安全與韌性 業(yè)務(wù)連續(xù)性管理體系 GBT 30146使用指南 征求意見稿

安全與韌性業(yè)務(wù)連續(xù)性管理體系指南 2規(guī)范性引用文件 3術(shù)語和定義 4組織環(huán)境 4.1理解組織及其環(huán)境 4.2理解相關(guān)方的需求和期望 4.2.1總則 4.2.2法律和法規(guī)要求 4.3確定BCMS的范圍 4.3.1總則 4.3.2BCMS的范圍 44.3.3范圍刪減 4.4BCMS 5領(lǐng)導(dǎo)力 5.1領(lǐng)導(dǎo)力和承諾 5.1.1總則 5.1.2最高管理者 5.1.3其他管理角色 5.2方針 5.2.1建立業(yè)務(wù)連續(xù)性方針 5.2.2傳達(dá)業(yè)務(wù)連續(xù)性方針 5.3角色、職責(zé)和權(quán)限 6策劃 6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施 6.1.1確定風(fēng)險(xiǎn)和機(jī)遇 6.1.2應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇 6.2業(yè)務(wù)連續(xù)性目標(biāo)及實(shí)現(xiàn)計(jì)劃 6.2.1確立業(yè)務(wù)連續(xù)性目標(biāo) 86.2.2確定業(yè)務(wù)連續(xù)性目標(biāo) 6.3業(yè)務(wù)連續(xù)性管理體系變更的策劃 7支持 7.1資源 7.1.1總則 7.1.2BCMS資源 97.2能力 7.3意識(shí) 27.4溝通 7.5文件化信息 7.5.1總則 7.5.2創(chuàng)建和更新 7.5.3文件化信息的控制 8運(yùn)行 8.1運(yùn)行的策劃和控制 8.1.1總則 8.1.2業(yè)務(wù)連續(xù)性管理 8.1.3保持業(yè)務(wù)連續(xù)性 8.2業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估 8.2.1總則 8.2.2業(yè)務(wù)影響分析 8.2.3風(fēng)險(xiǎn)評(píng)估 8.3業(yè)務(wù)連續(xù)性策略和解決方案 8.3.1總則 8.3.2確定策略和解決方案 8.3.3選擇策略和解決方案 8.3.4資源要求 8.3.5實(shí)施解決方案 8.4業(yè)務(wù)連續(xù)性計(jì)劃和程序 8.4.1總則 8.4.2響應(yīng)結(jié)構(gòu) 8.4.3預(yù)警和溝通 8.4.4業(yè)務(wù)連續(xù)性計(jì)劃 8.4.5恢復(fù) 8.5演練方案 8.5.1總則 8.5.2演練方案設(shè)計(jì) 8.5.3演練業(yè)務(wù)連續(xù)性計(jì)劃 8.6業(yè)務(wù)連續(xù)性文件和能力評(píng)估 8.6.1總則 8.6.2測量有效性 8.6.3結(jié)果 9績效評(píng)價(jià) 9.1監(jiān)視、測量、分析和評(píng)價(jià) 9.1.1總則 9.1.2保留證據(jù) 9.1.3績效評(píng)價(jià) 9.2內(nèi)部審核 9.2.1總則 9.2.2審核方案 9.3管理評(píng)審 9.3.1總則 39.3.2管理評(píng)審輸入 9.3.3管理評(píng)審輸出 10.1不符合和糾正措施 10.1.1總則 10.1.2不符合的發(fā)生 10.1.3保留文件化信息 4010.2持續(xù)改進(jìn) 40 41本文件按照GB/T1.1—2009給出的規(guī)則起草。本文件使用翻譯法等同采用ISO22313:2020《安全與韌性業(yè)務(wù)連續(xù)性管理體系指南》。本文件由全國公共安全基礎(chǔ)標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC351）提出并歸口。本文件起草單位：本文件主要起草人：0.1總則本文件旨在為GB/T30146中規(guī)定的要求提供指導(dǎo)，而非為業(yè)務(wù)連續(xù)性的所有方面提供通用指南。本文件雖然和GB/T30146包括相同的章節(jié)標(biāo)題，但不會(huì)重述要求以及相關(guān)術(shù)語和定義。本文件旨在解釋和澄清GB/T30146要求的含義和目的，并協(xié)助解釋所有理解上的問題。本文件中引用并提供補(bǔ)充指導(dǎo)的國際和國家標(biāo)準(zhǔn)和技術(shù)規(guī)范包括GB/T35625、GB/T38299、GB/T40054、ISO22330、ISO22331及GB/T38209。這些文件的范圍可能超出GB/T30146的要求。因此，組織宜始終參考GB/T30146來驗(yàn)證所要滿足的要求。本文件使用的圖示是為了進(jìn)一步闡明和解釋要點(diǎn)。這些圖示僅用于說明性目的，相關(guān)內(nèi)容優(yōu)先參考本文件正文。業(yè)務(wù)連續(xù)性管理體系（BCMS）強(qiáng)調(diào)以下重要性：——建立與組織目標(biāo)一致的業(yè)務(wù)連續(xù)性方針和目標(biāo)；——運(yùn)行和維護(hù)流程、能力與響應(yīng)結(jié)構(gòu)，確保組織能夠在中斷時(shí)能夠生存；——監(jiān)視和評(píng)審BCMS績效和有效性；——基于定性和定量測量的持續(xù)改進(jìn)。業(yè)務(wù)連續(xù)性管理體系與其它管理體系類似，包括以下組成部分：a)方針；b)有明確責(zé)任、能勝任的人員；c)與以下相關(guān)的管理過程：2)策劃；3)實(shí)施和運(yùn)行；4)績效評(píng)價(jià)；5)管理評(píng)審；6)持續(xù)改進(jìn)。d)支持運(yùn)行控制和績效評(píng)價(jià)的文件化信息。業(yè)務(wù)連續(xù)性對(duì)一個(gè)組織而言是特定的，不過它在實(shí)施中可能會(huì)涉及到更廣泛的群體和第三方。一個(gè)組織很可能有它依賴的和依賴它的外部組織。有效的業(yè)務(wù)連續(xù)性有助于構(gòu)建更具韌性的社會(huì)。0.2業(yè)務(wù)連續(xù)性管理體系的收益BCMS提高了組織在中斷期間持續(xù)運(yùn)行的應(yīng)急準(zhǔn)備水平。它還能改善對(duì)組織內(nèi)部和外部關(guān)系的理解，與相關(guān)方進(jìn)行更好的溝通，并創(chuàng)造持續(xù)改進(jìn)的環(huán)境。按照本文件中的建議和GB/T30146的要求來實(shí)施BCMS有許多其他的收益。——按照第4章(“組織環(huán)境”)中的建議，該組織：——評(píng)審其戰(zhàn)略目標(biāo)，以確保BCMS支持這些目標(biāo)；——重新考慮相關(guān)方的需求、期望和要求；——了解適用的法律法規(guī)和其他義務(wù)?！凑盏?章（“領(lǐng)導(dǎo)力”），該組織：——重新考慮管理的角色和責(zé)任；——推動(dòng)建設(shè)持續(xù)改進(jìn)的文化；——分配績效監(jiān)控和報(bào)告的責(zé)任。——按照第6章（“策劃”），該組織：——重新調(diào)查其風(fēng)險(xiǎn)和機(jī)會(huì)，并找到應(yīng)對(duì)和利用它們的措施；——建立有效的變更管理?！凑盏?章(“支持”)，該組織：——建立對(duì)BCMS資源(包括能力管理)的有效管理；——提高員工對(duì)管理重要事項(xiàng)的認(rèn)識(shí)；——具有有效的內(nèi)部和外部溝通機(jī)制；——有效地管理文檔?！凑盏?章（“運(yùn)行”），需要組織考慮：——變化的意外后果；——業(yè)務(wù)連續(xù)性優(yōu)先順序和要求；——依賴關(guān)系；——從影響角度看待脆弱性；——中斷風(fēng)險(xiǎn)，并確定最佳應(yīng)對(duì)方法；——在資源有限的情況下業(yè)務(wù)運(yùn)行的替代方案；——處理中斷的有效結(jié)構(gòu)和程序；——對(duì)社會(huì)和其他相關(guān)方的責(zé)任?！凑盏?章(“績效評(píng)價(jià)”)，該組織：：——具有有效的績效監(jiān)控、測量和評(píng)估機(jī)制；——讓管理者參與監(jiān)控BCMS的績效，并為其有效性作出貢獻(xiàn)?！凑盏?0章(“改進(jìn)”)，該組織：——具有監(jiān)控績效和提高有效性的程序；——受益于管理體系的持續(xù)改進(jìn)。因此，實(shí)施BCMS可：a)保護(hù)生命、財(cái)產(chǎn)和環(huán)境；b)保護(hù)和提高組織的聲譽(yù)與信譽(yù)；c)有助于組織提高競爭優(yōu)勢，使其能夠在中斷期間運(yùn)行；d)減少因中斷而產(chǎn)生的成本，并提高組織在中斷期間有效運(yùn)行的能力；e)有助于組織的整體韌性建設(shè)；f)有助于使相關(guān)方對(duì)組織的成功更有信心；g)減少組織的法律和財(cái)務(wù)風(fēng)險(xiǎn)；h)展示組織管理風(fēng)險(xiǎn)和解決運(yùn)行漏洞的能力。0.3策劃-實(shí)施-檢查-改進(jìn)（PDCA）循環(huán)本文件采用策劃-實(shí)施-檢查-改進(jìn)（PDCA）循環(huán)來策劃、建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和持續(xù)改進(jìn)組織BCMS的有效性。有關(guān)PDCA循環(huán)的說明見表1。圖1說明了BCMS如何把相關(guān)方的業(yè)務(wù)連續(xù)性管理要求作為輸入，并通過必要的措施和過程，產(chǎn)生滿足這些要求的業(yè)務(wù)連續(xù)性成果（即受控的業(yè)務(wù)連續(xù)性）。表1PDCA循環(huán)說明策劃（建立）建立與改進(jìn)業(yè)務(wù)連續(xù)性相關(guān)的業(yè)務(wù)連續(xù)性方針、目標(biāo)、控制、過程和程序，以實(shí)現(xiàn)與組織的總方針和目標(biāo)相一致的結(jié)果。實(shí)施（實(shí)施和運(yùn)行）實(shí)施和運(yùn)行業(yè)務(wù)連續(xù)性的方針、控制、過程和程序。檢查根據(jù)業(yè)務(wù)連續(xù)性方針和目標(biāo)，監(jiān)視和評(píng)審業(yè)務(wù)連續(xù)性的績效，并將結(jié)果報(bào)告管理者（監(jiān)視和評(píng)審）以供審核，確定并授權(quán)采取補(bǔ)救和改進(jìn)措施。改進(jìn)（保持和改進(jìn)）根據(jù)管理評(píng)審的結(jié)果和對(duì)BCMS范圍、業(yè)務(wù)連續(xù)性方針和目標(biāo)的重新評(píng)估，采取糾正措施，以持續(xù)改進(jìn)BCMS。業(yè)務(wù)連續(xù)性管理體系（BCMS）的持續(xù)改進(jìn)建立（策劃）實(shí)施和運(yùn)行（實(shí)施）保持和改進(jìn)（改進(jìn)）監(jiān)視和評(píng)審（檢查）實(shí)施和運(yùn)行（實(shí)施）保持和改進(jìn)（改進(jìn)）監(jiān)視和評(píng)審（檢查）求圖1應(yīng)用于BCMS過程的PDCA循環(huán)0.4本文件中PDCA組成部分本文件中各章節(jié)和圖1內(nèi)容間對(duì)應(yīng)關(guān)系如表2所示。表2PDCA循環(huán)與第4章到第10章之間對(duì)應(yīng)關(guān)系PDCA組成部分與PDCA組成部分對(duì)應(yīng)的章節(jié)策劃（建立）并考慮所有相關(guān)的外部和內(nèi)部因素，包括：—相關(guān)方的需求和期望；—法律法規(guī)義務(wù)；—BCMS所要求的范圍。責(zé)任和權(quán)限方面的關(guān)鍵作用。溝通和文件化信息。實(shí)施（實(shí)施和運(yùn)行）檢查（監(jiān)視和評(píng)審）處置第10章（“改進(jìn)”）包括解決通過績效評(píng)價(jià)發(fā)現(xiàn)的不符合的糾正措施。V（保持和改進(jìn)）0.5本文件的內(nèi)容本文件目的不是要制定統(tǒng)一的BCMS結(jié)構(gòu)，而是為組織設(shè)計(jì)一個(gè)適合組織自身需要和滿足其相關(guān)方要求的BCMS。這些需求由法律、法規(guī)、組織和行業(yè)要求、產(chǎn)品和服務(wù)、所采用的過程、運(yùn)行環(huán)境，組織的規(guī)模和結(jié)構(gòu)以及相關(guān)方的要求等構(gòu)成。本文件不可用于評(píng)估組織的能力是否滿足其自身業(yè)務(wù)連續(xù)性要求，也不能用于評(píng)估是否滿足其客戶、法律法規(guī)的要求。希望這樣做的組織可以使用ISO22301中的要求。本文件第1至3章規(guī)定了本文件使用的范圍、規(guī)范性引用以及術(shù)語和定義。第4至10章包含對(duì)GB/T30146中給定要求的指導(dǎo)。在本文件中，使用的動(dòng)詞形式如下：a)“宜”表示建議；b)“可”表示允許；c)“能”表示一種可能或能夠。0.6業(yè)務(wù)連續(xù)性業(yè)務(wù)連續(xù)性是在中斷事件發(fā)生后，組織在預(yù)先定義的可接受的水平上連續(xù)交付產(chǎn)品或提供服務(wù)的能力。業(yè)務(wù)連續(xù)性管理是實(shí)施和保持業(yè)務(wù)連續(xù)性的過程（見8.1.2和圖5）,以預(yù)防損失，并為中斷做好準(zhǔn)備、減輕和管理。建立BCMS使組織能夠控制、評(píng)估和持續(xù)改進(jìn)其業(yè)務(wù)連續(xù)性。本文件中，“業(yè)務(wù)”一詞泛指組織為實(shí)現(xiàn)其目標(biāo)、目的或使命而開展的運(yùn)營和服務(wù)。該詞同樣適用于大、中、小型的工業(yè)、商業(yè)、公共和非盈利組織。中斷有可能中斷組織的整個(gè)運(yùn)營及其交付產(chǎn)品和服務(wù)的能力。但是，在中斷發(fā)生前實(shí)施BCMS，而不是在事件發(fā)生后以非計(jì)劃的方式進(jìn)行響應(yīng)，將使組織能夠在所受影響尚未嚴(yán)重到不可接受之前重續(xù)運(yùn)業(yè)務(wù)連續(xù)性管理包括：a)確定組織的產(chǎn)品和服務(wù)，以及交付這些產(chǎn)品和服務(wù)的活動(dòng)；b)分析不重續(xù)活動(dòng)及其所依賴的資源的影響；c)了解中斷的風(fēng)險(xiǎn)；d)確定重續(xù)產(chǎn)品和服務(wù)交付的優(yōu)先順序、時(shí)間范圍、能力和策略；e)制定解決方案和計(jì)劃，在中斷發(fā)生后所要求的時(shí)間范圍內(nèi)重續(xù)活動(dòng)；f)確保這些計(jì)劃得到定期評(píng)審和更新，從而使其在各種情況下都有效。組織的業(yè)務(wù)連續(xù)性管理方法及其文件化信息宜與其環(huán)境(例如，運(yùn)營環(huán)境、復(fù)雜性、需求、資源)相適應(yīng)。業(yè)務(wù)連續(xù)性在處理突發(fā)中斷（例如爆炸）和漸進(jìn)中斷（例如大流行?。r(shí)都是有效的。能夠造成活動(dòng)中斷的事件非常多，其中許多是難以預(yù)測和分析的。由于業(yè)務(wù)連續(xù)性關(guān)注中斷帶來的影響而不是其產(chǎn)生的原因，所以業(yè)務(wù)連續(xù)性使組織能夠確定對(duì)其履行義務(wù)重要的活動(dòng)。通過業(yè)務(wù)連續(xù)性，組織能認(rèn)識(shí)到在中斷發(fā)生前需要做什么準(zhǔn)備來保護(hù)其資源（例如：人、場地、技術(shù)和信息）、供應(yīng)鏈、相關(guān)方以及聲譽(yù)。基于該認(rèn)識(shí)，組織能夠?qū)㈨憫?yīng)結(jié)構(gòu)落實(shí)到位，從而有信心管理中斷的影響。圖2和圖3從概念上來說明在某種情況下業(yè)務(wù)連續(xù)性是如何有效地減輕影響的。兩圖中所示的各個(gè)階段之間的相對(duì)距離并不表示特定的時(shí)間尺度。VI運(yùn)行水平運(yùn)行水平在可接受的時(shí)間內(nèi)恢縮短中斷復(fù)到可接受的水平開展業(yè)務(wù)連續(xù)性管理無業(yè)務(wù)連續(xù)性管理影響變得不可接事件恢復(fù)時(shí)間目標(biāo)影響變得不可接受的時(shí)間點(diǎn)圖2業(yè)務(wù)連續(xù)性對(duì)突發(fā)中斷有效的圖示VII運(yùn)行水平運(yùn)行水平在可接受的時(shí)間內(nèi)恢復(fù)到可接受的水平縮短中斷有業(yè)務(wù)連續(xù)性應(yīng)無業(yè)務(wù)連續(xù)性最低能力影響變得不可接受的時(shí)間點(diǎn)預(yù)警事件影響變得不可接受的時(shí)間點(diǎn)圖3業(yè)務(wù)連續(xù)性對(duì)漸進(jìn)中斷有效的圖示（如：即將爆發(fā)的大流行病）1安全與韌性業(yè)務(wù)連續(xù)性管理體系指南本文件為應(yīng)用GB/T30146給出的業(yè)務(wù)連續(xù)性管理體系(BCMS)的要求提供了指南和建議。這些指南和建議以良好的國際實(shí)踐為基礎(chǔ)。本文件適用于組織：a)實(shí)施、保持和改進(jìn)BCMS；b)意圖與組織的業(yè)務(wù)連續(xù)性方針保持一致；c)需要能夠在中斷期間以可接受的預(yù)定義能力繼續(xù)交付產(chǎn)品和服務(wù)；d)意圖通過有效應(yīng)用BCMS來增強(qiáng)其韌性。本文件適用于所有規(guī)模和類型的組織，包括大、中、小型從事工業(yè)、商業(yè)、公共和非盈利等組織，采用的方法取決于組織的經(jīng)營環(huán)境和復(fù)雜性。2規(guī)范性引用文件下列文件的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，凡是注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T44483安全與韌性術(shù)語GB/T30146安全與韌性業(yè)務(wù)連續(xù)性管理體系要求3術(shù)語和定義GB/T44483、GB/T30146界定的以及下列術(shù)語和定義適用于本文件。ISO和IEC在以下地址保存了用于標(biāo)準(zhǔn)化的術(shù)語數(shù)據(jù)庫：——ISO在線瀏覽平臺(tái)：/obp——IEC電子百科：/3.1業(yè)務(wù)連續(xù)性管理實(shí)施和保持業(yè)務(wù)連續(xù)性的過程。4組織環(huán)境4.1理解組織及其環(huán)境本章為了解BCMS相關(guān)的組織環(huán)境提供建議。建立和保持業(yè)務(wù)連續(xù)性的建議見8.1。組織宜評(píng)估和了解與其總體目標(biāo)、產(chǎn)品和服務(wù)、可能（或不可能）面臨風(fēng)險(xiǎn)的數(shù)量和類型有關(guān)的內(nèi)部和外部事項(xiàng)（包括需要考慮的正面和負(fù)面因素或條件）。組織在實(shí)施和保持其BCMS時(shí)宜考慮這些信息并排列優(yōu)先級(jí)。組織相關(guān)的外部環(huán)境包括：——國際、國家、地區(qū)或本地的政治、法律和監(jiān)管環(huán)境；——社會(huì)和文化方面；——國際、國家、地區(qū)或本地的財(cái)政、科技、經(jīng)濟(jì)、自然和競爭環(huán)境；——供應(yīng)鏈的承諾和關(guān)系（見GB/T38299）；——影響組織目標(biāo)和運(yùn)行的驅(qū)動(dòng)因素（如：風(fēng)險(xiǎn)，技術(shù)）和趨勢；——組織外部相關(guān)方的關(guān)系、觀念和價(jià)值觀；——用于明確和形成這些關(guān)系的溝通渠道，包括社交媒體。組織相關(guān)的內(nèi)部環(huán)境包括：——產(chǎn)品和服務(wù)、活動(dòng)、資源、供應(yīng)鏈以及和相關(guān)方的關(guān)系；——資源和知識(shí)方面的能力（如資金、時(shí)間、人員、過程、系統(tǒng)和技術(shù)——現(xiàn)有的管理體系；——信息和數(shù)據(jù)（以實(shí)物或電子形式存儲(chǔ)）以及決策制定過程（正式和其他的）——組織內(nèi)部相關(guān)方，包括內(nèi)部供應(yīng)商[考慮服務(wù)等級(jí)協(xié)議(SLA)、已評(píng)估的韌性和恢復(fù)安排]，見GB/T38299；——方針和目標(biāo)，以及實(shí)現(xiàn)它們的業(yè)務(wù)策略；——未來機(jī)遇和業(yè)務(wù)優(yōu)先級(jí)；——觀念、價(jià)值觀和文化；——組織采用的標(biāo)準(zhǔn)和參考模型；——組織結(jié)構(gòu)（如：治理，角色和職責(zé)）；——用于在員工之間交換信息的內(nèi)部溝通渠道（如：社交媒體）。4.2理解相關(guān)方的需求和期望4.2.1總則組織對(duì)組織內(nèi)外的廣泛人員負(fù)有關(guān)注義務(wù)(見ISO/TS22330)。在建立BCMS時(shí)，組織宜確?？紤]所有相關(guān)方的需求和要求。組織宜識(shí)別與其BCMS相關(guān)的所有相關(guān)方（見圖4），并基于他們的需要和期望確定他們的要求。識(shí)別強(qiáng)制的、闡明的和隱含的要求很重要。當(dāng)策劃和實(shí)施BCMS時(shí)，識(shí)別相關(guān)方適用的措施是很重要的，也有所差別。例如，在中斷事件發(fā)生后與所有相關(guān)方進(jìn)行溝通可能是合適的，而建立和管理業(yè)務(wù)連續(xù)性管理（見8.1.2）時(shí)與所有相關(guān)方進(jìn)行溝通可能是不合適的。服務(wù)供應(yīng)商 服務(wù)供應(yīng)商圖4公共和私營部門需考慮的相關(guān)方的示例4.2.2法律和法規(guī)要求本文件應(yīng)用的前提是了解適用的法律和法規(guī)要求。這些要求可能是隱含的、闡明的或強(qiáng)制性的。有關(guān)這些要求的信息宜形成文件，并隨時(shí)更新。新的要求或?qū)ΜF(xiàn)有要求的變更宜通知受影響的員工和其他相關(guān)方。組織宜表明其可以獲得與運(yùn)營相關(guān)的現(xiàn)行和待定的法律法規(guī)要求，以及如何滿足這些要求。要求可能包括：a)事件響應(yīng)，包括應(yīng)急管理和其他相關(guān)法律；b)業(yè)務(wù)連續(xù)性，可能規(guī)定方案的范圍、恢復(fù)的程度或速度；c)風(fēng)險(xiǎn)，定義風(fēng)險(xiǎn)管理的范圍或方法的要求；d)危險(xiǎn)（如與危險(xiǎn)品存放場所相關(guān)的運(yùn)行要求）。多場所經(jīng)營的組織還要滿足不同司法管轄區(qū)的要求。4.3確定BCMS的范圍44.3.1總則確定BCMS范圍的目的是識(shí)別其邊界和適用性，以確保覆蓋所有相關(guān)產(chǎn)品和服務(wù)、活動(dòng)、場所、資源、供應(yīng)商和其他依賴關(guān)系。范圍宜包括4.1中確定的事項(xiàng)、4.2中確定的相關(guān)方要求、以及組織的使命、目標(biāo)和義務(wù)。組織宜準(zhǔn)備一份聲明，以適合組織規(guī)模、性質(zhì)和復(fù)雜性的方式，描述BCMS的范圍。該聲明宜提供給相關(guān)方。4.3.2BCMS的范圍組織宜：a)參考產(chǎn)品和服務(wù)，確定BCMS范圍包含或排除組織的哪些部分，如：1)僅包含向一個(gè)國家或地區(qū)交付特定產(chǎn)品；2)排除一個(gè)不再經(jīng)營或?qū)M織價(jià)值不高的產(chǎn)品；3)僅包含產(chǎn)品及服務(wù)的一部分；b)通過識(shí)別所有相關(guān)活動(dòng)、資源和供應(yīng)鏈的方式來識(shí)別組織的產(chǎn)品和服務(wù)；范圍可以：——包括BCMS將應(yīng)對(duì)的事件規(guī)?；驀?yán)重程度的說明；——識(shí)別BCMS如何融入組織的業(yè)務(wù)戰(zhàn)略和風(fēng)險(xiǎn)管理方法。4.3.3范圍刪減范圍確定了BCMS適用的場所、產(chǎn)品和服務(wù)、活動(dòng)和資源。即使沒有在范圍聲明中明確確定，所有依賴關(guān)系也都在范圍內(nèi)。例如，如果一家制造公司將一款產(chǎn)品納入其BCMS范圍，那么在任何場所直接或間接參與向客戶交付該產(chǎn)品的原材料供應(yīng)、加工、交付和所有支持功能(如數(shù)據(jù)處理，采購和人力資源)，都將包含在范圍內(nèi)。刪減的范圍不宜影響組織滿足由業(yè)務(wù)影響分析（見8.2.2）確定的業(yè)務(wù)連續(xù)性要求的能力。不能刪減交付范圍內(nèi)產(chǎn)品和服務(wù)必需的活動(dòng)、資源和供應(yīng)鏈。BCMS范圍的刪減宜形成文件并闡明原因。如將BCMS整合到現(xiàn)有的管理體系中，組織宜確保BCMS的所有要素都包括在內(nèi)。4.4BCMS本節(jié)的目的是強(qiáng)調(diào)組織實(shí)施和保持過程的必要性，使BCMS能夠滿足GB/T30146的要求，其中包括過程之間的相互作用。在確定過程及其在整個(gè)組織中的應(yīng)用時(shí)，組織宜：a)確定這些過程中所需的輸入和預(yù)期的輸出；b)確定這些過程的順序和相互作用；c)確定和應(yīng)用確保這些過程有效運(yùn)行和控制所需的標(biāo)準(zhǔn)和方法（包括監(jiān)視、測量和相關(guān)績效指標(biāo)）；d)確定這些過程所需的資源并確保其可獲得性；e)分配這些過程的職責(zé)和權(quán)限；f)應(yīng)對(duì)6.1中確定的風(fēng)險(xiǎn)和機(jī)遇；g)評(píng)估這些過程，并實(shí)施所需的變更，以確保這些過程達(dá)到預(yù)期的結(jié)果；h)改進(jìn)過程和BCMS。必要時(shí)，組織宜：——維護(hù)文件化信息以支持其過程的運(yùn)行；——保留文件化信息以確保過程正在按計(jì)劃進(jìn)行。5領(lǐng)導(dǎo)力5.1領(lǐng)導(dǎo)力和承諾5.1.1總則組織的各級(jí)管理者宜證明他們?cè)诼氊?zé)范圍內(nèi)的領(lǐng)導(dǎo)力和承諾。5.1.2最高管理者最高管理者宜通過以下方式證明其領(lǐng)導(dǎo)力和承諾：a)分配管理角色并確保其履行職責(zé)（見5.1.3）；b)建立業(yè)務(wù)連續(xù)性方針（見5.2）；c)任命一名或多名具有適當(dāng)權(quán)限和能力的人員負(fù)責(zé)BCMS，并對(duì)其有效運(yùn)行負(fù)責(zé)（見5.3）；d)傳達(dá)業(yè)務(wù)連續(xù)性和符合BCMS要求的重要性；e)提供必要的資源，包括適當(dāng)?shù)馁Y金水平（見7.1）；f)促進(jìn)持續(xù)改進(jìn)（見10.2）；g)確保實(shí)現(xiàn)BCMS的預(yù)期結(jié)果；h)為其他級(jí)別的管理者提供支持，使他們能夠證明其在職責(zé)范圍內(nèi)的領(lǐng)導(dǎo)力和承諾。5.1.3其他管理角色其他管理層宜通過下列方式展現(xiàn)其領(lǐng)導(dǎo)力和承諾：a)建立與組織戰(zhàn)略目標(biāo)相適應(yīng)的業(yè)務(wù)連續(xù)性目標(biāo)（見6.2）；b)將BCMS要求整合到組織的業(yè)務(wù)過程中（見8.1）；c)了解適用的法律、法規(guī)和其他要求（見4.2.2）；d)建立BCMS的角色、職責(zé)和能力（見5.3和7.2）；e)實(shí)現(xiàn)BCMS的預(yù)期結(jié)果；f)積極參與演練項(xiàng)目（見8.5）；g)進(jìn)行BCMS內(nèi)部審核（見9.2）；h)對(duì)BCMS進(jìn)行有效的管理評(píng)審（見9.3）；i)指導(dǎo)并支持BCMS的改進(jìn)（見第10章）。也可以通過以下方式證明其管理承諾：——通過指導(dǎo)委員會(huì)參與運(yùn)營；——將業(yè)務(wù)連續(xù)性作為管理會(huì)議的常設(shè)議題。5.2方針5.2.1建立業(yè)務(wù)連續(xù)性方針最高管理者宜根據(jù)組織的目標(biāo)和義務(wù)確定業(yè)務(wù)連續(xù)性方針，并確保其：a)是最高管理者對(duì)BCMS的意圖和方向的簡明、高層聲明；b)符合組織的宗旨（與組織的規(guī)模、性質(zhì)和復(fù)雜度相適應(yīng)并反映組織的文化、依賴關(guān)系和運(yùn)行環(huán)境）；c)為目標(biāo)的制定提供框架；d)包含遵守相關(guān)適用要求的明確承諾，包括法律和法規(guī)所規(guī)定的義務(wù)；e)包含持續(xù)改進(jìn)BCMS的承諾；方針宜：——明確組織業(yè)務(wù)連續(xù)性的范圍和邊界，包括限制范圍和刪減范圍（見4.3——識(shí)別權(quán)限和授權(quán)要求，包括負(fù)責(zé)組織BCMS的人員或人群（見5.3）；——包括參考的標(biāo)準(zhǔn)、指引、法規(guī)或者BCMS宜考慮或遵從的方針。業(yè)務(wù)連續(xù)性方針可包括：——資金承諾；——所參考的其它相關(guān)方針；——實(shí)施業(yè)務(wù)連續(xù)性的要求；——演練和保持業(yè)務(wù)連續(xù)性的承諾。對(duì)于已有管理體系的組織，可能適合將BCMS方針與其他管理體系的方針整合。組織宜制定適當(dāng)?shù)囊?guī)定來審批方針、保存相關(guān)文件化信息，并定期（如每年度）和當(dāng)內(nèi)外部因素發(fā)生顯著變化時(shí)（如最高管理者變更或引入新法規(guī)）對(duì)方針進(jìn)行評(píng)審。這些規(guī)定的適用性取決于組織的規(guī)模、復(fù)雜性、性質(zhì)和范圍。5.2.2傳達(dá)業(yè)務(wù)連續(xù)性方針業(yè)務(wù)連續(xù)性方針宜：a)可獲得并作為文件化信息保存；b)在組織內(nèi)部得到傳達(dá)、理解和應(yīng)用；c)經(jīng)管理層批準(zhǔn)提供給相關(guān)方。5.3角色、職責(zé)和權(quán)限最高管理者宜確保在BCMS內(nèi)對(duì)職責(zé)和權(quán)限進(jìn)行分配和傳達(dá)。最高管理者中宜有一人負(fù)責(zé)BCMS。組織的最高管理者可以任命其他機(jī)構(gòu)（如指導(dǎo)委員會(huì)）監(jiān)督BCMS的實(shí)施和持續(xù)監(jiān)控。就其他職責(zé)而言，宜任命代表，明確其角色、職責(zé)和權(quán)限，以：——確保BCM符合業(yè)務(wù)連續(xù)性方針；——向最高管理者匯報(bào)BCM的績效以便于評(píng)審并作為改進(jìn)的基礎(chǔ)（見第9章和第10章——在組織中提升業(yè)務(wù)連續(xù)性的意識(shí)（見7.3）；——確保制定的事件響應(yīng)程序有效（見.2）。管理代表可：——被授予特定職務(wù)（如：“業(yè)務(wù)連續(xù)性經(jīng)理”、“業(yè)務(wù)連續(xù)性官”或“韌性經(jīng)理”——在組織中負(fù)有其他職責(zé)；——來自于組織的任何領(lǐng)域。7可指派來自于組織每個(gè)職能部門或區(qū)域的代表來協(xié)助實(shí)施BCMS（如負(fù)責(zé)風(fēng)險(xiǎn)相關(guān)事務(wù)的人員）。他們的角色、義務(wù)、責(zé)任和權(quán)限宜寫入其工作職責(zé)描述中，并通過將其納入組織的評(píng)估、獎(jiǎng)勵(lì)和表彰政策而得到加強(qiáng)。表3列舉了適用于BCMS的角色和職責(zé)的示例。注：適合于應(yīng)對(duì)事件和恢復(fù)活動(dòng)團(tuán)隊(duì)和可能的角色和職責(zé)示例見表5（見8.4.4）。根據(jù)組織的規(guī)模，表3中列出的角色和職責(zé)可以用不同的方式設(shè)置。重要的是要確保所有的責(zé)任都有角色擔(dān)任，并有一個(gè)負(fù)責(zé)人。BCM的所有角色、職責(zé)和權(quán)限都宜被明確、存檔和審核。表3BCM角色和職責(zé)示例角色職責(zé)最高管理者代表——負(fù)責(zé)BCMS工作——在管理評(píng)審中代表業(yè)務(wù)連續(xù)性管理者業(yè)務(wù)連續(xù)性經(jīng)理——負(fù)責(zé)BCMS工作——建立并證明對(duì)業(yè)務(wù)連續(xù)性方針的承諾——領(lǐng)導(dǎo)所有的項(xiàng)目活動(dòng)，并協(xié)調(diào)職能部門——提名具有適當(dāng)資歷、權(quán)限和能力的團(tuán)隊(duì)成員——協(xié)助審批解決方案、程序和演練方案——在管理評(píng)審會(huì)議上提出團(tuán)隊(duì)建議業(yè)務(wù)連續(xù)性管理團(tuán)隊(duì)——在整個(gè)組織中實(shí)施業(yè)務(wù)連續(xù)性管理——維護(hù)文件化信息——確保及時(shí)評(píng)審方案——評(píng)估各職能部門的業(yè)務(wù)連續(xù)性——組織和協(xié)調(diào)業(yè)務(wù)連續(xù)性意識(shí)方案——制定演練方案并尋求相關(guān)部門的批準(zhǔn)——進(jìn)行演前簡報(bào)和演后匯報(bào)——隨時(shí)向相關(guān)方通報(bào)方案情況——確保演練按演練計(jì)劃進(jìn)行——確保內(nèi)部審核和管理評(píng)審按時(shí)進(jìn)行——維護(hù)與職能部門的關(guān)系，并在中斷期間保持聯(lián)系——確保及時(shí)實(shí)施糾正措施計(jì)劃——推進(jìn)職能代表/協(xié)調(diào)員的工作職能代表——維護(hù)業(yè)務(wù)連續(xù)性程序——向業(yè)務(wù)連續(xù)性經(jīng)理通報(bào)準(zhǔn)備狀態(tài)——根據(jù)指示執(zhí)行并報(bào)告方案活動(dòng)——確認(rèn)供應(yīng)商的連續(xù)性計(jì)劃已經(jīng)測試和維護(hù)——協(xié)調(diào)人員參加演練——保持業(yè)務(wù)連續(xù)性演練記錄——隨時(shí)通知團(tuán)隊(duì)可能影響業(yè)務(wù)連續(xù)性的變更——向業(yè)務(wù)連續(xù)性經(jīng)理匯報(bào)糾正措施的進(jìn)展情況6策劃6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施注：本條款中的指南涉及BCMS的有效性。關(guān)于優(yōu)先活動(dòng)被中斷的風(fēng)險(xiǎn)指南見8.2.3。86.1.1確定風(fēng)險(xiǎn)和機(jī)遇確定和應(yīng)對(duì)風(fēng)險(xiǎn)與機(jī)遇使組織能夠：a)確保BCMS能夠?qū)崿F(xiàn)其預(yù)期結(jié)果；b)預(yù)防或減少不良影響；c)實(shí)現(xiàn)持續(xù)改進(jìn)。組織宜確定措施以處理4.1中確定的事項(xiàng)、4.2中確定的相關(guān)方的需求和期望、以及4.2.2中確定的法律法規(guī)要求。該決定宜包括考慮風(fēng)險(xiǎn)和機(jī)遇及其對(duì)BCMS有效性的潛在影響。風(fēng)險(xiǎn)和機(jī)遇可能來自：——缺乏最高管理者的領(lǐng)導(dǎo)和承諾；——BCMS資金不足導(dǎo)致響應(yīng)不力；——文件化信息不足；——缺乏有能力的人員；——管理評(píng)審過程不到位；——無法進(jìn)入需要業(yè)務(wù)連續(xù)性的新領(lǐng)域。6.1.2應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇組織宜以下列方式策劃應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)遇所需的措施：——預(yù)防意外結(jié)果；——利用一切機(jī)遇改進(jìn)BCMS；——將這些措施在BCMS的過程中進(jìn)行整合（見8.1）；——確?？色@取文件化信息以評(píng)估措施有效（見9.1）。6.2業(yè)務(wù)連續(xù)性目標(biāo)及實(shí)現(xiàn)計(jì)劃6.2.1確立業(yè)務(wù)連續(xù)性目標(biāo)組織宜確立實(shí)施和保持業(yè)務(wù)連續(xù)性管理的目標(biāo)（見第8章）。這些目標(biāo)宜與組織的總體目標(biāo)相一致，并宜確定職責(zé)以及設(shè)定適當(dāng)?shù)摹F(xiàn)實(shí)的完成目標(biāo)。計(jì)劃宜在整個(gè)組織內(nèi)傳達(dá)。宜監(jiān)控并記錄其進(jìn)展情況。隨著BCMS的發(fā)展，宜定期評(píng)審該計(jì)劃，并在適當(dāng)時(shí)予以更新。。6.2.2確定業(yè)務(wù)連續(xù)性目標(biāo)在確定業(yè)務(wù)連續(xù)性目標(biāo)時(shí)，組織宜確保明確規(guī)定：a)要做什么；b)需要的資源；c)由誰負(fù)責(zé)；d)完成日期；e)如何評(píng)估結(jié)果。以下業(yè)務(wù)連續(xù)性目標(biāo)的示例在某些情況下符合GB/T30146規(guī)定的要求：——“最高管理者將分配必要的資源，以確保按期為所有產(chǎn)品和服務(wù)建立符合GB/T30146的BCMS?！?；——“A總監(jiān)將與XXX咨詢公司合作，按期為指定產(chǎn)品和服務(wù)獲得GB/T30146認(rèn)證?！?；——“最高管理者將利用現(xiàn)有資源確保，按期擁有符合GB/T30146的業(yè)務(wù)連續(xù)性，以滿足我們對(duì)指定客戶的義務(wù)?！?；——“IT總監(jiān)將與我們的供應(yīng)商合作，將支持指定產(chǎn)品和服務(wù)的活動(dòng)的恢復(fù)時(shí)間縮短10%，并如期實(shí)現(xiàn)?！?；——“在不動(dòng)用額外資源的情況下，生產(chǎn)經(jīng)理將按期準(zhǔn)備好符合GB/T30146并保護(hù)指名產(chǎn)品和服務(wù)的業(yè)務(wù)連續(xù)性管理?！?。6.3業(yè)務(wù)連續(xù)性管理體系變更的策劃變更管理是所有管理過程都要考慮的重要事項(xiàng)。宜仔細(xì)策劃BCMS的變更，包括10.1中確定的變更，以確保預(yù)期目的得到充分研究和理解。其中宜考慮包括提議變更的后果、預(yù)期的和意外的后果、同時(shí)確保BCMS的完整性。組織還宜確保可獲得適當(dāng)和充分的資源，必要時(shí)分配或重新分配責(zé)任和權(quán)限。7.1資源7.1.1總則組織宜確定BCMS所需的資源并確保資源可用，這些資源可：a)實(shí)現(xiàn)其業(yè)務(wù)連續(xù)性方針和目標(biāo)；b)滿足組織的變化要求；c)能就BCMS相關(guān)事宜進(jìn)行有效的內(nèi)外部溝通；d)為BCMS的持續(xù)運(yùn)行和持續(xù)改進(jìn)提供支持。宜及時(shí)有效地提供資源。7.1.2BCMS資源當(dāng)識(shí)別BCMS所需的資源時(shí)，組織宜提供適當(dāng)?shù)模篴)人員及相關(guān)資源，包括：1)履行BCMS角色和職責(zé)所需的時(shí)間；2)培訓(xùn)、教育、意識(shí)和演練；3)BCMS人員的管理。b)設(shè)施，包括適當(dāng)?shù)墓ぷ鲌鏊突A(chǔ)設(shè)施；c)信息通信技術(shù)（ICT），包括支持有效和高效方案管理的應(yīng)用程序；d)管理和控制所有形式的文件化信息；e)與相關(guān)方進(jìn)行溝通（見圖4）；f)財(cái)務(wù)和資金。資源及其分配宜定期評(píng)審以確保資源充足。該評(píng)審最好有最高管理者的參與。7.2能力組織宜建立一個(gè)適當(dāng)而有效的體系來管理在該體系控制下承擔(dān)BCMS工作的人員的能力。管理層宜確定所有BCMS角色和職責(zé)的能力要求以及需要達(dá)到的意識(shí)、知識(shí)、理解力、技能和經(jīng)驗(yàn)。在組織內(nèi)被分派角色的所有人員宜證明其具有所要求的能力，并且提供了培訓(xùn)、教育、發(fā)展和其他所需的支持。這可被稱作“能力發(fā)展方案”，該方案可包括：——對(duì)所承擔(dān)的角色進(jìn)行能力評(píng)估；——建立個(gè)人發(fā)展方案以確定達(dá)到能力所需的培訓(xùn)、教育、發(fā)展和其他支持；——提供培訓(xùn)和輔導(dǎo)，包括挑選適當(dāng)?shù)姆椒ê唾Y料；——績效評(píng)價(jià)；——知識(shí)分享；——工作分擔(dān)；——雇傭或與能勝任人員簽訂工作合同；——目標(biāo)團(tuán)隊(duì)的培訓(xùn)；——記錄并監(jiān)督所接受的培訓(xùn)；——根據(jù)培訓(xùn)需求和要求對(duì)所接受的培訓(xùn)進(jìn)行評(píng)估以證明與BCMS培訓(xùn)要求相一致；——必要時(shí)，改進(jìn)發(fā)展方案。組織宜有識(shí)別和交付所有參與者的業(yè)務(wù)連續(xù)性培訓(xùn)需求，并對(duì)其交付的培訓(xùn)效果進(jìn)行評(píng)估的過程。建立、管理和保持BCMS的適當(dāng)?shù)呐嘤?xùn)類型如下：——建立并管理業(yè)務(wù)連續(xù)性管理體系；——開展業(yè)務(wù)影響分析；——開展風(fēng)險(xiǎn)評(píng)估；——溝通技能；——項(xiàng)目管理；——開發(fā)和實(shí)施業(yè)務(wù)連續(xù)性文檔；——執(zhí)行演練方案。通過以下方式可加強(qiáng)能力：——將BCMS的業(yè)績納入組織的獎(jiǎng)勵(lì)和認(rèn)可過程；——將BCMS業(yè)績納入組織的績效和評(píng)價(jià)過程；——將BCMS的角色、義務(wù)、責(zé)任和權(quán)限納入組織的職位描述和技能要求；——業(yè)務(wù)人員和最高管理者要積極參與演習(xí)、演練和測試。組織宜要求承包商證明在其管理下工作的人員具備BCMS所要求的能力并能勝任他們所履行的響應(yīng)角色。。7.3意識(shí)組織宜確保在其管理下工作的人員（如：員工、承包商、供應(yīng)商）了解業(yè)務(wù)連續(xù)性方針和業(yè)務(wù)連續(xù)性目標(biāo)，以及：——如何減少中斷事件的可能性及其在事件發(fā)現(xiàn)、緩解、自我保護(hù)、疏散、響應(yīng)、連續(xù)性和恢復(fù)中的角色；——遵守業(yè)務(wù)連續(xù)性方針和程序的重要性；——對(duì)供應(yīng)商和外部合作伙伴的依賴性以及與業(yè)務(wù)目標(biāo)相關(guān)的風(fēng)險(xiǎn)；——組織運(yùn)營的變化所帶來的影響；——他們對(duì)BCMS有效性的貢獻(xiàn)，包括改進(jìn)BCM績效的收益；——他們?cè)趯?shí)現(xiàn)其要求中的角色和職責(zé)。組織宜在組織文化中建立、推動(dòng)和融入業(yè)務(wù)連續(xù)性管理，以：——使其成為組織核心價(jià)值觀和管理的一部分；——使相關(guān)方了解業(yè)務(wù)連續(xù)性方針以及他們?cè)谙嚓P(guān)程序中的角色。一個(gè)將業(yè)務(wù)連續(xù)性管理融入其文化中的組織將：——更有效地開展業(yè)務(wù)連續(xù)性；——使相關(guān)方（尤其是員工和客戶）相信組織有能力處理中斷事件；——通過確保在各級(jí)決策中都考慮了業(yè)務(wù)連續(xù)性理念來增強(qiáng)組織的韌性；——降低中斷的可能性和影響。將業(yè)務(wù)連續(xù)性管理融入組織文化要依靠：——組織全員參與；——在整個(gè)組織中傳播領(lǐng)導(dǎo)力；——責(zé)任分配；——績效指標(biāo)的衡量；——將業(yè)務(wù)連續(xù)性融入組織日常管理實(shí)踐；——意識(shí)提升；——技能培訓(xùn)；——對(duì)業(yè)務(wù)連續(xù)性計(jì)劃進(jìn)行演練。意識(shí)方案可包括：——與組織中所有員工就建立和管理業(yè)務(wù)連續(xù)性管理進(jìn)行討論的過程；——在組織內(nèi)部的通訊、簡報(bào)、介紹方案或刊物（包括新員工入職培訓(xùn)）中討論業(yè)務(wù)連續(xù)性；——將業(yè)務(wù)連續(xù)性納入相關(guān)網(wǎng)頁；——將業(yè)務(wù)連續(xù)性管理納入員工和管理團(tuán)隊(duì)會(huì)議的議題；——對(duì)事后報(bào)告的選擇性地公開發(fā)布；——向最高管理者做簡報(bào)；——參觀選定的備用場所（如恢復(fù)場所）；——定期與供應(yīng)商溝通，以確保他們了解組織的業(yè)務(wù)連續(xù)性要求，并能證明他們有能力滿足約定的連續(xù)性能力。業(yè)務(wù)環(huán)境和運(yùn)營的變化會(huì)影響業(yè)務(wù)連續(xù)性活動(dòng)的策劃、設(shè)計(jì)和實(shí)施的方法。組織可通過積極參與行業(yè)業(yè)務(wù)連續(xù)性相關(guān)活動(dòng)來證明對(duì)業(yè)務(wù)連續(xù)性管理趨勢的認(rèn)知，可包括：——成為行業(yè)利益團(tuán)體成員；——成為會(huì)議組織委員會(huì)成員；——在會(huì)議和研討會(huì)上發(fā)言；——參加本地或國際業(yè)務(wù)連續(xù)性會(huì)議。7.4溝通組織宜確定與BCMS相關(guān)的溝通事宜。與BCMS相關(guān)的溝通使組織能夠響應(yīng)相關(guān)方的需求和期望（見4.2）。為使溝通有效，組織宜確定并在適當(dāng)時(shí)制定確定下列事項(xiàng)的標(biāo)準(zhǔn)：a)溝通內(nèi)容：根據(jù)組織的性質(zhì)和情況，可能需要就BCMS進(jìn)行溝通。如一些組織有法律法規(guī)義務(wù)進(jìn)行溝通。b)溝通時(shí)間：可能存在一些閾值，超過這個(gè)閾值，組織就必須進(jìn)行溝通，組織的環(huán)境可決定宜溝通的頻次。c)溝通對(duì)象：所有相關(guān)方都需要進(jìn)行溝通，因此重要的是對(duì)每個(gè)相關(guān)方，確定必須溝通的情況以及溝通的優(yōu)先順序。d)溝通方式：提前確定溝通的方法、工具和渠道，包括備選方案，使組織能夠有效溝通。e)溝通執(zhí)行人員：組織宜確定其發(fā)言人，指定特定人員作為溝通聯(lián)絡(luò)人。在供應(yīng)商和客戶的通訊和簡報(bào)里，組織也可對(duì)其BCMS和業(yè)務(wù)連續(xù)性的安排進(jìn)行介紹。組織宜將有效的外部溝通作為其意識(shí)方案的一部分（見7.3），并在事件響應(yīng)過程中提供有效的外部溝通（見8.4.4）。7.5文件化信息7.5.1總則GB/T30146要求的文件化信息可為管理體系滿足要求以及有效運(yùn)行的證據(jù)?！俺绦颉敝竿瓿赡稠?xiàng)活動(dòng)或過程的具體方法?！拔募绦颉笔侵冈摮绦蛞嗽诤线m的介質(zhì)上建立并維護(hù)。單個(gè)文檔可解決一個(gè)或多個(gè)文件化程序的要求，文件化程序的要求可能包含在多個(gè)文檔中。文件化信息包括：——對(duì)組織及其環(huán)境的理解（見4.1——法律、法規(guī)要求（見4.2.2）；——BCMS的范圍和刪減范圍（見4.3——方針（見5.2）；——業(yè)務(wù)連續(xù)性目標(biāo)和實(shí)現(xiàn)計(jì)劃（見6.2——能力（見7.2）；——業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估（見8.2）；——業(yè)務(wù)連續(xù)性策略和解決方案（見8.3）；——業(yè)務(wù)連續(xù)性計(jì)劃和程序（見8.4——演練方案（見8.5）；——監(jiān)視、測量、分析和評(píng)估（見9.1——內(nèi)部審核（見9.2）；——管理評(píng)審（見9.3）；——不符合和糾正措施（見10.1）。此外，為確保BCMS的有效性，文件化信息可包括：——客戶協(xié)議和服務(wù)等級(jí)；——業(yè)務(wù)影響分析的結(jié)果；——風(fēng)險(xiǎn)評(píng)估的結(jié)果；——業(yè)務(wù)連續(xù)性解決方案的確定和選擇；——事件響應(yīng)概述；——意識(shí)方案；——與員工和相關(guān)方就BCMS及事件進(jìn)行的溝通，如通訊、會(huì)議紀(jì)要和警報(bào)；——組織和個(gè)人的培訓(xùn)方案；——演練進(jìn)度表；——與供應(yīng)商的合同和服務(wù)級(jí)別協(xié)議；——承包商和供應(yīng)商的業(yè)務(wù)連續(xù)性方針和計(jì)劃，包括對(duì)其供應(yīng)商進(jìn)行風(fēng)險(xiǎn)監(jiān)測的證據(jù)，以及其供應(yīng)商的連續(xù)性計(jì)劃得到保持和實(shí)施的證據(jù)；——承包商和供應(yīng)商的通知和響應(yīng)程序；——檢驗(yàn)、保持和校正的證據(jù)；——已發(fā)生事件和未遂事件的報(bào)告；——BCMS評(píng)審會(huì)議記錄。7.5.2創(chuàng)建和更新為了滿足創(chuàng)建和更新文件化信息的要求：——文件化信息宜清楚標(biāo)識(shí)（如姓名、參考編號(hào)、描述、日期、作者、版本）；——組織宜指定可接受的格式（如語言、軟件版本、圖形）及用于儲(chǔ)存文件化信息的媒介（如紙質(zhì)、）；——使用的格式和媒介宜經(jīng)過應(yīng)經(jīng)過評(píng)審和批準(zhǔn)，以確保其適宜性和充分性。。BCMS文件化信息的范圍可能會(huì)根據(jù)組織的以下因素而有所不同：——組織的規(guī)模、產(chǎn)品和服務(wù)以及所從事的活動(dòng)類型；——活動(dòng)的復(fù)雜性及其相互關(guān)系；——人員的能力。7.5.3文件化信息的控制訪問文件化信息所有要求的文件化信息宜受控?？刂莆募哪康氖谴_保組織以適當(dāng)和充分的方式創(chuàng)建、維護(hù)和保護(hù)文件，以實(shí)施和運(yùn)行BCMS。宜主要關(guān)注該目的，而不是建立一個(gè)復(fù)雜的文件控制系統(tǒng)。保護(hù)的例子包括防止文件在沒有適當(dāng)授權(quán)的情況下被損壞、修改和意外刪除?？稍O(shè)置不同的訪問等級(jí)和組合（如只讀、讀寫以及限制閱讀）。組織也可根據(jù)其敏感性（如限制、機(jī)密、保護(hù)）對(duì)其文件化信息進(jìn)行分類。如在涉及內(nèi)部勞動(dòng)力中斷的業(yè)務(wù)連續(xù)性解決方案中，或在業(yè)務(wù)連續(xù)性計(jì)劃和程序包含競爭對(duì)手敏感信息時(shí)，可能需要分類?？刂祁愋鸵私⒁粋€(gè)文件化的程序來確定需要的控制措施以：——分發(fā)文件化信息；——提供文件化信息訪問（訪問包括，例如，批準(zhǔn)和授權(quán)查看或更改文件化信息——發(fā)布前審批文件的充分性；——評(píng)審和更新以及必要時(shí)重新審批文件；；——確保文件的變更內(nèi)容及其當(dāng)前的修改狀態(tài)得到確認(rèn)；——確保適用的文件版本在使用時(shí)的可用性；——確保文件的清晰易讀；——確保組織確定的為策劃和運(yùn)行BCMS所需的外部文件得到識(shí)別，并這些文件的分發(fā)受控；——避免意外使用過期文件，如這些文件因?yàn)槟撤N原因需要加以保留，則宜提供適當(dāng)?shù)淖R(shí)別方法；——設(shè)置文件保存和歸檔的編號(hào)；——確保對(duì)機(jī)密信息的保護(hù)和保密。組織宜確保文件化信息的完整性，防止對(duì)其進(jìn)行篡改，進(jìn)行安全備份，僅限授權(quán)人員訪問，并謹(jǐn)防損壞、變質(zhì)和丟失。組織宜表明了解保存文件化信息相關(guān)的法律法規(guī)，并宜保留合規(guī)證據(jù)。8運(yùn)行8.1運(yùn)行的策劃和控制8.1.1總則組織宜確定、策劃、實(shí)施和控制所需的過程，以建立和保持業(yè)務(wù)連續(xù)性方針和目標(biāo)，并滿足適用的需求（見第4章）和實(shí)施6.1中確定的措施。這些過程宜融入到組織的業(yè)務(wù)過程中，以確保它們得到適當(dāng)?shù)墓芾聿⒈３制溆行浴＝M織宜在過程中建立控制機(jī)制，包括：a)決定如何確定、策劃、實(shí)施和控制這些過程（如通過建立實(shí)施計(jì)劃并就實(shí)施業(yè)務(wù)連續(xù)性管理的方法論達(dá)成一致）；b)確保這些過程按照所做的決定得到實(shí)施，如設(shè)置項(xiàng)目里程碑并明確要求的交付物；c)保留文件化信息以證明這些過程已按策劃得到實(shí)施。組織宜確保策劃的變更受到控制，計(jì)劃外變更得到評(píng)審，并且采取了適當(dāng)?shù)拇胧?。組織宜確保外包過程和供應(yīng)鏈?zhǔn)芸兀ㄒ姡?.1.2業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理包括以下要素，如圖5所示：a)運(yùn)行的策劃和控制（見8.1）：有效地運(yùn)行策劃和控制是業(yè)務(wù)連續(xù)性管理的核心。宜由最高管理者任命的責(zé)任人來領(lǐng)導(dǎo)。b)業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估（見8.2業(yè)務(wù)影響分析使組織能夠評(píng)估活動(dòng)中斷對(duì)產(chǎn)品和服務(wù)交付的影響。以使組織能夠確定恢復(fù)的優(yōu)先活動(dòng)。了解優(yōu)先活動(dòng)中斷的風(fēng)險(xiǎn)，使組織能夠管對(duì)其管理。業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估的結(jié)果使組織能夠?yàn)槠錁I(yè)務(wù)連續(xù)性策略和解決方案確定適當(dāng)?shù)膮?shù)。c)業(yè)務(wù)連續(xù)性策略和解決方案（見8.3）：確定和評(píng)估一系列業(yè)務(wù)連續(xù)性策略，使組織能夠確定降低風(fēng)險(xiǎn)和減輕優(yōu)先活動(dòng)中斷影響的解決方案，并處理任何發(fā)生的中斷。選定的業(yè)務(wù)連續(xù)性解決方案可以在可接受的能力(生產(chǎn)和服務(wù)水平)和在議定的時(shí)間范圍內(nèi)重續(xù)產(chǎn)品和服務(wù)的交付。d)業(yè)務(wù)連續(xù)性計(jì)劃和程序（見8.4）：業(yè)務(wù)連續(xù)性計(jì)劃和程序使組織能夠根據(jù)其業(yè)務(wù)連續(xù)性要求管理中斷事件和繼續(xù)開展活動(dòng)。宜有明確的響應(yīng)結(jié)構(gòu)，確定負(fù)責(zé)響應(yīng)中斷的團(tuán)隊(duì)（見8.4.2）。組織宜建立和實(shí)施預(yù)警和溝通（見8.4.3）、事件響應(yīng)（見.2）和恢復(fù)（恢復(fù)正常運(yùn)行見8.4.5）的計(jì)劃和程序。e)演練方案（見8.5）：演練方案使組織能夠驗(yàn)證解決方案、計(jì)劃和程序的有效性。演練方案亦為機(jī)構(gòu)提供機(jī)遇以：1)提升個(gè)人意識(shí)并發(fā)展能力；2)確保業(yè)務(wù)連續(xù)性和業(yè)務(wù)連續(xù)性程序是完整的、最新的和合適的；3)改進(jìn)其業(yè)務(wù)連續(xù)性。f)評(píng)估業(yè)務(wù)連續(xù)性文件和能力（見8.6）：組織宜評(píng)估其業(yè)務(wù)連續(xù)性管理，以確保其有效性，并使組織能夠?qū)崿F(xiàn)其業(yè)務(wù)連續(xù)性目標(biāo)。業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性策略和解決方案(8.3)業(yè)務(wù)影響分析業(yè)務(wù)連續(xù)性策略和解決方案(8.3)業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估(8.2)演練方案(8.5)運(yùn)行的策劃和控制演練方案(8.5)運(yùn)行的策劃和控制評(píng)估(8.6)業(yè)務(wù)連續(xù)性計(jì)業(yè)務(wù)連續(xù)性計(jì)劃和程序(8.4)圖5業(yè)務(wù)連續(xù)性管理要素8.1.3保持業(yè)務(wù)連續(xù)性保持有效的業(yè)務(wù)連續(xù)性包括：——確保業(yè)務(wù)連續(xù)性的范圍、角色和職責(zé)的持續(xù)相關(guān)；——適當(dāng)時(shí)，促進(jìn)業(yè)務(wù)連續(xù)性管理并將其融入組織和其他相關(guān)方；——管理與業(yè)務(wù)連續(xù)性相關(guān)的費(fèi)用；——在BCMS內(nèi)建立和監(jiān)視變更管理和繼任管理；——安排或提供適當(dāng)?shù)膯T工培訓(xùn)和意識(shí)宣貫；——維護(hù)與組織的規(guī)模和復(fù)雜度相適宜的方案文件。組織業(yè)務(wù)連續(xù)性安排的每個(gè)組成部分，包括文件都宜定期評(píng)審、演練和更新。當(dāng)組織的運(yùn)營環(huán)境、結(jié)構(gòu)、場所、人員、過程或技術(shù)發(fā)生顯著變化，或者當(dāng)某次演練或事件突顯不足時(shí)，這些安排也宜被評(píng)審和更新。組織可采取公認(rèn)的項(xiàng)目管理方法來確保業(yè)務(wù)連續(xù)性管理得到有效的管理。確保業(yè)務(wù)連續(xù)性有效的方法包括：——實(shí)施最佳實(shí)踐；——管理演練方案；——統(tǒng)籌業(yè)務(wù)連續(xù)性計(jì)劃的定期評(píng)估和更新，包括評(píng)估或重做業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估；——確保業(yè)務(wù)連續(xù)性程序持續(xù)適合響應(yīng)團(tuán)隊(duì)的需求。8.2業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估8.2.1總則組織通過向客戶提供產(chǎn)品和服務(wù)來實(shí)現(xiàn)其目標(biāo)。因此，重要的是要了解隨著時(shí)間的推移，中斷產(chǎn)品和服務(wù)（以及支持活動(dòng)）的交付將對(duì)組織和相關(guān)方產(chǎn)生的不利影響。理解支持產(chǎn)品和服務(wù)的活動(dòng)的相互關(guān)系和資源需求以及對(duì)它們的威脅也是很重要的。組織宜實(shí)施和維護(hù)系統(tǒng)分析業(yè)務(wù)影響（見8.2.2）和評(píng)估中斷風(fēng)險(xiǎn)（見8.2.3）的過程，組織從而能夠識(shí)別業(yè)務(wù)連續(xù)性策略和解決方案（見8.3）。當(dāng)組織內(nèi)部或其運(yùn)行環(huán)境發(fā)生重大變化時(shí)，宜在計(jì)劃的時(shí)間間隔內(nèi)評(píng)審業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估。只有對(duì)其優(yōu)先活動(dòng)的風(fēng)險(xiǎn)（見8.2.3）進(jìn)行了評(píng)估后，組織就可以確定業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估的順序。8.2.2業(yè)務(wù)影響分析業(yè)務(wù)影響分析使組織能夠?yàn)榛謴?fù)中斷活動(dòng)設(shè)置優(yōu)先級(jí)。它的主要目的是使組織能夠識(shí)別可能需要緊急行動(dòng)的活動(dòng)，并將其歸類為“優(yōu)先”活動(dòng)，當(dāng)這些活動(dòng)中斷時(shí)，如不能迅速恢復(fù)可能導(dǎo)致不可接受的不利影響。除了需要迅速恢復(fù)的活動(dòng)，可能需要優(yōu)先考慮其他活動(dòng)。例如，一項(xiàng)活動(dòng)不需要在6個(gè)月內(nèi)恢復(fù)，但至少需要8個(gè)月才能恢復(fù)也需要優(yōu)先考慮。因此，優(yōu)先活動(dòng)也可以被視為在其中斷前需要實(shí)施業(yè)務(wù)連續(xù)性解決方案的活動(dòng)(見8,3.5)。本文件使用術(shù)語“優(yōu)先活動(dòng)”，但組織可使用自己的術(shù)語、時(shí)間段或優(yōu)先順序。例如，可使用術(shù)語天”。優(yōu)先順序可以是“高”、“中”和“低”，或“第一”、“第二”和“第三”。每個(gè)組織都以自己的方式描述其運(yùn)行。例如，一個(gè)組織可將活動(dòng)描述為組織為生產(chǎn)或交付其產(chǎn)品和服務(wù)而執(zhí)行的任務(wù)或任務(wù)集（見圖6）。其他組織可能希望將產(chǎn)品和服務(wù)描述為由活動(dòng)組成的過程創(chuàng)建的。分析宜涵蓋BCMS范圍內(nèi)的所有活動(dòng)。可對(duì)一組活動(dòng)進(jìn)行分析，例如，與特定產(chǎn)品和服務(wù)相關(guān)的活動(dòng)（見圖6）。在進(jìn)行業(yè)務(wù)影響分析時(shí)，使用的術(shù)語宜反映組織描述其自身運(yùn)行的方式。/GB/T35625包含進(jìn)行業(yè)務(wù)影響分析的進(jìn)一步指導(dǎo)。作為技術(shù)規(guī)范，提出了一種階段性方法來滿足GB/T30146的要求。業(yè)務(wù)影響分析使組織能夠識(shí)別中斷將對(duì)其運(yùn)行產(chǎn)生的不利影響，并編制(作為結(jié)果)一份關(guān)于業(yè)務(wù)連續(xù)性要求的聲明和理由。分析還使組織能夠：——了解其產(chǎn)品和服務(wù)以及交付活動(dòng)；——為恢復(fù)產(chǎn)品和服務(wù)交付確定優(yōu)先級(jí)和時(shí)間范圍；——識(shí)別業(yè)務(wù)連續(xù)性和恢復(fù)可能需要的資源；——識(shí)別相互依賴關(guān)系（包括內(nèi)部和外部）。宜使用分析業(yè)務(wù)影響的過程來確定業(yè)務(wù)連續(xù)性的優(yōu)先順序和需求。該過程宜包括明確業(yè)務(wù)影響分析的評(píng)估標(biāo)準(zhǔn)，包括影響的類型和考慮的時(shí)間方位。兩者都宜基于組織環(huán)境、業(yè)務(wù)目標(biāo)和組織目標(biāo)，并宜考慮相關(guān)方的需求。評(píng)估標(biāo)準(zhǔn)宜定期復(fù)查，并在變化時(shí)期更頻繁地復(fù)查。表4列舉了一些影響類型（可稱為“影響類別”）。表4影響類型示例類型描述財(cái)務(wù)類因罰款、罰金、利潤損失或市場份額減少而造成的損失聲譽(yù)類負(fù)面意見或品牌損害運(yùn)行類業(yè)務(wù)運(yùn)行流中斷的程度和持續(xù)時(shí)間法律法規(guī)類訴訟責(zé)任及吊銷營業(yè)執(zhí)照合同類違約或違反組織間的義務(wù)業(yè)務(wù)目標(biāo)類未能實(shí)現(xiàn)目標(biāo)或利用機(jī)遇影響變得不可接受的時(shí)間可能從幾秒鐘到幾個(gè)月不等。時(shí)間范圍取決于組織產(chǎn)品和服務(wù)的時(shí)間敏感性。例如，為適應(yīng)對(duì)時(shí)間非常敏感的產(chǎn)品，時(shí)間范圍可能為幾分鐘或幾小時(shí)。較長的時(shí)間范圍適合產(chǎn)品和服務(wù)時(shí)間敏感性較低的組織。活動(dòng)中斷會(huì)導(dǎo)致產(chǎn)品和服務(wù)的交付受到間接的影響。例如，不能向供應(yīng)商付款可能會(huì)損害組織的聲譽(yù)，并導(dǎo)致供應(yīng)商拒絕供應(yīng)貨物，從而妨礙產(chǎn)品生產(chǎn)或服務(wù)交付。產(chǎn)品和服務(wù)的需求每天都在變化，在本質(zhì)上可是周期性的。與每周、每月或每年的最后期限或項(xiàng)目交付日期相關(guān)的活動(dòng)通常有季節(jié)性變化和波峰波谷。考慮到間接后果，并假設(shè)中斷發(fā)生在最糟糕的時(shí)間，可確保評(píng)估最大的影響。由組織的最高管理者來確定組織不能接受的影響閾值。影響變得不可接受所需要的時(shí)間可稱為“最長可容忍中斷時(shí)間(MTPD)”、“最長可容忍時(shí)間”或“最大可接受中斷時(shí)間”。組織可接受的最低產(chǎn)品或服務(wù)水平可表示為“最小業(yè)務(wù)連續(xù)性目標(biāo)(MBCO)”。業(yè)務(wù)影響分析還宜包括確定優(yōu)先活動(dòng)的依賴關(guān)系，使組織確保將其包含在風(fēng)險(xiǎn)評(píng)估中（見8.2.3并可用于確定業(yè)務(wù)連續(xù)性策略和解決方案（見8.3）。在選擇連續(xù)性解決方案（見8.3.3）之前，組織宜謹(jǐn)慎確定優(yōu)先活動(dòng)的資源需求（見8.3.4），因?yàn)閮?yōu)先活動(dòng)的依賴關(guān)系可能與所選擇的連續(xù)性解決方案無關(guān)。業(yè)務(wù)影響分析的過程宜包括：a)定義與組織環(huán)境相關(guān)的評(píng)估標(biāo)準(zhǔn)，包括：1)影響的類型；2)時(shí)間范圍；b)確定支持組織產(chǎn)品和服務(wù)交付的活動(dòng)；c)使用評(píng)估標(biāo)準(zhǔn)評(píng)估由于活動(dòng)的中斷隨時(shí)間變化所造成的預(yù)期影響；d)估算活動(dòng)無法恢復(fù)，影響變得不可接受的時(shí)間；e)在d)確定的時(shí)間內(nèi)，設(shè)定以規(guī)定的最低可接受能力恢復(fù)活動(dòng)的時(shí)間范圍（見圖2和圖3）；f)確定優(yōu)先活動(dòng)；g)確定優(yōu)先活動(dòng)的依賴關(guān)系，包括人員（見）、信息和數(shù)據(jù)（見）、建筑物、工作場所和相關(guān)公用設(shè)施（見）、設(shè)備和消耗品（見）、信息通信技術(shù)系統(tǒng)（見）、運(yùn)輸和物流(見)、財(cái)務(wù)(見)，以及合作伙伴和供應(yīng)鏈（見）；h)確定優(yōu)先活動(dòng)的相互依賴關(guān)系（例如，采購依賴于財(cái)務(wù)發(fā)放資金）。本文件中，恢復(fù)某個(gè)活動(dòng)的時(shí)間范圍（見上文e）被稱為“恢復(fù)時(shí)間目標(biāo)(RTO)”。設(shè)置一個(gè)活動(dòng)的RTO可能還需要考慮：——對(duì)相關(guān)活動(dòng)的依賴性；——恢復(fù)過程的復(fù)雜性。對(duì)于恢復(fù)過程復(fù)雜的組織，為可接受的能力范圍設(shè)置多個(gè)RTO可能是合適的。在考慮活動(dòng)對(duì)信息和數(shù)據(jù)的依賴關(guān)系時(shí)，組織宜確?；謴?fù)活動(dòng)所需的信息和數(shù)據(jù)是適當(dāng)?shù)淖钚碌?。組織可使用術(shù)語“恢復(fù)點(diǎn)目標(biāo)(RPO)”來實(shí)現(xiàn)這一點(diǎn)。RPO是恢復(fù)某個(gè)活動(dòng)使用的信息和數(shù)據(jù)以使該活動(dòng)在恢復(fù)時(shí)能夠運(yùn)行的時(shí)間點(diǎn)。RPO還可用于確定所需的備份頻率，以避免不可接受的數(shù)據(jù)和信息丟失，以及其他可能阻止活動(dòng)恢復(fù)的正在進(jìn)行的工作。ISO/IEC27031在確保電子化數(shù)據(jù)的流通方面提供了進(jìn)一步的指南。ISO/IEC27002為確保數(shù)據(jù)的持續(xù)保密性、完整性和可用性提供了指南。宜記錄業(yè)務(wù)影響分析，包括：——確定法律、法規(guī)和合同要求（義務(wù)）及其對(duì)業(yè)務(wù)連續(xù)性要求的影響（見4.2.2——確認(rèn)或修改組織的BCMS范圍(見4.3)；——評(píng)估隨時(shí)間變化對(duì)組織的影響，作為業(yè)務(wù)連續(xù)性要求(時(shí)間和能力)的理由；——識(shí)別產(chǎn)品與服務(wù)、活動(dòng)與資源之間的關(guān)系；——識(shí)別優(yōu)先活動(dòng)所依賴的支持資源；——識(shí)別對(duì)其他活動(dòng)、供應(yīng)鏈、合作伙伴和其他相關(guān)方的依賴關(guān)系。信息可能來自：——采訪；——問卷；——研討會(huì)；——其他內(nèi)部和外部來源。8.2.3風(fēng)險(xiǎn)評(píng)估注：本子條款與優(yōu)先活動(dòng)被中斷的風(fēng)險(xiǎn)相關(guān)，與BCMS有效性相關(guān)的風(fēng)險(xiǎn)見6.1。風(fēng)險(xiǎn)評(píng)估的目的是使組織能夠評(píng)估優(yōu)先活動(dòng)被中斷的風(fēng)險(xiǎn)，以便采取適當(dāng)?shù)拇胧?yīng)對(duì)風(fēng)險(xiǎn)。組織宜實(shí)施和維護(hù)一個(gè)正式的風(fēng)險(xiǎn)評(píng)估過程，系統(tǒng)地識(shí)別、分析和評(píng)估破壞組織優(yōu)先活動(dòng)的風(fēng)險(xiǎn)，以及支持這些活動(dòng)的過程、體系、信息、人員、資產(chǎn)、供應(yīng)商和其他資源。風(fēng)險(xiǎn)評(píng)估是一個(gè)結(jié)構(gòu)化，在決定可能需要的進(jìn)一步處理之前，分析風(fēng)險(xiǎn)的可能性和后果的過程。結(jié)構(gòu)化過程試圖回答一些基本的問題，如：——會(huì)發(fā)生什么？——發(fā)生的可能性有多大？——會(huì)有什么后果？——有什么方法可減輕后果或降低這種可能性？該過程宜考慮組織環(huán)境以及相關(guān)方的需求和期望(見4.1和4.2)。組織宜了解與組織活動(dòng)所需資源相關(guān)的威脅和脆弱性，特別是：——識(shí)別為高優(yōu)先級(jí)的活動(dòng)所需的資源；——資源更換交付周期長于活動(dòng)恢復(fù)時(shí)間目標(biāo)。組織宜選擇適當(dāng)?shù)姆椒ㄗR(shí)別、分析和評(píng)估可能導(dǎo)致中斷的風(fēng)險(xiǎn)。GB/T24353給出了風(fēng)險(xiǎn)管理的原則和相關(guān)指南。本文件宜包含的典型要素如下：a)識(shí)別風(fēng)險(xiǎn)：識(shí)別組織優(yōu)先活動(dòng)和支持這些活動(dòng)的過程、體系、信息、人員、資產(chǎn)、供應(yīng)商和其他資源的潛在風(fēng)險(xiǎn)源，可能來自于：1)在某種情況下可能破壞活動(dòng)和資源的具體威脅（如：火災(zāi)、洪水、電力中斷、員工流失、員工缺勤、電腦病毒和硬件故障等）；2)由資源脆弱性（如單點(diǎn)故障、消防防護(hù)不充分、電力韌性不足、人員配備不足，IT安全水平和韌性低下）引起的中斷。b)風(fēng)險(xiǎn)分析：了解風(fēng)險(xiǎn)，以便對(duì)其進(jìn)行評(píng)估和確定適當(dāng)?shù)奶幚矸椒?。宜包括?)考慮風(fēng)險(xiǎn)的原因和來源，正面和負(fù)面后果的可能性，以及其他因素可能對(duì)這種可能性產(chǎn)生的影響；2)確定風(fēng)險(xiǎn)主要根據(jù)風(fēng)險(xiǎn)的可能性和預(yù)期后果，但也要考慮現(xiàn)有控制措施的有效性和效率。分析的關(guān)鍵參數(shù)是可能性，因此宜考慮其有效性的可信度（根據(jù)專家之間的意見分歧、不確定性、可用性、信息的質(zhì)量、數(shù)量和持續(xù)相關(guān)性，或建模的局限性），并提請(qǐng)決策者和其他有關(guān)方面注意。分析可以是定性、半定量或定量的。c)風(fēng)險(xiǎn)評(píng)估：評(píng)估哪些與中斷有關(guān)的風(fēng)險(xiǎn)需要處置。宜關(guān)注高優(yōu)先級(jí)或重要替代物交付時(shí)間的活動(dòng)需要的資源；組織宜了解要求傳達(dá)這些結(jié)果的財(cái)務(wù)、監(jiān)管/立法或政府義務(wù)。此外，某些社會(huì)層面的要求也保證在適當(dāng)?shù)脑敿?xì)程度上共享這些信息。8.3業(yè)務(wù)連續(xù)性策略和解決方案8.3.1總則業(yè)務(wù)連續(xù)性策略是組織滿足其業(yè)務(wù)連續(xù)性要求的可能方法?！獦I(yè)務(wù)連續(xù)性策略宜包含至少一個(gè)業(yè)務(wù)連續(xù)性解決方案，但也可能需要多個(gè)解決方案來滿足業(yè)務(wù)連續(xù)性要求?！獦I(yè)務(wù)連續(xù)性解決方案包括實(shí)施業(yè)務(wù)策略的方法、安排、方式、程序、處置方法和措施。解決方案可用于多種策略。業(yè)務(wù)連續(xù)性策略和解決方案：a)使組織能夠在規(guī)定的時(shí)間范圍內(nèi)以可接受的能力恢復(fù)業(yè)務(wù)運(yùn)行；b)確定組織可以實(shí)施并隨時(shí)間改進(jìn)、用來緩解中斷相關(guān)風(fēng)險(xiǎn)的能力。確定業(yè)務(wù)連續(xù)性策略和選擇業(yè)務(wù)連續(xù)性解決方案時(shí)，宜基于業(yè)務(wù)影響分析(見8.2.2)和風(fēng)險(xiǎn)評(píng)估(見8.2.3)，并考慮相關(guān)成本。組織宜制定程序來確定和選擇業(yè)務(wù)連續(xù)性策略和解決方案，包括評(píng)審和批準(zhǔn)建議的解決方案的。組織宜考慮在中斷之前、期間和之后可實(shí)施的選項(xiàng)。8.3.2確定策略和解決方案總則大多數(shù)策略需要一個(gè)或多個(gè)解決方案，但對(duì)于組織的某些活動(dòng)，不采取措施或推遲恢復(fù)可能是可接受的策略。例如，恢復(fù)活動(dòng)的重新部署策略可由若干解決方案組成，包括“緊急運(yùn)輸”、“網(wǎng)絡(luò)再定向”和“備用人員”。這些解決方案也可成為“延長工作時(shí)間”策略的一部分。類似地，保護(hù)優(yōu)先活動(dòng)的生產(chǎn)策略可由若干解決方案組成，例如“將30%的產(chǎn)品A的生產(chǎn)從A地轉(zhuǎn)移到B地”或“將產(chǎn)品A的生產(chǎn)拆分到C地和D地”。為確保業(yè)務(wù)連續(xù)性計(jì)劃（見8.4.4)的運(yùn)行不受中斷的不利影響，組織可能需要采取預(yù)防措施，例如，將團(tuán)隊(duì)和要恢復(fù)的ICT系統(tǒng)分散到多個(gè)地點(diǎn)。但是并非總能實(shí)現(xiàn)各種規(guī)模和類型中斷的分離，有必要認(rèn)識(shí)到這種方式的局限性并與最高管理者達(dá)成一致。局限性可以用距離、最少人員或嚴(yán)重程度來表示，并會(huì)受到公共機(jī)構(gòu)對(duì)嚴(yán)重或大范圍中斷的響應(yīng)的影響。組織宜確定適當(dāng)?shù)牟呗院徒鉀Q方案，以：——保護(hù)優(yōu)先活動(dòng)；——穩(wěn)定、連續(xù)、重續(xù)和恢復(fù)優(yōu)先活動(dòng)；——減輕、響應(yīng)和控制影響。組織宜具備確定和選擇業(yè)務(wù)連續(xù)性策略和解決方案的機(jī)制，包括批準(zhǔn)和實(shí)施推薦的解決方案（見8.3）。ISO/TS22331為確定和選擇業(yè)務(wù)連續(xù)性策略和解決方案提供了進(jìn)一步的指南。保護(hù)優(yōu)先活動(dòng)保護(hù)優(yōu)先活動(dòng)可通過以下方式實(shí)現(xiàn)——降低活動(dòng)受到中斷影響的風(fēng)險(xiǎn)；——將該活動(dòng)轉(zhuǎn)給第三方（但責(zé)任仍由組織承擔(dān)）。或者，如有切實(shí)可行的替代方案，可更改活動(dòng)的執(zhí)行方式。在確定保護(hù)優(yōu)先活動(dòng)的策略和解決方案時(shí)，組織宜考慮：——已發(fā)覺的活動(dòng)的脆弱性以及活動(dòng)中止可能帶來的影響；——措施的成本與預(yù)期收益的比較；——該活動(dòng)的緊迫性，由于只有較少的時(shí)間來解決問題；——整體的可行性和適用性。穩(wěn)定、連續(xù)、重續(xù)和恢復(fù)優(yōu)先活動(dòng)為以商定的能力重續(xù)優(yōu)先活動(dòng)而設(shè)置的RTO，使組織能夠確定策略以縮短中斷時(shí)間、減少影響，并及時(shí)恢復(fù)優(yōu)先活動(dòng)。為了確保優(yōu)先活動(dòng)可在RTO內(nèi)恢復(fù)，還宜為依賴關(guān)系和支持資源設(shè)定相匹配的RTO。組織還宜確定恢復(fù)依賴關(guān)系和支持資源所需的能力。設(shè)置這些RTO時(shí)，組織可能需考慮：——在全面恢復(fù)服務(wù)之前，提供不同服務(wù)的可能性；——確保有效動(dòng)員人員；——在必要時(shí)，鼓勵(lì)和支持人員重返工作崗位；——推遲重續(xù)支持資源的依賴關(guān)系的臨時(shí)方案（如手工過程——積壓工作和恢復(fù)丟失信息所需時(shí)間；——恢復(fù)要求的復(fù)雜性和規(guī)模，或?qū)桓稌r(shí)間較長的專業(yè)設(shè)備的需求。業(yè)務(wù)連續(xù)性策略可包括：a)活動(dòng)遷移：一些或所有活動(dòng)轉(zhuǎn)移到組織內(nèi)部的其他部分，或者轉(zhuǎn)移給外部第三方，可獨(dú)立進(jìn)行也可通過互惠互助協(xié)議來進(jìn)行。在決定重續(xù)活動(dòng)的場所時(shí)，宜考慮受損/受影響的場所和未受損的備用場所。b)資源遷移或再分配：包括員工在內(nèi)的資源轉(zhuǎn)移到組織內(nèi)另一處地址或另一個(gè)活動(dòng)，或轉(zhuǎn)給外部第三方；c)替代過程和備用能力：建立替代過程或在過程和/或庫存上創(chuàng)建冗余/備用能力；d)臨時(shí)應(yīng)對(duì)方案：為在有限時(shí)間提供可接受的結(jié)果，某些活動(dòng)可能會(huì)采取不同的工作方式。臨時(shí)應(yīng)對(duì)方案可能更加費(fèi)時(shí)和/或費(fèi)力（例如，手工操作不同于自動(dòng)化系統(tǒng)）。因此，臨時(shí)應(yīng)對(duì)方案通常僅適用于短期或延緩恢復(fù)正常業(yè)務(wù)的情況；策略的例子包括：——在備用場所提供備用生產(chǎn)能力；——為關(guān)鍵員工提供遠(yuǎn)程工作能力。緩解、響應(yīng)及控制影響緩解、響應(yīng)和控制中斷的影響的策略可包括：a)保險(xiǎn)：購買保險(xiǎn)可為某些損失提供一定的經(jīng)濟(jì)補(bǔ)償，但不能彌補(bǔ)全部損失（例如，未投保事件、品牌、聲譽(yù)、相關(guān)方價(jià)值、市場份額和對(duì)人員的影響）。僅靠財(cái)務(wù)結(jié)算并不能完全保護(hù)組織并滿足相關(guān)方的期望。保險(xiǎn)可能與其他解決方案結(jié)合使用；b)資產(chǎn)恢復(fù)：與專業(yè)公司簽訂后續(xù)服務(wù)合同，在資產(chǎn)損壞后清理或修復(fù)；c)聲譽(yù)管理：發(fā)展有效的預(yù)警和溝通的能力（見8.4.3制定有效的事件溝通程序（見）。對(duì)于已確定需要處置的風(fēng)險(xiǎn)，組織宜根據(jù)其對(duì)風(fēng)險(xiǎn)的總體態(tài)度，考慮降低可能性、縮短時(shí)間和限制中斷影響的方法。如存在組織無法控制且可能會(huì)嚴(yán)重破壞組織的特定危害（如地震或洪水），組織宜：——確定策略并實(shí)施解決方案，以限制其潛在影響；——確定負(fù)責(zé)監(jiān)測此類危害的外部機(jī)構(gòu)；——與外部機(jī)構(gòu)建立聯(lián)系，了解它們的通知協(xié)議；——分析通知協(xié)議，以確定它們是否符合組織的需求。8.3.3選擇策略和解決方案業(yè)務(wù)連續(xù)性策略的選擇宜基于：a)使優(yōu)先活動(dòng)能夠在業(yè)務(wù)影響分析中確定的時(shí)間范圍內(nèi)以商定的能力重續(xù)(見8.2.2)；b)與組織可承擔(dān)或不可承擔(dān)風(fēng)險(xiǎn)的數(shù)量和類型相一致；c)以可管理和合理的成本提供利益。當(dāng)組織的運(yùn)行發(fā)生變化時(shí)，組織宜重新檢查所有的解決方案。用于穩(wěn)定、連續(xù)、重續(xù)或恢復(fù)優(yōu)先活動(dòng)的業(yè)務(wù)連續(xù)性解決方案的成本通常非常高。如組織估計(jì)到這樣的情況，宜選擇可接受的和滿足其業(yè)務(wù)連續(xù)性目標(biāo)的替代解決方案，或者按照4.3.3的要求將受影響的產(chǎn)品和服務(wù)從BCMS范圍中刪除。當(dāng)組織估計(jì)威脅極不可能發(fā)生，或者保護(hù)優(yōu)先活動(dòng)的成本過高時(shí)，作為其持續(xù)進(jìn)行的BCMS績效評(píng)價(jià)的一部分(第9章)，組織可選擇接受風(fēng)險(xiǎn)并對(duì)其重新評(píng)估。接受風(fēng)險(xiǎn)還可要求將受影響的產(chǎn)品或服務(wù)從BCMS范圍中刪除。8.3.4資源要求總則組織宜確定資源要求以實(shí)施所選的解決方案。組織宜建立：——具有適當(dāng)權(quán)限的團(tuán)隊(duì)或個(gè)人（對(duì)小規(guī)模組織而言）來監(jiān)管事件的準(zhǔn)備、響應(yīng)和恢復(fù)；——為服務(wù)、人員、資源、材料、生產(chǎn)或捐贈(zèng)的設(shè)施進(jìn)行定位、獲取、存儲(chǔ)、分配、維護(hù)、測試及記賬的后勤保障能力和程序；——財(cái)務(wù)、后勤和行政程序來支持在事件發(fā)生前、中、后的業(yè)務(wù)連續(xù)性安排；程序宜：——確?？裳杆僮龀鲐?cái)務(wù)決策；——與已建立的權(quán)限等級(jí)、治理和會(huì)計(jì)原則相一致。；——響應(yīng)時(shí)間、人員、設(shè)備、培訓(xùn)、設(shè)施、資金、保險(xiǎn)、債務(wù)控制、專業(yè)知識(shí)、材料的資源管理目標(biāo)，以及需要從組織資源庫和供應(yīng)商那里獲取每種資源的時(shí)間表；——與相關(guān)方的協(xié)助、溝通、戰(zhàn)略聯(lián)盟和互助程序。人員.1總則組織宜配備有能力響應(yīng)和管理事件的人員，并參與重續(xù)優(yōu)先活動(dòng)。.2事件響應(yīng)組織宜指定具有管理事件所需責(zé)任、權(quán)限和能力的事件響應(yīng)人員。事件響應(yīng)人員宜組成一個(gè)小組，負(fù)責(zé)管理對(duì)組織產(chǎn)生重大影響或可能產(chǎn)生重大影響的任何中斷?？筛鶕?jù)人員的能力進(jìn)行分組：——事件/策略管理(見)；——溝通(見)；——安全和福利(見)；——救助和安全(見)；——重續(xù)活動(dòng)(見)；——恢復(fù)ICT系統(tǒng)(見)。小組中的所有人員宜有明確的、適用于中斷之前、期間和之后的職責(zé)和權(quán)限。適用于事件響應(yīng)和業(yè)務(wù)恢復(fù)人員的培訓(xùn)包括：——事件評(píng)估；——疏散和避難場所的管理（如適用于上述范圍——替代生產(chǎn)場所的安排；——有效進(jìn)行內(nèi)外部溝通的技巧；——處理人員方面的事宜（見ISO/TS22330）。整個(gè)組織的響應(yīng)技能和能力宜通過實(shí)踐培訓(xùn)來發(fā)展，包括積極參與演練等。響應(yīng)和恢復(fù)小組宜接受有關(guān)其責(zé)任的教育和培訓(xùn)，包括與第一響應(yīng)者和其他相關(guān)方的互動(dòng)。各小組宜定期接受培訓(xùn)，新成員加入應(yīng)急結(jié)構(gòu)時(shí)也宜接受培訓(xùn)。這些小組還宜接受防止事件升級(jí)為危機(jī)的培訓(xùn)。.3重續(xù)活動(dòng)組織宜確定適宜的措施，以維護(hù)和擴(kuò)大可用的核心技能和知識(shí)，使活動(dòng)能夠在工作人員減少的情況下重續(xù)。在事件發(fā)生時(shí)，人們可能不會(huì)按預(yù)期作出響應(yīng)，可能需要鼓勵(lì)、保證和支持。擁有廣泛專業(yè)技能和知識(shí)的員工、承包商和其它相關(guān)方都宜包括在內(nèi)。保護(hù)或提升這些技能的方法可包括：——后備技術(shù)專家的名單及召集計(jì)劃；——員工和承包方的多技能培訓(xùn)；——分散核心能力以減少事件的影響，包括把掌握核心技能的員工分配在多個(gè)場所；——第三方的使用；——繼任計(jì)劃；——記錄過程，其它形式的知識(shí)保留和管理。事件發(fā)生后對(duì)員工進(jìn)行重新安置的程序需考慮：——員工到另一場所的交通；——員工在備用場所的需求，如：——住宿；——餐飲設(shè)施；——個(gè)人和家庭承諾；——不同設(shè)備的培訓(xùn)?！彝マk公帶來的挑戰(zhàn)。專家角色可包括：——安全；——交通后勤；——福利和應(yīng)急。為了鼓勵(lì)和安撫那些需要對(duì)中斷做出響應(yīng)的人，組織宜提供實(shí)用的建議、風(fēng)險(xiǎn)意識(shí)培訓(xùn)、交通解決方案和家庭相關(guān)的支持。ISO/TS22330對(duì)業(yè)務(wù)連續(xù)性的人員方面提供了進(jìn)一步的指南。信息和數(shù)據(jù)“信息”和“數(shù)據(jù)”二詞在日常生活中可互換使用。本文件中“信息”表示經(jīng)過處理、組織和關(guān)聯(lián)后產(chǎn)生意義的數(shù)據(jù)。因此，信息是由數(shù)據(jù)創(chuàng)建的，這些數(shù)據(jù)包括，例如，事實(shí)數(shù)據(jù)、以電子形式保存、可在計(jì)算機(jī)上存儲(chǔ)和使用的統(tǒng)計(jì)數(shù)據(jù)和數(shù)字。在中斷期間，可從數(shù)據(jù)中重新創(chuàng)建信息，但處理時(shí)間可能會(huì)很長，方法也不一定可行。因此，組織宜考慮各項(xiàng)活動(dòng)對(duì)信息和數(shù)據(jù)的要求。如一項(xiàng)活動(dòng)（不僅僅是優(yōu)先活動(dòng)）所需的信息或數(shù)據(jù)不可挽回地丟失了，那么該活動(dòng)就不可能重續(xù)。宜根據(jù)業(yè)務(wù)影響分析中確定的時(shí)間范圍保護(hù)對(duì)組織運(yùn)營至關(guān)重要的信息和數(shù)據(jù)。當(dāng)確定存儲(chǔ)和恢復(fù)數(shù)據(jù)的安排時(shí)，組織宜了解適用的法律要求。組織響應(yīng)和恢復(fù)所需的信息或數(shù)據(jù)宜有適當(dāng)?shù)模骸Ｃ苄裕ɡ?，活?dòng)遷移至另一場所）；——可靠性：信息和數(shù)據(jù)可靠、可信；——可用性：信息和數(shù)據(jù)在活動(dòng)需要時(shí)可盡快獲?。ㄔ谠摶顒?dòng)的RTO以內(nèi)）；響應(yīng)期間所需的信息和數(shù)據(jù)可能要求立即獲得，但其他信息和數(shù)據(jù)可能在事件發(fā)生后一段時(shí)間內(nèi)不需要；——時(shí)效性：按要求及時(shí)更新，以使活動(dòng)運(yùn)行（8.2.2）—因事件丟失的信息可能需要重新創(chuàng)建，并且可能需要復(fù)原數(shù)據(jù)。在復(fù)制信息和數(shù)據(jù)時(shí)，可使用各種方法，包括虛擬（電子）格式（如磁盤、云、磁帶）和實(shí)物（硬拷貝）格式（如縮微膠片、影印、生產(chǎn)時(shí)就創(chuàng)建雙份）。對(duì)于尚未復(fù)制或備份到安全位置的信息和數(shù)據(jù)的恢復(fù)解決方案，宜記錄在案。如果信息或數(shù)據(jù)副本與其原始信息距離太近，中斷可能會(huì)損壞其完整性或阻止對(duì)其存取。然而，距離過遠(yuǎn)可能會(huì)使信息/數(shù)據(jù)在需要時(shí)無法獲得。最好有書面證據(jù)證明這些相互沖突的關(guān)注點(diǎn)是如何解決與本子條款有關(guān)的信息和數(shù)據(jù)可包括：——聯(lián)系信息；——供應(yīng)商、相關(guān)方和相關(guān)方的詳細(xì)信息；——法律文件（例如合同、保單、所有權(quán)證書——其他服務(wù)文件（例如合同、服務(wù)水平協(xié)議——元數(shù)據(jù)（即以規(guī)定格式描述音視頻內(nèi)容及數(shù)據(jù)實(shí)質(zhì)的資料——作為事件響應(yīng)措施的通知和警報(bào)信息；——關(guān)于誰有權(quán)調(diào)用程序的指引和標(biāo)準(zhǔn)。建筑、工作場所和相關(guān)公共設(shè)施工作場所解決方案的差別可能很大，選擇范圍也很廣。不同類型的事件或威脅可能要求實(shí)施不同的或多個(gè)工作場所選項(xiàng)。恰當(dāng)?shù)倪x擇取決于組織的規(guī)模、行業(yè)和活動(dòng)范圍，以及相關(guān)方和地理位置。例如，公共機(jī)構(gòu)需要維護(hù)在其社區(qū)的一線服務(wù)交付，而有些組織卻可在不同的國家或地區(qū)進(jìn)行運(yùn)營。組織宜設(shè)計(jì)解決方案來降低正常場所不能使用帶來的影響。該方案可能包括以下一種或幾種：——組織內(nèi)部的備用場所（地點(diǎn)），包括取代其他活動(dòng)；——其他組織提供的備用場所（不論其是否屬于互助協(xié)議——指揮中心；——第三方專業(yè)機(jī)構(gòu)提供的備用場所；——家庭辦公或遠(yuǎn)程辦公；——其他商定的適宜的場所；——在已建立的場所中使用備用人力。備用場所宜認(rèn)真選擇，考慮地理位置是否可能會(huì)受到同一事件的影響。事件，如自然災(zāi)害，可能會(huì)導(dǎo)致大范圍的損毀，影響基礎(chǔ)服務(wù)，如電力、燃?xì)?、供水和通訊。如存在這種風(fēng)險(xiǎn)，備用場所宜遠(yuǎn)離這種可能受影響的區(qū)域。如員工需要轉(zhuǎn)移到備用場所，宜充分考慮：——確保有關(guān)場所距離不太近，以免受到同一事件的影響；——確保辦公場所足夠近，員工愿意并能夠前往那里工作；——可能由事件引起的困難。為連續(xù)性使用備用場所，宜對(duì)備用場所內(nèi)要求的資源是否屬于該組織進(jìn)行明確的說明。如備用場所是與其他組織共享，宜制定并編寫相關(guān)計(jì)劃以應(yīng)對(duì)這些場所不可用的情況。在某些情況下（如，生產(chǎn)線、呼叫中心或如RTO很短）,轉(zhuǎn)移工作任務(wù)可能比轉(zhuǎn)移員工合適。這可能會(huì)要求備用場所具有備用容量或額外的員工（不管是通過加班或者招募），以及可用的其他資源。設(shè)備和易耗品組織宜確定和維護(hù)支持其優(yōu)先活動(dòng)的核心供給品的庫存。有些設(shè)施和機(jī)器由于非常昂貴（需要很長時(shí)間來批準(zhǔn)）或者交付時(shí)間長，可能難以獲取。提供這類資源的解決方案需要將這些問題考慮在內(nèi)。改變商業(yè)慣例，例如庫存控制或建筑管理，可能提供解決方提供解決方案可能包括：——在另一場所存儲(chǔ)額外供給品；——與第三方簽定協(xié)議，確?？稍诙唐趦?nèi)供貨；——將零庫存交付產(chǎn)品分散到其他場所；——在倉庫或貨運(yùn)站存儲(chǔ)物資；——把部件裝配業(yè)務(wù)轉(zhuǎn)移到有物資供給的備用場所；——確定備用或替代供給品；——確認(rèn)各階段所需的設(shè)施和設(shè)備，并制定多種備選供貨方案。如有些活動(dòng)需依賴專門的供給品，組織宜確定優(yōu)先活動(dòng)依賴的供應(yīng)商，特別是單一貨源的供應(yīng)商。管理供應(yīng)連續(xù)性的解決方案可包括：——增加供應(yīng)商的數(shù)量；——鼓勵(lì)或要求供應(yīng)商具備業(yè)務(wù)連續(xù)性能力；——與關(guān)鍵供應(yīng)商簽訂合同或服務(wù)水平協(xié)議；——確定有能力的備選供應(yīng)商。如業(yè)務(wù)活動(dòng)改換到備用場所，宜確認(rèn)供應(yīng)商可高效地把他們的產(chǎn)品和服務(wù)送到備用場所。ICT系統(tǒng)在許多組織內(nèi)，無ICT系統(tǒng)就無法完成業(yè)務(wù)活動(dòng)，在活動(dòng)重續(xù)之前，ICT系統(tǒng)需要先得到恢復(fù)。在可能的實(shí)際情況下，ICT恢復(fù)期間，可能需要手動(dòng)的臨時(shí)方案。技術(shù)策略取決于所用技術(shù)的性質(zhì)及其與活動(dòng)之間的關(guān)系，但基本上是下列組合：——組織內(nèi)部自建；——第三方向組織交付的服務(wù)；——組織購買的外部服務(wù)。提供優(yōu)先活動(dòng)所需的ICT系統(tǒng)的方法可包括：——在地理上將其分散布局（例如在不會(huì)受到同一中斷事件影響的不同場所維持同樣的技術(shù)——保留較老的設(shè)備，作為緊急情況下的替代品或備用品；——簽署供應(yīng)設(shè)備或恢復(fù)服務(wù)的合同。由于所用支持技術(shù)的復(fù)雜性，ICT系統(tǒng)經(jīng)常需要復(fù)雜的技術(shù)方案來確保其得到及時(shí)的恢復(fù)，因此宜注意：——各技術(shù)站點(diǎn)的位置以及它們之間的距離；——跨越分散站點(diǎn)的分布式技術(shù)；——為遠(yuǎn)程訪問用戶的增加提供足夠的設(shè)施；——設(shè)置無人（暗）站點(diǎn)及有人站點(diǎn)；——改進(jìn)通訊的連通性并提高冗余路由的等級(jí)；——采用自動(dòng)“故障切換”替代要求人工干預(yù)來恢復(fù)ICT系統(tǒng)；——考慮ICT系統(tǒng)的過時(shí)。如組織在不止一個(gè)場所擁有ICT系統(tǒng)，那就可能有機(jī)會(huì)實(shí)施如下解決方案，每個(gè)場所的規(guī)模宜達(dá)到多個(gè)ICT合并后的容量要求。如果組織使用了非常專業(yè)化或定制的技術(shù)，而且交付周期很長，就可能需要考慮通過為替換或復(fù)原作出特定規(guī)定來加強(qiáng)對(duì)其ICT系統(tǒng)的保護(hù)。ISO/IEC27031為業(yè)務(wù)連續(xù)性的ICT準(zhǔn)備提供了進(jìn)一步的指南。交通運(yùn)輸和物流事件發(fā)生后，可能需為員工提供交通運(yùn)輸服務(wù)：——當(dāng)員工平時(shí)所乘交通工具不可用時(shí)，送員工回家；——將員工遷移到備用工作場所；——運(yùn)送各地所需資源。組織宜預(yù)先確定提供中斷后可能需要的替代交通運(yùn)輸工具的選擇，可能包括：——確定物流中斷的可能情景，包括由事件或異常情況直接導(dǎo)致的；——保護(hù)替代交通運(yùn)輸工具和路線，以應(yīng)對(duì)異常交通狀況；——與交通運(yùn)輸提供方簽署協(xié)議。財(cái)務(wù)組織宜確定在中斷事件發(fā)生期間及發(fā)生后確保提供必要財(cái)務(wù)服務(wù)的策略，可包括：——提供緊急采購資金，例如食物、住所、設(shè)施、消耗品及交通工具；——員工費(fèi)用補(bǔ)貼；——重大支出，如租賃或購買辦公樓和設(shè)備。為防范濫用保險(xiǎn)或促進(jìn)保險(xiǎn)索賠，組織可能有必要證明有效的財(cái)務(wù)控制，例如，提供在中斷期間以及之后所有花費(fèi)的正式記錄。合作伙伴和供應(yīng)鏈業(yè)務(wù)網(wǎng)絡(luò)和供應(yīng)鏈通常是廣泛、復(fù)雜和相互依賴的，并有多個(gè)層次。理解供應(yīng)鏈及其給組織帶來的風(fēng)險(xiǎn)是至關(guān)重要的。在分析業(yè)務(wù)影響時(shí)(見8.2.2)，組織宜與相關(guān)供應(yīng)商共同對(duì)優(yōu)先活動(dòng)所依賴的供應(yīng)鏈進(jìn)行分析。反之，宜要求供應(yīng)商將分析傳遞到他們的供應(yīng)商。供應(yīng)鏈分析宜基于組織制定的