GB/T 31595-2015公共安全業(yè)務連續(xù)性管理體系指南

ICS13200

A90.

中華人民共和國國家標準

GB/T31595—2015/ISO223132012

:

公共安全業(yè)務連續(xù)性管理體系指南

Societalsecurity—Businesscontinuitymanagementsystems—Guidance

(ISO22313:2012,IDT)

2015-06-02發(fā)布2016-01-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T31595—2015/ISO223132012

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

組織環(huán)境

4…………………1

了解組織和組織環(huán)境

4.1………………1

理解相關方的需求和期望

4.2…………2

確定管理體系的范圍

4.3………………3

業(yè)務連續(xù)性管理體系

4.4………………3

領導力

5……………………4

領導力和承諾

5.1………………………4

管理承諾

5.2……………4

方針

5.3…………………4

組織的角色職責和權力

5.4、……………5

策劃

6………………………5

應對風險和機會的措施

6.1……………5

業(yè)務連續(xù)性目標和實現(xiàn)計劃

6.2………………………5

支持

7………………………6

資源

7.1…………………6

能力

7.2…………………7

意識

7.3…………………8

溝通

7.4…………………9

存檔信息

7.5……………9

實施

8………………………11

實施的策劃和控制

8.1…………………11

業(yè)務影響分析和風險評估

8.2…………13

業(yè)務連續(xù)性策略

8.3……………………15

建立和實施業(yè)務連續(xù)性程序

8.4………………………21

演練和測試

8.5…………………………29

績效評估

9…………………30

監(jiān)視測量分析和評價

9.1、、……………30

內(nèi)部審核

9.2……………32

管理評審

9.3……………33

Ⅰ

GB/T31595—2015/ISO223132012

:

改進

10……………………33

不符合和糾正措施

10.1………………33

持續(xù)改進

10.2…………………………34

參考文獻

……………………35

Ⅱ

GB/T31595—2015/ISO223132012

:

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準使用翻譯法等同采用公共安全業(yè)務連續(xù)性管理體系指南英文

ISO22313:2012《》(

版僅有編輯性修改

),。

與本標準中規(guī)范性引用的國際文件有一致性關系的我國文件如下

:

公共安全業(yè)務連續(xù)性管理體系要求

———GB/T30146—2013(ISO22301:2012,IDT)

本標準由全國公共安全基礎標準化技術委員會提出并歸口

(SAC/TC351)。

本標準起草單位中國標準化研究院中國信息安全認證中心廣發(fā)銀行招商銀行

:、、、。

本標準主要起草人王金玉秦挺鑫魏軍林德明董曉媛高旭磊邢立強楊正科尤其

:、、、、、、、、。

Ⅲ

GB/T31595—2015/ISO223132012

:

引言

總則

本標準在適當時為的要求提供指南并提供與要求相關的推薦宜和允許可建

ISO22301:2012,()()

議為業(yè)務連續(xù)性的各個方面提供通用指南不是本標準的意圖

。。

本標準和雖標題相同但并不是重復業(yè)務連續(xù)性管理體系要求相關術語和定義組織

ISO22301、。

希望了解上述內(nèi)容請參照和

ISO22301ISO22300。

本標準使用的示圖是為了進一步澄清和解釋關鍵點這些示圖只為說明目的相關內(nèi)容優(yōu)先參考

。,

標準正文

。

業(yè)務連續(xù)性管理體系強調(diào)以下重要性

(BCMS):

了解組織的需求和建立業(yè)務連續(xù)性方針與目標的必要性

———;

實施和運行控制以及實施和運行措施來管理組織應對中斷事件的整體能力

———;

監(jiān)視和評審績效和有效性

———BCMS;

基于目標測量的持續(xù)改進

———。

業(yè)務連續(xù)性管理體系與其他管理體系類似也包括以下關鍵因素

,:

方針

a);

有明確職責的人員

b);

與管理過程相關的

c):

方針

1);

策劃

2);

實施和運行

3);

績效評估

4);

管理評審

5);

改進

6)。

一套可提供審核證據(jù)的文件

d);

任何與組織相關的業(yè)務連續(xù)性管理體系過程

e)。

業(yè)務連續(xù)性對一個組織而言是特定的但在執(zhí)行過程中可能要涉及到其他的群體和第三方一個

,。

組織很可能有他依賴的和依賴他的外部組織業(yè)務連續(xù)性有助于構建更具彈性的社會

,。

策劃-實施-檢查-改進PDCA模型

本標準采用策劃實施檢查改進模型來策劃建立實施運

“(Plan)-(Do)-(Check)-(Act)”(PDCA),,,

行監(jiān)視評審保持和持續(xù)改進組織的有效性

,,,BCMS。

圖說明了如何把相關方業(yè)務連續(xù)性管理要求作為輸入并通過必要的措施和過程產(chǎn)生

1BCMS,,

滿足這些要求的連續(xù)性輸出例如受控的業(yè)務連續(xù)性

()。

Ⅳ

GB/T31595—2015/ISO223132012

:

圖1應用于BCMS過程的PDCA

表1PDCA模型的解釋

策劃建立與改進業(yè)務連續(xù)性管理相關的業(yè)務連續(xù)性方針目標控制措施過程和程序以提供與

、、、,

建立組織的總方針和目標相一致的結果

()

實施

實施和運行業(yè)務連續(xù)性的方針控制措施過程和程序

實施和運行、、

()

檢查對照業(yè)務連續(xù)性方針和目標監(jiān)視和評審業(yè)務連續(xù)性的績效并將結果報告管理者以供評審

,,,

監(jiān)視和評審確定和授權糾正和改進措施

()

改進基于管理評審以及重新評審的業(yè)務連續(xù)性管理體系的范圍方針和目標的結果采取糾正措

、,

保持和改進施以持續(xù)改進

(),BCMS

本標準中PDCA組成部分

本標準中各章節(jié)和圖內(nèi)容間對應關系如下表所示

1:

表2PDCA模型與第4章到第10章之間對應關系

組成部分與組成部分對應的章節(jié)

PDCAPDCA

第章組織環(huán)境闡述了組織做什么以確保滿足要求并考慮

4()BCMS,

所有相關的外部和內(nèi)部因素包括

,:

相關方的需求和期望

———;

法律法規(guī)責任

———;

所要求的范圍

———BCMS

策劃

第章領導力闡述了管理者在證明承諾確定方針建立角色職責

建立5()、、、

()和權力方面的關鍵作用

第章策劃描述建立整體的戰(zhàn)略目標和指導原則所需的措施

6()BCMS。

為業(yè)務影響分析風險評估和業(yè)務連續(xù)性策略建立環(huán)境

,(8.2)(8.3)

第章支持識別支持所需的關鍵要素即資源能力意識

7()BCMS,,,,

溝通和存檔信息

實施第章實施識別實現(xiàn)業(yè)務連續(xù)性所需的業(yè)務連續(xù)性管理

8()(BCM)

實施和運行要素

()

檢查

第章績效評估通過績效測量和評估提供改進基礎

監(jiān)視和評審9()BCMS

()

改進

第章改進包括通過績效評估識別針對不符合所采取的糾正措施

保持和改進10()

()

Ⅴ

GB/T31595—2015/ISO223132012

:

業(yè)務連續(xù)性

業(yè)務連續(xù)性是在中斷事件發(fā)生后組織在預先確定的可接受的水平上連續(xù)交付產(chǎn)品或提供服務的

,

能力是實現(xiàn)業(yè)務連續(xù)性的過程并使組織準備處理有可能妨礙實現(xiàn)其目標的中斷事件

。BCM。

將置于管理體系框架和原則下來建立以使可控可評估和可持續(xù)改進

BCMBCMS,BCM、。

本標準中業(yè)務一詞泛指組織為實現(xiàn)其目標目的或使命而開展的運營和服務該詞本身適用于

,、。

大中小型的工業(yè)商業(yè)公共和非盈利組織

、、、、。

任何事件無論大小自然的意外的或蓄意的都可能會使組織的運營及其交付產(chǎn)品和服務的能力

,、、,

發(fā)生嚴重的中斷因此只有在中斷事件發(fā)生前而不是發(fā)生后實施業(yè)務連續(xù)性才能確保組織在所受影

。,,

響尚未嚴重到不可接受之前恢復業(yè)務的運行

。

包括

BCM:

清楚組織的關鍵產(chǎn)品和服務以及交付這些產(chǎn)品和服務的活動

a),;

了解恢復活動的優(yōu)先級及其所需的資源

b);

清晰地了解活動所受到的威脅包括這些活動之間的依賴關系還要知道如果沒有恢復這些活

c),,

動將會帶來的影響

;

當中斷事件發(fā)生時有準備好的經(jīng)過測試并可靠的計劃來重啟活動

d),;

確保這些計劃得到定期評審和更新從而使其在各種情況下都有效

e),。

業(yè)務連續(xù)性在處理突發(fā)中斷事件例如爆炸和漸進中斷事件例如流感大爆發(fā)時都是有效的

(,)(,)。

能夠造成活動中斷的事件非常多其中許多是難以預測和分析的由于業(yè)務連續(xù)性關注中斷事件

,。

帶來的影響而不是其產(chǎn)生的原因所以業(yè)務連續(xù)性識別出哪些是組織賴以生存的活動并使組織確定為

,,

履行其責任需確保哪些活動的連續(xù)性通過業(yè)務連續(xù)性組織能認識到在中斷事件發(fā)生前需要做什么

。,

準備來保護其資源例如人房屋技術和信息供應鏈相關方以及聲譽基于該認識組織能在中斷

(:、、)、、。,

事件發(fā)生時務實地采取可能需要的響應從而能夠自信地管理結果并避免造成不可接受的影響

,。

做好了適當?shù)臉I(yè)務連續(xù)性準備的組織還能將高風險轉(zhuǎn)化為機會

。

下面兩圖圖和圖試圖從概念上來說明在某種情況下業(yè)務連續(xù)性是如何有效地減輕影響的

(23)。

兩圖中所示的各個階段之間的相對距離并不表示特定的時間尺度

。

通過有效的業(yè)務連續(xù)性管理減輕中斷事件的影響突發(fā)中斷

———

圖2業(yè)務連續(xù)性對突發(fā)中斷有效的圖解

Ⅵ

GB/T31595—2015/ISO223132012

:

通過有效的業(yè)務連續(xù)性管理減輕中斷事件的影響漸進中斷

———

圖3業(yè)務連續(xù)性對漸進中斷有效的圖解

Ⅶ

GB/T31595—2015/ISO223132012

:

公共安全業(yè)務連續(xù)性管理體系指南

1范圍

本標準基于良好實踐為業(yè)務連續(xù)性管理體系的策劃建立實施運行監(jiān)視評審保持和持續(xù)改

,、、、、、、

進文件化的管理體系提供指南以使組織能夠在中斷事件發(fā)生時準備響應并進行恢復

,,、。

本標準目的不是要制定統(tǒng)一的結構而是為組織設計一個適合組織自身需要和滿足其相關

BCMS,

方要求的這些需求由法律法規(guī)組織和行業(yè)要求產(chǎn)品和服務所采用的過程運行環(huán)境組織

BCMS。、、、、、,

的規(guī)模和結構以及相關方的要求等方面構成

。

本標準是通用的并適用于包括大中小型從事工業(yè)商業(yè)公共和非盈利等所有規(guī)模和類型的組

、、、、

織以期

,:

建立實施保持和改進

a)、、BCMS;

確保與組織的業(yè)務連續(xù)性方針保持一致

b);

做出符合本標準的自我聲明

c);

本標準不可用于評估組織的能力是否滿足其自身業(yè)