GB/T 30146-2023安全與韌性業(yè)務(wù)連續(xù)性管理體系要求

ICS0310001

CCSA.90.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T30146—2023/ISO223012019

:

代替GB/T30146—2013

安全與韌性業(yè)務(wù)連續(xù)性管理體系要求

Securityandresilience—Businesscontinuitymanagementsystems—Requirements

ISO223012019IDT

(:,)

2023-03-17發(fā)布2023-10-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T30146—2023/ISO223012019

:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

組織環(huán)境

4…………………5

領(lǐng)導(dǎo)力

5……………………6

策劃

6………………………7

支持

7………………………8

運(yùn)行

8………………………10

績(jī)效評(píng)價(jià)

9…………………14

改進(jìn)

10……………………15

參考文獻(xiàn)

……………………17

GB/T30146—2023/ISO223012019

:

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替安全與韌性業(yè)務(wù)連續(xù)性管理體系要求與

GB/T30146—2013《》,GB/T30146—

相比除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外主要技術(shù)變化如下

2013,,:

更改了范圍見(jiàn)第章版的第章

———(1,20131);

刪除了部分術(shù)語(yǔ)和定義見(jiàn)版的

———(20133.4、3.5、3.7、3.12、3.14、3.17、3.18、3.20、3.22、3.23、3.25、

3.26、3.28、3.30、3.36、3.37、3.39、3.43~3.45、3.49~3.52、3.54、3.55);

增加了術(shù)語(yǔ)中斷和影響見(jiàn)

———“”“”(3.10、3.13);

刪除了管理承諾見(jiàn)版的

———“”(20135.2);

增加了業(yè)務(wù)連續(xù)性管理體系變更的策劃見(jiàn)

———“”(6.3);

更改了溝通的相關(guān)內(nèi)容見(jiàn)版的

———“”(7.4,20137.4);

將存檔信息改為成文信息見(jiàn)版的

———“”“”(7.5,20137.5);

將實(shí)施改為運(yùn)行見(jiàn)第章版的第章

———“”“”(8,20138);

更改了業(yè)務(wù)連續(xù)性策略的相關(guān)內(nèi)容見(jiàn)版的

———“”(8.3,20138.3);

增加了業(yè)務(wù)連續(xù)性文件和能力評(píng)價(jià)見(jiàn)

———“”(8.6);

將績(jī)效評(píng)估改為績(jī)效評(píng)價(jià)見(jiàn)第章版的第章

———“”“”(9,20139);

更改了監(jiān)視測(cè)量分析和評(píng)價(jià)的相關(guān)內(nèi)容見(jiàn)版的

———“、、”(9.1,20139.1.1);

刪除了業(yè)務(wù)連續(xù)性程序的評(píng)價(jià)見(jiàn)版的

———“”(20139.1.2);

增加了審核方案見(jiàn)

———“”(9.2.2);

更改了管理評(píng)審的相關(guān)內(nèi)容見(jiàn)版的

———“”(9.3,20139.3);

更改了持續(xù)改進(jìn)的相關(guān)內(nèi)容見(jiàn)版的

———“”(10.2,201310.2)。

本文件等同采用安全與韌性業(yè)務(wù)連續(xù)性管理體系要求英文版

ISO22301:2019《》()。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任

。。

本文件由全國(guó)公共安全基礎(chǔ)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC351)。

本文件起草單位北方工業(yè)大學(xué)中國(guó)標(biāo)準(zhǔn)化研究院阿里云計(jì)算有限公司中國(guó)網(wǎng)絡(luò)安全審查技術(shù)

:、、、

與認(rèn)證中心蘇州蘇大教育服務(wù)投資發(fā)展集團(tuán)有限公司國(guó)網(wǎng)四川省電力公司中鐵上海工程局集團(tuán)

、()、、

有限公司上海速邦信息科技有限公司北京安創(chuàng)信達(dá)科技有限公司湖北省標(biāo)準(zhǔn)化與質(zhì)量研究院北京

、、、、

科技大學(xué)北京市科學(xué)技術(shù)研究院北京市科學(xué)技術(shù)研究院城市安全與環(huán)境科學(xué)研究所浙江圣雪休閑

、、、

用品有限公司和也健康科技有限公司廈門(mén)市九安安全檢測(cè)評(píng)價(jià)事務(wù)所有限公司中國(guó)家用電器研究

、、、

院標(biāo)準(zhǔn)聯(lián)合咨詢(xún)中心股份公司

、。

本文件主要起草人秦挺鑫周倩柳長(zhǎng)安李津徐術(shù)坤孫曉鯤王皖魏軍董曉媛史運(yùn)濤尤其

:、、、、、、、、、、、

陸慶常政威萬(wàn)興權(quán)劉玉節(jié)張英華徐鳳嬌張超王晶晶鄧哲張卓代寶乾羊靜高玉坤梁育剛

、、、、、、、、、、、、、、

萬(wàn)誼平董哲徐然姚衛(wèi)華邱有富朱曉輝方志財(cái)廖鐘財(cái)盧成緒

、、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2013GB/T30146—2013;

本次為第一次修訂

———。

Ⅰ

GB/T30146—2023/ISO223012019

:

引言

01總則

.

本文件提出了實(shí)施和保持業(yè)務(wù)連續(xù)性管理體系的架構(gòu)和要求其建立業(yè)務(wù)連續(xù)性與組織

(BCMS),

中斷發(fā)生后可以或不可以接受的影響的數(shù)量和類(lèi)型相適應(yīng)

。

保持的結(jié)果取決于組織所處環(huán)境的法律法規(guī)組織和行業(yè)要求提供的產(chǎn)品和服務(wù)采用的

BCMS、、、

過(guò)程組織的規(guī)模和架構(gòu)以及相關(guān)方要求

、。

強(qiáng)調(diào)以下方面的重要性

BCMS:

理解組織的需求以及制定業(yè)務(wù)連續(xù)性方針和目標(biāo)的必要性

———;

運(yùn)行并保持過(guò)程能力和響應(yīng)框架確保組織經(jīng)受住干擾

———、;

監(jiān)視和評(píng)審業(yè)務(wù)連續(xù)性管理體系的績(jī)效和有效性

———;

基于定性和定量測(cè)量的持續(xù)改進(jìn)

———。

和其他管理體系一樣包括以下部分

,BCMS:

方針

a);

具有明確職責(zé)具備相應(yīng)能力的人員

b)、;

涉及以下內(nèi)容的管理過(guò)程

c):

方針

1);

策劃

2);

實(shí)施和運(yùn)行

3);

績(jī)效評(píng)價(jià)

4);

管理評(píng)審

5);

持續(xù)改進(jìn)

6)。

支持運(yùn)行控制和績(jī)效評(píng)價(jià)的成文信息

d)。

02業(yè)務(wù)連續(xù)性管理體系的效益

.

的目標(biāo)是準(zhǔn)備提供并保持組織在中斷期間持續(xù)運(yùn)營(yíng)的整體能力為了實(shí)現(xiàn)這一目標(biāo)組

BCMS、。,

織要

:

從業(yè)務(wù)角度

a):

支持其戰(zhàn)略目標(biāo)

1);

建立競(jìng)爭(zhēng)優(yōu)勢(shì)

2);

保護(hù)并提高其聲譽(yù)和信譽(yù)

3);

促進(jìn)組織韌性

4)。

從財(cái)務(wù)角度

b):

降低法律和財(cái)務(wù)風(fēng)險(xiǎn)

1);

減少直接和間接的中斷成本

2)。

從相關(guān)方角度

c):

保護(hù)生命財(cái)產(chǎn)和環(huán)境

1)、;

考慮相關(guān)方的期望

2);

Ⅱ

GB/T30146—2023/ISO223012019

:

增強(qiáng)組織有能力成功的信心

3)。

從內(nèi)部過(guò)程角度

d):

提高組織在業(yè)務(wù)中斷期間保持有效的能力

1);

證明有效和高效地主動(dòng)控制風(fēng)險(xiǎn)

2);

解決運(yùn)行脆弱性

3)。

03策劃—實(shí)施—檢查—改進(jìn)循環(huán)

.

本文件使用策劃建立實(shí)施執(zhí)行和運(yùn)行檢查監(jiān)控和評(píng)審和改進(jìn)保持和改進(jìn)循環(huán)

()、()、()()(PDCA)

來(lái)建立保持并持續(xù)改進(jìn)組織的有效性

、BCMS。

這確保了與和等其他管理體

ISO9001、ISO14001、ISO/IEC20000-1、ISO/IEC27001ISO28000

系標(biāo)準(zhǔn)在一定程度上的一致性從而支持了與相關(guān)管理體系的一致和整合的實(shí)施和運(yùn)作

,。

根據(jù)循環(huán)第章至第章包括以下內(nèi)容

PDCA,410:

第章介紹了組織建立環(huán)境需求要求和范圍時(shí)的必要要求

———4BCMS、、;

第章總結(jié)了業(yè)務(wù)連續(xù)性管理體系中最高管理者角色的要求以及領(lǐng)導(dǎo)層如何通過(guò)方針聲明

———5,

向組織闡述其期望

;

第章描述了制定整個(gè)戰(zhàn)略目標(biāo)和指導(dǎo)原則的要求

———6BCMS;

第章支撐運(yùn)行在記錄控制保持和保留所需的成文信息的同時(shí)建立能力定

———7BCMS,、、,,

期根據(jù)需要與相關(guān)方建立溝通

/;

第章定義了業(yè)務(wù)連續(xù)性需求確定了如何解決這些需求并制定了在中斷期間管理組織的

———8,,

程序

;

第章總結(jié)了測(cè)量業(yè)務(wù)連續(xù)性績(jī)效與本文件的符合性以及進(jìn)行管理評(píng)審所需的要求

———9、BCMS;

第章識(shí)別和糾正的不符合并通過(guò)采取糾正措施持續(xù)改進(jìn)

———10BCMS,。

04本文件內(nèi)容

.

本文件符合管理體系標(biāo)準(zhǔn)要求這些要求包括高層架構(gòu)相同的核心內(nèi)容以及具有核心概念

ISO。、

的通用術(shù)語(yǔ)旨在使實(shí)施多個(gè)管理體系標(biāo)準(zhǔn)的使用者受益

,ISO。

本文件不包括特定于其他管理體系的要求盡管本文件的要素可以與其他管理體系的要素保持一

,

致或集成

。

本文件包含組織可用于實(shí)施和符合評(píng)定的要求組織可通過(guò)以下方式證明其符合本文件

BCMS。:

做出自我決定和自我聲明

———;

尋求與組織有利益關(guān)系的各方如客戶(hù)確認(rèn)其符合性

———();

尋求組織外部的一方確認(rèn)其自我聲明

———;

尋求外部組織對(duì)其進(jìn)行認(rèn)證注冊(cè)

———BCMS/。

本文件中第章至第章闡述了范圍規(guī)范性引用文件以及適用于本文件使用的術(shù)語(yǔ)和定義

13、。

第章至第章包含用于評(píng)估是否符合本文件的要求

410。

本文件運(yùn)用了下列助動(dòng)詞

:

應(yīng)表示要求

a)“”;

宜表示建議

b)“”;

可表示許可

c)“”;

能表示可能性或能力

d)“”。

標(biāo)記為注的信息用于指導(dǎo)理解或澄清相關(guān)要求第章使用的注提供了補(bǔ)充術(shù)語(yǔ)數(shù)據(jù)的附加

“”。3“”

信息可以包含與術(shù)語(yǔ)使用有關(guān)的規(guī)定

,。

Ⅲ

GB/T30146—2023/ISO223012019

:

安全與韌性業(yè)務(wù)連續(xù)性管理體系要求

1范圍

本文件規(guī)定了實(shí)施保持和改進(jìn)管理體系的要求以防止減少中斷事件發(fā)生的可能性為中斷做好

、,、,

準(zhǔn)備做出響應(yīng)并從中恢復(fù)

,。

本文件規(guī)定的所有要求是通用的適用于各種類(lèi)型規(guī)模和特性的組織或其組成部分這些要求的

,、。

適用范圍取決于組織的運(yùn)行環(huán)境和復(fù)雜性

。

本文件適用于有如下需求的各種類(lèi)型和規(guī)模的組織

:

實(shí)施保持和改進(jìn)

a)、BCMS;

確保符合該組織聲明的業(yè)務(wù)連續(xù)性方針

b);

需要能夠在中斷期間以可接受的預(yù)定能力連續(xù)交付產(chǎn)品和服務(wù)

c);

試圖通過(guò)有效運(yùn)用增強(qiáng)其韌性

d)BCMS。

本文件可用于評(píng)估一個(gè)組織滿(mǎn)足自身業(yè)務(wù)連續(xù)性需求和責(zé)任的能力

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,(