GB/T 31595-2015公共安全業(yè)務(wù)連續(xù)性管理體系指南

ICS13200

A90.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T31595—2015/ISO223132012

:

公共安全業(yè)務(wù)連續(xù)性管理體系指南

Societalsecurity—Businesscontinuitymanagementsystems—Guidance

(ISO22313:2012,IDT)

2015-06-02發(fā)布2016-01-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T31595—2015/ISO223132012

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

組織環(huán)境

4…………………1

了解組織和組織環(huán)境

4.1………………1

理解相關(guān)方的需求和期望

4.2…………2

確定管理體系的范圍

4.3………………3

業(yè)務(wù)連續(xù)性管理體系

4.4………………3

領(lǐng)導(dǎo)力

5……………………4

領(lǐng)導(dǎo)力和承諾

5.1………………………4

管理承諾

5.2……………4

方針

5.3…………………4

組織的角色職責(zé)和權(quán)力

5.4、……………5

策劃

6………………………5

應(yīng)對風(fēng)險和機會的措施

6.1……………5

業(yè)務(wù)連續(xù)性目標(biāo)和實現(xiàn)計劃

6.2………………………5

支持

7………………………6

資源

7.1…………………6

能力

7.2…………………7

意識

7.3…………………8

溝通

7.4…………………9

存檔信息

7.5……………9

實施

8………………………11

實施的策劃和控制

8.1…………………11

業(yè)務(wù)影響分析和風(fēng)險評估

8.2…………13

業(yè)務(wù)連續(xù)性策略

8.3……………………15

建立和實施業(yè)務(wù)連續(xù)性程序

8.4………………………21

演練和測試

8.5…………………………29

績效評估

9…………………30

監(jiān)視測量分析和評價

9.1、、……………30

內(nèi)部審核

9.2……………32

管理評審

9.3……………33

Ⅰ

GB/T31595—2015/ISO223132012

:

改進

10……………………33

不符合和糾正措施

10.1………………33

持續(xù)改進

10.2…………………………34

參考文獻

……………………35

Ⅱ

GB/T31595—2015/ISO223132012

:

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)使用翻譯法等同采用公共安全業(yè)務(wù)連續(xù)性管理體系指南英文

ISO22313:2012《》(

版僅有編輯性修改

),。

與本標(biāo)準(zhǔn)中規(guī)范性引用的國際文件有一致性關(guān)系的我國文件如下

:

公共安全業(yè)務(wù)連續(xù)性管理體系要求

———GB/T30146—2013(ISO22301:2012,IDT)

本標(biāo)準(zhǔn)由全國公共安全基礎(chǔ)標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC351)。

本標(biāo)準(zhǔn)起草單位中國標(biāo)準(zhǔn)化研究院中國信息安全認(rèn)證中心廣發(fā)銀行招商銀行

:、、、。

本標(biāo)準(zhǔn)主要起草人王金玉秦挺鑫魏軍林德明董曉媛高旭磊邢立強楊正科尤其

:、、、、、、、、。

Ⅲ

GB/T31595—2015/ISO223132012

:

引言

總則

本標(biāo)準(zhǔn)在適當(dāng)時為的要求提供指南并提供與要求相關(guān)的推薦宜和允許可建

ISO22301:2012,()()

議為業(yè)務(wù)連續(xù)性的各個方面提供通用指南不是本標(biāo)準(zhǔn)的意圖

。。

本標(biāo)準(zhǔn)和雖標(biāo)題相同但并不是重復(fù)業(yè)務(wù)連續(xù)性管理體系要求相關(guān)術(shù)語和定義組織

ISO22301、。

希望了解上述內(nèi)容請參照和

ISO22301ISO22300。

本標(biāo)準(zhǔn)使用的示圖是為了進一步澄清和解釋關(guān)鍵點這些示圖只為說明目的相關(guān)內(nèi)容優(yōu)先參考

。,

標(biāo)準(zhǔn)正文

。

業(yè)務(wù)連續(xù)性管理體系強調(diào)以下重要性

(BCMS):

了解組織的需求和建立業(yè)務(wù)連續(xù)性方針與目標(biāo)的必要性

———;

實施和運行控制以及實施和運行措施來管理組織應(yīng)對中斷事件的整體能力

———;

監(jiān)視和評審績效和有效性

———BCMS;

基于目標(biāo)測量的持續(xù)改進

———。

業(yè)務(wù)連續(xù)性管理體系與其他管理體系類似也包括以下關(guān)鍵因素

,:

方針

a);

有明確職責(zé)的人員

b);

與管理過程相關(guān)的

c):

方針

1);

策劃

2);

實施和運行

3);

績效評估

4);

管理評審

5);

改進

6)。

一套可提供審核證據(jù)的文件

d);

任何與組織相關(guān)的業(yè)務(wù)連續(xù)性管理體系過程

e)。

業(yè)務(wù)連續(xù)性對一個組織而言是特定的但在執(zhí)行過程中可能要涉及到其他的群體和第三方一個

,。

組織很可能有他依賴的和依賴他的外部組織業(yè)務(wù)連續(xù)性有助于構(gòu)建更具彈性的社會

,。

策劃-實施-檢查-改進PDCA模型

本標(biāo)準(zhǔn)采用策劃實施檢查改進模型來策劃建立實施運

“(Plan)-(Do)-(Check)-(Act)”(PDCA),,,

行監(jiān)視評審保持和持續(xù)改進組織的有效性

,,,BCMS。

圖說明了如何把相關(guān)方業(yè)務(wù)連續(xù)性管理要求作為輸入并通過必要的措施和過程產(chǎn)生

1BCMS,,

滿足這些要求的連續(xù)性輸出例如受控的業(yè)務(wù)連續(xù)性

()。

Ⅳ

GB/T31595—2015/ISO223132012

:

圖1應(yīng)用于BCMS過程的PDCA

表1PDCA模型的解釋

策劃建立與改進業(yè)務(wù)連續(xù)性管理相關(guān)的業(yè)務(wù)連續(xù)性方針目標(biāo)控制措施過程和程序以提供與

、、、,

建立組織的總方針和目標(biāo)相一致的結(jié)果

()

實施

實施和運行業(yè)務(wù)連續(xù)性的方針控制措施過程和程序

實施和運行、、

()

檢查對照業(yè)務(wù)連續(xù)性方針和目標(biāo)監(jiān)視和評審業(yè)務(wù)連續(xù)性的績效并將結(jié)果報告管理者以供評審

,,,

監(jiān)視和評審確定和授權(quán)糾正和改進措施

()

改進基于管理評審以及重新評審的業(yè)務(wù)連續(xù)性管理體系的范圍方針和目標(biāo)的結(jié)果采取糾正措

、,

保持和改進施以持續(xù)改進

(),BCMS

本標(biāo)準(zhǔn)中PDCA組成部分

本標(biāo)準(zhǔn)中各章節(jié)和圖內(nèi)容間對應(yīng)關(guān)系如下表所示

1:

表2PDCA模型與第4章到第10章之間對應(yīng)關(guān)系

組成部分與組成部分對應(yīng)的章節(jié)

PDCAPDCA

第章組織環(huán)境闡述了組織做什么以確保滿足要求并考慮

4()BCMS,

所有相關(guān)的外部和內(nèi)部因素包括

,:

相關(guān)方的需求和期望

———;

法律法規(guī)責(zé)任

———;

所要求的范圍

———BCMS

策劃

第章領(lǐng)導(dǎo)力闡述了管理者在證明承諾確定方針建立角色職責(zé)

建立5()、、、

()和權(quán)力方面的關(guān)鍵作用

第章策劃描述建立整體的戰(zhàn)略目標(biāo)和指導(dǎo)原則所需的措施

6()BCMS。

為業(yè)務(wù)影響分析風(fēng)險評估和業(yè)務(wù)連續(xù)性策略建立環(huán)境

,(8.2)(8.3)

第章支持識別支持所需的關(guān)鍵要素即資源能力意識

7()BCMS,,,,

溝通和存檔信息

實施第章實施識別實現(xiàn)業(yè)務(wù)連續(xù)性所需的業(yè)務(wù)連續(xù)性管理

8()(BCM)

實施和運行要素

()

檢查

第章績效評估通過績效測量和評估提供改進基礎(chǔ)

監(jiān)視和評審9()BCMS

()

改進

第章改進包括通過績效評估識別針對不符合所采取的糾正措施

保持和改進10()

()

Ⅴ

GB/T31595—2015/ISO223132012

:

業(yè)務(wù)連續(xù)性

業(yè)務(wù)連續(xù)性是在中斷事件發(fā)生后組織在預(yù)先確定的可接受的水平上連續(xù)交付產(chǎn)品或提供服務(wù)的

,

能力是實現(xiàn)業(yè)務(wù)連續(xù)性的過程并使組織準(zhǔn)備處理有可能妨礙實現(xiàn)其目標(biāo)的中斷事件

。BCM。

將置于管理體系框架和原則下來建立以使可控可評估和可持續(xù)改進

BCMBCMS,BCM、。

本標(biāo)準(zhǔn)中業(yè)務(wù)一詞泛指組織為實現(xiàn)其目標(biāo)目的或使命而開展的運營和服務(wù)該詞本身適用于

,、。

大中小型的工業(yè)商業(yè)公共和非盈利組織

、、、、。

任何事件無論大小自然的意外的或蓄意的都可能會使組織的運營及其交付產(chǎn)品和服務(wù)的能力

,、、,

發(fā)生嚴(yán)重的中斷因此只有在中斷事件發(fā)生前而不是發(fā)生后實施業(yè)務(wù)連續(xù)性才能確保組織在所受影

。,,

響尚未嚴(yán)重到不可接受之前恢復(fù)業(yè)務(wù)的運行

。

包括

BCM:

清楚組織的關(guān)鍵產(chǎn)品和服務(wù)以及交付這些產(chǎn)品和服務(wù)的活動

a),;

了解恢復(fù)活動的優(yōu)先級及其所需的資源

b);

清晰地了解活動所受到的威脅包括這些活動之間的依賴關(guān)系還要知道如果沒有恢復(fù)這些活

c),,

動將會帶來的影響

;

當(dāng)中斷事件發(fā)生時有準(zhǔn)備好的經(jīng)過測試并可靠的計劃來重啟活動

d),;

確保這些計劃得到定期評審和更新從而使其在各種情況下都有效

e),。

業(yè)務(wù)連續(xù)性在處理突發(fā)中斷事件例如爆炸和漸進中斷事件例如流感大爆發(fā)時都是有效的

(,)(,)。

能夠造成活動中斷的事件非常多其中許多是難以預(yù)測和分析的由于業(yè)務(wù)連續(xù)性關(guān)注中斷事件

,。

帶來的影響而不是其產(chǎn)生的原因所以業(yè)務(wù)連續(xù)性識別出哪些是組織賴以生存的活動并使組織確定為

,,

履行其責(zé)任需確保哪些活動的連續(xù)性通過業(yè)務(wù)連續(xù)性組織能認(rèn)識到在中斷事件發(fā)生前需要做什么

。,

準(zhǔn)備來保護其資源例如人房屋技術(shù)和信息供應(yīng)鏈相關(guān)方以及聲譽基于該認(rèn)識組織能在中斷

(:、、)、、。,

事件發(fā)生時務(wù)實地采取可能需要的響應(yīng)從而能夠自信地管理結(jié)果并避免造成不可接受的影響

,。

做好了適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性準(zhǔn)備的組織還能將高風(fēng)險轉(zhuǎn)化為機會

。

下面兩圖圖和圖試圖從概念上來說明在某種情況下業(yè)務(wù)連續(xù)性是如何有效地減輕影響的

(23)。

兩圖中所示的各個階段之間的相對距離并不表示特定的時間尺度

。

通過有效的業(yè)務(wù)連續(xù)性管理減輕中斷事件的影響突發(fā)中斷

———

圖2業(yè)務(wù)連續(xù)性對突發(fā)中斷有效的圖解

Ⅵ

GB/T31595—2015/ISO223132012

:

通過有效的業(yè)務(wù)連續(xù)性管理減輕中斷事件的影響漸進中斷

———

圖3業(yè)務(wù)連續(xù)性對漸進中斷有效的圖解

Ⅶ

GB/T31595—2015/ISO223132012

:

公共安全業(yè)務(wù)連續(xù)性管理體系指南

1范圍

本標(biāo)準(zhǔn)基于良好實踐為業(yè)務(wù)連續(xù)性管理體系的策劃建立實施運行監(jiān)視評審保持和持續(xù)改

,、、、、、、

進文件化的管理體系提供指南以使組織能夠在中斷事件發(fā)生時準(zhǔn)備響應(yīng)并進行恢復(fù)

,,、。

本標(biāo)準(zhǔn)目的不是要制定統(tǒng)一的結(jié)構(gòu)而是為組織設(shè)計一個適合組織自身需要和滿足其相關(guān)

BCMS,

方要求的這些需求由法律法規(guī)組織和行業(yè)要求產(chǎn)品和服務(wù)所采用的過程運行環(huán)境組織

BCMS。、、、、、,

的規(guī)模和結(jié)構(gòu)以及相關(guān)方的要求等方面構(gòu)成

。

本標(biāo)準(zhǔn)是通用的并適用于包括大中小型從事工業(yè)商業(yè)公共和非盈利等所有規(guī)模和類型的組

、、、、

織以期

,:

建立實施保持和改進

a)、、BCMS;

確保與組織的業(yè)務(wù)連續(xù)性方針保持一致

b);

做出符合本標(biāo)準(zhǔn)的自我聲明

c);

本標(biāo)準(zhǔn)不可用于評估組織的能力是否滿足其自身業(yè)