(高清版)GB∕T 38299-2019 公共安全 業(yè)務連續(xù)性管理體系 供應鏈連續(xù)性指南

GB/T38299—2019/ISO22318國家市場監(jiān)督管理總局國家標準化管理委員會IGB/T38299—2019/ISO22318: Ⅲ 1 1 14供應鏈連續(xù)性的重要性 44.1總則 44.2供應鏈描述 44.3供應鏈的動力 6 7 7 84.7保持供應鏈連續(xù)性的重要性 8 95.1總則 95.2分析供應鏈的注意事項 9 95.4分析的結(jié)構(gòu) 95.5開展分析 5.6分析的輸出 5.7供應鏈分析關鍵點 6SCCM策略 6.2連續(xù)性策略選擇 6.4SCCM所有權 6.5連續(xù)性策略選擇關鍵點 7供應鏈中斷的管理 7.1總則 7.2事件發(fā)生之前 7.3事件的發(fā)現(xiàn)與通報 7.4事件中 7.5業(yè)務恢復常態(tài) Ⅱ7.6管理供應鏈中斷的關鍵點 8績效評價 8.1總則 8.2與供應商深度合作 8.4持續(xù)分析 8.5績效評價的輸出 8.6績效管理的關鍵點 ⅢGB/T38299—2019/ISO22318:2015本標準使用翻譯法等同采用ISO22318:2015《公共安全業(yè)務連續(xù)性管理體系供應鏈連續(xù)性指——GB/T30146—2013公共安全業(yè)務連續(xù)性管理體系要求(ISO22301:2012,IDT)心、北京市勞動保護科學研究所、南方電網(wǎng)科學研究院有限責任實施的V實施的策劃和控制第5章第6章第8章1GB/T38299—2019/ISO22318:2本標準給出了理解和擴展GB/T30146和GB/T31595中供應商關系管理的BCM原則的方法。供應鏈管理針對向組織供應產(chǎn)品或者服務相關的各項活動。本標準重點關GB/T30146和GB/T31595給出了制定業(yè)務連續(xù)性計劃和建立業(yè)務連續(xù)性管理體系的相關指導。下列文件對于本文件的應用是必不可少的。凡是注日期的引ISO22301公共安全業(yè)務連續(xù)性管理體系要求(Societalsecurity—Businesscontinuitymanagementsystems—Requirements)[ISO22300:2012,定義2.1.8]2GB/T38299—2019/ISO22318:2015[ISO22300:2012,定義2.4.8][ISO22300:2012,定義2.1.15]識別對組織的潛在威脅以及這些威脅一旦發(fā)生可能對業(yè)務運行帶來的影[ISO22301:2012,定義3.5]3用于指導組織在業(yè)務中斷時進行響應、恢復、重新開始和還原到預先確定的業(yè)務運行水平的形成文件的程序。相關方interestedparty對決策或活動產(chǎn)生影響，受到影響，認為被影響的個人或組織。在中斷中組織為達到其業(yè)務連續(xù)性目標可以接受的最低標準的服務和(或)產(chǎn)品。為了實現(xiàn)目標形成的具有自身職能，按照一系列職責、權限和相互關系安排的個人或一組人員。把組織的部分職能或過程安排給外部組織。產(chǎn)品和服務productsandservices組織提供給顧客、服務對象和相關方的有益成果，例如制成品、汽車保險和社區(qū)護理。事件發(fā)生后到下列活動完成之間的時間段：——產(chǎn)品或者服務必須恢復；——活動應恢復；——資源應復原。為了運行和實現(xiàn)目標，組織在需要時可供使用的所有資產(chǎn)、人員、技能、信息、技術(包括工廠和設4GB/T38299—2019/ISO22318:2無論屬于預期(比如罷工或者颶風)或者非預期的(比如大停電或者地震)在供應鏈中實施業(yè)務連續(xù)性管理。1級供應商Tier1supplier2級供應商Tier2supplier間接通過1級供應商向組織提供產(chǎn)品或者服務個人或?qū)嶓w。本章關注的是與SCCM實施架構(gòu)相關的各項因素。隨著供應鏈的日益復雜、范圍擴大(經(jīng)常延展要SCCM。圖2給出了一個簡單的供應鏈模型。5GB/T38299—2019/ISO22318:2組織內(nèi)部外部客戶外部供應關系。不同供應商的關系因組織控制這種關系的靈活程度與能力的不同而不同(見圖3)。信息、耗材、移動資產(chǎn)(人員，車輛)6 7描述管理關系授予報價1)設定必要的優(yōu)先級別與標準；8GB/T38299—2019/ISO22318:2015——供應商在供應鏈中的距離與可見性(地理位置分散以及供應鏈——在組織內(nèi)部跨越相關方職能和在供應鏈中跨越組織去定義并嵌——從供應商獲得產(chǎn)品或者服務供應連續(xù)性安排方面的信心(供應商是否在出現(xiàn)短缺的情況下將供應品轉(zhuǎn)移至其他客戶);c)供應鏈中斷可能會嚴重影響組織執(zhí)行關鍵業(yè)務流程的能d)供應鏈通常是由大量的供應商組織成線(如鏈)或網(wǎng)(如網(wǎng)狀)。這些相互關系以及f)組織負責(而不是供應商)減輕其供應鏈風險和應對供應鏈中斷。9GB/T38299—2019/ISO22318:2商對于組織活動的關鍵程度以及其面對的風險級別將決定分析的深入c)分析意外事件的沖擊及其對于同時供應相同產(chǎn)品或者服務的大量非關鍵供應商的影響。1)組織期望各類供應商在最低供應水平，包括最低業(yè)務連續(xù)性目標(MBCO2)供應商證明合規(guī)性/能力所需的具體證據(jù)。e)分析的廣度需要考慮根據(jù)關鍵性判斷分析全部供應商還是部分供應商，分析的深度需要考慮g)在當前供應商管理以及今后任何采購策略中采納的具組織可使用供應鏈分析流程圖(見圖5)進行如下分析：GB/T38299—2019/ISO22318:2015收集相關信息收集相關信息風險評估(5.2)分析輸出建設性關系分析解決方案組織宜識別供應鏈的級別(見圖2),從BIA中獲取信息去識別高優(yōu)先級活動或過程，MBCO與——供應商的MBCO/RTO是否與支持活動或進程的組織相一致。GB/T38299—2019/ISO22318:2015組織宜確保分析的輸出是面向每位供應商的可以審計的、基于證據(jù)的——供應商的連續(xù)性安排并證明其BCM安排對于被要求的MBCO/RTO范圍內(nèi)恢復能力是可e)標準應包括分析過程和對供應商f)分析過程的主要輸出包括對供應鏈和h)整個分析過程宜定期重復。一個適當?shù)幕謴筒呗?見6.2)宜能被每個供應商辨識。選擇最合適的一個或多個策略時SCCM需要考慮4.6所確定的挑戰(zhàn)。組織宜使用分析結(jié)果(見5.5)來確定以下內(nèi)容： GB/T38299—2019/ISO22318:2015——限制供應商可能調(diào)用的不可抗拒力條款而非組織宜識別供應商關系管理以及保障和監(jiān)控供應鏈連續(xù)性保證情況的部針對BCM的更大范圍的安排緊密相連。組織宜要求SCCM的管理權由負責購買產(chǎn)品或者服務的人員轉(zhuǎn)交給管理合同或開展運營的相關人員。組織宜確保采取的控制措施不會隨著時間的推移而降級。如與兩個供d)供應商應具備一個有效的業(yè)務連續(xù)性解決方案，供應合同中應包含供應鏈。在簽f)應認識到最好的方法生效需要一定的時間，在此期間內(nèi)可能需要采取部分其他方法減輕中按照第5章的規(guī)定對供應鏈進行了分析并按照第6章的要求制定適用的策略，為管理任何中斷事與關鍵供應商保持深度合作十分重要，以確保連續(xù)性管理安排的管理達成這一目標的最有效方法是確保在各方之間進行定期和開放GB/T38299—2019/ISO22318:2015 提前發(fā)現(xiàn)具有破壞性的事態(tài)可以使響應高效、及時和適當。這要求組織斷或可能的中斷告知其客戶。延遲通報可能增加組織面臨的——安排的互惠性質(zhì)是當組織是事件的根源時，供應商需要對其受到中斷影響組織宜處理好供應商在評審中與其他供應商分享敏感信息的擔心，與2)使用關鍵績效指標(KPIs)/度量標準持續(xù)監(jiān)測；5)對組織的采購過程進行評審以確保包含了BCM要求；GB/T38299—2019/ISO22318:2015——將供應商SCCM績效評價過程納入BCM審核范圍?！u估每個供應商符合組織BCM要求的程度； 組織宜在與供應商的BCM安排有重大事宜時，評審與供應商的關系和/或SCCM策略(見第6a)保護其高優(yōu)先級活動與過程的SCCM條件被保持是組織e)績效評價包括SCCM安排的監(jiān)測、驗證、確認和評審，激勵持續(xù)的改進和提供供應鏈的績效[2]ISO28000Specifi[3]ISO28002Securitymanagementsystems