ISO 22301 (BCMS 營運持續管理系統) 主導稽核員

隔了很多年之後，難得又有機會參加ISO 22301  (BCMS 營運持續管理系統) 的原場主導稽核員培訓課程。最大的挑戰，當然還是仔細閱讀條文，並準備第五天下午的考試。稽核員考試多半已採用數位線上考試，ISO 22301比較特別一點，在2026年的現在仍維持紙筆測驗，但考試為秉持公平原則，只提供條文本文於作答時查閱。不可以參考其他材料。

比起大家耳熟能詳的ISO 27001，BCMS雖然為「數位發展部資通安全署」認可之資通安全專業證照，但它著重的重點就不只在資訊技術，而是讓導入單位提供產品的活動，盡可能不要發生無法控制、無預期的中斷(disruptions)。若發生，則應從中斷中復原(recover from disruptions)。

想當然爾，會導入本標準的單位，花錢事小。它們看重的是基礎關鍵設施或服務的責任，或是在意商譽、營業收入或信譽的重要營利事業單位。

BCMS的重點在提供一套架構與方法論，幫助導入的機構依照一套類別與準則，整理出對應的最大可容忍中斷時間(MTPD)，以及讓服務至少回復到最低時間的回復目標(RTO)。鑑別出與產品或業務最相關的關鍵活動(prioritized activities)。

光找出關鍵活動並沒有用。單位必須在事前採取借鏡自 ISO 31000的風險處理架構，預先將關鍵活動相關的中斷風險都先盤點，並採行風險處理措施。

假使單位遇到極罕見但依然發生的災害，或者人禍時，則進入第二道防線──啟動BCP計畫，讓應變團隊與資源(人、機、料、法)分別就緒，透過人員撤離、移轉場區、使用備用機台.....等不同方式，盡量減少業務中斷的時間。人命的損失難以估計，因此安全問題必須被優先考量。此外，對生產事業而言，可能仰賴選商取得諸多原物料或資源，亦可能是要將商品轉運、加工，委外廠商與供應鏈亦應考慮其中。 國際衝突、全球化與氣候變遷，還有ICT的備妥性等等，自然也是不能忽略的環節。

參考:

https://www.iso.org/obp/ui/#iso:std:iso:22301:ed-2:v1:en