ISO 22301：2019 營運持續管理系統新版規範介紹與執行步驟(一)

全球化不僅創造了龐大的利益，同時也帶來了巨大的風險

隨著網際網路的快速發展與便捷的交通旅運，促使全球化在近幾十年裡迅速爆發到一個前所未有的高度。便捷的旅行、國際互聯網、冷戰結束、貿易協議和迅速發展的新興經濟，種種因素加起來創造了一個全球化體系，使得我們對世界另一邊的依賴，比起以往任何時候都更大得多，正因為如此，新冠肺炎（COVID-19）的肆虐才會如此立竿見影地影響了經濟。

牛津大學的全球化與發展科學教授伊恩·戈爾丁（Ian Goldin）說：「風險變成了可以潰爛的東西，這是全球化的要害部位。」這個新的全球經濟體系不僅創造了龐大的利益，但是同時也帶來巨大的風險。倫敦商學院的經濟學教授里查德·波特斯教授（Prof Richard Portes）則認為，改變是必須的，因為各企業和人們現在都意識到，他們過去冒著怎樣的風險。

因此，公共和私營部門的組織必須知道如何為意外和破壞性事件做好準備並作出反應，為此，國際標準組織（ISO）早在 2006 年緊急召集各國專家，匯集了來自世界各地的良好實踐，逐漸完善成為 ISO 22301：2012《營運持續管理系統》，期許它能幫助組織作好準備，並更有信心地應對任何類型的破壞。

營運持續管理系統（BCMS）標準的制定背景

對於災害的應變與防護，國際上早有相關的計劃或標準，例如：美國國家防火協會於 1995 年公佈了「災害事故/緊急應變管理與營運持續計劃」，作為發生災害時的緊急應變程序；加拿大也有「營運持續計劃指導」，確保企業的營運能在災害之後持續運作；新加坡在 2005 年發佈了 SS 507「業務持續性與災害復原」標準，更同時包含了 IT 災難復原和 BCM 兩項重要領域。

英國標準協會 BSI 於 2003 年制訂「PAS56 營運持續管理指導綱要」，作為企業在面臨營運中斷時，如何去維持關鍵企業營運的參考，之後 2006 年及 2007 年則分別出版企業營運持續管理守則（BS 25999-1）及企業營運持續管理（BS 25999-2）等兩項企業防災指導，該內容主要在取代營運持續管理指導綱要（PAS56），而後 ISO 根據英國標準 BS 25999 Part – 2 編制成 ISO 22301《安全性和恢復力–營運連續性管理系統–要求》，於 2012 年發佈，是世界上第一個用於實施和維護有效營運連續性計劃、系統及流程的國際標準，現在已對其進行了修訂，以納入最新的思想與最佳實踐。

ISO 22301 目的與適用範圍

ISO 22301 由 ISO / TC 223（社會安全技術組）開發，其目的是保護社會免遭受有意及無意的人類行為、自然災害及技術故障所引起的事件、緊急情況以及災害，並有所回應。它的全災害觀點涵蓋了破壞性事件發生之前、之中與之後的各個階段的適應性、主動性及反應性策略。並提供了一個計劃、建立、實施、操作、監控、審查、維護和持續改進營運連續性管理系統（BCMS）的框架，當發生破壞性事件時，期待它能幫助組織做好防禦、準備、回應及恢復。

ISO 22301 適用於任何組織，無論其類型、規模、複雜程度、地理位置、組織文化或其提供的產品與服務。它也與認證和監管機構有關，因為它使他們能夠評估組織滿足其法律或監管要求的能力。

ISO 22301 的內容架構與其他 ISO 管理系統標準一樣採用高階架構（相同的核心文件、術語和定義），例如：ISO 9001（品質管理）和 ISO 14001（環境管理），因此，它可輕易整合到組織的現有管理流程中。