Tiêu chuẩn ISO 22301: Hệ thống quản lý tính liên tục cho doanh nghiệp

ISO 22301 định nghĩa quản lý tính liên tục kinh doanh là một phần của quản lý rủi ro tổng thể trong một công ty, một phần chồng chéo với quản lý bảo mật thông tin và quản lý CNTT. Việc triển khai và chứng nhận rất hữu ích để chứng minh sự tuân thủ của công ty bạn đối với các đối tác, chủ sở hữu và các bên liên quan khác. ISO 22301 cũng giúp bạn có được khách hàng mới bằng cách giúp bạn dễ dàng chứng minh rằng bạn là một trong những công ty tốt nhất trong ngành.

ISO 22301 là gì?

Tên đầy đủ của tiêu chuẩn này là ISO 22301:2019 Bảo mật và khả năng phục hồi – Hệ thống quản lý tính liên tục của doanh nghiệp – Yêu cầu. Đây là tiêu chuẩn quốc tế do Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) công bố và mô tả cách quản lý tính liên tục của doanh nghiệp trong một tổ chức. Tiêu chuẩn này được biên soạn bởi các chuyên gia hàng đầu về tính liên tục của doanh nghiệp và cung cấp khuôn khổ tốt nhất để quản lý tính liên tục của doanh nghiệp trong một tổ chức.

Một trong những tính năng tạo nên sự khác biệt của tiêu chuẩn này so với các khuôn khổ/tiêu chuẩn về tính liên tục kinh doanh khác là một tổ chức có thể được chứng nhận bởi một tổ chức chứng nhận được công nhận và do đó sẽ có thể chứng minh sự tuân thủ của mình với khách hàng, đối tác, chủ sở hữu và các bên liên quan khác.

Lợi ích của ISO 22301 – Tiêu chuẩn về tính liên tục của hoạt động kinh doanh là gì?

Có bốn lợi ích kinh doanh thiết yếu mà một công ty có thể đạt được khi triển khai tiêu chuẩn duy trì hoạt động kinh doanh này:

Tuân thủ các yêu cầu pháp lý

 Ngày càng có nhiều quốc gia đưa ra luật và quy định yêu cầu tuân thủ tính liên tục của hoạt động kinh doanh. Và ngoài lợi ích của chính phủ, các doanh nghiệp tư nhân (ví dụ: các tổ chức tài chính) cũng yêu cầu các nhà cung cấp và đối tác của họ triển khai các giải pháp liên tục của hoạt động kinh doanh. Và tin tốt là ISO 22301 cung cấp một khuôn khổ và phương pháp hoàn hảo để hỗ trợ việc tuân thủ các yêu cầu này – bằng cách giảm nỗ lực hành chính và hoạt động, cũng như số lượng hình phạt phải trả. 

Đạt được lợi thế tiếp thị

Nếu công ty của bạn được chứng nhận ISO 22301 và đối thủ cạnh tranh của bạn thì không, bạn sẽ có lợi thế hơn họ khi nói đến những khách hàng nhạy cảm về việc duy trì tính liên tục của hoạt động và việc cung cấp sản phẩm và dịch vụ của họ. Ngoài ra, chứng nhận như vậy có thể nâng cao danh tiếng của bạn và giúp bạn có được khách hàng mới, bằng cách giúp bạn dễ dàng chứng minh rằng bạn là một trong những công ty tốt nhất trong ngành, dẫn đến tăng thị phần và lợi nhuận cao hơn.

Giảm sự phụ thuộc vào cá nhân

Thông thường, các hoạt động quan trọng của công ty chỉ phụ thuộc vào một số ít người khó thay thế – một tình huống đau đớn khi những người này rời khỏi tổ chức. Các giám đốc điều hành nhận thức được điều này có thể sử dụng các hoạt động liên tục kinh doanh để trở nên ít phụ thuộc hơn vào những cá nhân đó (hoặc thông qua các giải pháp thay thế đã triển khai hoặc bằng cách ghi lại các nhiệm vụ liên quan), nghĩa là bạn có thể ngăn ngừa được rất nhiều rắc rối khi ai đó rời khỏi tổ chức.

Ngăn ngừa thiệt hại trên diện rộng

Trong thế giới của các dịch vụ và giao dịch theo thời gian thực, mỗi phút ngừng dịch vụ đều tốn kém – rất nhiều tiền. Và, ngay cả khi doanh nghiệp của bạn không quá nhạy cảm với những khoảng thời gian không khả dụng nhỏ, các sự cố gián đoạn sẽ khiến bạn tốn kém. Bằng cách triển khai các biện pháp đảm bảo tính liên tục của doanh nghiệp tuân thủ ISO 22301, bạn sẽ có một loại chính sách bảo hiểm. Cho dù bằng cách ngăn ngừa các sự cố gián đoạn xảy ra hay bằng cách có khả năng phục hồi nhanh hơn – công ty của bạn sẽ tiết kiệm được tiền. Và điều tuyệt vời nhất là khoản đầu tư của bạn vào ISO 22301 nhỏ hơn nhiều so với khoản tiết kiệm chi phí mà bạn sẽ đạt được.

Đối tượng thích hợp với tiêu chuẩn ISO 22301

Bất kỳ loại tổ chức nào – lớn hay nhỏ, vì lợi nhuận hay phi lợi nhuận, tư nhân hay công cộng – đều có thể hưởng lợi từ ISO 22301. Tiêu chuẩn này được hình thành theo cách có thể áp dụng cho bất kỳ quy mô hoặc loại hình tổ chức nào.

Việc triển khai và chứng nhận ISO 22301 có thể được coi là thiết yếu đối với bất kỳ công ty nào có yêu cầu pháp lý phải tham gia vào kế hoạch dự phòng, bao gồm năng lượng, giao thông, y tế và các dịch vụ công thiết yếu.

Các thuật ngữ cơ bản được sử dụng trong tiêu chuẩn

• Hệ thống quản lý tính liên tục kinh doanh (BCMS) – một phần của hệ thống quản lý tổng thể đảm bảo tính liên tục kinh doanh được lập kế hoạch, triển khai, duy trì và cải tiến liên tục
• Thời gian gián đoạn tối đa có thể chấp nhận được (MAO) – khoảng thời gian tối đa một hoạt động có thể bị gián đoạn mà không gây ra thiệt hại không thể chấp nhận được (còn gọi là Thời gian gián đoạn tối đa có thể chấp nhận được – MTPD)
• Mục tiêu thời gian phục hồi (RTO) – thời gian được xác định trước mà tại đó sản phẩm, dịch vụ hoặc hoạt động phải được tiếp tục hoặc tài nguyên phải được phục hồi
• Mục tiêu điểm khôi phục (RPO) – mất dữ liệu tối đa, tức là lượng dữ liệu tối thiểu được sử dụng bởi một hoạt động cần được khôi phục
• Mục tiêu duy trì hoạt động kinh doanh tối thiểu (MBCO) – mức dịch vụ hoặc sản phẩm tối thiểu mà một tổ chức cần sản xuất để đạt được các mục tiêu đã xác định sau khi tiếp tục hoạt động kinh doanh

Nội dung của ISO 22301

ISO 22301 được chia thành 11 phần hoặc điều khoản. Các điều khoản từ 0 đến 3 là phần giới thiệu (và không bắt buộc phải thực hiện), trong khi bảy điều khoản (từ 4 đến 10) là các điều khoản chính và bắt buộc – nghĩa là tất cả các yêu cầu của chúng phải được thực hiện trong một tổ chức nếu muốn tuân thủ tiêu chuẩn.

Theo Phụ lục SL của Chỉ thị ISO/IEC của Tổ chức Tiêu chuẩn hóa Quốc tế, tiêu đề phần trong ISO 22301 giống với tiêu đề trong ISO 27001:2013, ISO 9001:2015 và các tiêu chuẩn quản lý khác, giúp tích hợp các tiêu chuẩn này dễ dàng hơn.

Yêu cầu của ISO 22301

Hãy cùng xem xét các yêu cầu của ISO 22301 được nêu trong các điều khoản từ 4 đến 10.

Điều khoản 4 – Bối cảnh

Các tổ chức phải hiểu họ là ai, họ đang làm gì và họ phải duy trì những quy trình và đầu ra nào. Họ cũng phải xác định ai có cổ phần trong tính liên tục của hoạt động – các bên quan tâm – và kỳ vọng của họ là gì. Ngoài ra, các yêu cầu pháp lý và quy định phải được xác định và ghi lại. Với thông tin này, tổ chức thiết lập và ghi lại phạm vi ISO 22301 của mình. Khi xác định phạm vi, các địa điểm, sứ mệnh, mục tiêu, sản phẩm và dịch vụ của tổ chức phải được xem xét.

Điều khoản 5 – Lãnh đạo

Để triển khai thành công ISO 22301, các tổ chức cần sự hỗ trợ và lãnh đạo liên tục của ban quản lý cấp cao. Để thể hiện cam kết của mình, ban quản lý cấp cao của tổ chức phải xây dựng, lập tài liệu và truyền đạt chính sách trong tổ chức và với các bên quan tâm trong khi cung cấp nguồn lực, chỉ đạo và dẫn dắt nhân viên đóng góp vào hiệu quả của ISO 22301. Vì mục đích này, các vai trò của tổ chức phải được xác định rõ ràng với trách nhiệm, thẩm quyền và năng lực cho từng vai trò.

Điều khoản 6 – Lập kế hoạch

Để lập kế hoạch cho tính liên tục của hoạt động kinh doanh, các tổ chức phải hiểu những gián đoạn nào có khả năng xảy ra và những sự cố này ảnh hưởng đến hoạt động kinh doanh như thế nào. Các tổ chức phải xem xét hậu quả của rủi ro, tác động của chúng và lợi ích của các cơ hội liên quan đến bối cảnh của chúng và lập kế hoạch hành động để giải quyết chúng. Tiêu chuẩn này cũng yêu cầu các tổ chức đặt ra các mục tiêu BCMS có thể đo lường được để đảm bảo các sản phẩm hoặc dịch vụ khả thi tối thiểu, cũng như tuân thủ mọi yêu cầu pháp lý hoặc quy định. Các mục tiêu này phải được ghi lại và truyền đạt. Để đạt được các mục tiêu này, các tổ chức phải có kế hoạch hành động trong một khung thời gian, với các trách nhiệm được giao.

Điều khoản 7 – Hỗ trợ

Không tổ chức nào có thể tiến triển nếu không có nguồn lực và hỗ trợ. Các tổ chức phải xem xét nhu cầu về nguồn lực và cung cấp chúng để đáp ứng các mục tiêu BCMS của mình. Các nguồn lực này có thể bao gồm cơ sở hạ tầng, công nghệ, truyền thông, năng lực, nhận thức và thông tin được ghi chép. Tiêu chuẩn yêu cầu bằng chứng được ghi chép về năng lực cho các vai trò được xác định, chẳng hạn như hồ sơ đào tạo, giáo dục và lý lịch chuyên môn.

Điều khoản 8 – Hoạt động

Phần này của tiêu chuẩn mô tả các hoạt động cần thực hiện để đáp ứng các mục tiêu của BCMS (Hệ thống quản lý tính liên tục kinh doanh) và quay trở lại cách thức hoạt động bình thường của tổ chức. Các hoạt động chính bao gồm:

• Tiến hành và ghi chép phân tích tác động kinh doanh (BIA) và đánh giá rủi ro. BIA phải xác định các tác động về mặt hoạt động, pháp lý và tài chính phát sinh từ sự gián đoạn. Trong khi tiến hành BIA, thời gian gián đoạn là thông tin đầu vào quan trọng để xác định tác động và sau đó là thời gian phục hồi. Đánh giá rủi ro cho phép tổ chức phân tích khả năng gián đoạn đối với các hoạt động và nguồn lực của mình. 
• Xây dựng chiến lược duy trì hoạt động kinh doanh Các công ty được yêu cầu xây dựng chiến lược duy trì hoạt động kinh doanh bằng cách sử dụng thông tin thu thập được từ đánh giá rủi ro và phân tích tác động kinh doanh. Chiến lược duy trì hoạt động kinh doanh về cơ bản có nghĩa là phát triển các lựa chọn và lựa chọn các hành động phù hợp nhất, bao gồm giảm thiểu, ứng phó và phục hồi. Bạn có thể tìm hiểu thêm về tầm quan trọng của việc phục hồi trong bài viết Chiến lược duy trì hoạt động kinh doanh có thể tiết kiệm tiền của bạn không ?.
• Thiết lập và triển khai các quy trình đảm bảo tính liên tục của doanh nghiệp. Các tổ chức được yêu cầu lập tài liệu về các kế hoạch và quy trình đảm bảo tính liên tục của doanh nghiệp dựa trên các kết quả đầu ra của chiến lược. Các kế hoạch và quy trình này phải có các bước rõ ràng và cụ thể để xử lý tình trạng gián đoạn, các vai trò và nhu cầu về nguồn lực được xác định rõ ràng và giao tiếp có tổ chức. Để biết thêm thông tin về việc xây dựng các kế hoạch và quy trình
• Thực hiện và thử nghiệm các quy trình liên tục kinh doanh .ISO 22301 yêu cầu kiểm tra định kỳ các kế hoạch và quy trình để xem chúng có phù hợp và hiệu quả hay không. Kết quả kiểm tra phải được xem xét và báo cáo để đưa ra khuyến nghị và cải tiến.

Điều khoản 9 – Đánh giá hiệu suất

Các tổ chức cần xem xét các chỉ số và số liệu hiệu suất; theo dõi, đo lường, phân tích và đánh giá chúng; sau đó ghi lại kết quả. Các cuộc kiểm toán nội bộ theo kế hoạch phải được tiến hành để đo lường mức độ tuân thủ tiêu chuẩn và các yêu cầu của chính tổ chức. Chương trình kiểm toán và kết quả phải được ghi lại. Cuối cùng, ban quản lý cấp cao phải xem xét hiệu quả của BCMS theo các khoảng thời gian đã định và ghi lại kết quả của các cuộc xem xét này.

Điều khoản 10 – Cải tiến

Các tổ chức phải có phương pháp để giải quyết các điểm không phù hợp, với nguyên nhân gốc rễ và hành động khắc phục, cũng như các chiến lược cải tiến liên tục. Tiêu chuẩn này yêu cầu thông tin được ghi chép để đánh giá các hành động khắc phục. Tổ chức cần xem xét kết quả phân tích và đánh giá, và đầu ra từ đánh giá của ban quản lý, để xác định xem có nhu cầu hay cơ hội hay không.

Làm thế nào để đạt chứng nhận tiêu chuẩn ISO 22301

Để triển khai ISO 22301 trong công ty của bạn, bạn phải thực hiện theo 17 bước sau :

1.  Hỗ trợ quản lý
2. Xác định các yêu cầu
3. Chính sách và mục tiêu liên tục kinh doanh
4. Tài liệu hỗ trợ cho hệ thống quản lý
5. Đánh giá và xử lý rủi ro 
6. Phân tích tác động kinh doanh
7. Chiến lược liên tục kinh doanh
8. Kế hoạch liên tục kinh doanh
9.  Đào tạo và nâng cao nhận thức
10.  Duy trì tài liệu
11. Thực hiện và thử nghiệm
12.  Đánh giá sau sự cố
13.  Giao tiếp với các bên quan tâm
14.  Đo lường và đánh giá
15.  Kiểm toán nội bộ
16.  Hành động khắc phục
17.  Đánh giá của ban quản lý

Doanh nghiệp cần chuẩn bị những gì?

Nếu một tổ chức muốn triển khai tiêu chuẩn này, các tài liệu sau đây là bắt buộc:

• Danh sách các yêu cầu pháp lý, quy định và các yêu cầu khác hiện hành
• Phạm vi của BCMS
• Chính sách duy trì hoạt động kinh doanh
• Mục tiêu duy trì hoạt động kinh doanh
• Bằng chứng về năng lực nhân sự
• Quy trình giao tiếp với các bên quan tâm
• Hồ sơ liên lạc với các bên quan tâm
• Hồ sơ ghi lại chi tiết về sự gián đoạn, hành động đã thực hiện và quyết định đã đưa ra
• Cấu trúc ứng phó sự cố Kế hoạch duy trì hoạt động kinh doanh
• Thủ tục phục hồi
• Kết quả giám sát và đo lường
• Kết quả kiểm toán nội bộ
• Kết quả đánh giá quản lý
• Kết quả của các hành động khắc phục

Doanh nghiệp có nhu cầu quan tâm dịch vụ chứng nhận ISO 22301:2019, vui lòng liên hệ ngay với chúng tôi để được hỗ trợ tư vấn trong thời gian sớm nhất.

• About
• Latest Posts

Nguyễn Đỗ Sơn

Manager - Auditor at GOOD VIỆT NAM

Luật sư Nguyễn Đỗ Sơn có kinh nghiệm làm việc và quản lý nhiều công ty ở nhiều lĩnh vực khác nhau. Với kinh nghiệm triển khai hệ thống, đào tạo và nâng cao năng suất, Luật Sư Nguyễn Đỗ Sơn hiện tại là Giám Đốc Điều Hành, chuyên gia trong lĩnh vực triển khai hệ thống quản lý đào tạo cho doanh nghiệp

Latest posts by Nguyễn Đỗ Sơn (see all)

• Tiêu chuẩn ISO 22301: Hệ thống quản lý tính liên tục cho doanh nghiệp - 06/03/2025
• Thử nghiệm REACH SVHC – quy định, phương pháp và lợi ích cho doanh nghiệp - 14/02/2025
• Tiêu chuẩn rohs là gì – Tìm hiểu về tiêu chuẩn về hạn chế các chất độc hại trong thiết bị điện tử - 11/02/2025