,,,,,,,,,,,,

,ISO22301（BCMS）內部審核檢查表,,,,,,,,,,

,審核日期：,,審核員：,,審校部門：,,負責人：,,NO.,,

,,,,,,,,,,,,

,NO.,ISO22301條款,策劃文件,內容,擬審核項目/問題點,檢查方式,,審核發現點,判定,,

,,,,,,文件,現場,,OK,NG,NA

,1,4.1了解組織及環境,"MP-01

組織環境控制程序",識別影響BCMS的內容,公司的經營活動是否識別清晰？,,,,,,

,,,,,公司的職能是否清楚并包括BCMS的要求？,,,,,,

,,,,,公司服務和產品是否明確？,,,,,,

,,,,,合作方和供應鏈是否識別清楚？,,,,,,

,,,,,以上要素與相關方關系和中斷事件的潛在影響是否清楚？,,,,,,

,,,,,BCM方針和目標與總體風險管理策略間聯系是否策劃？,,,,,,

,,,,,公司的風險偏好是否識別？,,,,,,

,,,,,具體風險偏好是什么？,,,,,,

,,,,,是否明確BCM目標？,,,,,,

,,,,,會增加公司業務連續性風險的主要內部因素有那些？,,,,,,

,,,,,會增加公司業務連續性風險的主要外部因素有那些？,,,,,,

,,,,,是否根據風險偏好設定風險評價準則？,,,,,,

,2,4.2了解相關方的需求和期望,,相關方需求分析,是否確定與BCM有關的相關方？,,,,,,

,,,,,相關方的需求是否識別清楚？是否能滿足？,,,,,,

,,,,,不滿足是否有改進措施？,,,,,,

,,,,,是否定期對相關方需求監視和評審？,,,,,,

,,,,法律和法規要求,是否建立法律和法規管理程序？,,,,,,

,,,,,是否識別與BCM系統運行相關的法律和法規？,,,,,,

,,,,,是否對識別的法律和法規進行評價？,,,,,,

,,,,,法規評價是否有不符合要素并建立針對性應對措施且有效實施？,,,,,,

,,,,,是否更新這些法律法規并再次評價？,,,,,,

,,,,,法律法規是否向公司內部相關人員和外部相關方溝通？,,,,,,

,3,4.3確定BCM管理體系范圍,QM-01BCM手冊,體系范圍,是否結合公司產品/服務及相關方要求確定BCMS范圍？,,,,,,

,,,,,范圍是否文件化？,,,,,,

,,,,,是否包含所有產品和服務類型？,,,,,,

,,,,,"是否有刪減,理由是什么？",,,,,,

,6,4.4BCMS體系,,過程策劃,是否按ISO22301標準策劃過程？,,,,,,

,,,,,策劃了那些過程？,,,,,,

,7,4.4.1組織應按標準建立、實施、保持和改進管理體系,,,策劃過程是否應用過程方法？,,,,,,

,8,4.4.1.1產品和過程一致性,,,是否對產品和過程一致性確認？,,,,,,

,9,4.4.1.1.1產品安全,,,產品安全相關要求是否確定？,,,,,,

,,,,,是否對安全相關要求進行評審？,,,,,,

,10,4.4.1.2外包過程,,,是否確認外包過程？,,,,,,

,,,,,外包過程是否受控？,,,,,,

,11,5.1領導作用和承諾,,領導承諾,最高領導者是否作出8點承諾？,,,,,,

,12,,,承諾證據,是否建立BCM方針？是什么？,,,,,,

,13,5.2管理承諾,,職責和權限,是否建立BCM組織和職責？,,,,,,

,,,,,BCMS組織人員是否具備相應能力？,,,,,,

,,,,職責權限授權溝通,"是否任命BCMS負責人？

其權限是否規定？

能力是否滿足？",,,,,,

,,,,,被授權角色是否確定風險接受準則和接受級別？,,,,,,

,,,,,是否參與演練？,,,,,,

,,,,,實施BCMS內審和BCMS管理評審？,,,,,,

,16,5.3方針,,BCM方針,是否制定了文件化的BCM方針?,,,,,,

,17,,,,管理方針是否經最高管理者批準,,,,,,

,,,,,如何向全體員工傳達的?,,,,,,

,18,,,,采取了哪些方式?,,,,,,

,,,,,員工是否了解BCM方針?,,,,,,

,,,,,相關方是否能夠獲得BCM方針?,,,,,,

,,,,,最高管理者是否定期評審BCM方針?,,,,,,

,19,5.4組織的角色、職責、和權限,,職責權限,是否有清晰的組織結構圖?,,,,,,

,20,,,,相關職能部門或崗位(尤其是從事管理、執行和驗證工作的人員)的職責是否得到規定并形成文件?,,,,,,

,,,,,受審部門的職責是什么?,,,,,,

,,,,,各部門、各類人員的職責、權限及相互關系是如何傳達的?,,,,,,

,,,,,各有關人員是否明確各自的職責、權限及相互關系？,,,,,,

,,,,,各類人員是否明確完成職責任務與實現BCM方針之間的關系？,,,,,,

,,,,,是否向最高管理者報告BCMS績效？,,,,,,

,22,6.1應對風險和機遇的措施,"MP-02

風險管理程序",風險和機遇,是否對4.1和4.2進行風險和機遇分析？,,,,,,

,23,,,,是否對風險和機遇制定對應措施？,,,,,,

,24,,,,是否評估這些措施的可行性有效性？,,,,,,

,25,,,,是否將這些措施整合在BCMS程序文件內？,,,,,,

,27,6.2BCM目標及其實現的策劃,QM-01BCM手冊,組織是否設定了管理目標和指標？,目標和指標是否形成文件？,,,,,,

,28,,,,是否經領導批準?,,,,,,

,29,,,,是否分解到有關的職能和層次?,,,,,,

,30,,,設定目標和指標時應考慮的內容,目標和指標的內容是否符合方針的要求?,,,,,,

,,,,,目標和指標的內容是否考慮了法律法規和其他要求?,,,,,,

,,,,,目標和指標的內容是否考慮了重大BCM風險因素?,,,,,,

,,,,,目標和指標是否具有可測量性，有無測量目標和指標的方法?,,,,,,

,,,,,是否制定實現目標的方案?,,,,,,

,,,,,是否為目標和指標的實現設置完成時間?,,,,,,

,,,,,企業資源是否能保證目標和指標的實現?,,,,,,

,,,,,是否明確了執行部門和負責人?,,,,,,

,,,,,是否已向有關人員傳達?,,,,,,

,,,,,有關人員是否清楚,,,,,,

,,,,證據,檢查績BCM效測量結果，確認目標和指標是否得到實現?,,,,,,

,,,,目標和指標定期評審、修訂,目標和指標是否定期評審、修訂?,,,,,,

,,,,,依據什么評審、修訂?,,,,,,

,,,,,目標和指標的評審、修訂是否體現持續改進?,,,,,,

,,,,如何監督方案的實施,由誰負責方案實施的監督?,,,,,,

,,,,,如何驗證方案實施的效果,,,,,,

,,,,方案能否保證目標和指標的實現,是否存在一個評審方案的過程?,,,,,,

,,,,,是否所有的目標和指標都有相應的方案?,,,,,,

,,,,,有關人員是否參與方案的制定？,,,,,,

,,,,是否及時修訂方案,什么情況下修訂方案？,,,,,,

,,,,,是否進行過修訂,,,,,,

,,7.1資源,,資源獲取,公司是否提供BCMS運行所需的資源？,,,,,,

,,,,,包括但不限于-硬件、軟件、人力、信息的？,,,,,,

,,7.2能力,,人員的能力要求,對人員的能力要求（如內審員、風險識別和評價人員、對外信息聯絡人員等），是否包括對教育、培訓、技能及經驗的要求?,,,,,,

,,,,,是否對人員能力勝任與否進行了考核?人員的安排是否滿足要求?,,,,,,

,,,,,是否制定培訓計劃？,,,,,,

,,,,,是否按計劃進行培訓、考核？,,,,,,

,,,,,當培訓和考核都不能勝任時是否有處置措施？,,,,,,

,,,,,培訓和考核的記錄是否保存？,,,,,,

,,7.3意識,,意識溝通,公司所有人員是否了解BCM方針？,,,,,,

,,,,,是否了解要為BCMS績效做那些貢獻？,,,,,,

,,,,,是否了解因自身原因造成BCMS不符合的后果和責任？,,,,,,

,,7.4溝通,,溝通程序,是否建立溝通程序？,,,,,,

,,,,,溝通內容是否包括-BCM方針、目標、BCM風險等？,,,,,,

,,,,,針對不同溝通內容是否有明確溝通時機？,,,,,,

,,,,,是否有明確的溝通對象？,,,,,,

,,,,,外部相關組織和公司內部的溝通渠道是否暢通？,,,,,,

,,,,,公司內部是否按規定的人員、內容和時機與外部相關方進行溝通？,,,,,,

,,,,,正式溝通信息是否有存檔？,,,,,,

,,,,,溝通的人員、內容、方式和渠道（如火災、自然災害、內部緊急事件等）是否提供國家預警體系？,,,,,,

,,,,,當有中斷事件發生時是否制定2種以上的溝通方式和2個以上負責人響應確保溝通暢通？,,,,,,

,,,,,是否對溝通方式進行測試？測試異常是否有效改進？,,,,,,

,21,7.5存檔信息,SP-04文件和資料管理程序,文件的編寫、批準、發布、保管、修訂、評審情況,是否建立BCM文件和資料管理程序？,,,,,,

,,7.5.1總則,,,文件管理方式有那些？如何保證文件有效控制？,,,,,,

,,"7.5.2創建與更新

7.5.3存檔信息的管理",,,文件是否專人管理？管理人員能力是否具備？,,,,,,

,,,,,所有文件是否字跡清楚?所有文件標識是否明確?,,,,,,

,22,,,,文件發布前是否得到授權人的批準?均注明制定或修訂日期?,,,,,,

,23,,,,文件修改后是否重新批準?,,,,,,

,24,,,,識別文件現行修改狀態的方法是什么?是否滿足要求？,,,,,,

,25,,,,使用處是否都使用適應文件的有效版本?,,,,,,

,26,,,,文件的查找是否方便?文件的保管是否有效,,,,,,

,27,,,外來文件的控制,是否對外來文件的收集、審查、批準、歸檔、發放、使用、評審、更新、補充和作廢等做了規定?且依規定執行的如何?,,,,,,

,28,,,作廢文件,是否對保留的作廢文件進行標識和管理，以防止誤用?,,,,,,

,,,,,程序中是否對記錄的標識、收集、編目、歸檔、保存、維護、查閱、處置等管理內容做了規定?,,,,,,

,29,,SP-05記錄管理程序,是否有對記錄進行管理,記錄是否按規定環境、區域、期限保管？,,,,,,

,,8.1實施的策劃,,策劃,是否按BCMS標準策劃滿足標準所需的過程？,,,,,,

,,,,外包過程,是否識別外包過程？,,,,,,

,,,,,外包過程控制的程序和規范？,,,,,,

,,,,,外包過程是否受控（是否有不符合事件發生）？,,,,,,

,,8.2業務影響分析和風險評估,,,,,,,,,

,,8.2.1總則,,,,,,,,,

,,8.2.2業務影響分析,,,,,,,,,

,,8.2.3風險評估,,,,,,,,,

,,8.3業務連續性策略,,,,,,,,,

,,8.3.1確定和選擇,,,,,,,,,

,,8.3.2建立資源要求,,,,,,,,,

,,8.3.3保護和緩解,,,,,,,,,

,,8.4建立和實施業務連續性程序,,,,,,,,,

,,8.4.1總則,,,,,,,,,

,,8.4.2事件響應機制,,,,,,,,,

,,8.4.3預警和溝通,,,,,,,,,

,,8.4.4業務連續性計劃,,,,,,,,,

,,8.4.5恢復,,,,,,,,,

,,8.5演練和測試,,,,,,,,,

,,9績效評估,,,,,,,,,

,,9.1監視/測量/分析和評價,,,,,,,,,

,,9.1.1總則,,,,,,,,,

,,9.1.2業務連續性程序的評價,,,,,,,,,

,,9.2內部審核,,內審程序,"是否有程序,程序中是否包含審核的范圍、頻次、計劃、方法？",,,,,,

,,,,,是否進行了年度內審方案策劃且明確規定了審核的準則、范圍、頻次、方法?,,,,,,

,,,,,年度內審方案是否經管理層批準？,,,,,,

,,,,,年度內審方案是否發給有關部門?,,,,,,

,,,,內部審核的實施,是否制定了內審實施計劃?,,,,,,

,,,,,內審實施計劃是否覆蓋全部要素和全部部門?,,,,,,

,,,,,審核是否由非從事受審話動的人員進行?,,,,,,

,,,,,審核員是否經過培訓，并取得了資格證?,,,,,,

,,,,,審核用檢查表是否充分、符合要求?,,,,,,

,,,,,審核報告的內容是否全面?能否說明管理體系的符合性和有效性?,,,,,,

,,,,糾正措施,對內部審核中發現的不符合是否采取了糾正措施?及驗證,,,,,,

,,,,,采取的糾正措施是否按期完成？,,,,,,

,,,,審核資格,內審資格程序明確？,,,,,,

,,,,,內審員培訓、考核、資格審核？,,,,,,

,,9.3管理評審,,是否有定期進行管理評審的規定?,評審的時間間隔是怎樣規定的？,,,,,,

,,,,,是否按規定的時間進行管理評審?,,,,,,

,,,,,管理評審是否由總經理親自主持?,,,,,,

,,,,管理評審的實施情況;管理評審的內容是否充分.,內、外部審核結果，以前管理評審后續措施實施情況的報告；,,,,,,

,,,,,方針、目標和指標、管理方案實施情況；,,,,,,

,,,,,驗證活動結果的分析情況，體系更新活動的評審結果；,,,,,,

,,,,,緊急情況、事故和撤回的情況，不符合、糾正和預防措施實施情況；,,,,,,

,,,,,對溝通活動(包括顧客等相關方的反饋、建議等)的評價情況的；,,,,,,

,,,,,其它程序要求評審輸入內容,,,,,,

,,,,,環境因素識別與評價的總體報告；,,,,,,

,,,,管理評審的輸出是否完整并形成文件?,有無評審記錄和形成的其他文件？,,,,,,

,,,,,《管理評審報告》中有無管理體系適宜性、充分性和有效性的結論?,,,,,,

,,,,,方針、目標、產品、食品安全、環境保護、資源以及管理體系的其他要求章(或過程)是否需要改進?,,,,,,

,,,,,有無不符合?是否提出了糾正要求?,,,,,,

,,,,管理評審的后續管理,評審的后續工作進展如何?,,,,,,

,,,,,對管理評審中的糾正措施是否進行了跟蹤驗證?驗證的結果是否記錄并上報給最高管理者?,,,,,,

,,10.1不符