ISO22301新版標準翻譯（中英對照）一、引言（Introduction）ISO22301:2019《安全與韌性業務連續性管理系統要求》（ISO22301:2019SecurityandresilienceBusinesscontinuitymanagementsystemsRequirements）旨在幫助組織建立和維護一個有效的業務連續性管理系統（BCMS），以保護其業務免受潛在的威脅和中斷。二、范圍（Scope）本標準規定了業務連續性管理系統的要求，以減少業務中斷的風險，并確保在發生中斷時組織的恢復能力。它適用于任何規模和類型的組織，并可用于內部和外部（包括認證）的目的。三、規范性引用文件（Normativereferences）ISO31000:2018風險管理指導原則（RiskmanagementGuidelines）ISO/IEC27001:2013信息技術安全技術信息安全管理系統要求（InformationtechnologySecuritytechniquesInformationsecuritymanagementsystemsRequirements）四、術語和定義（Termsanddefinitions）3.1業務連續性（Businesscontinuity）在計劃的運作中斷情況下，組織保持和/或迅速恢復其關鍵功能的能力。3.2業務連續性管理系統（BCMS）（Businesscontinuitymanagementsystem）整體框架，包括組織結構、政策、計劃、過程、資源、職責、活動和其它要素，旨在建立、實施、運行、監控、審查、維護和持續改進業務連續性管理。五、業務連續性管理系統的要求（Requirementsforabusinesscontinuitymanagementsystem）4.1了解組織及其環境（Understandingtheorganizationanditscontext）組織應確定與其目標和業務連續性管理系統相關的內部和外部問題。4.2了解相關方的需求（Understandingtheneedsandexpectationsofinterestedparties）組織應確定并理解與業務連續性管理系統相關的相關方。4.3確定業務連續性管理系統的范圍（Determiningthescopeofthebusinesscontinuitymanagementsystem）組織應確定業務連續性管理系統的范圍，包括內外部界限和適用性。ISO22301新版標準翻譯（中英對照）對業務連續性管理的重要性進行溝通；確保業務連續性管理系統的融入組織的業務流程；提供必要的資源；建立和維護一個有利于業務連續性管理系統實現的目標和價值觀的文化；支持其他管理人員在其職責范圍內展示領導作用。5.2政策（Policy）組織應制定和溝通一項業務連續性管理政策，該政策：符合組織的目標和業務連續性要求；包括對持續改進業務連續性管理系統的承諾；包括對符合適用要求的承諾。七、規劃（Planning）6.1風險評估和應對（Riskassessmentandtreatment）組織應：確定和評估可能影響組織業務連續性的威脅和機會；評估業務連續性中斷的潛在影響；確定和選擇應對風險的措施。6.2業務連續性策略（Businesscontinuitystrategies）組織應制定和保持業務連續性策略，以：預防或減少業務連續性中斷的潛在影響；確保在規定的時間內恢復關鍵功能。6.3業務連續性計劃（Businesscontinuityplans）組織應制定和保持業務連續性計劃，以支持業務連續性策略的實施，并包括：關鍵功能的識別和優先級排序；業務連續性操作的程序和職責；恢復時間和點目標（RecoveryTimeObjectives,RTOs）和恢復點目標（RecoveryPointObjectives,RPOs）。八、支持（Support）7.1資源（Resources）組織應確定并提供實現業務連續性管理系統有效運行所需的人力、基礎設施、技術和財務資源。7.2能力（Competence）組織應確保其人員具備必要的意識和能力，以有效執行其與業務連續性管理系統相關的職責。7.3意識（Awareness）組織應確保在其控制下工作的人員意識到：業務連續性的重要性；與他們工作相關的業務連續性管理系統的要求；不符合業務連續性管理系統的后果。九、運行（Operation）8.1運行策劃和控制（Operationplanningandcontrol）組織應策劃、控制和保持所需的業務連續性管理過程，包括：業務連續性管理的啟動和實施；文檔化業務連續性計劃；定期測試和演練業務連續性計劃。十、績效評價（Performanceevaluation）9.1監視、測量、分析和評價（Monitoring,measurement,analysisandevaluation）組織應建立過程，以監視、測量、分析和評價業務連續性管理系統的：績效；效率；適用性。ISO22301新版標準翻譯（中英對照）十一、改進（Improvement）10.1總則（General）組織應持續改進業務連續性管理系統的適宜性、充分性和有效性。10.2不合格和糾正措施（Nonconformityandcorrectiveaction）當監測、測量、分析和評價過程發現不符合業務連續性管理系統要求時，組織應：采取適當的糾正措施；記錄所采取的措施和結果；審查糾正措施的有效性。10.3持續改進（Continualimprovement）分析數據、信息和績效評價結果；確定改進的機會；實施改進措施；評價改進的結果。十二、記錄控制（Documentedinformation）11.1總則（General）組織應控制業務連續性管理系統的文檔化信息，以確保其可用性和適宜性。11.2創建和更新（Creationandupdating）文檔化信息應在適當的時間點創建和更新，以反映業務連續性管理系統的實際情況。11.3控制和保留（Controlandretention）組織應確保文檔化信息在其需要的期限內得到控制和保留，以便于追溯和證據提供。十三、附錄（Appendices）