GB T 31595-2015 公共安全 业务连续性管理体系 指南.pdf

1、可幢ICS 13.200 A 90 中华人民共和国国家标准GB/T 31595-20 15/ISO 22313: 20 12 公共安全业务连续性管理体系指南Societal security-Business continuity m缸lagementsystems-Guidance (lSO 22313: 2012 , IDT) 2015-06-02发布2016-01-01实施中华人民共和国国家质量监督检验检夜总局申舍中国国家标准化管理委员会&叩. GB/T 31595-20 15/ISO 22313:2012 目次守，EN1111123344445555667899uuuunmm切nn划H

2、HH序望卜.计HH估程.期. 和施现评性价境和围系 措实 .险续HH评和uu环求范体的和 制风连和织需的理责会标HHHH控和略务析组的系管诺z机目和析策业分件和方体性承.色和性.划分性施试量文织关理续和诺角险续息策响续实测恬核审用义组相管连力承.的风连. 信的影连和和且审评引定境解解定务.导理针织对务源力识通档施务务立练估视部理性和环了理确业力领管方组.应业.资能意沟存实业业建演评监内管围范语织导划持施范规术组ZJA领JJA策2支234J实2JAJ绩言士一同44445555667777788888999前引123456789I GB/T 31595-2015/ISO 22313:2012 qd

3、qdaaFD 施措正和进合改符续不持进献改2文mm考m参毒E GB/T 31595-20 15/ISO 22313:2012 前自本标准按照GB/T1.1-2009给出的规则起草。本标准使用翻译法等同采用ISO22313: 2012 (公共安全业务连续性管理体系指南H英文版)，仅有编辑性修改。与本标准中规范性引用的国际文件有一致性关系的我国文件如下z一-GB/T30146一2013公共安全业务连续性管理体系要求CISO22301: 2012 , IDT) 本标准由全国公共安全基础标准化技术委员会(SAC/TC351)提出并归口。本标准起草单位E中国标准化研究院、中国信息安全认证中心、广发银行、

4、招商银行。本标准主要起草人z王金玉、秦挺鑫、魏军、林德明、董晓援、高旭磊、邢立强、杨正科、尤其。而皿GB/T 31595-2015/ISO 22313:2012 引总则本标准在适当时为IS022301: 2012的要求提供指南，并提供与要求相关的推荐(宜和允许可建议。为业务连续性的各个方面提供通用指南不是本标准的意图。本标准和IS022301虽标题相同但并不是重复业务连续性管理体系要求、相关术语和定义。组织希望了解上述内容请参照IS022301和IS022300. 本标准使用的示图是为了进一步澄清和解释关键点。这些示图只为说明目的，相关内容优先参考标准正文。业务连续性管理体系(BCMS)强调以

5、下重要性z一一了解组织的需求和建立业务连续性方针与目标的必要性F实施和运行控制以及实施和运行措施来管理组织应对中断事件的整体能力z一一监视和评审BCMS绩效和有效性;一一一基于目标测量的持续改进。业务连续性管理体系与其他管理体系类似，也包括以下关键因素zu 方针$b) 有明确职责的人员zc) 与管理过程相关的z1) 方针$2) 策划p3) 实施和运行z4) 绩效评估z的管理评审$6) 改进。d) 一套可提供审核证据的文件Fe) 任何与组织相关的业务连续性管理体系过程。业务连续性对一个组织而言是特定的，但在执行过程中可能要涉及到其他的群体和第三方。一个组织很可能有他依赖的和依赖他的外部组织，业务

6、连续性有助于构建更具弹性的社会。策划实施-栓查改进PDCA模型本标准采用策划(Plan)-实施(00)-检查(Check)-改进(Act)(POCA)模型来策划，建立，实施，运行，监视，评审，保持和持续改进组织BCMS的有效性。图l说明了BCMS如何把相关方业务连续性管理要求作为输入，并通过必要的措施和过程，产生满足这些要求的连续性输出(例如受控的业务连续性)。lV GB/T 31595-20 15/ISO 22313: 2012 圄1应用于BCMS过程的PDCA表1PDCA模型的解释策划建立与改进业务连续性管理相关的业务连续性方针、目标、控制措施、过程和程序，以提供与建立组织的总方针和目标相

7、一致的结果实施实施和运行业务连续性的方针、控制措施、过程和程序(实施和运行检查对照业务连续性方针和目标，监视和评审业务连续性的绩效，并将结果报告管理者以供评审，(监视和评审确定和授权纠正和改进措施改进基于管理评审以及重新评审的业务连续性管理体系的范围、方针和目标的结果，采取纠正措|保持和改进施，以持续改进BCMS本标准中PDCA组成部分本标准中各章节和图l内容间对应关系如下表所示z表2PDCA模型与第4章到第10章之间对应关系PDCA组成部分与POCA组成部分对应的章节第4章(组织环境阐述了组织做什么以确保满足BCMS要求，并考虑所有相关的外部和内部因素，包括=相关方的需求和期望s一一法律法规

8、责任z一-BCMS所要求的范围策划第5章(领导力)阐述了管理者在证明承诺、确定方针、建立角色、职责l(建立和权力方面的关键作用第6章(策划)描述建立整体BCMS的战略目标和指导原则所需的措施.为业务影响分析，风险评估(8.2)和业务连续性策略(8.3)建立环境第7章(支持)识别支持BCMS所需的关键要素，即资源，能力，意识，沟通和存档信息实施第8章(实施识别实现业务连续性所需的业务连续性管理(配M)(实施和运行)要素检查第9章(绩效评估通过绩效测量和评估提供BCMS改进基础(监视和评审)改进第10章改进包括通过绩效评估识别针对不符合所采取的纠正措施(保持和改进)V GB/T 31595-20

9、15/ISO 22313: 20 12 业务连续性业务连续性是在中断事件发生后，组织在预先确定的可接受的水平上连续交付产品或提供服务的能力。BCM是实现业务连续性的过程并使组织准备处理有可能妨碍实现其目标的中断事件。将BCM置于管理体系框架和原则下来建立BCMS.以使BCM可控、可评估和可持续改进。本标准中，业务一词泛指组织为实现其目标、目的或使命而开展的运营和服务。该词本身适用于大、中、小型的工业、商业、公共和非盈利组织a任何事件，无论大小、自然的、意外的或蓄意的，都可能会使组织的运营及其交付产品和服务的能力发生严重的中断，因此，只有在中断事件发生前而不是发生后实施业务连续性，才能确保组织在

10、所受影响尚未严重到不可接受之前恢复业务的运行。BCM包括:a) 清楚组织的关键产品和服务，以及交付这些产品和服务的活动pb) 了解恢复活动的优先级及其所需的资源zc) 清晰地了解活动所受到的威胁，包括这些活动之间的依赣关系，还要知道如果没有恢复这些活动将会带来的影响zd) 当中断事件发生时，有准备好的经过测试并可靠的计划来重启活动zd 确保这些计划得到定期评审和更新，从而使其在各种情况下都有效a业务连续性在处理突发中断事件(例如，爆炸)和渐进中断事件(例如，流感大爆发时都是有效的。能够造成活动中断的事件非常多，其中许多是难以预测和分析的。由于业务连续性关注中断事件带来的影响而不是其产生的原因，

11、所以业务连续性识别出哪些是组织艘以生存的活动，并使组织确定为履行其责任需确保哪些活动的连续性。通过业务连续性，组织能认识到在中断事件发生前需要做什么准备来保护其资源(例如z人、房屋、技术和信息)、供应链、相关方以及声誉。基于该认识，组织能在中断事件发生时务实地采取可能需要的响应，从而能够自信地管理结果并避免造成不可接受的影响。做好了适当的业务连续性准备的组织还能将高风险转化为机会。下面两图图2和图3)试图从概念上来说明在某种情况下业务连续性是如何有效地减轻影响的。两图中所示的各个阶段之间的相对距离并不表示特定的时间尺度。通过有效的业务连续性管理减轻中断事件的影响一突发中断在可版的时附恢复fJJ

12、lJfl!51tlJ*fl寸/ / / / / J t / / / -sassi-Elegi-EE-r,Eise-zig-/ J i旦运行水平时间没有业务连续性管理业务连续性对突发中断有效的圄解圄2VI GB/T 31595-20 15/ISO 22313:2012 通过有效的业务连续性管理减轻中断事件的影响一一渐进中断运行水平-1 I事l|报警u件L在可接受的时间内恢复到可接受的水平恢复时间目标影响变得不可接受的时间点没有业务连续性管理1iliisiij 接行一可运一阳低的平二酌最受水一-圈3业务连续性对渐进中断有效的图解w GB/T 31595-2015/15022313:2012 公共安

13、全业务连续性管理体系指南1 范围本标准基于良好实践，为业务连续性管理体系的策划、建立、实施、运行、监视、评审、保持和持续改进文件化的管理体系提供指南，以使组织能够在中断事件发生时，准备、响应并进行恢复。本标准目的不是要制定统一的BCMS结构，而是为组织设计一个适合组织自身需要和满足其相关方要求的BCMS.这些需求由法律、法规、组织和行业要求、产品和服务、所采用的过程、运行环境，组织的规模和结构以及相关方的要求等方面构成。本标准是通用的并适用于包括大、中、小型从事工业、商业、公共和非盈利等所有规模和类型的组织，以期za) 建立、实施、保持和改进BCMS，b) 确保与组织的业务连续性方针保持一致z

14、c) 做出符合本标准的自我声明zd) 本标准不可用于评估组织的能力是否满足其自身业务连续性要求，也不能用于评估是否满足其客户，法律或者法规的要求。组织可以使用ISO22301的要求向其他组织证明其符合性，或者使其BCMS通过获得被认可的第三方认证机构的认证。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本包括所有的修改单)适用于本文件。ISO 19011 管理体系审核指南ISO 22300公共安全术语ISO 22301公共安全业务连续性管理体系要求ISO 22398公共安全演练和测试指南3 术语和定义I

15、SO 22300和ISO22301中界定的术语和定义适用于本文件。4 组织环辑4.1 了解组织和组织环境本部分是关于了解建立和管理BCMS相关的组织环境。BCM的建立和管理是8.1中的内容。组织宜评估和了解与其意图和运行有关的内部和外部因素。组织在建立、实施、保持和改进其BCMS时宜考虑这些信息并排列优先级。适当时，评估组织的外部环境宜包括以下因素z一一国际、国家、地区或本地的政治、法律和监管环境;一一国际、国家、地区或本地的社会文化、金融、科技、经济、自然和竞争环境;一-供应链的承诺和关联关系z1 GB/T 31595-2015/ISO 22313: 20 12 二在考虑对风险的内部研究时，

16、将其他相关的信息管理体系和知识管理中更通用的信息考虑在内z一一影响组织目标和运行的关键驱动和趋势z一一组织外部相关方的关系、观念和价值。适当时，评估组织内部环境宜包括以下因素z一一产品和服务、活动、资源、供应链以及和相关方的关系z一能力、资源和知识方面条款的理解(例如资本、时间、人、过程、系统和技术); 信息体系、信息流和决策制定过程(正式的和非正式的); 一组织内部相关方s一一-方针和目标，以及实现它们的策略s-一未来机会和业务优先级F一观念、价值和文化z-组织采用的标准和参考模型z户组织架构例如管理，角色和职责)。4.2 理解相关方的需求和期望4.2.1 总则在建立BCMS时，组织宜确保考

17、虑相关方的需求和要求。组织宜识别与其BCMS相关的所有相关方，并基于他们的需要和期望确定他们的要求.识别强制的、阐明的和通常隐含的要求很重要。注z组织需要知道谁是其相关方，比如媒体、附近公众、竞争对手等.当策划和实施BCMS时，识别相关方适用的措施是很重要的，但是这些措施在不同类型相关方之间应有所差别。例如，在中断事件发生后与所有相关方进行掏通可能是合适的，而建立和管理BCM(8.1.1)与所有相关方进行沟通也许就不合适，2 L一生t(_J| 客户| ! 经销商1 | 股东| l 授资者| | 负责人| i 阳公司| | 政府| i 监管制| |依撒务供应商|!|317|li 事件响应人员孟h

18、tt-1 | 媒体| i 评论员| i 贸易团体| i | 邻居| | 压力团体| | 紧急服务l l时时l就| 础原务| |工作人翩翩|圄4公共和私有部门需考虑的相关方的示倒GB/T 31595-2015/180 22313: 20 12 4.2.2 法律和法规要求所有管理体系都宜在组织运行的法律和法规的环境框架下运行。因此，组织宜识别并适应所有与其BCMS相关和适用的法律法规要求，这些法律法规是相关方赞成并需要的。与以上要求相关的信息宜形成文件并保持更新。新的或变更的法律法规和其他要求宜被传达给员工和其他相关方。在建立、实施和保持BCMS时，组织宜考虑适用的法律要求、第三方要求和相关方要求

19、并形成文件。组织宜确保其BCMS能在其法律义务及相关方要求内运行，并支持其法律义务及相关方的要求。组织宜评审其所在地当前的及待定的法律法规要求，可能包括zu 事件响应E包括应急管理、健康、安全和权益法pb) 连续性z指明方案的范围、响应的程度或速度zc) 风险z要求定义的风险管理方案的范围和方法Fd) 危害z与危险品存放场所相关的运行要求。注2多场所经营的组织往往还须满足不同的司法要求.4.3 确定管理体系的范围4.3.1 总副组织宜确定BCMS的范围并确保与相关方进行了适当的沟通。特别是，BCMS的边界和适用性要清晰，同时范围要考虑4.1和4.2提到的情况。范围确定了BCMS适用的产品、服务

20、、场所、职能、过程和活动。组织所依膜的即使没有明确地识别在范围声明内，也应属于该范围内。例如，如果员工薪酬被指定在该范围内，那么默认情况下，可用资金、管理层批示和给财务部门的支付指示也在该范围内。组织宜在文件中清断记录BCMS的范围和内容。4.3.2 BCMS的范围组织宜依据其规模、性质和复杂性来确定合适的BCMS范围并使之文件化。范围宜Ea) 识别被包含在BCMS内的组织的部分zb) 在考虑组织的任务、目标、法律责任和内外部义务下，建立BCMS的要求30 通过识别所有相关活动、资源和供应链的方式来识别组织的产品和服务sd) 考虑相关方的需求和利益。范围还可z一一包括BCMS将应对的事件规模和

21、组织风险偏好的说明z一一识别如何使BCMS融入组织的全面风险管理战略(如果存在中。没有包含在BCMS范围内的部分，组织宜记录并阐明原因。确定范围的目的就是确保覆盖所有相关活动、地点和供应商(8.2.1图的。4.4 业务连续性管理体系本节规范性引用IS022301.不提供指南。3 GB/T 31595-20 15/ISO 22313:2012 5领导力5.1 领导力和承诺整个组织的各级管理者宜证明他们在实现业务连续性方针和目标方面的承诺和领导力。承诺和领导力可以通过激励、鼓励和授权来实现。5.2 管理承诺最高管理者宜证明其在BCMS方面的承诺。最高管理者宜对建立和实施BCMS并持续改进其有效性所

22、作出的承诺提供证据zu 满足适用的法律要求和组织适用的其他要求(4.2.2); b) 将BCMS过程整合到组织已建立的保持和评审程序sc) 建立与组织目标、责任和战略方向相一致的业务连续性方针和目标(5.3); d) 任命一名或多名具有适当权限和能力的人负责BCMS并确保其有效运行(5.的zd 确保建立BCMS角色、职责和能力(5.4); f) 确保有充足的资源可用，包括适当的资金保障水平(7.1); g) 向组织传达满足业务连续性方针和目标的重要性(7.的;h) 积极参与演练和测试(8.5); i) 确保BCMS内部审核被执行(9.2); j) 执行有效的BCMS管理评审(9.3); U 指

23、导并支持BCMS的改进(10)。也可以通过以下方式证明其管理承诺:一一通过指导组参与运营F一一将业务连续性作为管理会议的常设议题。5.3 方针最高管理者宜根据组织的目标和责任确定业务连续性方针并确保z一一符合组织的宗旨(与组织的规模、性质和复杂性相适应并反映组织的文化、依膜关系和运行环境); 为目标的制定提供框架F一一包含遵守相关适用要求的明确承诺，包括法律和法规所规定的义务以及BCMS的持续改进z一一在组织内部被传达和理解z一一与其他相关的方针相互补z一一管理层批准后，使相关方能够获知，宜制定适当的规定来审批方针、保存相关存档信息，并定期(如每年度和当内外部因素发生显著变化时(如最高管理者变

24、更或引人新法规对方针进行评审。这些规定的适用性取决于组织的规模、复杂性、性质和范围。方针还宜E一-对组织的业务连续性的范围和边界提供指引，包括纳入管理范围内的和删减的部分F-识别权力和授权要求，包括负责组织BCMS的人员:建立被追踪的事件类型和规模的准则z4 GB/T 31595-2015/150 22313: 20 12 -包括参考的标准、准则、规则或者BCMS宜考虑或遵从的方针。业务连续性方针可能包括以下内容z一一关键术语z一一资金承诺p一一所参考的其他相关方针z实施业务连续性的要求自一一演练和保持业务连续性的承诺。5.4 组织的角色、职责和扭力最高管理者宜确保在BCMS内对职责和权限进行

25、分配和传达.最高管理者中宜有一人对BCMS全权负责。组织的最高管理者宜任命一名或多名特定的管理者代表，不管该代表是否有其他职责，都宜明确其角色、责任和权力以2一-确保BCM的建立、执行和保持与业务连续性方针相一致;一一向最高管理者汇报BCM的绩效以便于评审并作为改进的基础;一-一在整个组织中提升业务连续性意识;-确保建立的事件响应程序有效，但未必需要在事件期间参与该程序的实施。该管理者代表可以z-一一被称为业务连续性经理气一-在组织中还负有其他职责;一根据组织的大小、规模和复杂性，归属于组织不同的领域。可指派来自于组织每个职能部门或区域的代表来协助实施BCMSo他们的角色、义务、责任和权力宜写

26、入其工作职责描述中，并通过将其纳入组织的评估、奖励和表彰政策而得到加强a最高管理者可任命其他组织，如指导委员会，来全程监督并持续监控业务连续性管理的实施。BCM的所有角色、责任和权力都宜明确、存档并可被审核。6 策划6.1 应对风险和机会的措施组织宜决定如何应对4.1提到的因素和4.2提到的要求。宜包括评估需求以策划措施来z一一防止非预期的输出;-利用一切机会改进BCMS。如果有必要还宜包括z一一将这些措施在BCMS的过程中进行整合和实施(8.1); 一-如果措施有效，确保存档信息可用以评估(7.白。6.2 业务连续性目标和实现计划宜制定一个建立和管理BCM的计划(如第8章中所设)，该计划宜包

27、括明确责任并设定恰当和务实的目标，从而完成任务。该计划宜基于组织内部已经设定好的并和相关的职能和层次已沟通过的连续性目标。宜监控并存档计划的进展程序。5 GB/T 31595-20 15/ISO 22313:2012 随着BCMS的发展，该计划宜被审核和定期更新。以下是业务连续性目标的示例，他们可能在特定的环境下满足ISO22301中提出的要求z一一按期建立符合ISO22301要求的BCMS;一一按期通过ISO22301认证z一我们将按期建立符合关键客户合约的业务连续性z一一按期建立BCM以保护关键产品和服务.7 支持7.1 资酶7.1.1 总则组织宜确定并提供BCMS所需的资橱，这将za)

28、实现其业务连续性方针和目标zb) 满足组织变化要求zc) 能就业务连续性管理体系有关方面进行有效的内外部沟通;d) 为业务连续性管理体系的持续运行和持续改进提供支撑。这些资源宜以一种及时和有效的方式提供，7.1.2 BCMS资源当识别BCMS要求的资源时，组织宜提供适当的zu 人员以及与人相关的资源，包括s1) 达到BCMS角色和职责所需的时间$2) 培训、教育、意识和演练z3) BCMS人员的管理。b) 设施，包括适当的t作场所和基础设施zc) 信息通信技术(ICT)，包括支持有效和高效方案管理的应用程序zd) 对所有形式的存档信息的管理和控制pe) 与相关方进行沟通(见图4);f) 财务和

29、资金。资源及其分配宜定期评审以确保资源充足。该评审最好有最高管理者的参与。7.1.3 事件晌应人员6 组织宜任命具有必要责任、权力和能力的事件响应人员来管理事件。事件响应人员宜形成团队来负责管理任何对组织有显著影响或潜在显著影响的中断事件。根据这些人员已被证实的处理不同方面的事件响应的能力将他们分组，例如E一事件管理/战略管理(8.4.4.3.1); 一一一沟通(8.4.4.3.2); 一一安全和权益(8.4.4.3.3); 二一挽救和安保(8.4.4.3.4); 一一恢复活动(8.4.4.3.5); -一-ICT的恢复(8.4.4.3.6)0 宜清晰地确定这些团队中的所有人员在事前、事中和事

30、后所具有的责任和权力。GB/T 31595-2015/15022313:2012 7.2 能力组织宜建立一个适当和有效的体系来管理在该体系控制下承担BCMS工作的人员的能力。管理层宜确定所有BCMS角色和责任的能力要求以及需要达到的意识、知识、理解力、技能和经验。在组织内被分派角色的所有人员宜证明其具有所要求的能力并且提供了培训、教育、发展和其他所需的支持。这可被称作能力发展方案，该方案可包括z一一对所承担的角色进行能力评估s一一建立个人发展方案以确定达到能力所需的培训1(、教育、发展和其他支持E一一包括挑选适当的方法和资源在内的培训和指导规定z一一知识分享F一一工作分担F二一雇佣有能力的人或

31、与其签订工作合同;一一目标团队的培训I!; 一一对所接受的培训11形成文档并监督z根据培训需求和要求对所接受的培训进行评估以证明与BCMS培训要求相一致z一一根据需要对发展方案进行政进。组织宜有一套过程来识别和交付所有参与者的业务连续性培训要求，并对其所交付的培训效果进行评估。适合于具体角色的培训类型可能如下za) 建立并管理BCMS:1) BCM的建立和管理z2) 指导业务影响分析F3) 风险评估z的沟通技能z5) 开发和实施业务连续性文挡$6) 运行演练方案。b) 事件响应和业务恢复z1) 事件评估FD 疏散和就地避难的管理，包括用以清点员工人数的签到过程FD 后备工作场所的安排z的处理媒

32、体询问，组织的响应技能和能力宜通过实际的培训来建立，包括实际参与演练。响应和恢复小组宜接受与其责任和义务有关的教育和培训，包括与急救人员和其他相关方进行合作。这些小组宜以固定周期接受培训1(至少每年一次)，并且宜对纳人响应机制的新成员进行培训。这些小组还宜接受培训来防止事件升级为危机。商业环境和运营方式的改变会影响业务连续性活动的策划、设计和实施的方式和方法。组织可以通过一定的方法来证明其对业务连续性管理发展趋势的认识，例如实际参与行业BCM活动，这些活动可能包括z二一作为行业利益团体成员z一一作为会议筹办委员会成员z一一在会议和研讨会上进行发言g一一参加本地或国际BCM会议。实质性参与可以通

33、过以下一种或多种方式进行证明z7 GB/T 31595-2015/22313:2012 一-作为会议或研讨会筹办委员会成员;一一在会议和研讨会上做报告。通过以下方式可以加强其能力z一一将BCMS成就纳入到组织的奖励和认可过程z一一将BCMS成就纳入组织的绩效和评价过程z一将BCMS的角色、义务、责任和权力纳人组织的职位描述和技能要求z业务操作者和最高管理者要积极参与演习、演练和测试。组织宜为可能受中断事件影响的所有现有员工建立培训和意识方案，并要求那些为组织工作的承包方证明在其管理下工作的人员具备BCMS所要求的能力并能胜任他们所履行的响应角色。7.3 意识8 在组织管理下工作的人员宜对BCM

34、S有适当的意识。这些人员可能包括员工、承包方、供应商。他们宜了解业务连续性方针，并且了解z他们与事件预防、检查、缓解、自我保护、疏散、响应、连续性和恢复方面相关的角色和责任z一一遵守业务连续性方针和程序的重要性z一组织运营的变化所带来的影响p一一他们在BCMS有效性方面的贡献，包括改进BCM绩效所带来的好处s一-一他们在实现其要求中的角色和责任。组织宜在组织内部建立、推动和融人一种文化，从而z一一使BCM成为组织核心价值观和管理的一部分z一一使相关方了解业务连续性方针以及他们在相关程序中的角色。一个具有职极的业务连续性文化的组织将z一一更有效率地开展业务连续性活动z一一使相关方(尤其是员工和客

35、户逐渐相信组织有能力处理中断事件p一一通过确保在各级决策中都考虑了业务连续性理念来增强组织的弹性;使中断发生的可能性和影响降到最低。建立业务连续性文化耍依靠z一-组织所有人员的参与z一一在整个组织中传播领导力z一责任分配F-一基于绩敖指标的衡量z一一将业务连续性融入组织日常管理实践s一意识提升z技能培训z一对业务连续性计划进行演练。意识方案可以包括z一与组织中所有员工就关于BCM建立和管理问题进行讨论的过程F一一在组织内部的通讯、简报、介绍方案或刊物包括新员工人职培训11)中讨论业务连续性;一一将业务连续性纳入相关网页z一一将业务连续性管理纳人员工和管理团队会议的议题;一一对事后报告的选择性公

36、开发布z一一向最高管理者做筒报E一一参观选定的备用地点如一处恢复场所); GB/T 31595-20 15/ISO 22313:2012 一向关键供应商和经销商简要介绍组织的业务连续性的安排。7.4 沟通建立和管理BCMS时，组织宜具有与相关方进行信息交换的有效的掏通和协商程序。该程序宜包括以下所有方面za) 相关方之间的内部沟通，包括组织的员工pb) 与客户、供应商、当地社区和包括媒体在内的其他相关方的外部掏通pd 接收、记录并响应来自于所有相关方的沟通信息zd) 适当时，采用国家或区域的威胁预警系统或其他具有相同作用的系统，并将其纳人到组织的策划和运营中ze) 确保在中断事件发生期间沟通方

37、式可用zf) 确保组织能够与外部机构进行沟通，并且适当时，确保与其他组织和人员能相互沟通zg) 操作并测试通讯能力，为正常通讯中断时使用做准备。组织可能会邀请可能会参与响应的任何外部资源，如消防、警察、公共卫生和第三方服务商，来与管理层一起评审与其相关的业务连续性程序。在供应商和客户的通讯和简报里，组织也可以对其BCMS和业务连续性的安排进行介绍。组织宜将有效的外部沟通作为其意识方案的一部分(7.3)，并在事件进展过程中提供有效的外部掏通(8.的。7.5 存档信息7.5.1 总则存档信息可做为满足要求以及管理体系有效运行的证据。程序一词是指完成某项活动或过程的具体方法。文件化程序是指在任何媒介

38、中建立和维护该程序。单个文档也许可以解决一个或多个文件化程序的要求，同时要求的文件化程序可能包括多个文挡。本标准所要求的存档信息包括z-一组织的环境(4.1); 一一法律、法规和其他要求以及符合性证据(4.2.2); -BCMS的范围和与范围有关的任何删减(4.3.2)1 二一业务连续性方针(5.3); 一一业务连续性目标(6.2); 一-能力(7.2); 一一业务影响分析和风险评估过程(8.2); 一业务连续性策略(8.3)，包括供考虑的所有候选策略z一一连续性，事件管理和恢复程序(8.4); 一一-事后演练报告(8.5); -BCMS的监视(9.1); 一-内部审核(9.2); -一管理评

39、审(9.3); -不符合和纠正措施。0.1)。此外，为确保BCMS的有效性，存档信息包含以下可能要求的信息z一一客户协议和服务等级z9 GB/T 31595-2015/ISO 22313: 20 12 一一业务影响分析的结果z一风险评估的结果z一一业务连续性策略的确定和选择F一一事件响应概述F一-意识方案z一一与员工和相关方就BCMS及事件进行的沟通，如通讯、会议纪要和警和一一组织和个人的培训1方案;一演练进度表s一一与供应商的合同和服务级别协议;承包商和供应商的通知和响应程序z一一检查、保持和校正的证据p一对已发生的事件甜未遂事件的报告z一BCMS评审会议记录。7.5.2 创建和更新为了满足

40、创建和更新存档信息的要求E一所有的存档信息宜包括其识别信息和描述信息(如标题、名称、日期、作者、数量、修订说明等h一一宜指定可接受的格式如语言、软件版本、图形)并宜清晰描述存档信息的获取和展示媒介(如纸质、电子h一一所有的存档信息都宜被充分评审和批准.存档信息的获取和展示宜包括所使用的形式如语言、软件版本和图形)以及所使用的媒介(如纸质、电子文档)。BCMS存档信息的范围可能会根据组织的以下因素而有所不同z一一组织的规模、产品和服务以及所从事的活动类型p一-活动的复杂性及其相互依赖关系z人员的能力。7.5.3 存档信息的控制所有要求的存档信息都宜受到控制。控制文挡的目的是要确保组织以一种适当并

41、充分的实施和运行BCMS的方式创建、维护和保护文件。关注的重点宜为该目的而不是建立一个复杂的文件控制系统。保护的例子包括防止文件在没有适当授权的情况下被损坏、修改和意外删除。可以设置不同的访问等级和组合，如只读、读写以及限制阅读。宜建立一个文件化的程序来确定需要的控制措施以za) 分发存档信息pb) 提供存档信息访问(访问包括，例如，批准和授权查看或更改存档信息); O 在信息发布之前得到充分的批准自d) 评审以及必要时进行更新和再次批准文件Fe) 确保文件的变更内容及其当前的修改状态得到确认FD 确保适用的文件相关版本在使用时的可用性zg) 确保文件的清晰和易读zh) 确保组织确定的为策划和

42、运行BCMS所必须的来自外部的文件得到识别，并且这些文件的分发受到控制z10 GB/T 31595-2015/ISO 22313:2012 i) 避免过期文件的意外使用，并且如果这些文件因为某种原因需要加以保留的话则宜提供适当的识别方法Fj) 设置文件保存和归挡的编号zk) 确保对机密信息的保护和保密。组织宜确保存档信息的完整性，防止对其进行篡改，进行安全备份，仅限授权人员接触，并谨防损坏、变质和丢失。组织宜充分满足所有与存档信息保存有关的法律和法规要求，并宜建立、实施和保持满足合规性所要求的过程。8 实施8.1 实施的策划和控制组织宜确定、策划、实施和控制所需的措施，以达成业务连续性方针和目

43、标，并满足适用的需求和要求。这些措施可能包含建立一个方案，以确保组织的业务连续性得到恰当的管理和有效的保持。组织宜在该方案中建立控制机制，包括2a) 决定如何确定、策划、实施和控制这些措施，例如E通过建立一个实施计划并就实施BCM的方法论达成一致zb) 确保这些控制措施按照所做的决定得到实施，例如t设置项目里程碑并明确要求的交付物50 保留存档信息以证明这些过程已按策划得到实施。组织宜确保策划内的变更受到控制，策划外的变更被审核，并且采取了适当的措施，8.1.1 BCM的要素BCM包括以下要素，如图5所示zJ/ flJ以)| -业务影响分析 和风川军俨_.。-IIl!IIh明白町町，叮叮飞、飞

44、川| (11I 广4/一/ - 、圄5业务连续性管理(BCM)的要素这些要素及其在本标准中的位置如下za) 实施的策划和控制(8.1)有效地实施策划和控制是业务连续性管理的核心，它宜由最高管理者任命的责任人来领导。b) 业务影响分析和风险评估(8.2)11 GB/T 31595-2015月SO22313:2012 通过业务影响分析(BIA)和风险评估(RA)对业务连续性的优先级和要求达成理解并取得一致。BIA使组织能确定支持其产品或服务的活动的恢复优先级。风险评估能够提升对优先活动及其从属活动的风险和中断事件的潜在结果的理解。对以上内容的理解使组织能够选取合适的业务连续性策略.c) 业务连续性

45、策略(8.3)识别和评估业务连续性策略选择的范围使组织能够选择合适的方法来预防优先活动的中断并处理发生的任何中断。选取的业务连续性策略将能使业务在认可的时间范围内恢复到可接受的程度。所选的业务连续性策略可以在可接受的运行级别和允许的时间范围内为活动的恢复做准备。注g所选的策略需考虑组织内已有的任何风险处置.d) 建立和实施业务连续性程序(8.4)实施业务连续性的安排会建立事件响应机制(8.4.2)、产生监测和响应事件的方法(8.4.3)、产生业务连续性计划(8.4.的以及恢复到正常业务的程序(8.4.5)。e) 演练和测试(8.5)演练和测试为组织提供机会以2一一提升个人意识并发展能力z一一确

46、保业务连续性和业务连续性程序是完整的、最新的和合适的;一一识别机会以改进其业务连续性。8.1.2 管理BCM的环境对BCM环境的有效管理包括za) 确保业务连续性的范围、角色和职责持续相关zb) 适当时，在组织和其他相关方内促进和融人连续性FO 管理与业务连续性相关的花费;d) 在业务连续性管理体系内建立和监视变更管理和继任管理制度pd 安排或提供适当的员工培训和意识宣贯;f) 保持方案文件与组织的规模和复杂度相适宜。组织BCM的安排的每个组成部分，包括文档部宜定期进行评审、演练和更新。当组织的运营环境、架构、场所、人员、过程或技术发生显著变化，或者当某次演练或事件凸显不足时，这些安排也宜被评

47、审和更新。组织可以采取公认的项目管理方法来确保BCM方案得到有效的管理.8.1.3 保持业务连续性保持有效的业务连续性宜包括za) 通过最佳实践来保持BCM的更新zb) 管理演练方案zc) 统筹业务连续性计划的定期检查和更新，包括评审或政写一个或多个业务影响分析(BIAs)和风险评估pd) 确保业务连续性程序的保持适合响应团队的需求。8. 1.4 测量有效性测量有效性需解决以下两方面za) 监视业务连续性的绩效pb) 监视和评审对外包活动的业务连续性的安排和供应商的BCM能力。可用于测量有效性指标的示例包括z12 GB/T 31595-2015/ISO 22313:2012 一一活动和资源在其

48、规定的恢复时间目标内是可恢复的并将信息恢复到当前所要求的(恢复点目标)I 一用以恢复和重新开始活动的备用地点的场所和设备是可用的z证明具备要求的在规定的恢复时间目标内重启优先活动的能力z一一证明具备要求的响应和管理事件的能力。8.1.5输出有效BCM的输出指标可包括以下方面za) 具有事件管理能力并提供有效的响应Fb) 适当地发展、文件化和理解对组织自身的认识以及与其他组织、相关监管机构或政府部门、本地权力部门和应急服务部门之间的关系pc) 定期演练以确保受训后的员工能对事件或中断进行有效响应zd) 相关方的要求被理解并能被交付Fe) 在中断事态中，员工能够得到足够的支持和沟通zf) 组织的声誉得到保护pg) 组织符合法律法规要求:h) 在事件期间，维持财务控制.8.2 业务影响分斩和风险评估8.2. 1 总则组织宜建立、实施和保持个正式和文件化的业务影响分析(BIA)和风险评估过程。通过BIA和风险评估来了解组织，对组织的了解为有效的业务连续性提供了基础。组织通过向客户交付产品和服务来达成其目的。因此，认识到这些产品和服务(及相关活动)随着中断时间对组织的目标和运行产生的负面影响是非常重要的，理解相互关系和支持产品和服务的活动的资掘要求以及它