路径: 主页 > GB/T > 第649页 > GB/T 31595-2025 | 标准编号 | GB/T 31595-2025 (GB/T31595-2025) | | 中文名称 | 安全与韧性 业务连续性管理体系 GB/T 30146使用指南 | | 英文名称 | Security and resilience - Business continuity management systems - Guidance on the use of GB/T 30146 | | 行业 | 国家标准 (推荐) | | 中标分类 | A90 | | 国际标准分类 | 03.100.01 | | 字数估计 | 50,523 | | 发布日期 | 2025-10-05 | | 实施日期 | 2026-02-01 | | 旧标准 (被替代) | GB/T 31595-2015 | | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | GB/T 31595-2025: 安全与韧性 业务连续性管理体系 GB/T 30146使用指南
ICS 03.100.01
CCSA90
中华人民共和国国家标准
代替GB/T 31595-2015
安全与韧性 业务连续性管理体系
GB/T 30146使用指南
2025-10-05发布
2026-02-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 组织环境 1
5 领导力 5
6 策划 7
7 支持 9
8 运行 13
9 绩效评价 37
10 改进 39
参考文献 41
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件代替GB/T 31595-2015《公共安全 业务连续性管理体系 指南》,与GB/T 31595-2015
相比,除结构调整和编辑性改动外,主要技术变化如下:
---更改了范围(见第1章,2015年版的第1章);
---删除了“管理承诺”(见2015年版的5.2);
---增加了“业务连续性管理体系变更的策划”(见6.3);
---更改了“沟通”的相关内容(见7.4,2015年版的7.4);
---将“存档信息”改为“成文信息”(见7.5,2015年版的7.5);
---将“实施”改为“运行”(见第8章,2015年版的第8章);
---更改了“业务影响分析”的相关内容(见8.2.2,2015年版的8.2.2);
---更改了“业务连续性策略”的相关内容(见8.3,2015年版的8.3);
---将“演练和测试”改为“演练方案”(见8.5,2015年版的8.5);
---增加了“业务连续性文件和能力评价”(见8.6);
---将“绩效评估”改为“绩效评价”(见第9章,2015年版的第9章);
---更改了“监控、测量、分析和评价”的相关内容(见9.1,2015年版的9.1.1);
---删除了“业务连续性程序的评价”(见2015年版的9.1.2);
---增加了“审核方案”(见9.2.2);
---更改了“管理评审”的相关内容(见9.3,2015年版的9.3);
---更改了“持续改进”的相关内容(见10.2,2015年版的10.2)。
本文件使等同采用ISO 22313:2020《安全与韧性 业务连续性管理体系 ISO 22301使用指南》。
本文件做了下列最小限度的编辑性改动:
---为与现有标准协调,将标准名称改为《安全与韧性 业务连续性管理体系 GB/T 30146使用
指南》。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国公共安全基础标准化技术委员会(SAC/TC351)提出并归口。
本文件起草单位:北京市科学技术研究院、中国标准化研究院、中国科学技术大学、国家市场监督管
理总局认证认可技术研究中心、北京科技大学、厦门民航凯亚有限公司。
本文件主要起草人:王晶晶、孟祥程、王亚飞、王皖、朱伟、周倩、潘英、徐凤娇、秦挺鑫、王春凯、庞磊、
王健、肖丽妮。
本文件及其所代替文件的历次版本发布情况为:
---2015年首次发布为GB/T 31595-2015;
---本次为第一次修订。
引 言
0.1 总则
本文件旨在为GB/T 30146中规定的要求提供指南,而非为业务连续性的所有方面提供通用指南。
本文件虽然和GB/T 30146包括相同的条款标题,但不会重述其要求以及相关术语和定义。
本文件旨在解释并阐明GB/T 30146中要求的含义和目的,并帮助理解GB/T 30146。本文件中引
用并提供补充指导的国际标准和国家标准包括GB/T 35625、GB/T 38299、GB/T 40054、ISO 22330、
ISO 22331及GB/T 38209。这些文件的范围可能超出GB/T 30146的要求。因此,组织宜始终参考
GB/T 30146来验证所要满足的要求。
本文件使用的图示是为了进一步阐明和解释要点。这些图示仅用于说明性目的,相关内容优先参
考本文件正文。
业务连续性管理体系强调以下方面的重要性:
a) 建立与组织目标一致的业务连续性方针和目标;
b) 运行并保持过程、能力与响应机制,确保组织能经受住冲扰;
c) 监控和评审业务连续性管理体系绩效和有效性;
d) 基于定性和定量测量的持续改进。
业务连续性管理体系与其他管理体系类似,包括以下组成部分。
a) 方针。
b) 具备相应能力且职责明确的人员。
c) 涉及以下内容的管理过程:
1) 方针;
2) 策划;
3) 实施和运行;
4) 绩效评估;
5) 管理评审;
6) 持续改进。
d) 支持运行控制和绩效评价的成文信息。
业务连续性通常是针对某一组织而言的,然而其实施可能会对更广泛的群体及第三方产生深远影
响。组织很可能依赖于一些外部组织,同时也会有其他组织依赖于它。因此,有效的业务连续性有助于
构建更具韧性的社会。
0.2 业务连续性管理体系的效益
业务连续性管理体系提高了组织在冲扰期间持续运行的准备水平,还可改进对组织内外部关系的
理解,更好地与相关方沟通,创造持续改进的环境。按照本文件中的建议和GB/T 30146的要求,实施
业务连续性管理体系可带来许多其他的效益。
a) 按照第4章(“组织环境”),组织:
1) 评审其战略目标,以确保业务连续性管理体系支持这些目标;
2) 重新考虑相关方的需求、期望和要求;
3) 了解适用的法律法规和其他义务。
b) 按照第5章(“领导力”),组织:
1) 重新考虑管理的角色和职责;
2) 推动建设持续改进文化;
3) 分配绩效监控和报告的职责。
c) 按照第6章(“策划”),组织:
1) 重新审视其风险和机会,并找到应对和利用措施;
2) 建立有效的变更管理。
d) 按照第7章(“支持”),组织:
1) 建立对业务连续性管理体系资源的有效管理,包括能力管理;
2) 提高员工对管理重要事项的认识;
3) 具有有效的内部和外部沟通机制;
4) 有效管理文件。
e) 按照第8章(“运行”),组织需考虑:
1) 变化的意外后果;
2) 业务连续性优先级和要求;
3) 依赖关系;
4) 从影响角度看待脆弱性;
5) 冲扰风险,并确定最佳应对方法;
6) 在资源有限的情况下业务运行的替代方案;
7) 处理冲扰的有效结构和程序;
8) 对社会和其他相关方的职责。
f) 按照第9章(“绩效评价”),组织:
1) 具有有效的监控、测量和绩效评价机制;
2) 管理者参与监控业务连续性管理体系的绩效并对其有效性作出贡献。
g) 按照第10章(“改进”),组织:
1) 具有监控绩效和提高有效性的程序;
2) 受益于管理体系的持续改进。
因此,实施业务连续性管理体系能:
a) 保护生命、资产和环境;
b) 保护和提高组织的声誉与信誉;
c) 使其在冲扰期间运行,有助于提高组织竞争优势;
d) 减少因冲扰产生的成本,并提高组织在冲扰期间保持有效的能力;
e) 有助于组织的整体韧性建设;
f) 有助于相关方对组织的成功更有信心;
g) 减少组织的法律和财务风险;
h) 证明组织管理风险和解决运行脆弱性的能力。
0.3 策划-实施-检查-改进(PDCA)循环
本文件应用策划-实施-检查-改进(PDCA)循环,从而策划、建立、实施、运行、监控、审查、保持
和持续改进组织业务连续性管理体系的有效性。PDCA循环的说明见表1。
图1说明了业务连续性管理体系把相关方的业务连续性管理要求作为输入,并通过必要的措施和
过程,产生满足这些要求的业务连续性成果(即受控的业务连续性)。
表1 PDCA循环说明
策划
(建立)
建立与改进业务连续性相关的业务连续性方针、目标、过程和程序,并与组织的总方针和目标
一致
实施
(执行和运行)
实施和运行业务连续性的方针、过程和程序
检查
(监控和评审)
根据业务连续性方针和目标对绩效进行监控和评审,并将结果报告管理者以供评审,确定并
授权采取补救和改进措施
改进
(保持和改进)
根据管理评审的结果和对业务连续性管理体系范围、业务连续性方针和目标的重新评估,采
取纠正措施,保持和持续改进业务连续性管理体系
图1 应用于业务连续性管理体系过程的PDCA循环
0.4 本文件中PDCA的组成
本文件中各章节和图1内容间对应关系如表2所示。
表2 PDCA循环与第4章~第10章的对应关系
PDCA组成部分 与PDCA组成部分对应的章节
策划
(建立)
第4章(“组织环境”),组织如何满足业务连续性管理体系要求,并考虑所有相关的内外部因
素,包括:
---相关方的需求和期望;
---法律法规义务;
---业务连续性管理体系要求的范围
第5章(“领导力”),管理者在证明承诺、确定方针、分配角色和职责方面的关键作用
第6章(“策划”),为实施业务连续性管理体系建立战略目标和指导原则的措施
第7章(“支持”),支持业务连续性管理体系所需的要素,即资源、能力、意识、沟通和成文信息
实施
(实施和运行)
第8章(“运行”),建立和保持业务连续性的过程
检查
(监控和评审)
第9章(“绩效评价”),通过绩效测量和评价,为改进业务连续性管理体系提供基础
改进
(保持和改进)
第10章(“改进”),解决通过绩效评价识别的不符合的纠正措施
0.5 本文件的内容
本文件的目的不是要建立统一的业务连续性管理体系结构,而是为组织设计适合其自身需求并满
足相关方要求的业务连续性管理体系。这些需求由法律、法规、组织和行业要求、产品和服务、所采用的
过程、运行环境,组织的规模和结构以及相关方的要求等构成。
本文件不可用于评估组织的能力是否满足其业务连续性要求,也不能用于评估是否满足其客户、法
律法规的要求。有此需求的组织可使用GB/T 30146。
第1章~第3章阐述了范围、规范性引用文件以及适用于本文件使用的术语和定义。第4章~
第10章包含对GB/T 30146中要求的使用指南。
本文件运用了下列助动词:
a) “宜”表示建议;
b) “可”表示许可;
c) “能”表示一种可能性或能力。
0.6 业务连续性
业务连续性是在冲扰发生后,组织在预先定义的可接受的水平上连续交付产品或提供服务的能力。
业务连续性管理是实施和保持业务连续性的过程(见8.1.2和图5),以预防、减轻和管理损失,并为冲扰
做好准备。
建立业务连续性管理体系使组织能控制、评价和持续改进其业务连续性。
本文件中,“业务”一词泛指组织为实现其目标、目的或使命而开展的运营和服务,适用于大型、中
型、小型的工业、商业、公共和非营利组织。
冲扰有可能中断组织的整个运营及其交付产品和服务的能力。但是,在冲扰发生前实施业务连续
性管理体系,而不是在突发事件发生后以非计划的方式进行响应,将使组织能够在所受影响尚未严重到
不可接受之前恢复运营。
业务连续性管理包括:
a) 识别组织的产品和服务,以及交付这些产品和服务的活动;
b) 分析不恢复相关活动所造成的影响,以及活动所依赖的资源;
c) 了解冲扰的风险;
d) 确定恢复产品和服务交付的优先级、时间范围、能力和策略;
e) 制定解决方案和计划,在冲扰发生后所要求的时间范围内继续活动;
f) 确保这些计划得到例行评审和更新,从而使其在各种情况下都有效。
组织的业务连续性管理方法及其成文信息宜与其环境(如:运营环境、复杂性、需求、资源)相适应。
业务连续性对处理突发冲扰(如爆炸)和渐进冲扰(如大流行病)均有效。
造成活动冲扰的突发事件非常多,其中许多是难以预测和分析的。由于业务连续性关注冲扰带来
的影响而不是其产生的原因,所以业务连续性使组织能够确定对其履行义务重要的活动。通过业务连
续性,组织能认识到在冲扰发生前需要做哪些准备来保护其资源(如:人、场地、技术和信息)、供应链、相
关方以及声誉。基于该认识,组织能将响应机制落实到位,从而有信心管理冲扰的影响。
图2和图3从概念上说明在某种情况下业务连续性如何有效地减轻影响,两图中所示的各个阶段
之间的相对距离并不表示特定的时间长度。
图2 业务连续性对突发冲扰有效
图3 业务连续性对渐进冲扰有效(如:即将爆发的大流行病)
安全与韧性 业务连续性管理体系
GB/T 30146使用指南
1 范围
本文件为应用GB/T 30146业务连续性管理体系(业务连续性管理体系)的要求提供了指南和建
议。这些指南和建议以良好的国际实践为基础。
本文件适用于组织:
a) 实施、保持和改进业务连续性管理体系;
b) 确保符合既定的业务连续性方针;
c) 需要能够在冲扰期间以可接受的预定能力连续交付产品和服务;
d) 试图通过有效运用业务连续性管理体系增强其韧性......
|