1. 營運案例：思考為什麼要實施營運持續管理系統? 您的組織可以從中獲得什麼好處? 思考營運持續管理系統將如何支持組織的戰略目標、創造競爭優勢、保護與增強其聲譽和信譽、增強組織的彈性、提高對營運的信心、減少法律和財務風險、減少直接和間接的破壞成本、保護生命、財產及環境，考慮利害關係者的期望以促進包容性，有效地展示主動控制風險，解決操作漏洞。因為需要投入資金與人力資源，所以管理階層的實質參與是關鍵的要素。

2. 識別內部和外部環境：在採取任何具體步驟之前，了解利害關係者是誰? 他們對營運持續計劃的要求是什麼? 並考慮內部環境和外部環境，包括法律、法規及合約之要求。

3. BCMS 範圍：範圍的界定必須仔細進行，須考量： a) 使命、目標以及內部和外部的義務； b) 考量組織的位置、規模、性質及複雜性，確定組織哪些部分要納入 BCMS ； c) 辨識要納入 BCMS 的產品和服務及其相關流程、活動和資源；D) 考慮利害相關者的需求。

4. 營運持續政策和目標：最高管理者需要定義一些營運持續的主要責任和規則，這就是營運持續政策的用途，但是最高管理者還需要藉由設定可量測的目標來準確定義營運持續的期望。這並不容易，但是如果您想要衡量營運持續是否已實現其目的，則肯定是必要的。

5. 角色、責任及權限：建立組織結構，包括權利、責任和權限，並定義緊急應變、危機管理以及營運持續的角色。

6. 風險與機會：考量內部和外部環境（步驟 2）以及利害關係者的要求，以決定管理系統的風險和機遇。內部風險可能與缺乏預算或沒有能力的人員有關（如果是正面的因素，則可能是機會），而外部風險可能與缺少替代供應商有關。此處暫不考慮破壞性事件相關的風險，步驟 12 才予以考慮。

7. 變更BCMS： 無論何時計劃對BCMS進行變更，都必須依律定之相關變更流程執行。考量變更的目的及其潛在後果，變更對 BCMS 完整性的影響、資源的可用性以及職責和權限的配置或重新配置。

8. 訓練與認知：光是計劃是不夠的，應提供訓練課程給在營運持續計劃中發揮作用的人員，您不僅需要向您的員工（以及在您的計劃中起作用的第三方）解釋如何執行計劃中的某些步驟，也要一開始就說明它為什麼重要，以確保所有員工都能達成共識。

9. 與利害關係者的溝通：營運持續在很大程度上取決於監管機構、主管機關、所有者、員工的家庭、媒體等，因此，您在制定政策和設定目標時（包括事件發生之前），須儘早通知利害關係者。內外部溝通計劃都必須包括溝通內容、溝通時間、溝通方式及溝通對象。

10. 文件化資訊：無論營運持續或資訊安全的管理系統，都具有一套共同的程序。這些程序不是硬性的規定，而是取決於組織的成熟度。但是，所有文件化資訊都必須受到管控，並指定可以分發給誰? 誰可獲取? 誰可檢索及用於誰? 此外，必須考慮文件的儲存和保存，包括保持可讀性；管控變更（例如版本管控）以及保留和處理文件化資訊。

11. 營運衝擊分析：您需要建立用於量測破壞性事件衝擊的準則，包括財務、運作、聲譽等方面，並確定如何量測衝擊程度。針對支持您的產品與服務的每項活動，決定a）您需要恢復的速度（破產或必須關閉業務之前），以及 b）成功恢復所需要的條件。因此，營運衝擊分析的目的是在於定義恢復時間目標（RTO）和所需的資源，並決定優先活動的依存關係和相互依存關係。

12. 風險評估：您是否願意為在上一步驟所確定之優先活動中的破壞性事件做好準備？也許甚至預防發生？首先，您需要找出可能發生的事件，進行分析和評估。

13. 營運持續策略和解決方案：給予輸入[各種需求、恢復時間目標、資源（來自營運衝擊分析）及風險評估]，您需要弄清楚如何處理它們，考慮用於回應、重新開始和恢復營運的策略和解決方案相關的成本，且必須考慮這些策略所需的資源。

14. 營運持續計畫：實際上，營運持續計劃有幾種類型，至少有事件反應計畫（它們定義了對事件的初始反應）、警告和溝通計畫、營運持續計畫（以可接受的預先定義級別重新開始與恢復營運）以及恢復計畫（用於完全恢復）。前述所有計畫都需要根據策略，否則它們將缺乏實現此類計畫所需的資源（資訊、技術、人員等）。

15. 練習與測試：不管有多需要，光是訓練仍是不夠，如果您只試著模擬計畫以發現它 們在幾近真實情況下的表現，您將永遠不會知道它們的不足之處，因此，進行定期 的練習和測試至關重要，並且這種測試不應僅局限於 IT 部門，必須包括所有人，包 括高層管理人員、外包合作夥伴和供應商。而且必須記錄成果、建議和實施改進的 措施於正式練習後的報告中。

16. 事後評估和關鍵績效指標：無論您多麼努力，都將永遠無法阻止事件的發生，但您 可以做的就是從此類事件中學到很多東西，例如人們的反應、他們的準備程度、計 劃中需要改善的項目等，最重要的是，您是否達成了您預期的恢復時間目標？基本 觀念是：除非您知道是否自己已實現自己想要的目標，否則做這些事沒有任何意 義。在營運持續的情況下，目標是在前述的第 3 個步驟中設定的，要確定您是否實 現了這些目標，則必須通過某種指標來呈現。

17. 內部稽核：人不可能對自己的工作有 100％的客觀性。因此，應該由其他人檢查您 的工作並提出改進建議， 這就是內部稽核所做的事。儘管通常被認為是經常性開 銷，但是內部稽核實際上在面對現實時非常有用。

18. 管理審查：一旦完成上述所有步驟，高階管理者就需要對它們進行評估並做出一些 關鍵的決定，例如更新目標、提供資金、進行更大的改善等。畢竟，公司能倖免於 更大的災難是他們最重要的責任。

19. 獨立審查：如果您要由第三方進行認證初評，則與其他任何管理系統認證一樣，初 評也分為兩個階段，第一階段是文件審核，第二階段則是實施有效性稽核。

20. 更新背景、政策、目標：這一步驟不是停止營運持續管理，而是您需要在 BCMS 面 臨變更議題的動態環境中，持續維護與改進系統，且政策應與目標一起進行審查。

21. 改善：我們都在不斷改進自己的工作，但是 ISO 22301 希望我們有系統地進行改 進，它迫使組織找出問題發生的原因，並確保不再發生該問題。或者，正如標準所 說“確保不符合事項不會再發生”，需要有系統地、以透明的方式進行。