GB∕T 43046-2023 信息技術(shù)服務(wù) 應(yīng)對(duì)突發(fā)公共安全事件的信息技術(shù)應(yīng)急風(fēng)險(xiǎn)管理（正式版）

信息技術(shù)服務(wù)應(yīng)對(duì)突發(fā)公共安全事件的信息技術(shù)應(yīng)急風(fēng)險(xiǎn)管理2023-09-07發(fā)布國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)I 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14縮略語(yǔ) 2 25.1IT應(yīng)急風(fēng)險(xiǎn)管理與IT應(yīng)急管理的關(guān)系 25.2風(fēng)險(xiǎn)管理原則 25.3風(fēng)險(xiǎn)管理文化 35.4風(fēng)險(xiǎn)管理策略 35.5風(fēng)險(xiǎn)管理技術(shù) 35.6風(fēng)險(xiǎn)管理對(duì)象 46風(fēng)險(xiǎn)管理框架 47頂層設(shè)計(jì) 57.1戰(zhàn)略規(guī)劃 57.2組織構(gòu)建 67.3架構(gòu)設(shè)計(jì) 68風(fēng)險(xiǎn)管理環(huán)境 68.1內(nèi)外部環(huán)境 68.2促成因素 79風(fēng)險(xiǎn)管理體系 710風(fēng)險(xiǎn)管理要素 710.1專(zhuān)業(yè)團(tuán)隊(duì)與人員 710.2風(fēng)險(xiǎn)類(lèi)型 810.3風(fēng)險(xiǎn)管理流程 810.4信息系統(tǒng) 810.5數(shù)據(jù) 910.6其他 911風(fēng)險(xiǎn)管理實(shí)施 911.1統(tǒng)籌和規(guī)劃 911.2構(gòu)建和運(yùn)行 911.3監(jiān)控和評(píng)價(jià) Ⅱ11.4改進(jìn)和優(yōu)化 附錄A(資料性)IT應(yīng)急管理總體風(fēng)險(xiǎn) 附錄B(資料性)IT應(yīng)急管理專(zhuān)項(xiàng)風(fēng)險(xiǎn) 附錄C(資料性)IT應(yīng)急風(fēng)險(xiǎn)管理組織架構(gòu)與管理體系 附錄D(資料性)突發(fā)公共安全事件情況下的整體應(yīng)用場(chǎng)景 附錄E(資料性)突發(fā)公共安全事件情況下的具體應(yīng)用場(chǎng)景 參考文獻(xiàn) ⅢGB/T43046—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。本文件由全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC28)提出并歸口。本文件起草單位：上海谷航信息科技發(fā)展有限公司、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、上海計(jì)算機(jī)軟件技術(shù)開(kāi)發(fā)中心、北京國(guó)家會(huì)計(jì)學(xué)院、上海市衛(wèi)生健康委員會(huì)、上海市網(wǎng)絡(luò)與信息安全應(yīng)急管理事務(wù)中心、北京太極華?？萍脊煞萦邢薰?、北京同創(chuàng)永益科技發(fā)展有限公司、北京賽迪認(rèn)證中心有限公司、萬(wàn)達(dá)信息股份有限公司、神州數(shù)碼融信云技術(shù)服務(wù)有限公司、國(guó)家工業(yè)信息安全發(fā)展研究中心、蘇州市軟件評(píng)測(cè)中心有限公司、上海交通大學(xué)、中科軟科技股份有限公司、中福彩科技發(fā)展(北京)有限公司、浙江經(jīng)濟(jì)職業(yè)技術(shù)學(xué)院、天津天大康博科技有限公司、金稅信息技術(shù)服務(wù)股份有限公司、上海軟件產(chǎn)業(yè)促進(jìn)中心、山東正中信息技術(shù)股份有限公司、成都市工業(yè)互聯(lián)網(wǎng)發(fā)展中心、陜西省信息化工程研究院、中遠(yuǎn)海運(yùn)科技股份有限公司、建信金融科技有限責(zé)任公司、國(guó)網(wǎng)區(qū)塊鏈科技(北京)有限公司、太極計(jì)算機(jī)股份有限公司、上海安言信息技術(shù)有限公司、北京德信永道信息技術(shù)服務(wù)有限公司、嘉興嘉賽信息技術(shù)有限公司、上海軟中信息系統(tǒng)咨詢(xún)有限公司、上海新炬網(wǎng)絡(luò)信息技術(shù)股份有限公司、廣州物聯(lián)網(wǎng)研究院、威海神舟信息技術(shù)研究院有限公司、南京云信達(dá)科技有限公司、上海云濟(jì)信息科技有限公司、上海霞安信息科技有限公司、工業(yè)互聯(lián)網(wǎng)創(chuàng)新中心(上海)有限公司、北京賽博昆侖科技有限公司、上海翰緯信息科技有限公司、武漢速云星博信息技術(shù)有限公司、帝杰曼科技股份有限公司、湖南創(chuàng)博龍智信息科技股份有限公司、杭州數(shù)列網(wǎng)絡(luò)科技有限責(zé)任公司、北京中百信信息技術(shù)股份有限公司、黑龍江科技大學(xué)、健康云(上海)數(shù)字科技有限公司、上海市新能源汽車(chē)公共數(shù)據(jù)采集與監(jiān)測(cè)研究中心、武漢網(wǎng)信安全技術(shù)股份有限公司、上海申康醫(yī)院發(fā)展中心、深圳市通商寶科技有限公司、浙江海瑞網(wǎng)絡(luò)科技有限公司、深圳融昕醫(yī)療科技有限公司、中國(guó)軟件評(píng)測(cè)中心(工業(yè)和信息化部軟件與集成電路促進(jìn)中心)、北京明易達(dá)科技股份有限公司、河北微保物流科技有限公司、建標(biāo)教育科技河北有限公司、河北沃瑞斯供應(yīng)鏈管理有限公司、河北標(biāo)質(zhì)質(zhì)檢技術(shù)服務(wù)中心、廣東潤(rùn)聯(lián)信息技術(shù)有限公司、武漢東湖大數(shù)據(jù)交易中心股份有限公司、河北鴻宇通信器材有限公司、河北鵬博通信設(shè)備有限公司。薛質(zhì)、方健、鄭晨光、肖筱華、栗卓越、馬烈、韓飛、張蕾、徐剛、張瑋、薛冰玢、聶興凱、楊燁、王珊珊、潘鋼、朱柯、孫誠(chéng)、王守選、楊德華、盧學(xué)哲、趙秋多、潘錚、王成名、俞麗平、呂千千、陳昌杰、門(mén)美齡、何煜翔、李慶、董剛?cè)A、付宇、闕志興、程永新、胡良霖、毛慧麗、黃海峰、柴磊、米登科、徐萍、左有良、趙丹鳳、金燕芳、唐澤誠(chéng)、高金、王承琨、曹川華、鐘鳴薈、朱武振、黃澤鋒、陳晗、祝榮榮、趙亮、王猛、為有效控制突發(fā)公共安全事件情況下組織面臨的IT應(yīng)急風(fēng)險(xiǎn)，提高相應(yīng)的IT應(yīng)急風(fēng)險(xiǎn)管理能力，促進(jìn)IT對(duì)組織業(yè)務(wù)的安全、可靠、有效支持，提出應(yīng)對(duì)突發(fā)公共安全事件下的IT應(yīng)急風(fēng)險(xiǎn)管理規(guī)范，實(shí)現(xiàn)責(zé)任落實(shí)、風(fēng)險(xiǎn)可控和價(jià)值實(shí)現(xiàn)的目標(biāo)。實(shí)施主體可根據(jù)應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理規(guī)范要求，明確組織應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理頂層設(shè)計(jì)、管理體系等，結(jié)合實(shí)施環(huán)境，規(guī)范相應(yīng)的IT應(yīng)急風(fēng)險(xiǎn)管理實(shí)施過(guò)程，明確統(tǒng)籌和規(guī)劃、構(gòu)建和運(yùn)行、監(jiān)督和評(píng)估、改進(jìn)和優(yōu)化的目標(biāo)和基本任務(wù)。1信息技術(shù)服務(wù)應(yīng)對(duì)突發(fā)公共安全事件的信息技術(shù)應(yīng)急風(fēng)險(xiǎn)管理本文件確立了突發(fā)公共安全事件情況下IT應(yīng)急風(fēng)險(xiǎn)管理的總則、框架，并規(guī)定了相關(guān)的頂層設(shè)本文件適用于：a)決策層或最高管理者實(shí)施相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)管理頂層設(shè)計(jì)職能；b)建立或完善組織相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)管理體系；c)明確組織相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理流程的要求；d)規(guī)范組織相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理的實(shí)施；e)第三方或其他機(jī)構(gòu)開(kāi)展相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理咨詢(xún)業(yè)務(wù)。2規(guī)范性引用文件本文件沒(méi)有規(guī)范性引用文件。3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。為實(shí)現(xiàn)目標(biāo)，由職責(zé)、權(quán)限和相互關(guān)系構(gòu)成自身功能的一個(gè)人或一組人。機(jī)構(gòu)，或上述組織的部分或組合，無(wú)論是否為法人組織，公有的或私有的。決策層decision-makinglevel負(fù)責(zé)確定組織(3.1)的目標(biāo)、綱領(lǐng)和實(shí)施方案，進(jìn)行宏觀控制的最高權(quán)力機(jī)構(gòu)。最高管理者topmanagement在最高層指揮和控制組織(3.1)的一個(gè)人或一組人。注：最高管理者在組織內(nèi)有授權(quán)和提供資源的權(quán)力。突發(fā)公共安全事件publicsecurityemergency突然發(fā)生，造成或者可能造成重大人員傷亡、財(cái)產(chǎn)損失、生態(tài)環(huán)境破壞和嚴(yán)重社會(huì)危害，危及公共安全的緊急事件。2注：根據(jù)突發(fā)公共安全事件的發(fā)生過(guò)程、性質(zhì)和機(jī)理，主要分為以下四類(lèi)：自然災(zāi)害、事故災(zāi)難、公共衛(wèi)生事件和社會(huì)安全事件。組織為應(yīng)對(duì)突發(fā)公共安全事件開(kāi)展的信息技術(shù)領(lǐng)域的應(yīng)急管理。IT應(yīng)急風(fēng)險(xiǎn)管理informationtechnologyemergencyriskmanagement在突發(fā)公共安全事件情況下，組織為控制信息技術(shù)應(yīng)急管理中的風(fēng)險(xiǎn)而進(jìn)行的一系列管控活動(dòng)。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。BCMS:業(yè)務(wù)連續(xù)性管理體系(BusinessContinuityIT:信息技術(shù)(InformationTechnology)RPO:恢復(fù)點(diǎn)目標(biāo)(RecoveryPointObjective)RTO:恢復(fù)時(shí)間目標(biāo)(RecoveryTimeObjective)SWOT分析法：企業(yè)競(jìng)爭(zhēng)態(tài)勢(shì)[優(yōu)勢(shì)(Strength)、ManagementSystem)(Threat)]分析方法5總則5.1IT應(yīng)急風(fēng)險(xiǎn)管理與IT應(yīng)急管理的關(guān)系與一般的IT應(yīng)急管理不同，突發(fā)公共安全事件情況下的IT應(yīng)急管理，旨在為應(yīng)對(duì)突發(fā)公共安全事件開(kāi)展的IT領(lǐng)域的應(yīng)急管理。管理主體的IT相關(guān)應(yīng)急管理職責(zé)不僅僅局限于組織內(nèi)部，還涉及組織與外部的聯(lián)防、聯(lián)動(dòng)等。突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)險(xiǎn)管理旨在相關(guān)IT應(yīng)急管理基礎(chǔ)上，進(jìn)一步強(qiáng)調(diào)與應(yīng)對(duì)突發(fā)公共安全事件相關(guān)IT應(yīng)急控制措施的合理性和有效性。管理主體的IT應(yīng)急風(fēng)險(xiǎn)管理職責(zé)不僅僅局限于組織內(nèi)部，也涉及組織與外部的聯(lián)防、聯(lián)動(dòng)等。應(yīng)對(duì)突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)險(xiǎn)管理，有利于各級(jí)各類(lèi)組織樹(shù)立IT應(yīng)急風(fēng)險(xiǎn)管理意識(shí)，完善IT應(yīng)急管理機(jī)制，提高應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急處理能力，并達(dá)到如下效果：a)遇到突發(fā)公共安全事件時(shí)，在政府的統(tǒng)籌領(lǐng)導(dǎo)下，加強(qiáng)與外部的聯(lián)防、聯(lián)動(dòng)，沉著應(yīng)對(duì)各種IT應(yīng)急風(fēng)險(xiǎn)，提升組織IT應(yīng)急相關(guān)資源的統(tǒng)籌與調(diào)配能力，避免無(wú)序和失控情況的發(fā)生；b)在日常的IT管理中，將IT應(yīng)急風(fēng)險(xiǎn)管理意識(shí)貫穿于價(jià)值、制度、機(jī)制和能力等方面，建立和完善應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理體系，提高組織的預(yù)期管理能力，并增強(qiáng)社會(huì)責(zé)任意識(shí)；c)突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)險(xiǎn)管理屬于組織風(fēng)險(xiǎn)管理體系一部分，通過(guò)加強(qiáng)對(duì)相關(guān)IT應(yīng)急管理合理性、有效性的監(jiān)督和評(píng)價(jià)，促進(jìn)IT應(yīng)急管理能力的持續(xù)提升，確保組織業(yè)務(wù)的持續(xù)運(yùn)營(yíng)。5.2風(fēng)險(xiǎn)管理原則IT應(yīng)急風(fēng)險(xiǎn)管理原則包括如下內(nèi)容。3a)整體性原則。在突發(fā)公共安全事件情況下，作為整體的有機(jī)組成部分，組織充分配合國(guó)家、地方、行業(yè)或領(lǐng)域等開(kāi)展IT應(yīng)急風(fēng)險(xiǎn)管理，履行社會(huì)責(zé)任，并建立與外部的聯(lián)防、聯(lián)動(dòng)機(jī)制。b)全面性原則。IT應(yīng)急風(fēng)險(xiǎn)管理覆蓋IT應(yīng)急應(yīng)用領(lǐng)域的各個(gè)方面，貫穿決策、執(zhí)行和監(jiān)督全部管理環(huán)節(jié)。c)標(biāo)準(zhǔn)化原則。通過(guò)實(shí)施標(biāo)準(zhǔn)化的IT應(yīng)急風(fēng)險(xiǎn)管理，提供更穩(wěn)定、更可靠的IT應(yīng)急風(fēng)險(xiǎn)管控服務(wù)。d)前瞻性原則。組織建立IT應(yīng)急風(fēng)險(xiǎn)管理機(jī)制，確保IT應(yīng)急風(fēng)險(xiǎn)管理目標(biāo)與組織戰(zhàn)略發(fā)展目標(biāo)一致性，并具有超前意識(shí)，預(yù)判潛在的IT應(yīng)急風(fēng)險(xiǎn)，提前進(jìn)行干預(yù)和制定對(duì)策。e)預(yù)防性原則。堅(jiān)持預(yù)防為主，建立預(yù)防、預(yù)警與演練機(jī)制，將日常管理與應(yīng)急處置有效結(jié)合。f)可執(zhí)行性原則。組織開(kāi)展的IT應(yīng)急風(fēng)險(xiǎn)管理切實(shí)符合當(dāng)前能力，確保IT應(yīng)急風(fēng)險(xiǎn)管理的可執(zhí)行性。g)適應(yīng)性原則。IT應(yīng)急風(fēng)險(xiǎn)管理機(jī)制與IT應(yīng)急風(fēng)險(xiǎn)狀況、信息化或數(shù)字化程度等相適應(yīng)，并根據(jù)應(yīng)急環(huán)境變化、內(nèi)外部要求進(jìn)行調(diào)整。h)人性化原則。堅(jiān)持以人為本，重點(diǎn)保障人員安全與健康，并需考慮無(wú)障礙服務(wù)。5.3風(fēng)險(xiǎn)管理文化組織建立應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理文化，包括但不限于：a)加強(qiáng)與國(guó)家、地方、行業(yè)或領(lǐng)域等的協(xié)同與溝通，提升社會(huì)責(zé)任意識(shí)；b)與組織文化建設(shè)相結(jié)合，使其成為組織日常運(yùn)營(yíng)管理的有機(jī)組成部分；c)提升全員的IT應(yīng)急風(fēng)險(xiǎn)管理意識(shí)，遵守公共安全秩序；d)形成與組織相適應(yīng)的價(jià)值準(zhǔn)則、職業(yè)操守；e)建立IT應(yīng)急風(fēng)險(xiǎn)管理文化培訓(xùn)與傳達(dá)機(jī)制；f)建立IT應(yīng)急風(fēng)險(xiǎn)管理文化的評(píng)價(jià)、考核、監(jiān)督及獎(jiǎng)懲機(jī)制。5.4風(fēng)險(xiǎn)管理策略組織將應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理納入IT總體風(fēng)險(xiǎn)管理體系，并根據(jù)內(nèi)外部環(huán)境等情況，圍繞組織IT發(fā)展戰(zhàn)略，明確相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)管理策略，包括如下內(nèi)容。a)總體策略。應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理是組織IT總體風(fēng)險(xiǎn)管理體系有機(jī)組成部分，并與國(guó)家、地方、行業(yè)或領(lǐng)域等的IT應(yīng)急風(fēng)險(xiǎn)管理體系相協(xié)調(diào)。b)具體策略。內(nèi)容包括但不限于：●組織對(duì)IT應(yīng)急風(fēng)險(xiǎn)進(jìn)行分類(lèi)分級(jí)管理，為各類(lèi)突發(fā)公共安全事件制定相應(yīng)的IT應(yīng)急風(fēng)險(xiǎn)管理策略；●根據(jù)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)特點(diǎn)，采用風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)減輕以及風(fēng)險(xiǎn)接受等措施；●采用應(yīng)對(duì)措施時(shí)，需要考慮的事項(xiàng)包括關(guān)注成本、承擔(dān)的責(zé)任(含社會(huì)責(zé)任等)和義務(wù)、自愿承諾和利益相關(guān)方的觀點(diǎn)；根據(jù)組織的目標(biāo)、風(fēng)險(xiǎn)準(zhǔn)則和可用資源進(jìn)行分析；結(jié)合價(jià)值觀、認(rèn)知和潛在涉及的利益相關(guān)方，以及與他們溝通和咨詢(xún)的最佳方式進(jìn)行分析；效果相同的方案，因利益相關(guān)方偏好不同而采用結(jié)果不同。5.5風(fēng)險(xiǎn)管理技術(shù)IT應(yīng)急風(fēng)險(xiǎn)管理技術(shù)包括但不限于下述內(nèi)容。4a)風(fēng)險(xiǎn)識(shí)別技術(shù)。識(shí)別可能影響一個(gè)或多個(gè)目標(biāo)的不確定性，包括德?tīng)柗品?、頭腦風(fēng)暴法、檢查表法、SWOT分析法及圖解技術(shù)等。b)風(fēng)險(xiǎn)分析技術(shù)。對(duì)風(fēng)險(xiǎn)影響和后果進(jìn)行評(píng)價(jià)和估量，包括定性分析和定量分析。c)風(fēng)險(xiǎn)評(píng)價(jià)技術(shù)。在風(fēng)險(xiǎn)分析的基礎(chǔ)上，通過(guò)相應(yīng)的指標(biāo)體系和評(píng)價(jià)標(biāo)準(zhǔn)，對(duì)風(fēng)險(xiǎn)程度進(jìn)行劃分，以揭示影響成敗的關(guān)鍵風(fēng)險(xiǎn)因素，包括單因素風(fēng)險(xiǎn)評(píng)價(jià)和總體風(fēng)險(xiǎn)評(píng)價(jià)。d)風(fēng)險(xiǎn)應(yīng)對(duì)技術(shù)。IT技術(shù)體系中為特定風(fēng)險(xiǎn)制定的應(yīng)對(duì)技術(shù)方案，包括云計(jì)算、冗余鏈路、冗余資源、系統(tǒng)彈性伸縮、兩地三中心災(zāi)備、業(yè)務(wù)熔斷限流、數(shù)據(jù)備份和副本數(shù)據(jù)管理等。e)風(fēng)險(xiǎn)監(jiān)測(cè)技術(shù)。監(jiān)測(cè)應(yīng)急風(fēng)險(xiǎn)演化為事件的特定觸發(fā)條件、發(fā)展過(guò)程，包括IT基礎(chǔ)設(shè)備監(jiān)控、f)風(fēng)險(xiǎn)預(yù)警技術(shù)。對(duì)應(yīng)急風(fēng)險(xiǎn)的產(chǎn)生與發(fā)展進(jìn)行提前預(yù)測(cè)和預(yù)警方面的技術(shù)，包括人工智能、大5.6風(fēng)險(xiǎn)管理對(duì)象突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)險(xiǎn)為IT應(yīng)急風(fēng)險(xiǎn)管理對(duì)象。IT應(yīng)急風(fēng)險(xiǎn)類(lèi)型包括IT應(yīng)急管理總體風(fēng)險(xiǎn)與IT應(yīng)急管理專(zhuān)項(xiàng)風(fēng)險(xiǎn)(見(jiàn)10.2、附錄A、附錄B)。6風(fēng)險(xiǎn)管理框架IT應(yīng)急風(fēng)險(xiǎn)管理框架是組織IT總體風(fēng)險(xiǎn)管理框架的有機(jī)組成部分，是組織應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理框架，主要包括頂層設(shè)計(jì)、風(fēng)險(xiǎn)管理環(huán)境、風(fēng)險(xiǎn)管理體系、風(fēng)險(xiǎn)管理要素和風(fēng)險(xiǎn)管理實(shí)施五部分，見(jiàn)圖1。5審計(jì)管理保障風(fēng)險(xiǎn)管理執(zhí)行風(fēng)險(xiǎn)管理總體風(fēng)險(xiǎn)管理專(zhuān)業(yè)團(tuán)隊(duì)與人員風(fēng)險(xiǎn)類(lèi)型審計(jì)管理保障風(fēng)險(xiǎn)管理執(zhí)行風(fēng)險(xiǎn)管理總體風(fēng)險(xiǎn)管理專(zhuān)業(yè)團(tuán)隊(duì)與人員風(fēng)險(xiǎn)類(lèi)型其他數(shù)據(jù)信息系統(tǒng)風(fēng)險(xiǎn)管理流程應(yīng)對(duì)突發(fā)公共安全事件的信息技術(shù)應(yīng)急管理跨滅種《百然滅霽、事故災(zāi)難、公共衛(wèi)生事件和社會(huì)安全事件)統(tǒng)=========二二一一====二頂層設(shè)計(jì)戰(zhàn)略規(guī)劃組織構(gòu)建架構(gòu)設(shè)計(jì)風(fēng)險(xiǎn)管理體系風(fēng)險(xiǎn)管理環(huán)境風(fēng)險(xiǎn)管理體系內(nèi)外部環(huán)境適川丁實(shí)施全面風(fēng)險(xiǎn)管理的組織其他組織根據(jù)具體情況進(jìn)行制定風(fēng)險(xiǎn)管理實(shí)施統(tǒng)籌和規(guī)劃促成因素促成因素監(jiān)控和評(píng)價(jià)風(fēng)險(xiǎn)管理要素構(gòu)建和運(yùn)行圖1風(fēng)險(xiǎn)管理框架在IT應(yīng)急管理過(guò)程中引入IT應(yīng)急風(fēng)險(xiǎn)管理機(jī)制(見(jiàn)第7章～第11章)。當(dāng)突發(fā)公共安全事件時(shí)，可有效管控IT應(yīng)急管理的相關(guān)風(fēng)險(xiǎn)(見(jiàn)附錄A、附錄B),提升組織內(nèi)部以及與國(guó)家、地方、行業(yè)或領(lǐng)域等的聯(lián)防、聯(lián)動(dòng)IT應(yīng)急管理能力，避免無(wú)序和失控情況的發(fā)生，確保相關(guān)IT應(yīng)急管理工作的成效。頂層設(shè)計(jì)包含應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理戰(zhàn)略規(guī)劃、組織構(gòu)建和架構(gòu)設(shè)計(jì)，決策層或最高管理者通過(guò)評(píng)估、指導(dǎo)和監(jiān)督對(duì)相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)管理層進(jìn)行管控。管理環(huán)境包含內(nèi)外部環(huán)境和促成因素，其中促成因素是應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理實(shí)施的保障。管理體系包含應(yīng)對(duì)突發(fā)公共安全事件的總體風(fēng)險(xiǎn)管理、執(zhí)行風(fēng)險(xiǎn)管理、保障風(fēng)險(xiǎn)管理及審計(jì)管理。管理要素包含應(yīng)對(duì)突發(fā)公共安全事件的專(zhuān)業(yè)團(tuán)隊(duì)與人員、風(fēng)險(xiǎn)類(lèi)型、風(fēng)險(xiǎn)管理流程、信息系統(tǒng)、數(shù)據(jù)等。管理體系與管理要素是相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理實(shí)施的核心。風(fēng)險(xiǎn)管理實(shí)施包含應(yīng)對(duì)突發(fā)公共安全事件的統(tǒng)籌和規(guī)劃、構(gòu)建和運(yùn)行、監(jiān)控和評(píng)價(jià)、改進(jìn)和優(yōu)化，是相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理的實(shí)際應(yīng)用并促進(jìn)相關(guān)IT應(yīng)急管理提升的過(guò)程。7頂層設(shè)計(jì)7.1戰(zhàn)略規(guī)劃組織應(yīng)結(jié)合突發(fā)公共安全事件情況下的風(fēng)險(xiǎn)特點(diǎn)，根據(jù)內(nèi)外部環(huán)境及促成因素制定獨(dú)立的IT應(yīng)急風(fēng)險(xiǎn)管理戰(zhàn)略規(guī)劃，明確IT應(yīng)急風(fēng)險(xiǎn)管理戰(zhàn)略規(guī)劃實(shí)施的策略。IT應(yīng)急風(fēng)險(xiǎn)管理規(guī)劃屬于組織戰(zhàn)略規(guī)劃的一部分，應(yīng)與組織戰(zhàn)略規(guī)劃中的業(yè)務(wù)應(yīng)急管理規(guī)劃、業(yè)務(wù)風(fēng)險(xiǎn)管理規(guī)劃保持一致，包括但不6限于：a)分析突發(fā)公共安全事件情況下的風(fēng)險(xiǎn)特點(diǎn)、相關(guān)內(nèi)外部環(huán)境及促成因素，理解業(yè)務(wù)應(yīng)急規(guī)劃、業(yè)務(wù)風(fēng)險(xiǎn)管理規(guī)劃和IT應(yīng)急規(guī)劃等，調(diào)研需求并評(píng)估突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)b)制定應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理戰(zhàn)略規(guī)劃，指導(dǎo)IT應(yīng)急風(fēng)險(xiǎn)管理體系的建立，并明確IT應(yīng)急風(fēng)險(xiǎn)管理要素；c)明確應(yīng)對(duì)突發(fā)公共安全事件的內(nèi)控、合規(guī)、績(jī)效和審計(jì)等要求，對(duì)相關(guān)IT應(yīng)急風(fēng)險(xiǎn)進(jìn)行管控；d)監(jiān)控和評(píng)價(jià)應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急管理規(guī)劃制定與實(shí)施，確保IT應(yīng)急管理規(guī)劃的持續(xù)改進(jìn)和優(yōu)化。7.2組織構(gòu)建組織構(gòu)建應(yīng)聚焦突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)險(xiǎn)管理責(zé)任主體與分工，通過(guò)完善組織機(jī)制及與外部的聯(lián)防、聯(lián)動(dòng)機(jī)制，獲得相關(guān)方的理解和支持，制定相應(yīng)的IT應(yīng)急風(fēng)險(xiǎn)管理制度和流程，以支撐突發(fā)公共安全事件情況下IT應(yīng)急風(fēng)險(xiǎn)管理的實(shí)施，包括但不限于：a)建立與外部的聯(lián)防、聯(lián)動(dòng)機(jī)制，配合國(guó)家、地方、行業(yè)或領(lǐng)域等在突發(fā)公共安全事件情況下IT應(yīng)急風(fēng)險(xiǎn)管理的開(kāi)展；b)建立突發(fā)公共安全事件情況下支撐IT應(yīng)急風(fēng)險(xiǎn)管理戰(zhàn)略的組織機(jī)制，明確相關(guān)的實(shí)施原則和策略；c)明確突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)險(xiǎn)管理決策、實(shí)施及監(jiān)督機(jī)構(gòu)，建立相應(yīng)的IT應(yīng)急風(fēng)險(xiǎn)管理組織架構(gòu)(見(jiàn)附錄C),明確管理者和成員角色，確保責(zé)權(quán)利一致；d)建立突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)險(xiǎn)管理決策、授權(quán)和溝通機(jī)制，保證利益相關(guān)方理解、接受相應(yīng)的職責(zé)和權(quán)利；e)實(shí)現(xiàn)突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)險(xiǎn)管理決策、執(zhí)行、控制和監(jiān)督等職能，評(píng)估運(yùn)行成效并持續(xù)改進(jìn)和優(yōu)化。7.3架構(gòu)設(shè)計(jì)在設(shè)計(jì)組織層面的IT應(yīng)急風(fēng)險(xiǎn)管理架構(gòu)時(shí)，應(yīng)關(guān)注突發(fā)公共安全事件下的業(yè)務(wù)架構(gòu)、應(yīng)用架構(gòu)、數(shù)據(jù)架構(gòu)、技術(shù)架構(gòu)和架構(gòu)管理體系等風(fēng)險(xiǎn)，通過(guò)持續(xù)的評(píng)估、改進(jìn)，不斷完善IT應(yīng)急管理架構(gòu)，包括但不限于：a)建立與突發(fā)公共安全事件情況下IT應(yīng)急風(fēng)險(xiǎn)管理戰(zhàn)略、業(yè)務(wù)戰(zhàn)略及組織戰(zhàn)略一致的IT應(yīng)急風(fēng)險(xiǎn)管理架構(gòu)，針對(duì)突發(fā)公共安全事件情況下IT應(yīng)急管理架構(gòu)的風(fēng)險(xiǎn)(如技術(shù)方向、管理策略和支撐體系等風(fēng)險(xiǎn))提出管控要求；b)IT應(yīng)急風(fēng)險(xiǎn)管理架構(gòu)宜考慮與外部IT應(yīng)急風(fēng)險(xiǎn)管理架構(gòu)的聯(lián)動(dòng)與控制、技術(shù)能力及資源等；c)監(jiān)控和評(píng)價(jià)組織級(jí)突發(fā)公共安全事件情況下IT應(yīng)急管理架構(gòu)的設(shè)計(jì)風(fēng)險(xiǎn)，以及組織級(jí)相應(yīng)IT應(yīng)急管理架構(gòu)實(shí)施、應(yīng)用的成效，確保IT應(yīng)急管理架構(gòu)的持續(xù)改進(jìn)和優(yōu)化；d)監(jiān)控和評(píng)價(jià)組織級(jí)突發(fā)公共安全事件情況下的IT應(yīng)急管理架構(gòu)機(jī)制運(yùn)行風(fēng)險(xiǎn)，確保相關(guān)管理工作的持續(xù)改進(jìn)和優(yōu)化。8風(fēng)險(xiǎn)管理環(huán)境8.1內(nèi)外部環(huán)境組織應(yīng)分析內(nèi)外部環(huán)境要求，明確突發(fā)公共安全事件情況下IT應(yīng)急風(fēng)險(xiǎn)管理實(shí)施的策略。內(nèi)外7部環(huán)境要求包括但不限于：b)內(nèi)外部審計(jì)、監(jiān)督及評(píng)估等；c)組織戰(zhàn)略和業(yè)務(wù)戰(zhàn)略的變化；e)新技術(shù)變革和IT應(yīng)用創(chuàng)新發(fā)展趨勢(shì)。8.2促成因素組織應(yīng)識(shí)別突發(fā)公共安全事件情況下IT應(yīng)急風(fēng)險(xiǎn)管理的促成因素，保障風(fēng)險(xiǎn)管理的實(shí)施，包括但不限于：a)與外部的聯(lián)防、聯(lián)動(dòng)機(jī)制；b)決策層或最高管理者的授權(quán)和支持；c)IT應(yīng)急風(fēng)險(xiǎn)管理文化；d)IT應(yīng)急風(fēng)險(xiǎn)的分類(lèi)分級(jí)管理；e)IT應(yīng)急所需的各類(lèi)資源保障。9風(fēng)險(xiǎn)管理體系實(shí)施全面風(fēng)險(xiǎn)管理的組織應(yīng)建立突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)險(xiǎn)管理體系，并將IT應(yīng)急風(fēng)險(xiǎn)管理納入全面風(fēng)險(xiǎn)管理體系。IT應(yīng)急風(fēng)險(xiǎn)管理體系(見(jiàn)附錄C)包括但不限于以下內(nèi)容。a)總體風(fēng)險(xiǎn)管理。明確應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急總體風(fēng)險(xiǎn)管理主管部門(mén)(如風(fēng)險(xiǎn)管理部b)執(zhí)行風(fēng)險(xiǎn)管理。明確應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急執(zhí)行風(fēng)險(xiǎn)管理主體(包括業(yè)務(wù)部門(mén)和c)保障風(fēng)險(xiǎn)管理。明確應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急保障風(fēng)險(xiǎn)管理主體(如辦公室、人力資健康、政策和程序的執(zhí)行、自評(píng)估及持續(xù)改進(jìn)等。d)審計(jì)管理。明確應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理審計(jì)主體(如內(nèi)部審計(jì)部門(mén))、職責(zé)、權(quán)限、人員配備、安全與健康、制度和流程的制定及審計(jì)活動(dòng)的開(kāi)展等。注：其他未實(shí)施全面風(fēng)險(xiǎn)管理的組織依據(jù)上述要求并考慮所處行業(yè)和自身實(shí)際，建立本組織應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理體系(見(jiàn)附錄D)或?qū)T應(yīng)急風(fēng)險(xiǎn)管理理念融入具體的IT應(yīng)急管理領(lǐng)域(見(jiàn)附錄E)。10風(fēng)險(xiǎn)管理要素10.1專(zhuān)業(yè)團(tuán)隊(duì)與人員突發(fā)公共安全事件情況下，組織的IT應(yīng)急風(fēng)險(xiǎn)管理專(zhuān)業(yè)團(tuán)隊(duì)與人員應(yīng)滿(mǎn)足下列要求：a)IT應(yīng)急風(fēng)險(xiǎn)管理專(zhuān)業(yè)團(tuán)隊(duì)，包括但不限于團(tuán)隊(duì)內(nèi)部協(xié)同能力、與外部的協(xié)同能力、綜合救援風(fēng)險(xiǎn)管控能力、人力資源儲(chǔ)備與部署能力等；b)IT應(yīng)急風(fēng)險(xiǎn)管理專(zhuān)業(yè)人員，包括但不限于社會(huì)責(zé)任、職業(yè)道德、知識(shí)、技能、資質(zhì)和經(jīng)驗(yàn)、專(zhuān)業(yè)勝任能力、人員安全與健康等。注：人力資源儲(chǔ)備與部署能力，包括明確領(lǐng)導(dǎo)與決策人員、應(yīng)急團(tuán)隊(duì)、備份人員；特殊情況下的人員備份考慮(如疫8情可能對(duì)同一場(chǎng)所或區(qū)域人員的不利影響等);建立關(guān)鍵崗位的應(yīng)急儲(chǔ)備，兩套班子互為備份，部署在不同區(qū)域(如常規(guī)場(chǎng)所、應(yīng)急備用場(chǎng)所)。突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)險(xiǎn)類(lèi)型包括IT應(yīng)急管理總體風(fēng)險(xiǎn)與IT應(yīng)急管理專(zhuān)項(xiàng)風(fēng)險(xiǎn)。IT應(yīng)急管理總體風(fēng)險(xiǎn)是突發(fā)公共安全事件情況下，影響組織IT應(yīng)急管理總體目標(biāo)實(shí)現(xiàn)的綜合性風(fēng)險(xiǎn)(見(jiàn)附錄A);IT應(yīng)急管理專(zhuān)項(xiàng)風(fēng)險(xiǎn)是突發(fā)公共安全事件情況下，組織未滿(mǎn)足外部要求及內(nèi)部特殊需要面臨的風(fēng)險(xiǎn)。對(duì)IT應(yīng)急管理專(zhuān)項(xiàng)風(fēng)險(xiǎn)的管控可作為獨(dú)立項(xiàng)目實(shí)施，或作為IT應(yīng)急管理總體風(fēng)險(xiǎn)管控項(xiàng)目的組成部分實(shí)施(見(jiàn)附錄B):a)IT應(yīng)急管理總體風(fēng)險(xiǎn)包括IT應(yīng)急戰(zhàn)略風(fēng)險(xiǎn)、IT應(yīng)急組織風(fēng)險(xiǎn)、IT應(yīng)急架構(gòu)風(fēng)險(xiǎn)、IT應(yīng)急運(yùn)行體系風(fēng)險(xiǎn)、業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估實(shí)施風(fēng)險(xiǎn)、應(yīng)急信息系統(tǒng)風(fēng)險(xiǎn)及IT應(yīng)急全過(guò)程控制風(fēng)險(xiǎn)等；b)IT應(yīng)急管理專(zhuān)項(xiàng)風(fēng)險(xiǎn)包括人員類(lèi)風(fēng)險(xiǎn)、資源類(lèi)風(fēng)險(xiǎn)、技術(shù)應(yīng)用類(lèi)風(fēng)險(xiǎn)、過(guò)程類(lèi)風(fēng)險(xiǎn)及管理類(lèi)風(fēng)險(xiǎn)等。10.3風(fēng)險(xiǎn)管理流程IT應(yīng)急風(fēng)險(xiǎn)管理流程是組織針對(duì)突發(fā)公共安全事件，開(kāi)展IT應(yīng)急風(fēng)險(xiǎn)管理活動(dòng)所采取的系列行a)準(zhǔn)備工作。協(xié)助利益相關(guān)方理解IT應(yīng)急風(fēng)險(xiǎn)，明確作出決策的依據(jù)，需采取特定行動(dòng)的原因及需要承擔(dān)的社會(huì)責(zé)任等，針對(duì)性地設(shè)置突發(fā)公共安全事件情況下IT應(yīng)急風(fēng)險(xiǎn)管理流程，實(shí)現(xiàn)有效的IT應(yīng)急風(fēng)險(xiǎn)評(píng)估和恰當(dāng)?shù)娘L(fēng)險(xiǎn)應(yīng)對(duì)。b)風(fēng)險(xiǎn)評(píng)估。針對(duì)突發(fā)公共安全事件開(kāi)展IT應(yīng)急風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)IT應(yīng)急管理中存在的風(fēng)險(xiǎn)隱患和管理漏洞，持續(xù)提高IT應(yīng)急管理的有效性。風(fēng)險(xiǎn)評(píng)估包括：●風(fēng)險(xiǎn)識(shí)別，發(fā)現(xiàn)、識(shí)別和描述可能有助于或妨礙組織實(shí)現(xiàn)突發(fā)公共安全事件情況下IT應(yīng)急目標(biāo)的風(fēng)險(xiǎn)；●風(fēng)險(xiǎn)分析，理解包括突發(fā)公共安全事件情況下IT應(yīng)急風(fēng)險(xiǎn)水平在內(nèi)的風(fēng)險(xiǎn)性質(zhì)和特征；●風(fēng)險(xiǎn)評(píng)價(jià)，將突發(fā)公共安全事件情況下IT應(yīng)急風(fēng)險(xiǎn)分析的結(jié)果與既定的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較，以確定需要采取何種應(yīng)對(duì)措施。c)風(fēng)險(xiǎn)應(yīng)對(duì)。選擇和實(shí)施應(yīng)對(duì)突發(fā)公共安全事件情況下IT應(yīng)急風(fēng)險(xiǎn)的方式。d)監(jiān)督和檢查。保證和提升突發(fā)公共安全事件情況下的流程設(shè)計(jì)、實(shí)施與結(jié)果的質(zhì)量和有效性。e)記錄和報(bào)告。需在組織內(nèi)傳達(dá)應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理活動(dòng)和成果，為決策提供信息、改進(jìn)相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)管理活動(dòng)，以及協(xié)助與利益相關(guān)方的互動(dòng)等。突發(fā)公共安全事件情況下的應(yīng)急風(fēng)險(xiǎn)管理信息系統(tǒng)用于支持決策層或最高管理者、應(yīng)急風(fēng)險(xiǎn)管理相關(guān)部門(mén)(或機(jī)構(gòu))及咨詢(xún)機(jī)構(gòu)人員完成相關(guān)工作，該信息系統(tǒng)需與內(nèi)外部應(yīng)急管理系統(tǒng)實(shí)現(xiàn)聯(lián)動(dòng)，包括但不限于：a)建立應(yīng)對(duì)突發(fā)公共安全事件的應(yīng)急風(fēng)險(xiǎn)管理信息系統(tǒng)，并實(shí)現(xiàn)與應(yīng)急管理系統(tǒng)(如遠(yuǎn)程辦公系統(tǒng)、遠(yuǎn)程運(yùn)營(yíng)系統(tǒng)、應(yīng)急全過(guò)程控制系統(tǒng)等)的聯(lián)動(dòng)與控制；b)與外部應(yīng)急管理系統(tǒng)資源進(jìn)行整合、實(shí)現(xiàn)信息共享；c)建立應(yīng)對(duì)突發(fā)公共安全事件的應(yīng)急風(fēng)險(xiǎn)管理信息系統(tǒng)管理制度和流程；d)明確應(yīng)對(duì)突發(fā)公共安全事件的網(wǎng)絡(luò)與信息安全管理要求；9e)明確應(yīng)對(duì)突發(fā)公共安全事件的IT遠(yuǎn)程研發(fā)支撐要求；f)建立應(yīng)對(duì)突發(fā)公共安全事件的應(yīng)急風(fēng)險(xiǎn)管理信息系統(tǒng)的應(yīng)急預(yù)案，并對(duì)演練組織管理和實(shí)施過(guò)程進(jìn)行控制及監(jiān)督；g)對(duì)應(yīng)對(duì)突發(fā)公共安全事件的應(yīng)急風(fēng)險(xiǎn)管理信息系統(tǒng)生存周期進(jìn)行管控，包括信息系統(tǒng)的建設(shè)、組織應(yīng)對(duì)突發(fā)公共安全事件情況下IT應(yīng)急風(fēng)險(xiǎn)管理過(guò)程中使用和形成的數(shù)據(jù)進(jìn)行管理，包括但不限于：a)明確相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)數(shù)據(jù)管理范圍，包括內(nèi)部數(shù)據(jù)及與外部共享的數(shù)據(jù)等；b)明確相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)數(shù)據(jù)管理目標(biāo)和策略；c)明確相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)數(shù)據(jù)組織管理，包括組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等；d)制定相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)數(shù)據(jù)管理制度和流程，包括一般應(yīng)急數(shù)據(jù)和共享數(shù)據(jù)的管理；e)建立相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)數(shù)據(jù)安全管理機(jī)制；f)建立相關(guān)的個(gè)人信息保護(hù)管理機(jī)制；開(kāi)等。對(duì)于本文件未明確的其他要素(如無(wú)形資產(chǎn)、實(shí)物資產(chǎn)等),組織在提出應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理要求時(shí)，宜依據(jù)相應(yīng)的標(biāo)準(zhǔn)規(guī)范進(jìn)行確定。11風(fēng)險(xiǎn)管理實(shí)施11.1統(tǒng)籌和規(guī)劃組織進(jìn)行應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理實(shí)施時(shí)，宜充分考慮此情況下IT應(yīng)急管理的狀況，在決策層或最高管理者的領(lǐng)導(dǎo)下，充分發(fā)揮IT應(yīng)急風(fēng)險(xiǎn)管理的作用，包括但不限于：a)充分配合國(guó)家、地方、行業(yè)或領(lǐng)域等突發(fā)公共安全事件下的IT應(yīng)急風(fēng)險(xiǎn)管理工作，履行社會(huì)責(zé)b)明確組織應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理目標(biāo)和任務(wù)，營(yíng)造必要的IT應(yīng)急風(fēng)險(xiǎn)管理環(huán)境，做好IT應(yīng)急風(fēng)險(xiǎn)管理與IT應(yīng)急管理有效對(duì)接的準(zhǔn)備；c)評(píng)估應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理資源、環(huán)境和人員能力等現(xiàn)狀，分析現(xiàn)狀與法律法規(guī)、行業(yè)監(jiān)管、業(yè)務(wù)發(fā)展以及利益相關(guān)方等要求的差距，為相應(yīng)IT應(yīng)急風(fēng)險(xiǎn)管理方案的制定提供依據(jù)；d)指導(dǎo)應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理方案制定，包括組織機(jī)構(gòu)和責(zé)權(quán)利的規(guī)劃、管理范圍和任務(wù)的明確以及實(shí)施策略和流程的設(shè)計(jì)；制定IT應(yīng)急風(fēng)險(xiǎn)管理方案時(shí)，宜充分考慮應(yīng)對(duì)突發(fā)公共安全事件下IT應(yīng)急管理的實(shí)際情況及與外部的協(xié)同；e)監(jiān)督應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理統(tǒng)籌和規(guī)劃過(guò)程，保證現(xiàn)狀評(píng)估的客觀性、組織機(jī)構(gòu)設(shè)計(jì)的合理性及IT應(yīng)急風(fēng)險(xiǎn)管理方案的可行性等。結(jié)合應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急管理實(shí)施，構(gòu)建相應(yīng)的IT應(yīng)急風(fēng)險(xiǎn)管理實(shí)施機(jī)制和路徑，確保IT應(yīng)急風(fēng)險(xiǎn)管理實(shí)施的有序運(yùn)行和成效，包括但不限于：a)評(píng)估應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理方案與現(xiàn)有資源、環(huán)境和能力的匹配程度，為應(yīng)對(duì)突發(fā)公共安全事件情況下IT應(yīng)急風(fēng)險(xiǎn)管理與IT應(yīng)急管理的有效對(duì)接提供指導(dǎo)；b)制定應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理實(shí)施方案，包括組織機(jī)構(gòu)和團(tuán)隊(duì)的構(gòu)建、職責(zé)與分工的明確、內(nèi)外部實(shí)施路線圖的制定、實(shí)施方法的選擇以及管理制度的建立和執(zhí)行等；c)監(jiān)督應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理構(gòu)建和運(yùn)行過(guò)程，確保相應(yīng)IT應(yīng)急風(fēng)險(xiǎn)管理實(shí)施過(guò)程與方案的符合、管理資源的可用和管理活動(dòng)的可持續(xù)等。11.3監(jiān)控和評(píng)價(jià)監(jiān)控應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理實(shí)施過(guò)程以及與IT應(yīng)急管理的對(duì)接情況，評(píng)價(jià)相關(guān)工作的合規(guī)與成效，保障IT應(yīng)急風(fēng)險(xiǎn)管理目標(biāo)的實(shí)現(xiàn)，包括但不限于：a)構(gòu)建必要的應(yīng)對(duì)突發(fā)公共安全事件IT應(yīng)急評(píng)估體系、內(nèi)控體系或?qū)徲?jì)體系，制定相應(yīng)的評(píng)價(jià)b)評(píng)估應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理相關(guān)工作成效與目標(biāo)符合性，為應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理方案改進(jìn)和優(yōu)化提供參考，必要時(shí)可聘請(qǐng)外部機(jī)構(gòu)進(jìn)行評(píng)估；c)定期監(jiān)控和評(píng)價(jià)突發(fā)公共安全事件情況下IT應(yīng)急風(fēng)險(xiǎn)管理相關(guān)工作實(shí)施的有效性、合規(guī)性，確保相關(guān)工作符合法律法規(guī)和行業(yè)監(jiān)督要求。持續(xù)改進(jìn)應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理實(shí)施過(guò)程以及與IT應(yīng)急管理的對(duì)接工作，包括但不限于：a)持續(xù)評(píng)估應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理相關(guān)資源、環(huán)境、能力、實(shí)施和績(jī)效等，以支撐應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理體系建設(shè)；b)指導(dǎo)應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理方案改進(jìn)，優(yōu)化相應(yīng)IT應(yīng)急風(fēng)險(xiǎn)管理的實(shí)施策略、方法、制度和流程，促進(jìn)相應(yīng)IT應(yīng)急風(fēng)險(xiǎn)管理體系、資源和基礎(chǔ)工作的完善；c)監(jiān)督應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理相關(guān)工作改進(jìn)和優(yōu)化過(guò)程，為IT應(yīng)急風(fēng)險(xiǎn)管控和IT應(yīng)急管理價(jià)值的實(shí)現(xiàn)提供保障。(資料性)IT應(yīng)急管理總體風(fēng)險(xiǎn)A.1IT應(yīng)急戰(zhàn)略風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下IT應(yīng)急戰(zhàn)略風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)與外部(國(guó)家、地方、行業(yè)或領(lǐng)域等)協(xié)同的相關(guān)IT應(yīng)急戰(zhàn)略風(fēng)險(xiǎn)；b)決策層或最高管理者對(duì)相關(guān)IT應(yīng)急戰(zhàn)略評(píng)估、指導(dǎo)和監(jiān)督的風(fēng)險(xiǎn)；c)相關(guān)IT應(yīng)急戰(zhàn)略目標(biāo)管理風(fēng)險(xiǎn)，包括未能根據(jù)組織業(yè)務(wù)發(fā)展的總體目標(biāo)、經(jīng)營(yíng)規(guī)模以及風(fēng)險(xiǎn)控制的基本策略和風(fēng)險(xiǎn)偏好，確定適當(dāng)?shù)腎T應(yīng)急戰(zhàn)略；未確定重要業(yè)務(wù)及其恢復(fù)目標(biāo)等；d)相關(guān)IT應(yīng)急戰(zhàn)略預(yù)算管理的風(fēng)險(xiǎn)；e)相關(guān)IT應(yīng)急戰(zhàn)略管理體系建設(shè)和運(yùn)行風(fēng)險(xiǎn)；f)相關(guān)IT應(yīng)急戰(zhàn)略規(guī)劃制定、實(shí)施、監(jiān)控和改進(jìn)風(fēng)險(xiǎn)；g)相關(guān)IT應(yīng)急戰(zhàn)略與業(yè)務(wù)戰(zhàn)略一致性風(fēng)險(xiǎn)；h)相關(guān)IT應(yīng)急戰(zhàn)略技術(shù)選擇風(fēng)險(xiǎn)，與業(yè)務(wù)需求匹配的風(fēng)險(xiǎn)；i)相關(guān)IT資源保障的風(fēng)險(xiǎn)。A.2IT應(yīng)急組織風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下IT應(yīng)急組織風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)組織環(huán)境分析風(fēng)險(xiǎn)，包括未對(duì)內(nèi)外部環(huán)境進(jìn)行全面分析、未充分識(shí)別相關(guān)方與法律法規(guī)要求、未明確管理體系的范圍等；b)內(nèi)外部聯(lián)動(dòng)機(jī)制風(fēng)險(xiǎn)，包括未能有效配合國(guó)家、地方、行業(yè)或領(lǐng)域等的IT應(yīng)急管理工作、未能有效統(tǒng)籌組織內(nèi)的IT應(yīng)急管理工作等；c)應(yīng)急領(lǐng)導(dǎo)力風(fēng)險(xiǎn)，包括組織的各級(jí)管理者未能證明其在實(shí)現(xiàn)相關(guān)IT應(yīng)急管理方針和目標(biāo)方面的承諾和領(lǐng)導(dǎo)力、決策層或最高管理者未能證明其在相關(guān)IT應(yīng)急管理體系方面的承諾、決策層或最高管理者對(duì)相關(guān)IT應(yīng)急管理方針的管理不規(guī)范及相關(guān)IT應(yīng)急管理組織的角色、職責(zé)和權(quán)力方面存在問(wèn)題等；d)組織分工和工作流程的風(fēng)險(xiǎn)；e)IT應(yīng)急團(tuán)隊(duì)人員安全與健康風(fēng)險(xiǎn)，包括各級(jí)各類(lèi)人員因隔離、死亡、異動(dòng)，無(wú)法參與IT應(yīng)急管理等；f)相關(guān)合作伙伴、供應(yīng)商、外包商等響應(yīng)能力及人員安全與健康的風(fēng)險(xiǎn)。A.3IT應(yīng)急架構(gòu)風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下IT應(yīng)急架構(gòu)風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)IT應(yīng)急架構(gòu)與外部應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急管理架構(gòu)協(xié)同聯(lián)動(dòng)的風(fēng)險(xiǎn)；b)決策層或高級(jí)管理層對(duì)相關(guān)IT應(yīng)急架構(gòu)評(píng)估、指導(dǎo)和監(jiān)督的風(fēng)險(xiǎn)；c)IT應(yīng)急架構(gòu)與相關(guān)IT應(yīng)急管理戰(zhàn)略一致性的風(fēng)險(xiǎn)；e)IT應(yīng)急架構(gòu)評(píng)估與持續(xù)改進(jìn)的風(fēng)險(xiǎn)。A.4IT應(yīng)急運(yùn)行體系風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下IT應(yīng)急運(yùn)行體系風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)IT應(yīng)急運(yùn)行環(huán)境風(fēng)險(xiǎn)，包括未對(duì)內(nèi)外部運(yùn)行環(huán)境進(jìn)行分析或分析不充分等；b)IT應(yīng)急運(yùn)行規(guī)劃風(fēng)險(xiǎn)，包括IT應(yīng)急管理運(yùn)行規(guī)劃未制定或無(wú)法實(shí)施等；c)IT應(yīng)急機(jī)構(gòu)與隊(duì)伍建設(shè)體系風(fēng)險(xiǎn)，包括IT應(yīng)急機(jī)構(gòu)設(shè)置不合理、IT應(yīng)急管理隊(duì)伍專(zhuān)業(yè)能力有限及經(jīng)驗(yàn)不足等；d)IT應(yīng)急制度體系風(fēng)險(xiǎn)，包括IT應(yīng)急管理制度制定不合理或未執(zhí)行等；e)IT應(yīng)急合規(guī)管理風(fēng)險(xiǎn)，包括違反應(yīng)對(duì)突發(fā)公共安全事件的相關(guān)方針與政策、未遵守網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法及未滿(mǎn)足網(wǎng)絡(luò)安全等級(jí)保護(hù)等要求；f)業(yè)務(wù)連續(xù)性管理風(fēng)險(xiǎn)，包括未完善業(yè)務(wù)連續(xù)性管理機(jī)制、災(zāi)備中心管理不規(guī)范及未建立應(yīng)用級(jí)或者數(shù)據(jù)級(jí)災(zāi)備機(jī)制等；g)IT應(yīng)急預(yù)案管理風(fēng)險(xiǎn)，包括未對(duì)應(yīng)急預(yù)案進(jìn)行分類(lèi)管理(如總體應(yīng)急預(yù)案、專(zhuān)項(xiàng)應(yīng)急預(yù)案)、應(yīng)急策略不合理、未實(shí)施差異化管理、預(yù)警和信息報(bào)告渠道不通暢、應(yīng)急預(yù)案缺乏針對(duì)性和可操作性、未根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估及組織架構(gòu)適應(yīng)性調(diào)整應(yīng)急預(yù)案等；h)IT應(yīng)急演練與驗(yàn)證管理風(fēng)險(xiǎn)，包括未進(jìn)行IT應(yīng)急演練、演練范圍有限、未對(duì)演練過(guò)程進(jìn)行記錄或記錄不充分及未根據(jù)演練結(jié)果更新完善IT應(yīng)急預(yù)案等；i)IT應(yīng)急宣傳教育管理風(fēng)險(xiǎn)，包括應(yīng)急宣傳教育目標(biāo)未明確、應(yīng)急宣傳教育制度與流程管理不規(guī)范及應(yīng)急宣傳教育未滿(mǎn)足要求等；j)新技術(shù)應(yīng)用管理風(fēng)險(xiǎn)，包括云計(jì)算技術(shù)、大數(shù)據(jù)技術(shù)、物聯(lián)網(wǎng)技術(shù)、信息通信技術(shù)、健康碼技術(shù)、遠(yuǎn)程診療技術(shù)及無(wú)人技術(shù)(含無(wú)人系統(tǒng)、無(wú)人機(jī)系統(tǒng)方面的智能化技術(shù)、人工智能)等在應(yīng)用管理方面存在的各種風(fēng)險(xiǎn)；k)IT應(yīng)急綜合保障管理風(fēng)險(xiǎn)，包括IT應(yīng)急保障規(guī)劃未建立或不完善、IT應(yīng)急保障制度不健全、1)網(wǎng)絡(luò)輿情管理風(fēng)險(xiǎn)，包括未建立合理的網(wǎng)絡(luò)輿情風(fēng)險(xiǎn)管理機(jī)制、未通過(guò)培訓(xùn)提高網(wǎng)絡(luò)輿情風(fēng)險(xiǎn)意識(shí)、公關(guān)部門(mén)未及時(shí)與外部(如國(guó)家相關(guān)主管部門(mén)、行業(yè)監(jiān)管機(jī)構(gòu)等)進(jìn)行溝通、匯報(bào)等；m)放棄執(zhí)行IT應(yīng)急運(yùn)行管理的風(fēng)險(xiǎn)，包括公共安全事件風(fēng)險(xiǎn)級(jí)別已超出IT應(yīng)急運(yùn)行體系能夠承受的范圍，導(dǎo)致決策層或最高管理者放棄執(zhí)行IT應(yīng)急運(yùn)行體系后的風(fēng)險(xiǎn)等；n)外部供應(yīng)商IT應(yīng)急管理的風(fēng)險(xiǎn)，包括IT應(yīng)急預(yù)案的制定、演練的組織管理和實(shí)施過(guò)程的控制及監(jiān)督等風(fēng)險(xiǎn)；o)因客戶(hù)或用戶(hù)因素導(dǎo)致的風(fēng)險(xiǎn)，包括系統(tǒng)使用不當(dāng)、未就系統(tǒng)服務(wù)重建需要的業(yè)務(wù)條件與客戶(hù)達(dá)成一致并得到有效配合等。A.5業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估實(shí)施風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估實(shí)施風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)內(nèi)外部環(huán)境變化帶來(lái)的業(yè)務(wù)影響的風(fēng)險(xiǎn)；b)技術(shù)變更帶來(lái)的業(yè)務(wù)影響的風(fēng)險(xiǎn)，如自動(dòng)化或硬件更換；c)產(chǎn)品或服務(wù)變更帶來(lái)的業(yè)務(wù)影響范圍的風(fēng)險(xiǎn)；d)資源變化帶來(lái)的恢復(fù)活動(dòng)所需要時(shí)間的風(fēng)險(xiǎn)，如人員減少等；e)風(fēng)險(xiǎn)評(píng)估不足或未及時(shí)處置風(fēng)險(xiǎn)帶來(lái)的業(yè)務(wù)影響的風(fēng)險(xiǎn)；f)風(fēng)險(xiǎn)處置后的殘余風(fēng)險(xiǎn)帶來(lái)的新風(fēng)險(xiǎn)。A.6應(yīng)急信息系統(tǒng)風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下應(yīng)急信息系統(tǒng)風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)應(yīng)急信息系統(tǒng)規(guī)劃風(fēng)險(xiǎn)，包括未對(duì)突發(fā)公共安全事件情況下的遠(yuǎn)程辦公系統(tǒng)、遠(yuǎn)程運(yùn)營(yíng)系統(tǒng)、應(yīng)急全過(guò)程控制系統(tǒng)等進(jìn)行統(tǒng)籌規(guī)劃或?qū)嵤┻^(guò)程中存在問(wèn)題和不足等；b)應(yīng)急信息系統(tǒng)組織架構(gòu)及人員配備的風(fēng)險(xiǎn)；c)應(yīng)急信息系統(tǒng)管理制度和流程的風(fēng)險(xiǎn)；d)應(yīng)急信息系統(tǒng)供方管理風(fēng)險(xiǎn)；e)應(yīng)急信息系統(tǒng)生存周期管理風(fēng)險(xiǎn)，包括應(yīng)急信息系統(tǒng)的建設(shè)、運(yùn)行與維護(hù)及應(yīng)用等存在問(wèn)題和不足；f)應(yīng)急信息系統(tǒng)網(wǎng)絡(luò)與安全風(fēng)險(xiǎn)；g)數(shù)據(jù)管理風(fēng)險(xiǎn)，包括數(shù)據(jù)管理組織架構(gòu)、制度、流程及數(shù)據(jù)生存周期管理等存在問(wèn)題和不足；h)個(gè)人信息保護(hù)風(fēng)險(xiǎn)；i)應(yīng)急信息系統(tǒng)遠(yuǎn)程研發(fā)支撐風(fēng)險(xiǎn)；j)應(yīng)急信息系統(tǒng)無(wú)障礙風(fēng)險(xiǎn)；k)應(yīng)急信息系統(tǒng)業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)，包括應(yīng)急預(yù)案的制定、演練的組織管理和實(shí)施過(guò)程的控制及監(jiān)督等風(fēng)險(xiǎn)；1)應(yīng)急信息系統(tǒng)全部或部分損失的風(fēng)險(xiǎn)；m)應(yīng)急信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估機(jī)制與實(shí)施的風(fēng)險(xiǎn)。A.7IT應(yīng)急全過(guò)程控制風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下IT應(yīng)急全過(guò)程控制風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)預(yù)防與應(yīng)急準(zhǔn)備階段風(fēng)險(xiǎn)，包括IT應(yīng)急救援隊(duì)伍組建、與外部的聯(lián)防聯(lián)動(dòng)、綜合保障能力、資源投入、應(yīng)急預(yù)案管理(包括應(yīng)急預(yù)案的制定、演練的組織管理和實(shí)施過(guò)程的控制及監(jiān)督等)、風(fēng)險(xiǎn)分析管理等存在問(wèn)題和不足；b)監(jiān)測(cè)與預(yù)警階段風(fēng)險(xiǎn)，包括監(jiān)測(cè)與預(yù)警總體管理(如組織管理、人員的配備、與外部的聯(lián)防聯(lián)動(dòng)、安全與健康、制度與流程等)、監(jiān)測(cè)與預(yù)警平臺(tái)(如突發(fā)事件監(jiān)測(cè)系統(tǒng)、突發(fā)事件預(yù)測(cè)系統(tǒng)、突發(fā)事件預(yù)警系統(tǒng)、突發(fā)事件信息報(bào)告系統(tǒng)、突發(fā)事件統(tǒng)計(jì)分析系統(tǒng)等)管理、網(wǎng)絡(luò)與信息安全及數(shù)據(jù)資源整合和安全保護(hù)等存在問(wèn)題和不足；c)應(yīng)急處置與救援階段風(fēng)險(xiǎn)，包括應(yīng)急處置救援總體管理(如組織管理、人員配備、與外部聯(lián)防聯(lián)動(dòng)、安全與健康、制度與流程等)、應(yīng)急處置與救援平臺(tái)(如應(yīng)急值守系統(tǒng)、決策指揮系統(tǒng)、事件處置系統(tǒng)、疏散救援系統(tǒng)、資源管理系統(tǒng)、信息輿情系統(tǒng)、應(yīng)急通信保障系統(tǒng)等)管理、網(wǎng)絡(luò)與信息安全及數(shù)據(jù)資源整合和安全保護(hù)等存在問(wèn)題和不足；d)事后恢復(fù)與重建階段風(fēng)險(xiǎn)，包括善后處置、調(diào)查與評(píng)估(如針對(duì)特別重大突發(fā)公共安全事件的復(fù)重建工作等)等方面存在問(wèn)題和不足。(資料性)IT應(yīng)急管理專(zhuān)項(xiàng)風(fēng)險(xiǎn)B.1人員類(lèi)風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下IT應(yīng)急人員風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)IT應(yīng)急人員戰(zhàn)略管理的風(fēng)險(xiǎn)；b)IT應(yīng)急人員管理目標(biāo)、方針和策略的風(fēng)險(xiǎn)；c)IT應(yīng)急人員社會(huì)責(zé)任意識(shí)與合規(guī)意識(shí)的風(fēng)險(xiǎn)；d)IT應(yīng)急人員專(zhuān)業(yè)技能的風(fēng)險(xiǎn)；e)IT應(yīng)急人員流失的風(fēng)險(xiǎn)；f)IT應(yīng)急人員能力培養(yǎng)的風(fēng)險(xiǎn)；g)IT應(yīng)急人員安全的風(fēng)險(xiǎn)；h)IT應(yīng)急人員疫情防范與健康的風(fēng)險(xiǎn)；i)IT應(yīng)急人員備用的風(fēng)險(xiǎn)；j)IT應(yīng)急人員監(jiān)督管理的風(fēng)險(xiǎn)。B.2資源類(lèi)風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下IT應(yīng)急資源風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)IT應(yīng)急資源范圍界定的風(fēng)險(xiǎn)；b)IT應(yīng)急資源規(guī)劃制定與實(shí)施的風(fēng)險(xiǎn)；c)IT應(yīng)急資源組織管理的風(fēng)險(xiǎn)；d)與所需承擔(dān)社會(huì)責(zé)任相關(guān)IT應(yīng)急資源投入的風(fēng)險(xiǎn)；e)IT應(yīng)急資金預(yù)算規(guī)劃及管理的風(fēng)險(xiǎn)；f)IT應(yīng)急資源管理制度和流程的風(fēng)險(xiǎn)；g)IT應(yīng)急數(shù)據(jù)的風(fēng)險(xiǎn)，包括數(shù)據(jù)安全、數(shù)據(jù)生存周期、數(shù)據(jù)質(zhì)量及數(shù)據(jù)災(zāi)備等管理不規(guī)范或存在h)IT應(yīng)急資源監(jiān)督管理的風(fēng)險(xiǎn)；i)其他風(fēng)險(xiǎn)，如應(yīng)用系統(tǒng)、平臺(tái)資源、虛擬資源、物理資源及機(jī)房基礎(chǔ)設(shè)施等管理不規(guī)范或不可用。B.3技術(shù)應(yīng)用類(lèi)風(fēng)險(xiǎn)B.3.1新技術(shù)應(yīng)用風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下應(yīng)急管理新技術(shù)應(yīng)用風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)與外部(國(guó)家、地方、行業(yè)或領(lǐng)域等)聯(lián)防聯(lián)動(dòng)新技術(shù)應(yīng)用交流與協(xié)同的風(fēng)險(xiǎn)；b)應(yīng)急管理新技術(shù)應(yīng)用戰(zhàn)略制定與實(shí)施的風(fēng)險(xiǎn)；c)應(yīng)急管理新技術(shù)應(yīng)用目標(biāo)、方針和策略的風(fēng)險(xiǎn)；d)應(yīng)急管理新技術(shù)應(yīng)用組織建設(shè)的風(fēng)險(xiǎn)；e)應(yīng)急管理新技術(shù)應(yīng)用制度和流程的風(fēng)險(xiǎn)；f)應(yīng)急管理新技術(shù)應(yīng)用專(zhuān)業(yè)人才的風(fēng)險(xiǎn)；g)投入資金預(yù)算規(guī)劃及管理的風(fēng)險(xiǎn)；h)密碼技術(shù)應(yīng)用的風(fēng)險(xiǎn)；i)大數(shù)據(jù)技術(shù)應(yīng)用的風(fēng)險(xiǎn)；j)云計(jì)算技術(shù)應(yīng)用的風(fēng)險(xiǎn)；k)人工智能技術(shù)應(yīng)用的風(fēng)險(xiǎn)；1)區(qū)塊鏈技術(shù)應(yīng)用的風(fēng)險(xiǎn)；m)邊緣計(jì)算技術(shù)應(yīng)用的風(fēng)險(xiǎn)；n)通信技術(shù)應(yīng)用的風(fēng)險(xiǎn)o)物聯(lián)網(wǎng)技術(shù)應(yīng)用的風(fēng)險(xiǎn)；p)應(yīng)急管理新技術(shù)應(yīng)用監(jiān)督的風(fēng)險(xiǎn)。B.3.2IT應(yīng)急應(yīng)用創(chuàng)新風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下IT應(yīng)急應(yīng)用創(chuàng)新風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)與外部(國(guó)家、地方、行業(yè)或領(lǐng)域等)IT應(yīng)急應(yīng)用創(chuàng)新交流與協(xié)同的風(fēng)險(xiǎn)；b)IT應(yīng)急應(yīng)用創(chuàng)新戰(zhàn)略制定與實(shí)施的風(fēng)險(xiǎn)；c)IT應(yīng)急應(yīng)用創(chuàng)新管理目標(biāo)、方針和策略的風(fēng)險(xiǎn)；d)IT應(yīng)急應(yīng)用創(chuàng)新組織管理的風(fēng)險(xiǎn)；e)IT應(yīng)急應(yīng)用創(chuàng)新制度和流程的風(fēng)險(xiǎn)；f)IT應(yīng)急應(yīng)用創(chuàng)新專(zhuān)業(yè)人才的風(fēng)險(xiǎn)；g)投入資金預(yù)算規(guī)劃及管理的風(fēng)險(xiǎn)；h)災(zāi)備中心管理的風(fēng)險(xiǎn)；i)IT應(yīng)急應(yīng)用創(chuàng)新系統(tǒng)管理的風(fēng)險(xiǎn)；j)IT應(yīng)急應(yīng)用創(chuàng)新辦公終端管理的風(fēng)險(xiǎn)；k)IT應(yīng)急應(yīng)用創(chuàng)新云服務(wù)(如公有云、私有云、混合云等)管理的風(fēng)險(xiǎn)；)IT應(yīng)急應(yīng)用創(chuàng)新安全管理的風(fēng)險(xiǎn)；m)IT應(yīng)急應(yīng)用創(chuàng)新自主可控的風(fēng)險(xiǎn)；n)IT應(yīng)急應(yīng)用創(chuàng)新系統(tǒng)應(yīng)急預(yù)案的制定、演練的組織管理和實(shí)施過(guò)程的控制及監(jiān)督等風(fēng)險(xiǎn)。B.4過(guò)程類(lèi)風(fēng)險(xiǎn)B.4.1預(yù)防與應(yīng)急準(zhǔn)備階段的IT應(yīng)急風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下預(yù)防與應(yīng)急準(zhǔn)備階段的IT應(yīng)急風(fēng)險(xiǎn)管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)與外部(國(guó)家、地方、行業(yè)或領(lǐng)域等)聯(lián)防、聯(lián)動(dòng)機(jī)制的風(fēng)險(xiǎn)；b)IT應(yīng)急救援隊(duì)伍建設(shè)的風(fēng)險(xiǎn)；c)IT應(yīng)急管理制度和流程的風(fēng)險(xiǎn)；d)IT應(yīng)急管理投入的風(fēng)險(xiǎn)；e)IT應(yīng)急管理制度和流程的風(fēng)險(xiǎn)；f)IT應(yīng)急預(yù)案的風(fēng)險(xiǎn)，包括IT應(yīng)急預(yù)案的編制、演練組織管理和實(shí)施過(guò)程的控制及監(jiān)督等存在問(wèn)題和不足；g)IT應(yīng)急培訓(xùn)教育的風(fēng)險(xiǎn)；h)IT應(yīng)急綜合保障能力建設(shè)的風(fēng)險(xiǎn)；i)IT應(yīng)急平臺(tái)建設(shè)、運(yùn)維及應(yīng)用等的風(fēng)險(xiǎn)。B.4.2監(jiān)測(cè)與預(yù)警階段的IT應(yīng)急風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下監(jiān)測(cè)與預(yù)警階段的IT應(yīng)急風(fēng)險(xiǎn)管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)監(jiān)測(cè)與預(yù)警總體管理風(fēng)險(xiǎn)，包括組織管理、人員配備、與外部聯(lián)防聯(lián)動(dòng)等風(fēng)險(xiǎn)；b)人員安全與健康的風(fēng)險(xiǎn)；c)監(jiān)測(cè)與預(yù)警制度和流程等存在問(wèn)題和不足；d)監(jiān)測(cè)與預(yù)警平臺(tái)管理風(fēng)險(xiǎn)，包括突發(fā)事件監(jiān)測(cè)系統(tǒng)管理、突發(fā)事件信息報(bào)告系統(tǒng)管理、突發(fā)事件統(tǒng)計(jì)分析系統(tǒng)管理等存在問(wèn)題和不足。B.4.3應(yīng)急處置與救援階段的IT應(yīng)急風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下應(yīng)急處置與救援的IT應(yīng)急風(fēng)險(xiǎn)管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)應(yīng)急處置救援總體風(fēng)險(xiǎn)，包括應(yīng)急處置救援平臺(tái)的組織管理、人員配備、與外部聯(lián)防聯(lián)動(dòng)、人員安全與健康及制度與流程等存在問(wèn)題和不足；b)應(yīng)急處置救援平臺(tái)管理風(fēng)險(xiǎn)，包括應(yīng)急值守系統(tǒng)、決策指揮系統(tǒng)、事件處置系統(tǒng)、疏散救援系統(tǒng)、資源管理系統(tǒng)、信息輿情系統(tǒng)及應(yīng)急通信保障系統(tǒng)等管理存在問(wèn)題和不足；c)應(yīng)急處置過(guò)程中人為操作的風(fēng)險(xiǎn)。B.4.4事后恢復(fù)與重建階段的IT應(yīng)急風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下事后恢復(fù)與重建的IT應(yīng)急風(fēng)險(xiǎn)管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)事后恢復(fù)與重建的IT應(yīng)急管理目標(biāo)、方針和策略風(fēng)險(xiǎn)；b)事后恢復(fù)與重建的IT應(yīng)急組織管理風(fēng)險(xiǎn)；c)事后恢復(fù)與重建的外部聯(lián)防聯(lián)動(dòng)風(fēng)險(xiǎn)；d)事后恢復(fù)與重建的IT應(yīng)急人員配備、安全與健康風(fēng)險(xiǎn)；e)事后恢復(fù)與重建的IT應(yīng)急制度與流程風(fēng)險(xiǎn)；f)事后恢復(fù)與重建工作中的IT評(píng)價(jià)風(fēng)險(xiǎn)；g)事后恢復(fù)與重建工作中的IT補(bǔ)償風(fēng)險(xiǎn)；h)事后恢復(fù)與重建工作中的IT救助風(fēng)險(xiǎn)；i)事后恢復(fù)與重建工作中的IT恢復(fù)風(fēng)險(xiǎn)；j)事后恢復(fù)與重建工作中的信息管理風(fēng)險(xiǎn)。B.5管理類(lèi)風(fēng)險(xiǎn)B.5.1業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)組織環(huán)境風(fēng)險(xiǎn)，包括未對(duì)內(nèi)外部環(huán)境進(jìn)行全面分析、未充分識(shí)別相關(guān)方與法律法規(guī)要求、業(yè)務(wù)應(yīng)急機(jī)制匱乏、與外部的聯(lián)防、聯(lián)動(dòng)不足、未明確IT應(yīng)急管理體系的范圍、對(duì)風(fēng)險(xiǎn)防控的重要性和價(jià)值認(rèn)識(shí)不足、尚未形成有效的IT應(yīng)急風(fēng)險(xiǎn)防控管理體系等；b)領(lǐng)導(dǎo)力風(fēng)險(xiǎn)，包括組織的各級(jí)管理者未能證明其在實(shí)現(xiàn)IT應(yīng)急方針和目標(biāo)方面的承諾和領(lǐng)導(dǎo)力、決策層或最高管理者未能證明其在IT應(yīng)急管理體系方面的承諾、決策層或最高管理者對(duì)IT應(yīng)急方針的管理不規(guī)范及IT應(yīng)急組織的角色、職責(zé)和權(quán)力等存在問(wèn)題和不足；c)策劃風(fēng)險(xiǎn)，包括應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施不合理、業(yè)務(wù)連續(xù)性目標(biāo)未明確及業(yè)務(wù)連續(xù)性實(shí)施計(jì)劃未有效管理等；d)支持風(fēng)險(xiǎn)，包括對(duì)BCMS資源保障的重要性認(rèn)識(shí)有限、備用資源保障不足、承擔(dān)BCMS工作的人員能力不足、相關(guān)人員對(duì)BCMS缺乏適當(dāng)?shù)囊庾R(shí)、未建立業(yè)務(wù)連續(xù)性文化、溝通和協(xié)調(diào)機(jī)制不健全及存檔信息管理不規(guī)范等；e)實(shí)施風(fēng)險(xiǎn)，包括業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)管理實(shí)施的策劃和控制不完善、業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估工作不符合要求、業(yè)務(wù)連續(xù)性策略不合理、業(yè)務(wù)恢復(fù)目標(biāo)不明確、業(yè)務(wù)連續(xù)性程序的建立和實(shí)施存在不足及演練和測(cè)試工作不規(guī)范等；f)績(jī)效評(píng)估風(fēng)險(xiǎn)，包括監(jiān)測(cè)、測(cè)量、分析和評(píng)價(jià)工作不規(guī)范、內(nèi)部審核未發(fā)揮應(yīng)有的作用及管理評(píng)審工作未有效開(kāi)展等；g)改進(jìn)風(fēng)險(xiǎn)，包括針對(duì)不符合項(xiàng)未采取有效措施、BCMS持續(xù)改進(jìn)工作存在不足等；h)業(yè)務(wù)連續(xù)性監(jiān)督管理的風(fēng)險(xiǎn)。B.5.2IT應(yīng)急演練風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下IT應(yīng)急演練風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：b)IT應(yīng)急演練規(guī)劃的風(fēng)險(xiǎn)；c)IT應(yīng)急演練組織架構(gòu)的風(fēng)險(xiǎn)；d)IT應(yīng)急演練人員配備的風(fēng)險(xiǎn)；e)IT應(yīng)急演練人員疫情防范與健康的風(fēng)險(xiǎn)；f)IT應(yīng)急演練制度和流程的風(fēng)險(xiǎn)g)IT應(yīng)急演練實(shí)施過(guò)程的風(fēng)險(xiǎn)，包括準(zhǔn)備階段、實(shí)施階段、評(píng)估與總結(jié)階段及成果運(yùn)用階段等存在問(wèn)題和不足；h)IT應(yīng)急演練監(jiān)督管理的風(fēng)險(xiǎn)。B.5.3應(yīng)急公共服務(wù)平臺(tái)風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下應(yīng)急公共服務(wù)平臺(tái)風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)應(yīng)急公共服務(wù)平臺(tái)規(guī)劃的風(fēng)險(xiǎn)，包括對(duì)隨身辦、健康云、互助通道、志愿通道、宣傳通道及有限通信資源調(diào)度等的統(tǒng)籌規(guī)劃和實(shí)施過(guò)程中存在問(wèn)題和不足；b)應(yīng)急公共服務(wù)平臺(tái)組織架構(gòu)的風(fēng)險(xiǎn)；c)應(yīng)急公共服務(wù)人員配備的風(fēng)險(xiǎn)；d)應(yīng)急公共服務(wù)人員疫情防范與健康風(fēng)險(xiǎn)；e)應(yīng)急公共服務(wù)平臺(tái)管理制度和流程的風(fēng)險(xiǎn)；f)應(yīng)急公共服務(wù)平臺(tái)供方管理的風(fēng)險(xiǎn)；g)應(yīng)急公共服務(wù)平臺(tái)生存周期管理的風(fēng)險(xiǎn)，包括公共平臺(tái)的建設(shè)、運(yùn)營(yíng)及應(yīng)用等存在問(wèn)題和不足；h)網(wǎng)絡(luò)與信息安全及數(shù)據(jù)資源整合和安全保護(hù)的風(fēng)險(xiǎn)；i)應(yīng)急信息無(wú)障礙的風(fēng)險(xiǎn)；j)應(yīng)急公共服務(wù)業(yè)務(wù)連續(xù)性的風(fēng)險(xiǎn)，包括應(yīng)急預(yù)案的制定、演練的組織管理和實(shí)施過(guò)程的控制及監(jiān)督等風(fēng)險(xiǎn)；k)應(yīng)急公共服務(wù)平臺(tái)壓力測(cè)試風(fēng)險(xiǎn)；1)應(yīng)急公共服務(wù)平臺(tái)監(jiān)督管理的風(fēng)險(xiǎn)。B.5.4應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)與外部聯(lián)動(dòng)、控制的風(fēng)險(xiǎn)；b)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)環(huán)境的風(fēng)險(xiǎn)；c)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)管理組織架構(gòu)及人員配備的風(fēng)險(xiǎn)；d)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)管理制度和流程的風(fēng)險(xiǎn)；e)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)人員能力(如知識(shí)、技能、經(jīng)驗(yàn)等)的風(fēng)險(xiǎn)；f)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)人員安全的風(fēng)險(xiǎn)；g)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)人員疫情防范與健康的風(fēng)險(xiǎn)；h)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)人員備份的風(fēng)險(xiǎn)；i)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)人員培訓(xùn)教育的風(fēng)險(xiǎn)；j)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)人員績(jī)效管理的風(fēng)險(xiǎn)；k)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)平臺(tái)管理的風(fēng)險(xiǎn)；1)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)平臺(tái)供方管理的風(fēng)險(xiǎn)；m)網(wǎng)絡(luò)與信息安全的風(fēng)險(xiǎn)；n)數(shù)據(jù)安全與個(gè)人信息保護(hù)的風(fēng)險(xiǎn)；o)數(shù)據(jù)資源整合和安全保護(hù)的風(fēng)險(xiǎn)；p)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)業(yè)務(wù)連續(xù)性的風(fēng)險(xiǎn)，包括應(yīng)急預(yù)案的制定、演練的組織管理和實(shí)施過(guò)程的控制及監(jiān)督等風(fēng)險(xiǎn)；q)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)通信安全的風(fēng)險(xiǎn)；r)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)操作的風(fēng)險(xiǎn)；s)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)風(fēng)險(xiǎn)評(píng)估機(jī)制與實(shí)施的風(fēng)險(xiǎn)；t)應(yīng)急遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)營(yíng)監(jiān)督管理的風(fēng)險(xiǎn)。B.5.5IT應(yīng)急安全管理風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下IT應(yīng)急安全管理風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)IT應(yīng)急安全管理目標(biāo)、方針和策略的風(fēng)險(xiǎn)；b)IT應(yīng)急安全戰(zhàn)略制定與實(shí)施的風(fēng)險(xiǎn)；c)IT應(yīng)急安全組織建設(shè)的風(fēng)險(xiǎn)；d)與外部聯(lián)防聯(lián)動(dòng)安全的風(fēng)險(xiǎn)；e)IT應(yīng)急安全管理制度和流程的風(fēng)險(xiǎn)；f)人員安全與健康的風(fēng)險(xiǎn)；g)網(wǎng)絡(luò)與信息安全的風(fēng)險(xiǎn)；h)數(shù)據(jù)安全與個(gè)人信息保護(hù)的風(fēng)險(xiǎn)；i)供方安全的風(fēng)險(xiǎn)；j)云計(jì)算技術(shù)應(yīng)用安全的風(fēng)險(xiǎn)；k)信息系統(tǒng)生存周期安全的風(fēng)險(xiǎn)；1)大數(shù)據(jù)技術(shù)應(yīng)用安全的風(fēng)險(xiǎn)；m)人工智能技術(shù)應(yīng)用安全的風(fēng)險(xiǎn)；n)終端安全的風(fēng)險(xiǎn)；o)供應(yīng)鏈安全的風(fēng)險(xiǎn)；p)互聯(lián)網(wǎng)應(yīng)用安全的風(fēng)險(xiǎn)；q)區(qū)塊鏈技術(shù)應(yīng)用安全的風(fēng)險(xiǎn)；r)移動(dòng)互聯(lián)網(wǎng)應(yīng)用安全的風(fēng)險(xiǎn)；s)通信技術(shù)應(yīng)用安全的風(fēng)險(xiǎn)t)物聯(lián)網(wǎng)技術(shù)應(yīng)用安全的風(fēng)險(xiǎn)；u)開(kāi)源軟件應(yīng)用安全的風(fēng)險(xiǎn)；v)IT應(yīng)急安全監(jiān)督管理的風(fēng)險(xiǎn)。B.5.6應(yīng)急云服務(wù)風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下應(yīng)急云服務(wù)風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)應(yīng)急云服務(wù)管理目標(biāo)、方針和策略的風(fēng)險(xiǎn)；b)應(yīng)急云服務(wù)與外部聯(lián)防聯(lián)動(dòng)的風(fēng)險(xiǎn)；c)應(yīng)急云服務(wù)組織管理的風(fēng)險(xiǎn)，包括與組織架構(gòu)、責(zé)任人、角色、職責(zé)和權(quán)限等存在問(wèn)題和不足；d)應(yīng)急云服務(wù)戰(zhàn)略管理的風(fēng)險(xiǎn)；e)應(yīng)急云服務(wù)管理制度和流程的風(fēng)險(xiǎn)；f)應(yīng)急云服務(wù)人員安全與健康的風(fēng)險(xiǎn)；g)應(yīng)急云服務(wù)模式分類(lèi)及控制機(jī)制的風(fēng)險(xiǎn)；h)應(yīng)急云服務(wù)供方管理的風(fēng)險(xiǎn)；i)網(wǎng)絡(luò)與信息安全的風(fēng)險(xiǎn)；j)應(yīng)用安全的風(fēng)險(xiǎn)，包括終端用戶(hù)安全、軟件即服務(wù)(SaaS)應(yīng)用安全、平臺(tái)即服務(wù)(PaaS)應(yīng)用安全及基礎(chǔ)設(shè)施即服務(wù)(IaaS)應(yīng)用安全等風(fēng)險(xiǎn)；k)虛擬化安全的風(fēng)險(xiǎn)，包括虛擬化軟件安全、虛擬化服務(wù)器安全、軟件、服務(wù)器還有網(wǎng)絡(luò)、存儲(chǔ)等風(fēng)險(xiǎn)；1)云平臺(tái)業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)，包括應(yīng)急預(yù)案的制定、演練的組織管理和實(shí)施過(guò)程的控制及監(jiān)督等風(fēng)險(xiǎn)；m)數(shù)據(jù)資源整合和安全保護(hù)的風(fēng)險(xiǎn)；n)云平臺(tái)數(shù)據(jù)保存與恢復(fù)的風(fēng)險(xiǎn)；o)容災(zāi)備份的風(fēng)險(xiǎn)；p)應(yīng)急云服務(wù)監(jiān)督管理的風(fēng)險(xiǎn)。B.5.7不可抗力風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下不可抗力IT應(yīng)急風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)不可抗力外部聯(lián)防、聯(lián)動(dòng)的風(fēng)險(xiǎn)；b)不可抗力IT應(yīng)急戰(zhàn)略管理的風(fēng)險(xiǎn)；c)不可抗力IT應(yīng)急管理目標(biāo)、方針和策略的風(fēng)險(xiǎn)；d)不可抗力IT應(yīng)急安全管理的風(fēng)險(xiǎn)；e)人員安全與健康管理的風(fēng)險(xiǎn)；f)不可抗力相關(guān)IT應(yīng)急財(cái)產(chǎn)安全管理的風(fēng)險(xiǎn)；g)不可抗力相關(guān)IT應(yīng)急賠償?shù)娘L(fēng)險(xiǎn)。B.5.8合作伙伴風(fēng)險(xiǎn)組織應(yīng)對(duì)突發(fā)公共安全事件情況下合作伙伴IT應(yīng)急風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)合作伙伴IT應(yīng)急管理目標(biāo)、方針和策略的風(fēng)險(xiǎn)；b)合作伙伴IT應(yīng)急戰(zhàn)略管理的風(fēng)險(xiǎn)；c)合作伙伴IT應(yīng)急組織管理的風(fēng)險(xiǎn)；d)合作伙伴IT應(yīng)急人員安全與健康的風(fēng)險(xiǎn)。B.5.9合規(guī)風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下IT應(yīng)急合規(guī)風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)IT應(yīng)急合規(guī)戰(zhàn)略制定與實(shí)施的風(fēng)險(xiǎn)；b)IT應(yīng)急合規(guī)管理目標(biāo)、方針和策略的風(fēng)險(xiǎn)；c)IT應(yīng)急合規(guī)組織管理的風(fēng)險(xiǎn)；d)與外部聯(lián)防、聯(lián)動(dòng)的IT應(yīng)急合規(guī)風(fēng)險(xiǎn)；e)IT應(yīng)急合規(guī)管理制度與流程的風(fēng)險(xiǎn)；f)IT應(yīng)急合規(guī)管理實(shí)施的風(fēng)險(xiǎn)，如違反網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法、網(wǎng)絡(luò)安全等級(jí)保護(hù)及業(yè)務(wù)連續(xù)性管理等要求的風(fēng)險(xiǎn)。B.5.10網(wǎng)絡(luò)輿情管理風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下網(wǎng)絡(luò)輿情風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)網(wǎng)絡(luò)輿情管理目標(biāo)和策略的風(fēng)險(xiǎn)；b)網(wǎng)絡(luò)輿情組織管理的風(fēng)險(xiǎn)；c)網(wǎng)絡(luò)輿情管理制度和流程的風(fēng)險(xiǎn)；d)網(wǎng)絡(luò)輿情管理培訓(xùn)教育的風(fēng)險(xiǎn)；e)與外部聯(lián)防、聯(lián)動(dòng)機(jī)制的風(fēng)險(xiǎn)，如機(jī)制不完善，與外部(如國(guó)家相關(guān)主管部門(mén)、行業(yè)監(jiān)管機(jī)構(gòu)等)進(jìn)行溝通、匯報(bào)不及時(shí)等；f)其他風(fēng)險(xiǎn)，包括未建立合理的網(wǎng)絡(luò)輿情管理風(fēng)險(xiǎn)評(píng)估機(jī)制、未實(shí)際開(kāi)展網(wǎng)絡(luò)輿情管理風(fēng)險(xiǎn)評(píng)估活動(dòng)等。B.5.11數(shù)字化轉(zhuǎn)型風(fēng)險(xiǎn)組織應(yīng)開(kāi)展突發(fā)公共安全事件情況下IT應(yīng)急管理數(shù)字化轉(zhuǎn)型風(fēng)險(xiǎn)的管控，風(fēng)險(xiǎn)類(lèi)型包括但不限于：a)IT應(yīng)急管理數(shù)字化轉(zhuǎn)型戰(zhàn)略管理的風(fēng)險(xiǎn)；b)IT應(yīng)急管理數(shù)字化轉(zhuǎn)型目標(biāo)、方針和策略的風(fēng)險(xiǎn)；c)與外部聯(lián)防、聯(lián)動(dòng)數(shù)字化轉(zhuǎn)型的風(fēng)險(xiǎn)；d)IT應(yīng)急管理數(shù)字化轉(zhuǎn)型制度和流程的風(fēng)險(xiǎn)；e)網(wǎng)絡(luò)與信息安全的風(fēng)險(xiǎn)；f)數(shù)據(jù)安全與個(gè)人信息保護(hù)的風(fēng)險(xiǎn)；g)數(shù)字化轉(zhuǎn)型平臺(tái)管理的風(fēng)險(xiǎn)；h)IT應(yīng)急管理數(shù)字化轉(zhuǎn)型監(jiān)督管理的風(fēng)險(xiǎn)。(資料性)IT應(yīng)急風(fēng)險(xiǎn)管理組織架構(gòu)與管理體系C.1概述實(shí)施全面風(fēng)險(xiǎn)管理的組織，應(yīng)建立突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)險(xiǎn)管理組織架構(gòu)與管理體系，并將IT應(yīng)急風(fēng)險(xiǎn)管理納入全面風(fēng)險(xiǎn)管理體系。其他組織(如政府部門(mén)、事業(yè)單位以及公共服務(wù)機(jī)構(gòu)等)參考應(yīng)用思路說(shuō)明(見(jiàn)C.4)。C.2IT應(yīng)急風(fēng)險(xiǎn)管理組織架構(gòu)組織應(yīng)建立突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)險(xiǎn)管理組織架構(gòu)，包括但不限于如下內(nèi)容。a)董事會(huì)是組織應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理決策機(jī)構(gòu)，對(duì)相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)管理承擔(dān)最終責(zé)任。主要職責(zé)包括但不限于：●遵守并貫徹執(zhí)行國(guó)家有關(guān)應(yīng)對(duì)突發(fā)公共安全事件的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)上級(jí)主管部門(mén)、監(jiān)管機(jī)構(gòu)等的相關(guān)要求；●建立應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理文化；●評(píng)估配合國(guó)家、地方、行業(yè)或領(lǐng)域等開(kāi)展IT應(yīng)急風(fēng)險(xiǎn)工作及與外部聯(lián)防、聯(lián)動(dòng)機(jī)制運(yùn)作的效率和效果；●審批應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理戰(zhàn)略、政策和程序，評(píng)估相關(guān)IT應(yīng)急及其風(fēng)險(xiǎn)管理工作的總體成效及合規(guī)性；●監(jiān)督高級(jí)管理層開(kāi)展應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理工作；●審議應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理報(bào)告。注：董事會(huì)可以授權(quán)其下設(shè)的風(fēng)險(xiǎn)管理委員會(huì)履行其應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理部分職責(zé)。b)高級(jí)管理層負(fù)責(zé)執(zhí)行經(jīng)董事會(huì)批準(zhǔn)的應(yīng)對(duì)突發(fā)公共安全事件IT應(yīng)急風(fēng)險(xiǎn)管理政策。主要職責(zé)包括但不限于：●明確與外部聯(lián)防、聯(lián)動(dòng)工作相關(guān)的職責(zé)與分工，并建立運(yùn)行機(jī)制；●明確業(yè)務(wù)部門(mén)、職能部門(mén)、IT部門(mén)以及其他部門(mén)有關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理的職責(zé)與分工，建立部門(mén)之間相互協(xié)調(diào)、有效制衡的運(yùn)行機(jī)制；●制定清晰的執(zhí)行和問(wèn)責(zé)機(jī)制，確保相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理戰(zhàn)略的充分傳達(dá)和有效實(shí)施；●制定相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)管理政策和程序，定期評(píng)估，必要時(shí)予以調(diào)整；●核查相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)管理工作落實(shí)和實(shí)施情況，督促落實(shí)不到位工作的整改；●評(píng)估相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)管理狀況并向董事會(huì)報(bào)告。c)風(fēng)險(xiǎn)管理部門(mén)或其他綜合管理部門(mén)牽頭應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急總體風(fēng)險(xiǎn)管理工作，主要職責(zé)包括但不限于：●加強(qiáng)與外部相關(guān)IT應(yīng)急工作的協(xié)同配合；●實(shí)施相應(yīng)的IT應(yīng)急風(fēng)險(xiǎn)管理體系建設(shè)；●指導(dǎo)、評(píng)估、監(jiān)督各部門(mén)的相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理工作；●持續(xù)監(jiān)控相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理戰(zhàn)略、政策和程序執(zhí)行情況，對(duì)違反相應(yīng)風(fēng)險(xiǎn)管理政策和程序的情況及時(shí)預(yù)警、報(bào)告并提出處理建議；●組織開(kāi)展相關(guān)IT應(yīng)急風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)隱患和管理漏洞，持續(xù)提高風(fēng)險(xiǎn)管理的有效性；●對(duì)本部門(mén)相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理工作的合規(guī)和成效負(fù)責(zé)。d)業(yè)務(wù)條線部門(mén)作為應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急管理執(zhí)行部門(mén)，同時(shí)應(yīng)承擔(dān)相應(yīng)的IT應(yīng)急執(zhí)行風(fēng)險(xiǎn)管理直接責(zé)任。主要職責(zé)包括但不限于：●執(zhí)行相應(yīng)的IT應(yīng)急風(fēng)險(xiǎn)管理政策和程序；●對(duì)相關(guān)風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)影響分析的合理性和有效性負(fù)責(zé)；●對(duì)相關(guān)重要業(yè)務(wù)恢復(fù)目標(biāo)和恢復(fù)策略確定工作的成效負(fù)責(zé)；●對(duì)相關(guān)業(yè)務(wù)條線重要業(yè)務(wù)應(yīng)急響應(yīng)與恢復(fù)工作的成效負(fù)責(zé)。e)IT部門(mén)作為應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急管理執(zhí)行部門(mén)，同時(shí)應(yīng)承擔(dān)相應(yīng)的IT應(yīng)急執(zhí)行風(fēng)險(xiǎn)管理直接責(zé)任。主要職責(zé)包括但不限于：●執(zhí)行相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)管理政策和程序；●對(duì)組織的相關(guān)IT應(yīng)急響應(yīng)與恢復(fù)工作成效負(fù)責(zé)；●對(duì)本部門(mén)相關(guān)的IT應(yīng)急管理工作合規(guī)和成效負(fù)責(zé)。f)IT應(yīng)急保障管理部門(mén)(如辦公室、人力資源部門(mén)、財(cái)務(wù)部門(mén)、法律合規(guī)部門(mén)、公共關(guān)系部門(mén)、后勤部門(mén)等)作為應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急管理保障部門(mén)，同時(shí)應(yīng)承擔(dān)IT應(yīng)急保障風(fēng)險(xiǎn)管理責(zé)任。主要職責(zé)包括但不限于：●對(duì)相關(guān)應(yīng)急處置所需人力、物力和財(cái)力等資源保障工作的成效負(fù)責(zé)；●對(duì)相關(guān)應(yīng)急處置對(duì)外報(bào)告、宣告、通報(bào)和溝通與協(xié)調(diào)工作的成效負(fù)責(zé)；●對(duì)外媒體公關(guān)、秩序維護(hù)、安全保障、法律咨詢(xún)和人員安撫等相關(guān)工作的成效負(fù)責(zé)；●對(duì)各自?xún)?nèi)部相關(guān)的IT應(yīng)急管理工作合規(guī)和成效負(fù)責(zé)。g)內(nèi)部審計(jì)部門(mén)應(yīng)承擔(dān)組織應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理審計(jì)工作。主要職責(zé)包括但不限于：●審核相關(guān)業(yè)務(wù)影響分析、風(fēng)險(xiǎn)評(píng)估、恢復(fù)策略及恢復(fù)目標(biāo)的合理性和完整性；●審核相關(guān)IT應(yīng)急計(jì)劃的完整性和可操作性；●審核相關(guān)IT應(yīng)急計(jì)劃演練過(guò)程及報(bào)告的真實(shí)性和有效性；●審核相關(guān)IT應(yīng)急風(fēng)險(xiǎn)總體管理工作的合規(guī)性、合理性和有效性；●審核相關(guān)IT應(yīng)急管理執(zhí)行工作的合規(guī)性、合理性和有效性；●審核相關(guān)IT應(yīng)急保障工作的合規(guī)性、合理性和有效性；●對(duì)本部門(mén)相關(guān)IT應(yīng)急審計(jì)管理工作的合規(guī)和成效負(fù)責(zé)。C.3IT應(yīng)急風(fēng)險(xiǎn)管理體系C.3.1IT應(yīng)急總體風(fēng)險(xiǎn)管理組織應(yīng)建立突發(fā)公共安全事件情況下的IT應(yīng)急總體風(fēng)險(xiǎn)管理機(jī)制，包括但不限于：a)明確IT應(yīng)急總體風(fēng)險(xiǎn)管理部門(mén)(如風(fēng)險(xiǎn)管理部門(mén)或其他綜合管理部門(mén))的相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理職責(zé)、崗位職責(zé)和權(quán)限；b)進(jìn)行人員配備，并確保人員安全和健康；c)持續(xù)監(jiān)控相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理戰(zhàn)略、政策和程序的執(zhí)行；d)組織開(kāi)展相關(guān)IT應(yīng)急風(fēng)險(xiǎn)評(píng)估工作，并向決策層提交報(bào)告。C.3.2IT應(yīng)急執(zhí)行風(fēng)險(xiǎn)管理組織應(yīng)建立突發(fā)公共安全事件情況下的IT應(yīng)急執(zhí)行風(fēng)險(xiǎn)管理機(jī)制，包括但不限于：a)明確業(yè)務(wù)部門(mén)和IT部門(mén)的相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理職責(zé)、崗位職責(zé)和權(quán)限；b)進(jìn)行人員配備，并確保人員安全和健康；c)要求業(yè)務(wù)部門(mén)和IT部門(mén)執(zhí)行相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理政策和程序；d)要求業(yè)務(wù)部門(mén)和IT部門(mén)定期開(kāi)展相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理自評(píng)估，并持續(xù)改進(jìn)。C.3.3IT應(yīng)急保障風(fēng)險(xiǎn)管理組織應(yīng)建立突發(fā)公共安全事件情況下的IT應(yīng)急保障風(fēng)險(xiǎn)管理機(jī)制，包括但不限于：a)明確應(yīng)急保障管理部門(mén)(如辦公室、人力資源部門(mén)、財(cái)務(wù)部門(mén)、法律合規(guī)部門(mén)、公共關(guān)系部門(mén)、后勤部門(mén)等)的相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理職責(zé)、崗位職責(zé)和權(quán)限；b)進(jìn)行人員配備，并確保人員安全和健康；c)要求應(yīng)急保障管理部門(mén)執(zhí)行相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理政策和程序；d)要求各應(yīng)急保障管理部門(mén)定期開(kāi)展相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理自評(píng)估，并持續(xù)改進(jìn)。C.3.4IT應(yīng)急風(fēng)險(xiǎn)審計(jì)管理組織應(yīng)明確突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)險(xiǎn)管理審計(jì)要求，包括但不限于：a)明確內(nèi)部審計(jì)部門(mén)的相關(guān)IT應(yīng)急風(fēng)險(xiǎn)管理審計(jì)職責(zé)、崗位職責(zé)和權(quán)限；b)進(jìn)行人員配備，并確保人員安全和健康；c)要求內(nèi)部審計(jì)部門(mén)制定相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)管理審計(jì)制度和流程；d)要求內(nèi)部審計(jì)部門(mén)定期開(kāi)展相關(guān)的IT應(yīng)急風(fēng)險(xiǎn)管理審計(jì)活動(dòng)。C.3.5其他IT應(yīng)急風(fēng)險(xiǎn)管理對(duì)于本文件未明確的其他應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急風(fēng)險(xiǎn)管理內(nèi)容，組織在提出相關(guān)管理要求時(shí)，宜依據(jù)相應(yīng)的標(biāo)準(zhǔn)規(guī)范建立。C.4其他組織的應(yīng)用思路說(shuō)明其他組織(如政府部門(mén)、事業(yè)單位以及公共服務(wù)機(jī)構(gòu)等),應(yīng)依據(jù)相關(guān)要求并考慮所處行業(yè)、領(lǐng)域和自身的實(shí)際，建立本組織突發(fā)公共安全事件情況下的IT應(yīng)急風(fēng)險(xiǎn)管理組織架構(gòu)與管理體系，加強(qiáng)對(duì)IT應(yīng)急管理合理性、有效性的監(jiān)督和評(píng)價(jià)，促進(jìn)IT應(yīng)急管理能力的持續(xù)提升，確保業(yè)務(wù)的持續(xù)運(yùn)營(yíng)。(資料性)突發(fā)公共安全事件情況下的整體應(yīng)用場(chǎng)景D.1概述IT應(yīng)急風(fēng)險(xiǎn)管理方法論在突發(fā)公共安全事件(如新型冠狀肺炎疫情等)情況下的整體應(yīng)用，主要是以實(shí)施全面風(fēng)險(xiǎn)管理的企業(yè)為例，其他組織(如政府部門(mén)、事業(yè)單位、公共服務(wù)機(jī)構(gòu)及其他未實(shí)施全面風(fēng)險(xiǎn)管理的企業(yè)等)參考應(yīng)用思路說(shuō)明(見(jiàn)D.7)。D.2背景介紹某公司業(yè)務(wù)經(jīng)營(yíng)范圍涵蓋非壽險(xiǎn)業(yè)務(wù)的各個(gè)領(lǐng)域，包括機(jī)動(dòng)車(chē)輛保險(xiǎn)、企業(yè)財(cái)產(chǎn)保險(xiǎn)、工程險(xiǎn)、貨物運(yùn)輸保險(xiǎn)、責(zé)任險(xiǎn)、信用保險(xiǎn)、保證保險(xiǎn)、家庭財(cái)產(chǎn)保險(xiǎn)、船舶染責(zé)任險(xiǎn)等。2020年開(kāi)始，新型冠狀肺炎疫情逐步暴發(fā)，對(duì)人民生命健康及社會(huì)經(jīng)濟(jì)發(fā)展等造成難以估計(jì)的影響。作為保險(xiǎn)公司，公司需要采取應(yīng)對(duì)措施，盡可能為用戶(hù)辦理更多的業(yè)務(wù)。D.3.1明確IT應(yīng)急管理依據(jù)并下發(fā)通知疫情初期，主要依據(jù)公司2018年12月發(fā)布的“突發(fā)公共安全事件綜合應(yīng)急預(yù)案”,以及因疫情于2020年2月補(bǔ)充下發(fā)的“關(guān)于當(dāng)前疫情形勢(shì)下進(jìn)一步加強(qiáng)疫情防控的通知”進(jìn)行應(yīng)對(duì)。D.3.2應(yīng)急預(yù)案主要內(nèi)容D.3.2.1突發(fā)公共安全事件綜合應(yīng)急預(yù)案“突發(fā)公共安全事件綜合應(yīng)急預(yù)案”的主要內(nèi)容包括總則、事故風(fēng)險(xiǎn)描述、應(yīng)急組織機(jī)構(gòu)及職責(zé)、預(yù)警及信息報(bào)告、應(yīng)急響應(yīng)、信息公開(kāi)、后期處理、保障措施、應(yīng)急預(yù)案管理及附件。其中應(yīng)急組織機(jī)構(gòu)及職責(zé)如下。a)董事會(huì)是突發(fā)公共安全事件情況下IT應(yīng)急管理的決策機(jī)構(gòu)，對(duì)IT應(yīng)急管理承擔(dān)最終責(zé)任。主要職責(zé)包括：●審核和批準(zhǔn)應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急管理戰(zhàn)略、政策和程序；●審批高級(jí)管理層應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急管理職責(zé)，定期聽(tīng)取高級(jí)管理層關(guān)于相關(guān)IT應(yīng)急管理的報(bào)告，監(jiān)督、評(píng)價(jià)其履職情況；●審批應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急管理年度審計(jì)報(bào)告。b)高級(jí)管理層負(fù)責(zé)執(zhí)行經(jīng)董事會(huì)批準(zhǔn)的應(yīng)對(duì)突發(fā)公共安全事件IT應(yīng)急管理政策。主要職責(zé)包括：●制定IT應(yīng)急管理政策、程序，并定期審查和監(jiān)督執(zhí)行情況；●明確各部門(mén)應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急管理職責(zé)，明確報(bào)告路線，審批重要業(yè)務(wù)恢復(fù)目標(biāo)和恢復(fù)策略，督促各部門(mén)履行管理職責(zé)，確保相關(guān)IT應(yīng)急管理體系正常運(yùn)行；●確保配置足夠的資源保障相關(guān)IT應(yīng)急管理的實(shí)施。c)設(shè)置或明確應(yīng)對(duì)突發(fā)公共安全事件的IT應(yīng)急管理綜合協(xié)調(diào)部門(mén)和專(zhuān)項(xiàng)突發(fā)公共安全事件應(yīng)●組織相關(guān)的IT應(yīng)急體系建設(shè)；●組織編制公司總體相關(guān)的IT應(yīng)急預(yù)案；●組織協(xié)調(diào)分管部門(mén)開(kāi)展相關(guān)的IT應(yīng)急管理日常工作。d)業(yè)務(wù)部門(mén)為突發(fā)公共安全事件情況下的IT應(yīng)急管理執(zhí)行部門(mén)，主要負(fù)責(zé)：●確定相關(guān)重要業(yè)務(wù)恢復(fù)目標(biāo)和恢復(fù)策略；●負(fù)責(zé)業(yè)務(wù)條線相關(guān)重要業(yè)務(wù)應(yīng)急響應(yīng)與恢復(fù)。e)信息科技部門(mén)為突發(fā)公共安全事件情況下的IT應(yīng)急管理執(zhí)行部門(mén)，主要負(fù)責(zé)：●相關(guān)IT應(yīng)急響應(yīng)與恢復(fù)；●制定部門(mén)相關(guān)應(yīng)急預(yù)案并進(jìn)行演練。f)突發(fā)公共安全事件情況下的IT應(yīng)急保障層由IT應(yīng)急管理保障部門(mén)(如辦公室、人力資源部●相關(guān)IT應(yīng)急處置所需人力、物力和財(cái)力等資源保障；●對(duì)外媒體公關(guān)、秩序維護(hù)、安全保障、法律咨詢(xún)和人員安撫等相關(guān)工作。D.3.2.2關(guān)于當(dāng)前疫情形勢(shì)下進(jìn)一步加