一、ISO 22301:2019 5.2 标准原文
条款要求:最高管理者应建立业务连续性方针,该方针应与组织宗旨相适应,为目标提供框架,包含满足适用要求和持续改进 BCMS 的承诺,并在组织内得到沟通、理解和适当获得。
二、标准条款解读说明
2.1 方针核心构成表
| 构成项 | 要回答的问题 | 典型体现 |
|---|---|---|
| 战略适配 | 方针为何与组织目标相关 | 支撑关键业务、服务承诺和组织韧性 |
| 原则承诺 | 组织承诺用什么原则管理连续性 | 符合法规、保护关键活动、持续改进 |
| 目标框架 | 后续连续性目标如何从方针展开 | 恢复目标、演练、资源和改进方向 |
| 沟通可达 | 谁需要理解和获取该方针 | 员工、管理层、关键相关方 |
2.2 核心理解
方针条款看似抽象,但它实际上决定了组织如何定义自身的连续性管理立场。业务连续性方针不是单纯表示“我们重视连续性”,而是要回答组织准备用什么原则和方向去保护关键业务、满足相关要求、持续提升恢复能力。
如果方针只是照抄模板,例如“保障业务连续、满足法规要求、持续改进体系”,虽然形式上看似完整,但很难形成治理价值。真正有效的方针应当反映组织所处行业、关键业务特征和连续性风险重点。例如金融机构会强调关键客户服务不中断和监管要求,制造企业会强调产线和供应链恢复,数字平台会强调关键交易与数据服务持续能力。
5.2 条款之所以要求方针为目标提供框架,是因为组织后续的恢复目标、演练安排、资源投入和改进优先级都应能从方针找到来源。若方针与后续目标毫无关系,它就很难指导组织行为,也无法在审核中体现管理体系的一致性。
方针还承担沟通功能。管理层通过方针向组织传递一个明确信号:哪些连续性能力必须建立,哪些要求不能被忽略,哪些原则在中断压力下仍然要被坚持。换句话说,方针不是装订在手册里的第一页,而是高层向全组织公开表达连续性治理底线的文件。
三、实施要点
3.1 让方针与组织现实相匹配
- 结合关键业务、监管环境、客户承诺和主要中断风险设计方针内容。
- 避免任何行业都适用的空泛表达,要体现自身业务连续性重点。
3.2 用方针确定治理原则
- 明确组织在连续性上的基本承诺,例如保护关键活动、满足合规、保障恢复、持续验证与改进。
- 必要时体现对关键相关方、关键站点、关键信息和关键供应链的重视方向。
3.3 保证方针能落到目标和行动
- 方针中的核心承诺应在目标、指标、演练和资源安排中找到对应。
- 若方针说“优先保护关键服务”,则目标中应出现关键业务覆盖、恢复验证和关键资源保障等安排。
3.4 做好沟通与更新
- 让员工、管理层和关键角色真正理解方针,而不是只在认证时展示。
- 业务模式、重大风险和战略方向发生变化后,应及时复核方针适宜性。
四、常用工具与实施方法
| 工具/方法 | 用途 | 典型输出 |
|---|---|---|
| 方针草案工作坊 | 统一高层和关键部门理解 | 方针草案 |
| 方针-目标映射表 | 确保方针可落地 | 承诺与目标对应关系 |
| 沟通发布机制 | 确保方针可理解、可获得 | 宣贯记录和版本发布 |
| 年度适宜性评审 | 复核方针是否仍适用 | 方针评审记录 |
| 管理层签发机制 | 体现方针的正式管理地位 | 批准版方针文件 |
五、典型案例
案例一:模板化方针无法指导实际工作
某组织直接采用通用方针模板,虽然通过了文件审核,但后续目标和演练与方针几乎没有关系,员工也说不清方针到底要求什么。后来组织依据5.2重写方针,明确关键业务保护、监管承诺和演练验证要求,方针才真正有了管理作用。
案例二:制造企业把供应链连续性写入方针
某制造企业在经历原料和物流中断后,认识到业务连续性不只是厂内应急。重写方针时,组织将关键供应链协同和关键产线恢复纳入核心承诺,随后在目标、资源和供应商管理中都出现了更明确的动作。
案例三:数字平台用方针统一恢复优先级语言
某平台企业过去各部门对“关键业务”理解不一,恢复优先级经常争论。通过5.2条款,管理层将关键交易、核心客户服务和关键信息资产保护写入方针,后续目标和决策语言才开始统一。
从审核角度看,方针是否有效,不能只看文本本身,而要看它是否真的影响了后续目标、职责和资源安排。若方针写着“保障关键业务持续运行”,但目标里没有关键业务覆盖,演练也不围绕关键业务,说明方针还没有真正进入体系运行。
业务连续性方针还承担统一语言的作用。不同部门往往会用不同角度理解连续性:业务看收入和客户,IT看恢复和系统,行政看场地和人员,合规看监管和证据。方针的价值就在于为这些不同视角建立共同方向,使组织在讨论优先级和投入时有一套共同原则。
成熟组织的方针通常都带有鲜明的组织特征。高监管行业会更强调法定义务和客户保护,制造型组织会更强调关键产能与供应链恢复,平台型组织会更强调核心交易和数据服务持续能力。方针越贴近组织现实,后续管理越容易真正对上焦点。
从长期看,方针并不是稳定不变的口号。业务扩张、关键风险变化、监管收紧、技术架构升级后,方针都可能需要复核。越能做到定期检查方针是否仍然适配现实,组织的 BCMS 就越不容易出现“文件还在,方向已变”的脱节问题。
因此,方针条款的真正成果,不是形成一张可展示的页面,而是让组织在后续每一个连续性决策上都有可以追溯的方向依据。依据越稳定,体系越不容易在复杂变化中漂移。
这也是为什么好的方针往往并不复杂,却能在长期运行中持续产生影响。它把复杂的连续性要求压缩成管理层和全组织都能理解的基本原则,并反复提醒组织“什么最重要、什么不能退让”。
从审核与治理的双重角度看,方针越能被后续目标、角色和资源安排清楚印证,它就越不是装饰性文件,而越是组织连续性治理的真实起点。
因此,5.2 的成熟标志,不是方针写得多正式,而是组织在遇到优先级冲突和资源取舍时,能否回到方针给出的原则上作出一致判断。
只要方针真正成为这种一致判断的基线,BCMS 的后续执行就更不容易左右摇摆。这也是方针条款最值得长期维护的原因。
方针越清楚,体系越容易在复杂变化中保持方向稳定。对业务连续性来说,这种稳定性本身就是治理能力的一部分。
方向稳,执行才稳。
这很关键。
必须守住。
六、成文信息管理要求
- 保留正式批准的业务连续性方针及其版本管理记录。
- 保留方针宣贯、发布、可获得性和理解证据,如培训记录、发布记录、访谈抽样结果。
- 保留方针适宜性评审和方针与目标、资源之间的对应关系说明。
七、常见误区及踩坑提醒
| 误区 | 表现 | 正确做法 |
|---|---|---|
| 方针照抄模板 | 放到任何组织都一样 | 体现自身业务特征和连续性重点 |
| 方针与目标脱节 | 文件写得好看,但后续指标无对应 | 建立方针与目标映射 |
| 只发布不理解 | 员工知道有方针,不知道意味着什么 | 通过宣贯和场景解释提高理解度 |
| 方针长期不更新 | 业务和风险变了,方针仍旧老套 | 通过管理评审和重大变化复核方针 |