, in order that it does not
hợp không tái diễn hoặc xảy ra ở nơi khác, bằng cách: recur or occur elsewhere, by:
o 1) xem xét sự không phù hợp; o 1) reviewing the nonconformity;
o 2) xác định nguyên nhân của sự không phù hợp; o 2) determining the causes of the nonconformity;
o 3) xác định xem sự không phù hợp tương tự có tồn tại o 3) determining if similar nonconformities exist, or can
hoặc có thể có khả năng xảy ra hay không; potentially occur;
• c) thực hiện bất kỳ hành động nào cần thiết; • c) implement any action needed;
• d) xem xét tính hiệu lực của bất kỳ hành động khắc • d) review the effectiveness of any corrective action
phục nào được thực hiện; taken;
• e) thực hiện các thay đổi đối với BCMS, nếu cần. • e) make changes to the BCMS, if necessary.
Các hành động khắc phục phải phù hợp với các tác động Corrective actions shall be appropriate to the effects of
của sự không phù hợp gặp phải. the nonconformities encountered.
10.1.3 Tổ chức phải lưu giữ thông tin được lập tài liệu 10.1.3 The organization shall retain documented
làm bằng chứng về: information as evidence of:
• a) bản chất của sự không phù hợp và bất kỳ hành động • a) the nature of the nonconformities and any
tiếp theo nào được thực hiện; subsequent actions taken;
• b) kết quả của mọi hành động khắc phục. • b) the results of any corrective action.
Tổ chức phải liên tục cải tiến tính phù hợp, đầy đủ và The organization shall continually improve the suitability,
hiệu quả của BCMS, dựa trên các biện pháp định tính và adequacy and effectiveness of the BCMS, based on
định lượng. qualitative and quantitative measures.
Tổ chức phải xem xét các kết quả phân tích và đánh giá, The organization shall consider the results of analysis
và các kết quả từ việc xem xét của lãnh đạo, để xác định and evaluation, and the outputs from management
xem liệu có nhu cầu hoặc cơ hội, liên quan đến doanh review, to determine if there are needs or opportunities,
nghiệp hoặc BCMS, sẽ được giải quyết như một phần của relating to the business, or to the BCMS, that shall be
cải tiến liên tục. addressed as part of continual improvement.
CHÚ THÍCH: Tổ chức có thể sử dụng các quá trình của NOTE The organization can use the processes of the
BCMS, chẳng hạn như lãnh đạo, hoạch định và đánh giá BCMS, such as leadership, planning and performance
kết quả thực hiện, để đạt được sự cải tiến. evaluation, to achieve improvement.
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1
https://nqa.com.vn
Translate by : Mr. Nguyen Dang Quang (Lead auditor ISO 9001 – 14001 – 27001 – 45001 qualified) Ver2.1