Yêu cầu tài liệu cần có khi xây dựng ISO 22301

Các tổ chức muốn xây dựng hệ thống kinh doanh liên tục BCMS – Business Continuity Management System thành công thì việc yêu cầu chuẩn bị các tài liệu bắt buộc là cực kì cần thiết để đáp ứng được các yêu cầu của tiêu chuẩn. Bài viết này, SQC Certification xin giới thiệu đến bạn những danh sách các bộ tài liệu cần thiết dựa trên các điều khoản của ISO 22301:2019 cho bạn chọn lựa.

Mục lục

ISO 22301:2019 – Hệ thống kinh doanh liên tục

Bộ tiêu chuẩn ISO 22301 là tiêu chuẩn quốc tế quy định các yêu cầu đối với Hệ thống quản lý kinh doanh liên tục (BCMS – Business Continuity Management System). Tiêu chuẩn này được phát triển nhằm hỗ trợ các tổ chức duy trì hoạt động ổn định ngay cả khi gặp phải sự cố bất ngờ như thiên tai, khủng hoảng dịch bệnh, hay gián đoạn hệ thống.

Yêu cầu tài liệu cần có khi xây dựng ISO 22301

Được ban hành bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO), ISO 22301 cung cấp một khuôn khổ rõ ràng giúp doanh nghiệp đánh giá rủi ro, chuẩn bị sẵn sàng và phản ứng kịp thời để giảm thiểu tác động tiêu cực.

Tại Việt Nam, tiêu chuẩn này được chuyển ngữ và ban hành dưới tên gọi TCVN ISO 22301, do Bộ Khoa học và Công nghệ công bố. Phiên bản hiện hành là TCVN ISO 22301:2023 – tương đương với bản quốc tế ISO 22301:2019.

Tài liệu bắt buộc theo ISO 22301:2019

Tiêu chuẩn ISO 22301 có đưa ra được những yêu cầu về một số tài liệu và hồ sơ cụ thể nhằm đảm bảo tốt hệ thống Quản lý tính liên tục trong kinh doanh có được thiết lập, duy trì và vận hành cải tiến. Với các tài liệu này cũng sẽ bắt buộc bao gồm:

Phạm vi của BCMS (Điều khoản 4.3):

Tài liệu này có yêu cầu đưa ra xác định ranh giới và phạm vi áp dụng của hệ thống quản lý tính liên tục kinh doanh, bao gồm các sản phẩm, dịch vụ, địa điểm, và các bên liên quan.

Chính sách tính liên tục kinh doanh (Điều khoản 5.2):

Chính sách liên tục của dự án là văn bản do lãnh đạo cao nhất ban hành, trong này có nêu rõ được các cam kết của tổ chức đối với tính liên tục trong kinh doanh, mục tiêu và trách nhiệm có liên quan.

Mục tiêu tính liên tục kinh doanh (Điều khoản 6.2):

Tài liệu nêu rõ các mục tiêu cụ thể, có thể đo lường được, phù hợp với chính sách BCMS và có kế hoạch đạt được.

Đánh giá rủi ro và phân tích tác động kinh doanh (BIA – Business Impact Analysis) (Điều khoản 6.1):

Đây là bản báo cáo phân tích các tác động trong kinh doanh (BIA) nhằm xác định tốt các quy trình trong kinh doanh một cách quan trọng, thời gian phục hồi tối đa chấp nhận được (RTO), và mức độ ưu tiên. Đánh giá rủi ro để xác định các mối đe dọa tiềm ẩn và tác động đến tính liên tục kinh doanh.

Kế hoạch ứng phó sự cố và kế hoạch khôi phục (Điều khoản 8.4):

Kế hoạch ứng phó sự cố (Incident Response Plan): Quy trình xử lý khi xảy ra sự cố gây gián đoạn.
Kế hoạch khôi phục (Business Continuity Plan – BCP): Chi tiết các bước để khôi phục hoạt động kinh doanh sau sự cố, bao gồm các chiến lược phục hồi và nguồn lực cần thiết.

Quy trình quản lý sự cố (Điều khoản 8.4):

Tài liệu này có mô tả cách các tổ chức phát hiện, báo cáo cũng như quản lý các sự cố gây gián đoạn.

Hồ sơ về năng lực (Điều khoản 7.2):

Với những bằng chứng về trình độ, kỹ năng cũng như khả năng đào tạo của nhân viên có liên quan đến hệ thống BCMS (chứng chỉ đào tạo, hồ sơ nhân sự vv)

Kế hoạch truyền thông (Điều khoản 7.4):

Quy trình và kế hoạch liên lạc nội bộ và bên ngoài trong trường hợp xảy ra sự cố, bao gồm thông tin liên lạc với các bên liên quan.

Hồ sơ kiểm tra nội bộ (Điều khoản 9.2):

Báo cáo kiểm tra nội bộ định kỳ, bao gồm kế hoạch kiểm tra, kết quả, và hành động khắc phục.

Hồ sơ xem xét của lãnh đạo (Điều khoản 9.3):

Một số hồ sơ xem xét của ban lãnh đạo có báo cáo từ cuộc họp có xem xét của ban lãnh đạo có tiến hành đánh giá tốt các hiệu quả của BCMS cũng như việc cải tiến một cách cần thiết.

Hành động khắc phục (Điều khoản 10.1):

Hồ sơ này có bao gồm các sự không phù hợp, các nguyên nhân và hành động khắc phục được thực hiện.

>>> So sánh ISO 22301:2019 và ISO 27001:2022 – bảo mật vs liên tục

2. Tài liệu hỗ trợ (không bắt buộc nhưng cần thiết)

Bên cạnh các loại tài liệu bắt buộc thì bộ tiêu chuẩn ISO 22301:2019 còn đi kèm theo các loại tài liệu hỗ trợ không bắt buộc khi doanh nghiệp bạn tiến hành triển khai và vận hành BCMS một cách hiệu quả nhất:

Sổ tay BCMS:

Tài liệu tổng hợp mô tả toàn bộ hệ thống quản lý tính liên tục kinh doanh, bao gồm các quy trình, trách nhiệm, và cách thức vận hành (không bắt buộc nhưng hữu ích).

Quy trình quản lý tài liệu và hồ sơ:

Quy trình kiểm soát việc tạo, cập nhật, và lưu trữ các tài liệu và hồ sơ của BCMS.

Kế hoạch đào tạo và nâng cao nhận thức:

Kế hoạch chi tiết để đào tạo nhân viên và nâng cao nhận thức về BCMS.

Hợp đồng với nhà cung cấp và đối tác:

Tài liệu liên quan đến các thỏa thuận với các bên thứ ba (nhà cung cấp, đối tác) để đảm bảo tính liên tục kinh doanh (ví dụ: SLA – Service Level Agreements).

Kịch bản và báo cáo diễn tập:

Kế hoạch và báo cáo từ các cuộc diễn tập hoặc mô phỏng sự cố để kiểm tra tính hiệu quả của BCMS.

Danh sách các bên liên quan:

Danh sách các bên liên quan (khách hàng, nhà cung cấp, cơ quan quản lý, v.v.) và vai trò của họ trong BCMS.

Lưu ý dành cho tổ chức của bạn khi triển khai xây dựng ISO 22301:2019

Sau đây chúng tôi xin chia sẻ cho bạn về những lưu ý khi tổ chức của bạn tiến hành triển khai xây dựng hệ thống ISO 22301:2019 và một số điểm cần chú ý:

Đơn giản hóa tài liệu: Tài liệu cần rõ ràng, ngắn gọn, và phù hợp với quy mô, mức độ phức tạp của tổ chức.
Tuân thủ pháp luật: Đảm bảo các tài liệu đáp ứng các yêu cầu pháp lý và quy định liên quan.
Lưu trữ và bảo mật: Các tài liệu cần được lưu trữ an toàn và dễ dàng truy cập trong trường hợp xảy ra sự cố.
Tích hợp với các hệ thống khác: Nếu tổ chức đã triển khai các tiêu chuẩn khác (như ISO 9001, ISO 27001), hãy tích hợp BCMS để giảm thiểu trùng lặp.