iso22301：2019程序文件风险机会控制程序.pdf

文件编号 版本号 修改号 风险 机会控制程序 BCM6.1-01 A 0 1. 目的 通过对公司的中断事件带来的风险、机会进行识别、分析、评价、控制，确保所有风 险均处于可接受的水平， 确保 BCM管理体系能够实现其预期的结果， 增强期望的影响， 预防 或减少非预期的影响，实现持续改进。 2. 适用范围 适用于公司在 BCM体系的所有风险、机会的识别分析评价控制。 信息化类风险识别分析评价控制，按《信息化风险评估控制程序》执行。 3. 职责 3.1. 总经理 1）提供风险评估所需的资源； 2 ）批准风险和机会管理计划； 3）批准风险和机会管理报告。 4 ）组织实施风险管理活动。 3.2. 综合部 1）负责对参与风险机会管理人员的资格认可； 2 ）全面监督、组织实施风险管理活动； 3）参与风险机会分析和评价。 3.3. 业务部 1）编制风险评估计划和风险评估报告； 2 ）对风险控制措施的结果进行验证； 3）负责对风险机会措施的有效性评价； 3.4. 其它部门 1）参与中断事件的相关信息反馈； 2 ）参与风险分析和评价。 4 ．风险评估活动策划 4.1 风险信息识别、评价 1）每年进行一次风险、机会信息的识别、评价，加以补充完善新的风险机会，并根据 评价结果决定是否再次对风险机遇进行分析、控制和评价； 2 ）识别中断对于公司优先活动及过程、系统、信息、人员、资产、外包方、和其它支 持资源所带来的风险。 3）系统地分析风险。 4 ）评价哪种风险中断风险需要处理 5）识别与业务连续性目标相符及与公司风险偏好一致的处理措施。 4.3 风险机会控制措施的验证评价 1）验证风险控制措施在最终设计中得到实施； 2 ）验证、评价风险控制措施的有效性； 3）所有的对风险控制措施的结果进行验证的活动由质量部负责组织实施； 4 ）验证活动完成后，由质量部负责保持文档。 5．风险的可接受性评价准则制定 5.1 风险的发生概率分级（发生频度） -O 发生的可能性 可能的发生率定量分析描述 表示符 评价数值 定性描述 O5 5 极高 肯定发生， 1 个项目可能发生 1 次以上 O4 4 高 经常发生， 10 个项目发生 1 次 O3 3 中等 有时发生， 100 个项目发生 1 次 O2 2 低 很少发生， 1000 个项目发生 1 次 O1 1 极低 几乎不可能发生， 10000 个以上项目发生 1 次 5.2 风险的严重度水平 -S 表示 评价 严重度后果 风险严重度定量的描述 符 数值 的描述 进度 成本 恢复时间 RTO S5 5 灾难的（极 整体进度拖延大于 成本增加大于 30% 超出规定 RTO时间 30%以上 高） 30% S4 4 危险的 （高）整体进度拖延 成本增加介于 10%～超出规定 RTO时间 10%-30% 10%～30% 30% S3 3 重大的 （中）整体进度拖延 成本增加介于 超出规定 RTO时间 5%