ISO 22301 (BCMS 營運持續管理系統) 主導稽核員

隔了很多年之後，難得又有機會參加ISO 22301  (BCMS 營運持續管理系統) 的原場主導稽核員培訓課程。最大的挑戰，當然還是仔細閱讀條文，並準備第五天下午的考試。稽核員考試多半已採用數位線上考試，ISO 22301比較特別一點，在2026年的現在仍維持紙筆測驗，但考試為秉持公平原則，只提供條文本文於作答時查閱。不可以參考其他材料。

比起大家耳熟能詳的ISO 27001，BCMS雖然為「數位發展部資通安全署」認可之資通安全專業證照，但它著重的重點就不只在資訊技術，而是讓導入單位提供產品的活動，盡可能不要發生無法控制、無預期的中斷(disruptions)。若發生，則應從中斷中復原(recover from disruptions)。

想當然爾，會導入本標準的單位，花錢事小。它們看重的是基礎關鍵設施或服務的責任，或是在意商譽、營業收入或信譽的重要營利事業單位。

BCMS的重點在提供一套架構與方法論，幫助導入的機構依照一套方法論，包含衝擊類別與準則，盤點主要產品與服務，整理出各項「活動」對應的最大可容忍中斷時間(MTPD)，以及讓服務至少回復到最低時間的回復目標(RTO)。最後鑑別出與產品或業務最相關的關鍵活動(prioritized activities)。這些活動之間可能有先後相依性，對資源的仰賴程度，以及連結供應上的程度也不同，都要將其盤點出來。

光找出關鍵活動並沒有用。單位必須在事前採取借鏡自 ISO 31000的風險處理架構，預先將關鍵活動相關的中斷風險都先盤點，並採行風險處理措施。

假使單位遇到極罕見但依然發生的災害，或者人禍時，事前的風險處理已經無法控制，則進入第二道防線──啟動BCP計畫，讓應變團隊與資源(人、機、料、法)分別就緒，透過人員撤離、移轉場區、使用備用機台.....等不同方式，盡量減少業務中斷的時間。人命的損失難以估計，因此執行上的安全問題必須被優先考量。此外，對生產事業而言，可能仰賴選商取得諸多原物料或資源，亦可能是要將商品轉運、加工，委外廠商與供應鏈亦應考慮其中。 國際衝突、全球化與氣候變遷，還有ICT的備妥性等等，自然也是不能忽略的環節。

ISO 22301的架構與其他新版ISO國際標準相仿，

4目標範圍、5領導作為、6規劃、7支援、8運作、9 績效評估、監督量測、10 改善，條文架構相同。不若ISO 27001:2022有附錄眾多的控制措施。本文主要的差異，在於條文8的差異很大。重點在

• 8.2 建立BIA業務衝擊評估
• 8.3 風險評鑑
• 8.4 BCP，包含必須包含的內涵與具體內容
• 8.5 演練與執行、檢討
• 8.6 評估改善與更新

在課程演練與評估上，講者會不斷強調以下重點，以加強觀念：

1.對BMCS服務產業的領域知識要有所了解，例如食品業、製造業、半導體業等等。才能稱職扮演稽核角色。

2.BCMS系統層面的風險，與個別關鍵活動的風險評鑑，各在哪個條文，討論的面向是什麼?

3.針對特定條文(如8.6業務持續的評估)，會規劃那些查檢項目並查看哪些證據?

4.確認條文9監督量測應該安排那些查檢，以確認有效性?

5.從稽核角度，要從那些方面確定BCMS有效運作?是只看有沒有演練嗎?

6.規劃一個(或多個)場區的單天稽核行程與規劃，依據情境並安排人天。

7.用自己的話說明BCMS中的BIA與後續風險評鑑的關係。如果BIA的結果不正確，對風險評鑑的影響是甚麼。

8.與其他ISO課程相同，要能精準衡量某個情境應該開立主缺、次缺，或進行後續的追查。講師再三提醒，稽核是客戶導向的服務業，切勿扮演包青天，務必要「勿枉勿縱」，以免丟掉寶貴的分數。

參考:

https://www.iso.org/obp/ui/#iso:std:iso:22301:ed-2:v1:en