路径: 主页 > GB/T > 第649页 > GB/T 31595-2015 | 标准编号 | GB/T 31595-2015 (GB/T31595-2015) | | 中文名称 | 公共安全 业务连续性管理体系 指南 | | 英文名称 | Societal security -- Business continuity management systems -- Guidance | | 行业 | 国家标准 (推荐) | | 中标分类 | A90 | | 国际标准分类 | 13.200 | | 字数估计 | 44,450 | | 发布日期 | 2015-06-02 | | 实施日期 | 2016-01-01 | | 引用标准 | ISO 19011; ISO 22300; ISO 22301; ISO 22398 | | 采用标准 | ISO 22313-2012, IDT | | 标准依据 | 国家标准公告2015年第19号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准基于良好实践, 为业务连续性管理体系的策划、建立、实施、运行、监视、评审、保持和持续改进文件化的管理体系提供指南, 以使组织能够在中断事件发生时, 准备、响应并进行恢复。本标准目的不是要制定统一的BCMS结构, 而是为组织设计一个合适组织自身需要和满足其相关方要求的BCMS。这些需求有法律、法规、组织和行业要求、产品和服务、所采用的过程、运行环境, 组织的规模和结构以及相关方的要求等方面构成。本标准是通用的并适用于包括大、中、小型从事工业、商业、公共和非盈利等所有规模和类型的组织, 以期:a)建立、实施、保持和 | GB/T 31595-2015
Societal security.Business continuity management systems.Guidance
ICS 13.200
A90
中华人民共和国国家标准
公共安全 业务连续性管理体系 指南
(ISO 22313:2012,IDT)
2015-06-02发布
2016-01-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 组织环境 1
4.1 了解组织和组织环境 1
4.2 理解相关方的需求和期望 2
4.3 确定管理体系的范围 3
4.4 业务连续性管理体系 3
5 领导力 4
5.1 领导力和承诺 4
5.2 管理承诺 4
5.3 方针 4
5.4 组织的角色、职责和权力 5
6 策划 5
6.1 应对风险和机会的措施 5
6.2 业务连续性目标和实现计划 5
7 支持 6
7.1 资源 6
7.2 能力 7
7.3 意识 8
7.4 沟通 9
7.5 存档信息 9
8 实施 11
8.1 实施的策划和控制 11
8.2 业务影响分析和风险评估 13
8.3 业务连续性策略 15
8.4 建立和实施业务连续性程序 21
8.5 演练和测试 29
9 绩效评估 30
9.1 监视、测量、分析和评价 30
9.2 内部审核 32
9.3 管理评审 33
10 改进 33
10.1 不符合和纠正措施 33
10.2 持续改进 34
参考文献 35
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准使用翻译法等同采用ISO 22313:2012《公共安全 业务连续性管理体系 指南》(英文
版),仅有编辑性修改。
与本标准中规范性引用的国际文件有一致性关系的我国文件如下:
---GB/T 30146-2013 公共安全 业务连续性管理体系 要求(ISO 22301:2012,IDT)
本标准由全国公共安全基础标准化技术委员会(SAC/TC351)提出并归口。
本标准起草单位:中国标准化研究院、中国信息安全认证中心、广发银行、招商银行。
本标准主要起草人:王金玉、秦挺鑫、魏军、林德明、董晓媛、高旭磊、邢立强、杨正科、尤其。
引 言
总则
本标准在适当时为ISO 22301:2012的要求提供指南,并提供与要求相关的推荐(宜)和允许(可)建
议。为业务连续性的各个方面提供通用指南不是本标准的意图。
本标准和ISO 22301虽标题相同但并不是重复业务连续性管理体系要求、相关术语和定义。组织
希望了解上述内容请参照ISO 22301和ISO 22300。
本标准使用的示图是为了进一步澄清和解释关键点。这些示图只为说明目的,相关内容优先参考
标准正文。
业务连续性管理体系(BCMS)强调以下重要性:
---了解组织的需求和建立业务连续性方针与目标的必要性;
---实施和运行控制以及实施和运行措施来管理组织应对中断事件的整体能力;
---监视和评审BCMS绩效和有效性;
---基于目标测量的持续改进。
业务连续性管理体系与其他管理体系类似,也包括以下关键因素:
a) 方针;
b) 有明确职责的人员;
c) 与管理过程相关的:
1) 方针;
2) 策划;
3) 实施和运行;
4) 绩效评估;
5) 管理评审;
6) 改进。
d) 一套可提供审核证据的文件;
e) 任何与组织相关的业务连续性管理体系过程。
业务连续性对一个组织而言是特定的,但在执行过程中可能要涉及到其他的群体和第三方。一个
组织很可能有他依赖的和依赖他的外部组织,业务连续性有助于构建更具弹性的社会。
策划-实施-检查-改进PDCA模型
本标准采用“策划(Plan)-实施(Do)-检查(Check)-改进(Act)”(PDCA)模型来策划,建立,实施,运
行,监视,评审,保持和持续改进组织BCMS的有效性。
图1说明了BCMS如何把相关方业务连续性管理要求作为输入,并通过必要的措施和过程,产生
满足这些要求的连续性输出(例如受控的业务连续性)。
图1 应用于BCMS过程的PDCA
表1 PDCA模型的解释
策划
(建立)
建立与改进业务连续性管理相关的业务连续性方针、目标、控制措施、过程和程序,以提供与
组织的总方针和目标相一致的结果
实施
(实施和运行)
实施和运行业务连续性的方针、控制措施、过程和程序
检查
(监视和评审)
对照业务连续性方针和目标,监视和评审业务连续性的绩效,并将结果报告管理者以供评审,
确定和授权纠正和改进措施
改进
(保持和改进)
基于管理评审以及重新评审的业务连续性管理体系的范围、方针和目标的结果,采取纠正措
施,以持续改进BCMS
本标准中PDCA组成部分
本标准中各章节和图1内容间对应关系如下表所示:
表2 PDCA模型与第4章到第10章之间对应关系
PDCA组成部分 与PDCA组成部分对应的章节
策划
(建立)
第4章(组织环境)阐述了组织做什么以确保满足BCMS要求,并考虑
所有相关的外部和内部因素,包括:
---相关方的需求和期望;
---法律法规责任;
---BCMS所要求的范围
第5章(领导力)阐述了管理者在证明承诺、确定方针、建立角色、职责
和权力方面的关键作用
第6章(策划)描述建立整体BCMS的战略目标和指导原则所需的措施。
为业务影响分析,风险评估(8.2)和业务连续性策略(8.3)建立环境
第7章(支持)识别支持BCMS所需的关键要素,即资源,能力,意识,
沟通和存档信息
实施
(实施和运行)
第8章(实施)识别实现业务连续性所需的业务连续性管理(BCM)
要素
检查
(监视和评审)
第9章(绩效评估)通过绩效测量和评估提供BCMS改进基础
改进
(保持和改进)
第10章(改进)包括通过绩效评估识别针对不符合所采取的纠正措施
业务连续性
业务连续性是在中断事件发生后,组织在预先确定的可接受的水平上连续交付产品或提供服务的
能力。BCM是实现业务连续性的过程并使组织准备处理有可能妨碍实现其目标的中断事件。
将BCM置于管理体系框架和原则下来建立BCMS,以使BCM可控、可评估和可持续改进。
本标准中,业务一词泛指组织为实现其目标、目的或使命而开展的运营和服务。该词本身适用于
大、中、小型的工业、商业、公共和非盈利组织。
任何事件,无论大小、自然的、意外的或蓄意的,都可能会使组织的运营及其交付产品和服务的能力
发生严重的中断。因此,只有在中断事件发生前而不是发生后实施业务连续性,才能确保组织在所受影
响尚未严重到不可接受之前恢复业务的运行。
BCM包括:
a) 清楚组织的关键产品和服务,以及交付这些产品和服务的活动;
b) 了解恢复活动的优先级及其所需的资源;
c) 清晰地了解活动所受到的威胁,包括这些活动之间的依赖关系,还要知道如果没有恢复这些活
动将会带来的影响;
d) 当中断事件发生时,有准备好的经过测试并可靠的计划来重启活动;
e) 确保这些计划得到定期评审和更新,从而使其在各种情况下都有效。
业务连续性在处理突发中断事件(例如,爆炸)和渐进中断事件(例如,流感大爆发)时都是有效的。
能够造成活动中断的事件非常多,其中许多是难以预测和分析的。由于业务连续性关注中断事件
带来的影响而不是其产生的原因,所以业务连续性识别出哪些是组织赖以生存的活动,并使组织确定为
履行其责任需确保哪些活动的连续性。通过业务连续性,组织能认识到在中断事件发生前需要做什么
准备来保护其资源(例如:人、房屋、技术和信息)、供应链、相关方以及声誉。基于该认识,组织能在中断
事件发生时务实地采取可能需要的响应,从而能够自信地管理结果并避免造成不可接受的影响。
做好了适当的业务连续性准备的组织还能将高风险转化为机会。
下面两图(图2和图3)试图从概念上来说明在某种情况下业务连续性是如何有效地减轻影响的。
两图中所示的各个阶段之间的相对距离并不表示特定的时间尺度。
通过有效的业务连续性管理减轻中断事件的影响---突发中断
图2 业务连续性对突发中断有效的图解
通过有效的业务连续性管理减轻中断事件的影响---渐进中断
图3 业务连续性对渐进中断有效的图解
公共安全 业务连续性管理体系 指南
1 范围
本标准基于良好实践,为业务连续性管理体系的策划、建立、实施、运行、监视、评审、保持和持续改
进文件化的管理体系提供指南,以使组织能够在中断事件发生时,准备、响应并进行恢复。
本标准目的不是要制定统一的BCMS结构,而是为组织设计一个适合组织自身需要和满足其相关
方要求的BCMS。这些需求由法律、法规、组织和行业要求、产品和服务、所采用的过程、运行环境,组织
的规模和结构以及相关方的要求等方面构成。
本标准是通用的并适用于包括大、中、小型从事工业、商业、公共和非盈利等所有规模和类型的组
织,以期:
a) 建立、实施、保持和改进BCMS;
b) 确保与组织的业务连续性方针保持一致;
c) 做出符合本标准的自我声明;
d) 本标准不可用于评估组织的能力是否满足其自身业务连续性要求,也不能用于评估是否满足
其客户,法律或者法规的要求。组织可以使用ISO 22301的要求向其他组织证明其符合性,或
者使其BCMS通过获得被认可的第三方认证机构的认证。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所......
|