ICS13200

A90.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T31595—2015/ISO223132012

:

公共安全業(yè)務(wù)連續(xù)性管理體系指南

Societalsecurity—Businesscontinuitymanagementsystems—Guidance

(ISO22313:2012,IDT)

2015-06-02發(fā)布2016-01-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T31595—2015/ISO223132012

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

組織環(huán)境

4…………………1

了解組織和組織環(huán)境

4.1………………1

理解相關(guān)方的需求和期望

4.2…………2

確定管理體系的范圍

4.3………………3

業(yè)務(wù)連續(xù)性管理體系

4.4………………3

領(lǐng)導(dǎo)力

5……………………4

領(lǐng)導(dǎo)力和承諾

5.1………………………4

管理承諾

5.2……………4

方針

5.3…………………4

組織的角色職責(zé)和權(quán)力

5.4、……………5

策劃

6………………………5

應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施

6.1……………5

業(yè)務(wù)連續(xù)性目標(biāo)和實(shí)現(xiàn)計(jì)劃

6.2………………………5

支持

7………………………6

資源

7.1…………………6

能力

7.2…………………7

意識(shí)

7.3…………………8

溝通

7.4…………………9

存檔信息

7.5……………9

實(shí)施

8………………………11

實(shí)施的策劃和控制

8.1…………………11

業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估

8.2…………13

業(yè)務(wù)連續(xù)性策略

8.3……………………15

建立和實(shí)施業(yè)務(wù)連續(xù)性程序

8.4………………………21

演練和測(cè)試

8.5…………………………29

績(jī)效評(píng)估

9…………………30

監(jiān)視測(cè)量分析和評(píng)價(jià)

9.1、、……………30

內(nèi)部審核

9.2……………32

管理評(píng)審

9.3……………33

Ⅰ

GB/T31595—2015/ISO223132012

:

改進(jìn)

10……………………33

不符合和糾正措施

10.1………………33

持續(xù)改進(jìn)

10.2…………………………34

參考文獻(xiàn)

……………………35

Ⅱ

GB/T31595—2015/ISO223132012

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)使用翻譯法等同采用公共安全業(yè)務(wù)連續(xù)性管理體系指南英文

ISO22313:2012《》(

版僅有編輯性修改

),。

與本標(biāo)準(zhǔn)中規(guī)范性引用的國(guó)際文件有一致性關(guān)系的我國(guó)文件如下

:

公共安全業(yè)務(wù)連續(xù)性管理體系要求

———GB/T30146—2013(ISO22301:2012,IDT)

本標(biāo)準(zhǔn)由全國(guó)公共安全基礎(chǔ)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC351)。

本標(biāo)準(zhǔn)起草單位中國(guó)標(biāo)準(zhǔn)化研究院中國(guó)信息安全認(rèn)證中心廣發(fā)銀行招商銀行

:、、、。

本標(biāo)準(zhǔn)主要起草人王金玉秦挺鑫魏軍林德明董曉媛高旭磊邢立強(qiáng)楊正科尤其

:、、、、、、、、。

Ⅲ

GB/T31595—2015/ISO223132012

:

引言

總則

本標(biāo)準(zhǔn)在適當(dāng)時(shí)為的要求提供指南并提供與要求相關(guān)的推薦宜和允許可建

ISO22301:2012,()()

議為業(yè)務(wù)連續(xù)性的各個(gè)方面提供通用指南不是本標(biāo)準(zhǔn)的意圖

。。

本標(biāo)準(zhǔn)和雖標(biāo)題相同但并不是重復(fù)業(yè)務(wù)連續(xù)性管理體系要求相關(guān)術(shù)語(yǔ)和定義組織

ISO22301、。

希望了解上述內(nèi)容請(qǐng)參照和

ISO22301ISO22300。

本標(biāo)準(zhǔn)使用的示圖是為了進(jìn)一步澄清和解釋關(guān)鍵點(diǎn)這些示圖只為說(shuō)明目的相關(guān)內(nèi)容優(yōu)先參考

。,

標(biāo)準(zhǔn)正文

。

業(yè)務(wù)連續(xù)性管理體系強(qiáng)調(diào)以下重要性

(BCMS):

了解組織的需求和建立業(yè)務(wù)連續(xù)性方針與目標(biāo)的必要性

———;

實(shí)施和運(yùn)行控制以及實(shí)施和運(yùn)行措施來(lái)管理組織應(yīng)對(duì)中斷事件的整體能力

———;

監(jiān)視和評(píng)審績(jī)效和有效性

———BCMS;

基于目標(biāo)測(cè)量的持續(xù)改進(jìn)

———。

業(yè)務(wù)連續(xù)性管理體系與其他管理體系類似也包括以下關(guān)鍵因素

,:

方針

a);

有明確職責(zé)的人員

b);

與管理過(guò)程相關(guān)的

c):

方針

1);

策劃

2);

實(shí)施和運(yùn)行

3);

績(jī)效評(píng)估

4);

管理評(píng)審

5);

改進(jìn)

6)。

一套可提供審核證據(jù)的文件

d);

任何與組織相關(guān)的業(yè)務(wù)連續(xù)性管理體系過(guò)程

e)。

業(yè)務(wù)連續(xù)性對(duì)一個(gè)組織而言是特定的但在執(zhí)行過(guò)程中可能要涉及到其他的群體和第三方一個(gè)

,。

組織很可能有他依賴的和依賴他的外部組織業(yè)務(wù)連續(xù)性有助于構(gòu)建更具彈性的社會(huì)

,。

策劃-實(shí)施-檢查-改進(jìn)PDCA模型

本標(biāo)準(zhǔn)采用策劃實(shí)施檢查改進(jìn)模型來(lái)策劃建立實(shí)施運(yùn)

“(Plan)-(Do)-(Check)-(Act)”(PDCA),,,

行監(jiān)視評(píng)審保持和持續(xù)改進(jìn)組織的有效性

,,,BCMS。

圖說(shuō)明了如何把相關(guān)方業(yè)務(wù)連續(xù)性管理要求作為輸入并通過(guò)必要的措施和過(guò)程產(chǎn)生

1BCMS,,

滿足這些要求的連續(xù)性輸出例如受控的業(yè)務(wù)連續(xù)性

()。

Ⅳ

GB/T31595—2015/ISO223132012

:

圖1應(yīng)用于BCMS過(guò)程的PDCA

表1PDCA模型的解釋

策劃建立與改進(jìn)業(yè)務(wù)連續(xù)性管理相關(guān)的業(yè)務(wù)連續(xù)性方針目標(biāo)控制措施過(guò)程和程序以提供與

、、、,

建立組織的總方針和目標(biāo)相一致的結(jié)果

()

實(shí)施

實(shí)施和運(yùn)行業(yè)務(wù)連續(xù)性的方針控制措施過(guò)程和程序

實(shí)施和運(yùn)行、、

()

檢查對(duì)照業(yè)務(wù)連續(xù)性方針和目標(biāo)監(jiān)視和評(píng)審業(yè)務(wù)連續(xù)性的績(jī)效并將結(jié)果報(bào)告管理者以供評(píng)審

,,,

監(jiān)視和評(píng)審確定和授權(quán)糾正和改進(jìn)措施

()

改進(jìn)基于管理評(píng)審以及重新評(píng)審的業(yè)務(wù)連續(xù)性管理體系的范圍方針和目標(biāo)的結(jié)果采取糾正措

、,

保持和改進(jìn)施以持續(xù)改進(jìn)

(),BCMS

本標(biāo)準(zhǔn)中PDCA組成部分

本標(biāo)準(zhǔn)中各章節(jié)和圖內(nèi)容間對(duì)應(yīng)關(guān)系如下表所示

1:

表2PDCA模型與第4章到第10章之間對(duì)應(yīng)關(guān)系

組成部分與組成部分對(duì)應(yīng)的章節(jié)

PDCAPDCA

第章組織環(huán)境闡述了組織做什么以確保滿足要求并考慮

4()BCMS,

所有相關(guān)的外部和內(nèi)部因素包括

,:

相關(guān)方的需求和期望

———;

法律法規(guī)責(zé)任

———;

所要求的范圍

———BCMS

策劃

第章領(lǐng)導(dǎo)力闡述了管理者在證明承諾確定方針建立角色職責(zé)

建立5()、、、

()和權(quán)力方面的關(guān)鍵作用

第章策劃描述建立整體的戰(zhàn)略目標(biāo)和指導(dǎo)原則所需的措施

6()BCMS。

為業(yè)務(wù)影響分析風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)連續(xù)性策略建立環(huán)境

,(8.2)(8.3)

第章支持識(shí)別支持所需的關(guān)鍵要素即資源能力意識(shí)

7()BCMS,,,,

溝通和存檔信息

實(shí)施第章實(shí)施識(shí)別實(shí)現(xiàn)業(yè)務(wù)連續(xù)性所需的業(yè)務(wù)連續(xù)性管理

8()(BCM)

實(shí)施和運(yùn)行要素

()

檢查

第章績(jī)效評(píng)估通過(guò)績(jī)效測(cè)量和評(píng)估提供改進(jìn)基礎(chǔ)

監(jiān)視和評(píng)審9()BCMS

()

改進(jìn)

第章改進(jìn)包括通過(guò)績(jī)效評(píng)估識(shí)別針對(duì)不符合所采取的糾正措施

保持和改進(jìn)10()

()

Ⅴ

GB/T31595—2015/ISO223132012

:

業(yè)務(wù)連續(xù)性

業(yè)務(wù)連續(xù)性是在中斷事件發(fā)生后組織在預(yù)先確定的可接受的水平上連續(xù)交付產(chǎn)品或提供服務(wù)的

,

能力是實(shí)現(xiàn)業(yè)務(wù)連續(xù)性的過(guò)程并使組織準(zhǔn)備處理有可能妨礙實(shí)現(xiàn)其目標(biāo)的中斷事件

。BCM。

將置于管理體系框架和原則下來(lái)建立以使可控可評(píng)估和可持續(xù)改進(jìn)

BCMBCMS,BCM、。

本標(biāo)準(zhǔn)中業(yè)務(wù)一詞泛指組織為實(shí)現(xiàn)其目標(biāo)目的或使命而開展的運(yùn)營(yíng)和服務(wù)該詞本身適用于

,、。

大中小型的工業(yè)商業(yè)公共和非盈利組織

、、、、。

任何事件無(wú)論大小自然的意外的或蓄意的都可能會(huì)使組織的運(yùn)營(yíng)及其交付產(chǎn)品和服務(wù)的能力

,、、,

發(fā)生嚴(yán)重的中斷因此只有在中斷事件發(fā)生前而不是發(fā)生后實(shí)施業(yè)務(wù)連續(xù)性才能確保組織在所受影

。,,

響尚未嚴(yán)重到不可接受之前恢復(fù)業(yè)務(wù)的運(yùn)行

。

包括

BCM:

清楚組織的關(guān)鍵產(chǎn)品和服務(wù)以及交付這些產(chǎn)品和服務(wù)的活動(dòng)

a),;

了解恢復(fù)活動(dòng)的優(yōu)先級(jí)及其所需的資源

b);

清晰地了解活動(dòng)所受到的威脅包括這些活動(dòng)之間的依賴關(guān)系還要知道如果沒有恢復(fù)這些活

c),,

動(dòng)將會(huì)帶來(lái)的影響

;

當(dāng)中斷事件發(fā)生時(shí)有準(zhǔn)備好的經(jīng)過(guò)測(cè)試并可靠的計(jì)劃來(lái)重啟活動(dòng)

d),;

確保這些計(jì)劃得到定期評(píng)審和更新從而使其在各種情況下都有效

e),。

業(yè)務(wù)連續(xù)性在處理突發(fā)中斷事件例如爆炸和漸進(jìn)中斷事件例如流感大爆發(fā)時(shí)都是有效的

(,)(,)。

能夠造成活動(dòng)中斷的事件非常多其中許多是難以預(yù)測(cè)和分析的由于業(yè)務(wù)連續(xù)性關(guān)注中斷事件

,。

帶來(lái)的影響而不是其產(chǎn)生的原因所以業(yè)務(wù)連續(xù)性識(shí)別出哪些是組織賴以生存的活動(dòng)并使組織確定為

,,

履行其責(zé)任需確保哪些活動(dòng)的連續(xù)性通過(guò)業(yè)務(wù)連續(xù)性組織能認(rèn)識(shí)到在中斷事件發(fā)生前需要做什么

。,

準(zhǔn)備來(lái)保護(hù)其資源例如人房屋技術(shù)和信息供應(yīng)鏈相關(guān)方以及聲譽(yù)基于該認(rèn)識(shí)組織能在中斷

(:、、)、、。,

事件發(fā)生時(shí)務(wù)實(shí)地采取可能需要的響應(yīng)從而能夠自信地管理結(jié)果并避免造成不可接受的影響

,。

做好了適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性準(zhǔn)備的組織還能將高風(fēng)險(xiǎn)轉(zhuǎn)化為機(jī)會(huì)

。

下面兩圖圖和圖試圖從概念上來(lái)說(shuō)明在某種情況下業(yè)務(wù)連續(xù)性是如何有效地減輕影響的

(23)。

兩圖中所示的各個(gè)階段之間的相對(duì)距離并不表示特定的時(shí)間尺度

。

通過(guò)有效的業(yè)務(wù)連續(xù)性管理減輕中斷事件的影響突發(fā)中斷

———

圖2業(yè)務(wù)連續(xù)性對(duì)突發(fā)中斷有效的圖解

Ⅵ

GB/T31595—2015/ISO223132012

:

通過(guò)有效的業(yè)務(wù)連續(xù)性管理減輕中斷事件的影響漸進(jìn)中斷

———

圖3業(yè)務(wù)連續(xù)性對(duì)漸進(jìn)中斷有效的圖解

Ⅶ

GB/T31595—2015/ISO223132012

:

公共安全業(yè)務(wù)連續(xù)性管理體系指南

1范圍

本標(biāo)準(zhǔn)基于良好實(shí)踐為業(yè)務(wù)連續(xù)性管理體系的策劃建立實(shí)施運(yùn)行監(jiān)視評(píng)審保持和持續(xù)改

,、、、、、、

進(jìn)文件化的管理體系提供指南以使組織能夠在中斷事件發(fā)生時(shí)準(zhǔn)備響應(yīng)并進(jìn)行恢復(fù)

,,、。

本標(biāo)準(zhǔn)目的不是要制定統(tǒng)一的結(jié)構(gòu)而是為組織設(shè)計(jì)一個(gè)適合組織自身需要和滿足其相關(guān)

BCMS,

方要求的這些需求由法律法規(guī)組織和行業(yè)要求產(chǎn)品和服務(wù)所采用的過(guò)程運(yùn)行環(huán)境組織

BCMS。、、、、、,

的規(guī)模和結(jié)構(gòu)以及相關(guān)方的要求等方面構(gòu)成

。

本標(biāo)準(zhǔn)是通用的并適用于包括大中小型從事工業(yè)商業(yè)公共和非盈利等所有規(guī)模和類型的組

、、、、

織以期

,:

建立實(shí)施保持和改進(jìn)

a)、、BCMS;

確保與組織的業(yè)務(wù)連續(xù)性方針保持一致

b);

做出符合本標(biāo)準(zhǔn)的自我聲明

c);

本標(biāo)準(zhǔn)不可用于評(píng)估組織的能力是否滿足其自身業(yè)