金融業(yè)務連續(xù)性管理能力成熟度模型與評估

金融業(yè)務連續(xù)性管理能力成熟度模型與評估本文件提出了金融業(yè)務連續(xù)性管理能力成熟度模型，以及基于該模型的業(yè)務連續(xù)性管理能力成熟度評估方法。本文件適用于：a）金融機構對自身業(yè)務連續(xù)性管理能力進行自評估。b）第三方機構對金融機構業(yè)務連續(xù)性管理能力進行評估。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件。不注日期的引用文件，其最新版本適用于本文件。GB/T30146-2013公共安全業(yè)務連續(xù)性管理體系要求GB/T31595-2015公共安全業(yè)務連續(xù)性管理體系指南3術語、定義和縮略語3.1術語和定義GB/T30146-2013界定的以及下列術語和定義適用于本文件。3.1.1金融業(yè)務連續(xù)性管理能力capabilityofbusinesscontinuitymanagementinfinancialindustry金融機構為有效應對重要業(yè)務運營中斷事件，保障重要業(yè)務持續(xù)運營的能力。3.1.2能力構造constructionofcapability與組織業(yè)務連續(xù)性管理能力有關的且存在結構聯(lián)系的概念，是對于組織業(yè)務連續(xù)性管理的某一局部能力的認識和概括。3.1.3能力指標indexofcapability用于測量組織業(yè)務連續(xù)性管理某一局部能力的指標。本文件中能力指標均隸屬于某一能力構造并用于測度該能力構造。3.1.4重要業(yè)務活動importantbusinessactivities金融機構內部應當予以重點保障以避免中斷或受到干擾的業(yè)務活動，一般情況下業(yè)務活動的中斷或受到干擾會對金融機構造成較大的財務或非財務影響。23.2縮略語下列縮略語適用于本文件。RTO：恢復時間目標（RecoveryTimeObject）RPO：恢復點目標（RecoveryPointObject）4能力成熟度模型4.1能力成熟度的等級本文件將業(yè)務連續(xù)性管理能力成熟度劃分為5個等級，如圖1所示。成熟度等級自低向高依次為起始級（1級）、發(fā)展級（2級）、穩(wěn)健級（3級）、優(yōu)秀級（4級）和卓越級（5級每個成熟度等級表明當前組織業(yè)務連續(xù)性管理能力所達到的水平。數字越大，能力成熟度等級越高，且較高的能力成熟度等級涵蓋了低于其等級的全部要求。圖1金融業(yè)務連續(xù)性管理能力成熟度等級對于一個組織，業(yè)務連續(xù)性管理能力成熟度的提升一般是通過漸進的方式來實現(xiàn)的。除了起始級（1級）以外，每個能力成熟度等級都表明，組織已經有意識地開展了與該等級相匹配的業(yè)務連續(xù)性管理活動。在此基礎上，組織可以選擇一個更高的能力成熟度等級并加以改進。上述過程為組織持續(xù)提升自身的業(yè)務連續(xù)性管理能力提供了路線圖。不同能力成熟度等級對應了不同的業(yè)務連續(xù)性管理水平：a）起始級（1級）：該等級情況下，組織缺乏開展業(yè)務連續(xù)性管理工作的意識。組織在受到沖擊時對于自身運營的維持或恢復，主要取決于組織恰好擁有的資源和手段，以及相關人員的個人能力。b）發(fā)展級（2級）：該等級情況下，組織的業(yè)務連續(xù)性管理工作是經過簡單策劃的。組織為應對可能發(fā)生的沖擊在機制、資源、手段及人員能力方面開展了預先準備，但這些準備工作在充分性、完備性和受控性方面存在明顯的不足。c）穩(wěn)健級（3級）：該等級情況下，組織的業(yè)務連續(xù)性管理工作是經過系統(tǒng)策劃的，并且有意識的通過書面化等手段確保相關工作受控執(zhí)行。組織為應對可能發(fā)生的沖擊，在機制、資源、手段及人員能力方面都開展了比較充分且完備的準備。d）優(yōu)秀級（4級）：該等級情況下，組織的業(yè)務連續(xù)性管理工作是體系化的，并且注重通過書面化、審查、考核等措施確保相關工作得到嚴格執(zhí)行。組織為應對可能發(fā)生的沖擊在機制、資源、手段及人員能力方面開展了相當充分且完備的準備。此外，組織在關鍵工作中通過模型化、指標化等手段量化并監(jiān)測工作成效，并予以持續(xù)改進。3e）卓越級（5級）：該等級情況下，組織的業(yè)務連續(xù)性管理工作是嚴格體系化的，并且強調通過書面化、審查、考核等措施確保相關工作嚴格執(zhí)行。組織在相關工作中普遍通過模型化、指標化等手段量化并監(jiān)測工作成效，并予以持續(xù)改進。組織為應對可能發(fā)生的沖擊在機制、資源、手段及人員能力方面開展了極其充分且完備的準備，并持續(xù)改進以追求更佳的應急處置成效。此外，組織通過建立應急手冊、指南等操作性文件使得應急處置工作條目化或指令化，并對上述文件進行持續(xù)更新、完善和驗證以保持其高度可用性。4.2能力構造和能力指標本文件中，組織的業(yè)務連續(xù)性管理能力可分解為組織與驅動力、人員能力與文化、日常管理過程、應急管理過程等4個方面，即4個能力域；每個能力域又由若干能力子域構成；每個能力子域又包括若干能力項；每個能力項進一步對應若干能力指標。本文件中，能力、能力域、能力子域和能力項稱為能力成熟度模型的能力構造，且與業(yè)務連續(xù)性管理能力一樣也分為5個成熟度等級：起始級（1級）、發(fā)展級（2級）、穩(wěn)健級（3級）、優(yōu)秀級（4級）和卓越級（5級）。本文件中，能力指標分為狀態(tài)性能力指標和過程性能力指標。狀態(tài)性能力指標分為3個評分等級：不佳（0分）、一般（1分）和良好（2分）。過程性能力指標分為3個評分等級：不符合（0分）、部分符合（1分）和符合（2分）。附錄A描述了各層級能力構造及能力指標的設置。4.3能力指標的評分附錄B描述了能力指標評分規(guī)則。4.4能力構造的定級本文件建議通過以下方法確定各個能力構造的成熟度等級：某個能力構造的成熟度等級由其下級能力構造的成熟度等級聚合得到（能力項則由其下級能力指標的評分聚合得到）。當下級能力構造（或能力指標）同等重要時，一般采用算術平均法進行聚合：先計算下級能力構造成熟度等級（或能力指標評分）的算術平均數作為該能力構造的成熟度數值，而后對照該能力構造的定級規(guī)則得出其成熟度等級。當下級能力構造（或能力指標）的重要性存在差異時，可通過設置不同的權重體現(xiàn)該差異性，并采用加權平均法進行聚合：先計算下級能力構造成熟度等級（或能力指標評分）的加權平均數作為該能力構造的成熟度數值，而后對照該能力構造的定級規(guī)則得出其成熟度等級。定級規(guī)則一般包括：a）該能力構造的成熟度數值是否大于某一閾值；b）該能力構造的下級能力構造（或能力指標）是否滿足成熟度等級（或評分）的基線要求。附錄C描述了能力構造定級規(guī)則。附錄D描述了能力構造定級方法。4.5能力成熟度的定級附錄E描述了能力成熟度定級規(guī)則。5能力成熟度評估45.1確定評價方案評價方應首先確定能力成熟度評價方案，其要素包括：能力成熟度評價目標、范圍、評價范圍內能力構造及能力指標的權重。評價工作應依據評價目標確定評價范圍，評價范圍應包含1個或多個完整的能力域。5.2提供評價實證評價方應在業(yè)務連續(xù)性管理能力成熟度評價范圍內制定調研問卷及調閱提綱，被評價機構回答問卷內容，并提供佐證資料；評價實施機構核實相關內容形成評價實證。5.3評定成熟度等級評價方評定業(yè)務連續(xù)性管理能力成熟度等級一般包括：a）將被評價組織的評價實證映射至附錄A能力框架下的相關能力指標；b）按照附錄B能力指標評分規(guī)則對能力指標進行打分；c）根據附錄C、D能力構造定級方法及定級規(guī)則計算各能力項、能力子域、能力域得分及業(yè)務連續(xù)性管理能力成熟度得分。d）根據附錄E確定組織的業(yè)務連續(xù)性管理能力成熟度等級。能力成熟度等級定級樣例見附錄F。5.4評價結果分析及改進評價方對評價結果進行差距分析及改進，明確組織未來的業(yè)務連續(xù)性管理發(fā)展路徑。（規(guī)范性）能力框架金融業(yè)務連續(xù)性管理能力成熟度模型由能力構造和能力指標組成，其中能力構造包括：能力、能力域、能力子域和能力項。如表A.1所示：表A.1能力框架- -----6----- - ------ - ---8（規(guī)范性）能力指標評分規(guī)則指標編號指標名稱指標類型評分標準附加規(guī)則未制定業(yè)務連續(xù)性管理戰(zhàn)略，或制定了戰(zhàn)略但與組織的運營目標、規(guī)模、風險偏好或風險控制策略等因素完全不匹配導致戰(zhàn)略制定了業(yè)務連續(xù)性管理戰(zhàn)略，但與組織的運營目標、規(guī)模、風險偏好或風險控制策略等因素存在制定了業(yè)務連續(xù)性管理戰(zhàn)略，且與組織的運營目標、規(guī)模、風險偏好和風險控制策略等因素基本-戰(zhàn)略制定過程缺乏管理，未開展戰(zhàn)略制定過程得到了一定程度的戰(zhàn)略制定過程得到了充分的管理，戰(zhàn)略制定流程被合理并嚴格某些原因（包括但不限于缺乏溝通和傳達、指揮和決策、資源支持、考核激勵制度等）導致戰(zhàn)略戰(zhàn)略得到了一定程度的實施，但由于缺乏對實施過程的系統(tǒng)化管理，戰(zhàn)略實施成果與理想情況存戰(zhàn)略得到了有效實施，對于戰(zhàn)略未建立戰(zhàn)略評價機制，對組織內外部環(huán)境的變化、戰(zhàn)略實施情況及時進行評價，并在必要時對戰(zhàn)建立了戰(zhàn)略評價機制，但評價工作不夠充分，容易發(fā)生戰(zhàn)略調整不及時或戰(zhàn)略實施過程中存在的建立了戰(zhàn)略評價機制，評價工作及時充分，能夠有效根據內外部環(huán)境對戰(zhàn)略進行調整并發(fā)現(xiàn)戰(zhàn)略未制定業(yè)務連續(xù)性管理工作規(guī)制定了業(yè)務連續(xù)性管理工作規(guī)制定了高質量的業(yè)務連續(xù)性管理-9劃，或制定了規(guī)劃但規(guī)劃期內的工作安排及相關要求與組織業(yè)務連續(xù)性管理工作完全不匹配導致劃，但規(guī)劃期內的工作安排及相關要求與組織業(yè)務連續(xù)性管理工作的匹配性不高，對實際工作的工作規(guī)劃，明確了規(guī)劃期內的工作安排及相關要求，能夠較好地工作規(guī)劃制定過程缺乏管理，未開展必要的討論、分析、溝通和工作規(guī)劃制定過程得到了一定程度的管理，開展了必要的討論、工作規(guī)劃制定過程得到了充分的管理，工作規(guī)劃制定流程被合理某些原因（包括但不限于不合理的分工、缺乏資源支持等）導致工作規(guī)劃得到了一定程度的實工作規(guī)劃得到了有效實施，完成未建立工作規(guī)劃評價機制，沒有對工作規(guī)劃的執(zhí)行情況進行回顧建立了工作規(guī)劃評價機制，定期對工作規(guī)劃執(zhí)行情況進行回顧總結，但對于存在問題的識別和分建立了工作規(guī)劃評價機制，定期對工作規(guī)劃執(zhí)行情況進行回顧總結，在及時識別所存在的問題并度董監(jiān)事會不理解業(yè)務連續(xù)性管理的基本概念和價值，對于業(yè)務運營中斷事件可能造成的財務及非董監(jiān)事會對業(yè)務連續(xù)性管理的概念、價值以及業(yè)務運營中斷事件可能造成的財務及非財務影響有董監(jiān)事會對業(yè)務連續(xù)性管理的概念、價值、工作目標和內容以及業(yè)務運營中斷事件可能造成的財對于不存在董監(jiān)事會的組織，該項指負責組織經營或運營的最高決策機構對度董監(jiān)事會不支持開展業(yè)務連續(xù)性管理工作，原因包括但不限于董監(jiān)事會對該項工作不夠理解，財董監(jiān)事會適度支持業(yè)務連續(xù)性管理工作，能夠給予必要的財務及人力資源投入，偶爾聽取相關報董監(jiān)事會極其支持業(yè)務連續(xù)性管理工作，給予充足的財務及人力資源投入，經常性聽取相關報告對于不存在董監(jiān)事會的組織，該項指負責組織經營或運營的最高決策機構對高級管理層不理解業(yè)務連續(xù)性管理的基本概念和價值，對于業(yè)務運營中斷事件可能造成的財務及高級管理層對業(yè)務連續(xù)性管理的概念、價值以及業(yè)務運營中斷事件可能造成的財務及非財務影響高級管理層對業(yè)務連續(xù)性管理的概念、價值、工作目標和內容以及業(yè)務運營中斷事件可能造成的-高級管理層不支持開展業(yè)務連續(xù)性管理工作，原因包括但不限于董監(jiān)事會對該項工作不夠理解，高級管理層適度支持業(yè)務連續(xù)性管理工作，能夠給予必要的財務及人力資源投入，偶爾聽取相關高級管理層極其支持業(yè)務連續(xù)性管理工作，給予充足的財務及人力資源投入，經常性聽取相關報-組織開展業(yè)務連續(xù)性管理工作的驅動力主要來源于所在國家、地組織業(yè)務連續(xù)性管理工作存在一定的內部驅動力，但開展工作的組織開展業(yè)務連續(xù)性管理工作的驅動力主要來源組織的內部驅動 未在高級管理層中明確負責業(yè)務連續(xù)性管理工作的領導人或設置在高級管理層中明確了負責業(yè)務連續(xù)性管理工作的領導人或設置了專門的領導機構，但未明確該在高級管理層中明確了業(yè)務連續(xù)性管理工作的領導人或設置了專門的領導機構，并明確了該主體 D1/F3/P1/I1評分等于0時未明確業(yè)務連續(xù)性日常管理組織明確了業(yè)務連續(xù)性日常管理組織架構，定義了各方的職責但職責明確了業(yè)務連續(xù)性日常管理組織架構，清晰定義了各方職責，職-業(yè)務連續(xù)性日常管理組織基本未業(yè)務連續(xù)性日常管理組織履職但業(yè)務連續(xù)性日常管理組織充分履職D1/F3/P2/I1評分等于0時未設置業(yè)務連續(xù)性應急管理組織明確了業(yè)務連續(xù)性應急管理組織架構，定義了各方的職責但職責明確了業(yè)務連續(xù)性應急管理組織架構，清晰定義了各方職責，職-業(yè)務連續(xù)性應急管理組織基本未業(yè)務連續(xù)性應急管理組織履職但業(yè)務連續(xù)性應急管理組織充分履職D1/F3/P3/I1評分等于0時性未對組織業(yè)務連續(xù)性管理需求進行評估且組織內從事業(yè)務連續(xù)性管理工作的人力資源投入明顯不能滿足實際開展工作需要，或對組織業(yè)務連續(xù)性管理需求進行了評估但組織內從事業(yè)務連續(xù)性管理工作的人力資源投入遠遠無法未對組織業(yè)務連續(xù)性管理需求進行評估但組織內從事業(yè)務連續(xù)性管理工作的人力資源投入明顯能夠滿足實際開展工作需要，或對組織業(yè)務連續(xù)性管理需求進行了評估且組織內從事業(yè)務連續(xù)性管理工作的人力資源投入一定程度對組織業(yè)務連續(xù)性管理需求進行了評估，且組織內從事業(yè)務連續(xù)性管理工作的人力資源投入完全-沒有建立業(yè)務連續(xù)性管理人力資源投入機制以估算與組織業(yè)務連續(xù)性管理需求相匹配的人力資源建立了業(yè)務連續(xù)性管理人力資源投入機制，但機制未得到有效的建立了業(yè)務連續(xù)性管理人力資源投入機制，且機制得到了有效執(zhí)D2/F1/P1/I1評分等于0時組織內部從事業(yè)務連續(xù)性管理工作的人員完全不具備開展相關業(yè)組織內部從事業(yè)務連續(xù)性管理工作的人員具備一定的開展相關業(yè)組織內部從事業(yè)務連續(xù)性管理工作的人員具備很強的開展相關業(yè) 針對自身缺乏業(yè)務連續(xù)性管理能力的情況沒有建立組織內部業(yè)務連續(xù)性管理工作人員的專業(yè)能力培養(yǎng)機制，同時也未通過外部購建立了針對組織內部業(yè)務連續(xù)性管理工作人員建立了專業(yè)能力培養(yǎng)機制但對于相關能力的提升效果不佳，或能夠通過外部購買途經常針對組織內部從事業(yè)務連續(xù)性管理工作的人員開展專業(yè)能力培養(yǎng)從而能夠明顯提升相關能力，或能夠及時通過外部購買途D2/F1/P1/I1評分等于0時業(yè)務連續(xù)性管理工作普遍缺乏可遵循的文檔（或沒有將工作成果形成文檔），工作的開展主要依個別業(yè)務連續(xù)性管理工作項缺乏可遵循的文檔（或沒有將工作成果形成文檔），工作的開展一定所有業(yè)務連續(xù)性管理工作項均存在可遵循的文檔（并將工作成果形成文檔），工作的開展極少依-業(yè)務連續(xù)性管理文檔的一致性較差，文檔之間不一致處數量較多業(yè)務連續(xù)性管理文檔基本能夠保持一致，文檔之間存在不一致處業(yè)務連續(xù)性管理文檔一致性較D1/F3/P1/I1評分等于0時業(yè)務連續(xù)性管理文檔基本不具有可用性，無法指導實際工作的開展業(yè)務連續(xù)性管理文檔具有一定的可用性，能夠一定程度指導實際業(yè)務連續(xù)性管理文檔具有很強的可用性，能夠較好地指導實際工D1/F3/P1/I1評分等于0時缺乏機制和手段幫助相關人員獲知組織內部存在的業(yè)務連續(xù)性管存在一定的機制和手段幫助相關人員獲知組織內部存在的業(yè)務連續(xù)性管理文檔，但缺乏系統(tǒng)性或存在良好的機制和手段幫助相關人員獲知組織內部存在的業(yè)務連續(xù)性管理文檔，具有很強的系統(tǒng)D1/F3/P1/I1評分等于0時缺乏機制和手段幫助相關人員獲取組織內部存在的業(yè)務連續(xù)性管存在一定的機制和手段幫助相關人員獲取組織內部存在的業(yè)務連續(xù)性管理文檔，但缺乏系統(tǒng)性或存在良好的機制和手段幫助相關人員獲取組織內部存在的業(yè)務連續(xù)性管理文檔，具有很強的系統(tǒng)D1/F3/P1/I1評分等于0時未將業(yè)連續(xù)性管理作為組織文化將業(yè)務連續(xù)性管理作為組織文化的組成部分，但在組織文化建設將業(yè)務連續(xù)性管理作為組織文化的組成部分，并在組織文化建設 未開展任何形式的業(yè)務連續(xù)性意偶爾開展業(yè)務連續(xù)性意識宣貫工作，但形式單一或內容單薄并缺乏針對性，難以達到提升意識水經常開展業(yè)務連續(xù)性意識宣貫工作，形式多樣內容豐富且針對性強，能夠很好達到提升意識水平意識宣貫工作具有全員覆蓋的特點，旨在提升組織未開展任何形式的業(yè)務連續(xù)性教偶爾開展業(yè)務連續(xù)性教育培訓工作，但培訓內容單薄且缺乏針對性，難以達到提升相關人員執(zhí)行經常開展業(yè)務連續(xù)性教育培訓，培訓內容豐富且針對性強，能夠很好達到提升相關人員執(zhí)行能力教育培訓工作主要針對業(yè)務連續(xù)性管理相關工作的執(zhí)行人員，旨在提升相關未明確組織的重要運營活動，或不符合組織的實際運營情況及發(fā)明確了組織的重要運營活動范圍，但相對組織的實際運營情況明確了組織的重要運營活動范圍，且符合組織的實際運營情況未明確重要運營活動的恢復目標與持續(xù)要求，或恢復目標與持續(xù)要求不符合組織的實際運營情況明確了重要運營活動的恢復目標與持續(xù)要求，但相對組織的實際運營情況及發(fā)展戰(zhàn)略存在一定的明確了重要運營活動的恢復目標與持續(xù)要求，且符合組織的實際未識別重要運營活動依賴的關鍵識別了重要運營活動依賴的關鍵資源與外包活動，但存在一定的識別了重要運營活動依賴的關鍵資源與外包活動，且不存在明顯業(yè)務影響分析成果未經董監(jiān)事會業(yè)務影響分析成果在流程上經過了董監(jiān)事會或高級管理層的審定，但未開展充分討論導致無法業(yè)務影響分析成果經過了董監(jiān)事會或高級管理層的實質性審定，能夠保證相關成果體現(xiàn)了組織風對于不存在董監(jiān)事會的組織，該項中的董監(jiān)事會指負責組織經營或運營的最未建立開展業(yè)務影響分析的流程、方法與工具，或流程、方法與工具存在嚴重缺陷，可能導致建立了開展業(yè)務影響分析的流程、方法與工具，但流程、方法和工具存在一定缺陷，可能導致建立了較為完善的業(yè)務影響分析流程、方法與工具，能夠促進獲-業(yè)務影響分析的組織、策劃與過程控制不存在或存在嚴重缺陷，可能導致業(yè)務影響分析成果質量業(yè)務影響分析的組織、策劃與過程控制存在一定缺陷，可能導致業(yè)務影響分析的組織、策劃與過程控制較為完善，能夠促進獲得-性未開展風險評估以識別威脅組織開展了風險評估以識別威脅組織重要運營活動的風險場景，但識開展了風險評估以識別威脅組織重要運營活動的風險場景，且識-性未對識別得到的風險場景進行評價以識別主要風險場景或評價結對識別得到的風險場景進行了評價得到了主要風險場景，但評價對識別得到的風險場景進行了評價得到了主要風險場景，且評價未對主要風險場景進行控制評估對主要風險場景進行了控制評估，但控制評估結果存在一定的對主要風險場景進行了控制評估未建立開展風險評估的流程、方法與工具，或流程、方法與工具存在嚴重缺陷，可能導致風險評建立了開展風險評估的流程、方法與工具，但流程、方法和工具存在一定缺陷，可能導致風險評建立了較為完善的風險評估流程、方法與工具，能夠促進獲得-風險評估的組織、策劃與過程控制不存在或存在嚴重缺陷，可能風險評估的組織、策劃與過程控制存在一定缺陷，可能導風險評風險評估的組織、策劃與過程控制較為完善，能夠促進獲得高質 業(yè)務恢復策略完全沒有組織結構業(yè)務恢復策略具有組織結構，但該結構可能導致策略覆蓋度、可業(yè)務恢復策略具有完善的組織結構，能夠保證策略具有良好的覆-業(yè)務恢復策略缺乏保障策略正常業(yè)務恢復策略具備基本要素，但缺乏部分要素，可能不利于策略業(yè)務恢復策略要素齊全，不妨礙業(yè)務恢復策略獲得快速且有效的 業(yè)務恢復策略對于主要風險場景的覆蓋度低，全部或大部分風險業(yè)務恢復策略對于主要風險場景有一定的覆蓋，但仍存在部分風業(yè)務恢復策略很好地覆蓋了主要風險場景，針對絕大部分風險場-絕大部分業(yè)務恢復策略不具備可部分業(yè)務恢復策略的可行性較差，即策略的有效實施需滿足特絕大部分業(yè)務恢復策略的可行性較好，在大部分情形下策略能夠 絕大部分業(yè)務恢復策略的預期恢部分業(yè)務恢復策略的預期恢復效絕大部分業(yè)務恢復策略的有效性-未建立開展開發(fā)業(yè)務恢復策略的流程、方法與工具，或流程、方法與工具存在嚴重缺陷，可能導建立了開發(fā)業(yè)務恢復策略的流程、方法與工具，但流程、方法和工具存在一定缺陷，可能導致建立了較為完善的開發(fā)業(yè)務恢復策略的流程、方法與工具，能夠-開發(fā)業(yè)務恢復策略的組織、策劃與過程控制不存在或存在嚴重缺陷，可能導致業(yè)務恢復策略質量開發(fā)業(yè)務恢復策略的組織、策劃與過程控制存在一定缺陷，可能開發(fā)業(yè)務恢復策略的組織、策劃與過程控制較為完善，能夠促進-未建立業(yè)務連續(xù)性計劃，或業(yè)務連續(xù)性計劃未覆蓋大部分重要運業(yè)務連續(xù)性計劃覆蓋了大部分重業(yè)務連續(xù)性計劃覆蓋了全部重要性業(yè)務連續(xù)性計劃內容要素存在重大缺失或與業(yè)務影響分析、風險評估、業(yè)務恢復策略等工作成果存在重大的不一致業(yè)務連續(xù)性計劃內容要素存在輕微缺失或與業(yè)務影響分析、風險評估、業(yè)務恢復策略等工作成果存在輕微的不一致業(yè)務連續(xù)性計劃內容要素完整且與業(yè)務影響分析、風險評估、業(yè)-性業(yè)務連續(xù)性計劃缺乏文件格式及內容規(guī)范或業(yè)務連續(xù)性計劃內容建立了業(yè)務連續(xù)性計劃文件格式及內容規(guī)范但規(guī)范質量不佳，或建立了良好的業(yè)務連續(xù)性計劃文件格式及內容規(guī)范，且業(yè)務連續(xù) 檔未針對業(yè)務連續(xù)性計劃實施需要建立必要的應急文檔支持，導致針對業(yè)務連續(xù)性計劃實施需要建立了應急文檔支持，但支持程度不充分導致業(yè)務連續(xù)性計劃的執(zhí)針對業(yè)務連續(xù)性計劃實施需要建立了充分的應急文檔支持，使得業(yè)務連續(xù)性計劃的執(zhí)行極少依賴-未針對業(yè)務連續(xù)性計劃開展測試與驗證，且未建立合理的測試與針對業(yè)務連續(xù)性計劃開展了部分內容的測試與驗證，或在業(yè)務連續(xù)性計劃發(fā)生變更時建立了合理針對業(yè)務連續(xù)性計劃開展了全面的測試與驗證，且當業(yè)務連續(xù)性計劃發(fā)生變更時能及時對變更內容進行測試與驗證，或建立了合 未建立開展編制業(yè)務連續(xù)性計劃的流程、方法與工具，或流程、方法與工具存在嚴重缺陷，可能建立了編制業(yè)務連續(xù)性計劃的流程、方法與工具，但流程、方法和工具存在一定缺陷，可能導致建立了較為完善的編制業(yè)務連續(xù)性計劃的流程、方法與工具，能夠促進獲得高質量的業(yè)務連續(xù)性-編制業(yè)務連續(xù)性計劃的組織、策劃與過程控制不存在或存在嚴重缺陷，可能導致業(yè)務連續(xù)性計劃編制業(yè)務連續(xù)性計劃的組織、策劃與過程控制存在一定缺陷，可編制業(yè)務連續(xù)性計劃的組織、策劃與過程控制較為完善，能夠促-未建立業(yè)務連續(xù)性資源以保障業(yè)務連續(xù)性策略與業(yè)務連續(xù)性計劃建立了一定的業(yè)務連續(xù)性資源以保障業(yè)務連續(xù)性策略與業(yè)務連續(xù)建立了充分的業(yè)務連續(xù)性資源以保障業(yè)務連續(xù)性策略與業(yè)務連續(xù)-護未對業(yè)務連續(xù)性資源進行必要的更新與維護，資源可用性無法得對業(yè)務連續(xù)性資源開展了一定的更新與維護，資源可用性能夠得對業(yè)務連續(xù)性資源開展了充分的更新與維護，資源可用性維持在性ICT資源不具備健壯性，關鍵資源中斷后缺乏恢復手段，存在嚴ICT資源具備一定的健壯性，關鍵資源中斷后存在恢復手段，使得大部分重要業(yè)務活動的恢復目ICT資源具備高健壯性，關鍵資源雙活或中斷后存在快速有效的恢復手段，確保所有重要業(yè)務活-未及時識別組織需要但又缺乏的業(yè)務連續(xù)性資源，相關人員無法定期識別組織需要但又缺乏的業(yè)務連續(xù)性資源，但在完備性方面建立了業(yè)務連續(xù)性資源敞口識別機制，能完備地識別組織需要但-顧未對業(yè)務連續(xù)性資源建立建設規(guī)劃對業(yè)務連續(xù)性資源建立了簡要的對業(yè)務連續(xù)性資源建立了詳細的可落實的建設規(guī)劃，嚴格依據規(guī)劃開展工作，定期對規(guī)劃實施情-未針對業(yè)務連續(xù)性資源建設過程建立控制機制，無法保證資源建針對業(yè)務連續(xù)性資源建設過程建立了控制機制，能在一定程度上針對業(yè)務連續(xù)性資源建設過程建立了良好的控制機制，能夠完全 缺乏必要的培訓導致相關人員不了解對組織內部存在哪些業(yè)務連通過培訓使得相關人員基本知曉組織內部存在哪些業(yè)務連續(xù)性管通過充分的培訓使得相關人員清晰掌握組織內部存在哪些業(yè)務連-缺乏必要的培訓導致相關人員缺乏根據文檔開展業(yè)務連續(xù)性管理通過培訓使得相關人員基本具備根據文檔開展業(yè)務連續(xù)性管理工通過充分的培訓使得相關人員完全具備根據文檔開展業(yè)務連續(xù)性 缺乏必要的培訓導致相關人員缺乏根據既定流程開展工作或使用通過培訓使得相關人員基本具備根據既定流程開展工作或使用業(yè)通過培訓使得相關人員完全具備根據既定流程開展工作或使用業(yè)-制缺乏針對業(yè)務連續(xù)性管理的文檔、流程和資源方面的培訓與訓初步建立了針對業(yè)務連續(xù)性管理的文檔、流程和資源方面的培訓建立了比較完善的針對業(yè)務連續(xù)性管理的文檔、流程和資源方面業(yè)務連續(xù)性管理文檔、流程及資源與組織的實際情況存在較大脫節(jié)，不適宜作為開展相關工作的業(yè)務連續(xù)性管理文檔、流程及資源與組織的實際情況存在局部不匹配，能在有限程度上支持相關業(yè)務連續(xù)性管理文檔、流程及資源與組織的實際情況高度匹配， 制缺乏針對業(yè)務連續(xù)性管理體系成流程及資源無法適應組織內外部針對業(yè)務連續(xù)性管理體系成果建立了基本的更新與維護機制，相關文檔、流程及資源基本能夠適應組織內外部環(huán)境的變化，但變針對業(yè)務連續(xù)性管理體系成果建立了良好的更新與維護機制，相關文檔、流程與資源完全能夠適應組織內外部環(huán)境的變化且變化-未對內外部評估及審計等工作中發(fā)現(xiàn)的問題進行整改，或整改工針對內外部評估及審計等工作中發(fā)現(xiàn)的問題進行了整改，但整改針對內外部評估及審計等工作中發(fā)現(xiàn)的問題及時且有效地進行了-未建立業(yè)務連續(xù)性管理體系的評估審核機制，無法及時發(fā)現(xiàn)存在建立了業(yè)務連續(xù)性管理體系的評估審核機制，但開展相關工作的建立了業(yè)務連續(xù)性管理體系的評估審核機制，明確了開展相關工 未建立針對內外部評估及審計等工作中發(fā)現(xiàn)問題的整改機制，無建立了針對內外部評估及審計等工作中發(fā)現(xiàn)問題的整改機制，但機制不夠完善，無法保證相關問建立了針對內外部評估及審計等工作中發(fā)現(xiàn)問題的整改機制，且機制相對完善，能夠保證相關問-未開展針對主要風險場景的風險風險監(jiān)控對象范圍存在較大缺失，未納入部分具備監(jiān)控可性行風險監(jiān)控對象范圍覆蓋了絕大部分具備監(jiān)控可行性的主要風險場景-樹建立了應急組織呼叫樹，但與應建立了應急組織呼叫樹，且與應急組織實際情況基本一致 制建立了風險監(jiān)測與預警機制，但未明確開展監(jiān)測與預警的具體方法、流程和工具，機制的有效運建立了風險監(jiān)測與預警機制，且明確了開展監(jiān)測與預警的具體方法、流程和工具，機制的有效運制建立了溝通與報告機制，但未具體明確各層面應急人員開展溝通與報告的對象、內容、時間要求等要素，機制的有效運行存在一建立了溝通與報告機制，且明確了各層面應急人員開展溝通與報告的對象、內容、時間要求等要素，機制的有效運行能夠得到良未建立應急資源以保障各項應急建立了一定的應急資源以保障各項應急安排的實施，但資源并不建立了充分的應急資源以保障各 護未對應急資源進行必要的更新與對應急資源開展了一定的更新與維護，資源可用性能夠得到基礎對應急資源開展了充分的更新與維護，資源可用性維持在較高水未及時識別組織需要但又缺乏的應急資源，相關人員無法了解資定期識別組織需要但又缺乏的應急資源，但在完備性方面存在瑕疵建立了應急資源敞口識別機制，能完備地識別組織需要但又缺乏 對應急資源建立了簡要的建設規(guī)劃，但規(guī)劃內容較為初略僅能提供方向性指導，或建立了規(guī)劃但對應急資源建立了詳細的可落實的建設規(guī)劃，嚴格依據規(guī)劃開展工作，定期回顧規(guī)劃實施情況并-未針對應急資源建設過程建立控制機制，無法保證資源建設的進針對應急資源建設過程建立了控制機制，能在一定程度上促進資針對應急資源建設過程建立了良好的控制機制，能夠完全保障資-略演練范圍不覆蓋業(yè)務連續(xù)性計劃或重要運營活動的恢復策略、業(yè)演練范圍部分覆蓋業(yè)務連續(xù)性計劃或重要運營活動的恢復策略、業(yè)務連續(xù)性資源及應急流程，或演練范圍完全覆蓋業(yè)務連續(xù)性計劃或重要運營活動的恢復策略、業(yè)務連續(xù)性資源及應急流程，且 率演練數量與頻率明顯不足，無法驗證相關機制、資源和文件的有效性，并促進相關人員掌握既定演練數量與頻率需要加強，能夠部分驗證相關機制、資源和文件的有效性，并促進相關人員掌握演練數量與頻率能夠完全滿足組織對于驗證相關機制、資源和文件的有效性，并促進相關人員掌用演練結果沒有得到運用，未對發(fā)現(xiàn)存在問題的機制、資源和文件演練結果得到部分運用，對演練發(fā)現(xiàn)存在問題的機制、資源和文演練結果得到充分運用，對演練發(fā)現(xiàn)存在問題的機制、資源和文備未對開展的演練進行計劃和準對所要開展的演練進行了一定的計劃與準備，建立了相對簡單的對所要開展的演練進行了充分的計劃與準備，建立了相對完善的演練方案，包括演練的時間、地點、人員、演練目標、范圍、形 未對演練過程進行有效控制，演練過程得不到保障，包括但不限于演練組織混亂、應急處置存在對演練過程進行了一定控制，演練過程能得到基本保障，包括但不限于演練組織相對有序、應急處置基本到位，演練風險得到較對演練過程進行了嚴格控制，演練過程能得到充分保障，包括但不限于演練組織有序、應急處置進未對演練過程進行總結并在后續(xù)對演練過程進行總結并在后續(xù)演練中予以一定改進，但對演練的對演練過程進行較為深入的總結并在后續(xù)對存在的問題予以根本-未明確業(yè)務運營中斷事件的定級定義了業(yè)務運營中斷事件分級標準，但未全面且合理地考慮事件的影響、持續(xù)時間、損失程度等明確了業(yè)務運營中斷事件分級標準，事件等級的劃分充分考慮了事件的影響、持續(xù)時間、損失程-未建立針對業(yè)務運營中斷事件的零散化地制定了應急預案或應急文檔，但未形成結構化的應急文形成了完善的應急文檔體系，能夠較好地支持并規(guī)范各類應急處 未明確各類業(yè)務運營中斷事件的明確了各類業(yè)務運營中斷事件的應急處置流程，但在流程設計上明確了各類業(yè)務運營中斷事件的應急處置流程，全面涵蓋了事件的先期處置、評估與報告、應急-未建立涵蓋業(yè)務運營中斷事件的建立了涵蓋業(yè)務運營中斷事件的危機處置預案，提出了危機應對原則及主要應對措施，但還需通建立了涵蓋業(yè)務運營中斷事件的危機處置預案，明確了危機應對原則及具體的應對措施，在預案或相關支持文檔中給出了各類措 樹建立了外部溝通呼叫樹，但與實建立了外部溝通呼叫樹，且與實未建立危機管理機制以管控業(yè)務建立了基本的危機管理機制，明確了業(yè)務運營中斷事件發(fā)生時可用以緩釋聲譽風險的具體措施和建立了較為完善的危機管理機制，制訂了覆蓋危機管理各個方面的管理要求及實施規(guī)范，且相未建立外部溝通機制與相關利益建立了基本的外部溝通機制，明確了業(yè)務運營中斷事件發(fā)生時應當與其開展溝通或匯報的對象，但未明確相關工作的具體實施流建立了較為完善的外部溝通機制，明確了業(yè)務運營中斷事件發(fā)生時應當與其開展溝通或匯報的對象，以及相關工作的具體實施未梳理識別可以獲取的外部救援資源，包括可以獲取的資金、人簡單梳理識別了可供獲取的外部充分梳理識別了可以獲取的外部救援資源，并盡可能通過協(xié)議安 未對及時有效獲取外部救援進行針對獲取外部救援進行了一定預先安排，但相關安排不足以保證針對獲取外部救援進行了充分的預先安排，相關安排能夠保證及-建立了業(yè)務運營活動的復原機制，包括業(yè)務復原流程、職責分工、溝通與報告要求等，但在具明確了業(yè)務運營活動的復原機制，包括職責分工、業(yè)務復原流-析未建立業(yè)務運營中斷事件原因調建立了業(yè)務中斷事件原因調查與分析機制，能夠對事件原因進行簡單的調查和分析，并對相關問建立了完善的業(yè)務中斷事件原因調查與分析機制，能夠對事件原因進行深入的調查和分析，并對-究未建立業(yè)務運營中斷事件的責任認定與追究機制，事件責任認定不清或不對責任單位及人員進行建立了業(yè)務運營中斷事件的責任認定與追究機制，對相關責任單位及人員進行了問責和處罰，但建立了業(yè)務運營中斷事件的責任認定與追究機制，對相關責任單位及人員進行問責和處罰，問責-（規(guī)范性）能力構造定級規(guī)范一、能力定級規(guī)則構造名稱定級規(guī)則力-二、能力域定級規(guī)則構造編號構造名稱定級規(guī)則三、能力子域定級規(guī)則構造編號構造名稱定級規(guī)則-- 四、能力項定級規(guī)則構造編號構造名稱定級規(guī)則）＝）＝對于4-5級，應有D1/F2/P1/I）＝對于4-5級，應有D1/F2/P2/I2）＝-對于4-5級，應有D1/F3/P1/I2）＝對于4-5級，應有D1/F3/P2/I2）＝對于4-5級，應有D1/F3/P3/I2）＝對于4-5級，應有D2/F1/P1/I）＝）＝ ）＝對于4-5級，應有D3/F1/P1/I2（）＝-）＝）＝）＝對于4-5級，應有D3/F2/P2/I1（）＝對于4-5級，應有D3/F2/P2/