安全與韌性業務連續性管理體系指南 2規范性引用文件 3術語和定義 4組織環境 4.1理解組織及其環境 4.2理解相關方的需求和期望 4.2.1總則 4.2.2法律和法規要求 4.3確定BCMS的范圍 4.3.1總則 4.3.2BCMS的范圍 44.3.3范圍刪減 4.4BCMS 5領導力 5.1領導力和承諾 5.1.1總則 5.1.2最高管理者 5.1.3其他管理角色 5.2方針 5.2.1建立業務連續性方針 5.2.2傳達業務連續性方針 5.3角色、職責和權限 6策劃 6.1應對風險和機遇的措施 6.1.1確定風險和機遇 6.1.2應對風險和機遇 6.2業務連續性目標及實現計劃 6.2.1確立業務連續性目標 86.2.2確定業務連續性目標 6.3業務連續性管理體系變更的策劃 7支持 7.1資源 7.1.1總則 7.1.2BCMS資源 97.2能力 7.3意識 27.4溝通 7.5文件化信息 7.5.1總則 7.5.2創建和更新 7.5.3文件化信息的控制 8運行 8.1運行的策劃和控制 8.1.1總則 8.1.2業務連續性管理 8.1.3保持業務連續性 8.2業務影響分析和風險評估 8.2.1總則 8.2.2業務影響分析 8.2.3風險評估 8.3業務連續性策略和解決方案 8.3.1總則 8.3.2確定策略和解決方案 8.3.3選擇策略和解決方案 8.3.4資源要求 8.3.5實施解決方案 8.4業務連續性計劃和程序 8.4.1總則 8.4.2響應結構 8.4.3預警和溝通 8.4.4業務連續性計劃 8.4.5恢復 8.5演練方案 8.5.1總則 8.5.2演練方案設計 8.5.3演練業務連續性計劃 8.6業務連續性文件和能力評估 8.6.1總則 8.6.2測量有效性 8.6.3結果 9績效評價 9.1監視、測量、分析和評價 9.1.1總則 9.1.2保留證據 9.1.3績效評價 9.2內部審核 9.2.1總則 9.2.2審核方案 9.3管理評審 9.3.1總則 39.3.2管理評審輸入 9.3.3管理評審輸出 10.1不符合和糾正措施 10.1.1總則 10.1.2不符合的發生 10.1.3保留文件化信息 4010.2持續改進 40 41本文件按照GB/T1.1—2009給出的規則起草。本文件使用翻譯法等同采用ISO22313:2020《安全與韌性業務連續性管理體系指南》。本文件由全國公共安全基礎標準化技術委員會（SAC/TC351）提出并歸口。本文件起草單位：本文件主要起草人：0.1總則本文件旨在為GB/T30146中規定的要求提供指導，而非為業務連續性的所有方面提供通用指南。本文件雖然和GB/T30146包括相同的章節標題，但不會重述要求以及相關術語和定義。本文件旨在解釋和澄清GB/T30146要求的含義和目的，并協助解釋所有理解上的問題。本文件中引用并提供補充指導的國際和國家標準和技術規范包括GB/T35625、GB/T38299、GB/T40054、ISO22330、ISO22331及GB/T38209。這些文件的范圍可能超出GB/T30146的要求。因此，組織宜始終參考GB/T30146來驗證所要滿足的要求。本文件使用的圖示是為了進一步闡明和解釋要點。這些圖示僅用于說明性目的，相關內容優先參考本文件正文。業務連續性管理體系（BCMS）強調以下重要性：——建立與組織目標一致的業務連續性方針和目標；——運行和維護流程、能力與響應結構，確保組織能夠在中斷時能夠生存；——監視和評審BCMS績效和有效性；——基于定性和定量測量的持續改進。業務連續性管理體系與其它管理體系類似，包括以下組成部分：a)方針；b)有明確責任、能勝任的人員；c)與以下相關的管理過程：2)策劃；3)實施和運行；4)績效評價；5)管理評審；6)持續改進。d)支持運行控制和績效評價的文件化信息。業務連續性對一個組織而言是特定的，不過它在實施中可能會涉及到更廣泛的群體和第三方。一個組織很可能有它依賴的和依賴它的外部組織。有效的業務連續性有助于構建更具韌性的社會。0.2業務連續性管理體系的收益BCMS提高了組織在中斷期間持續運行的應急準備水平。它還能改善對組織內部和外部關系的理解，與相關方進行更好的溝通，并創造持續改進的環境。按照本文件中的建議和GB/T30146的要求來實施BCMS有許多其他的收益。——按照第4章(“組織環境”)中的建議，該組織：——評審其戰略目標，以確保BCMS支持這些目標；——重新考慮相關方的需求、期望和要求；——了解適用的法律法規和其他義務。——按照第5章（“領導力”），該組織：——重新考慮管理的角色和責任；——推動建設持續改進的文化；——分配績效監控和報告的責任。——按照第6章（“策劃”），該組織：——重新調查其風險和機會，并找到應對和利用它們的措施；——建立有效的變更管理。——按照第7章(“支持”)，該組織：——建立對BCMS資源(包括能力管理)的有效管理；——提高員工對管理重要事項的認識；——具有有效的內部和外部溝通機制；——有效地管理文檔。——按照第8章（“運行”），需要組織考慮：——變化的意外后果；——業務連續性優先順序和要求；——依賴關系；——從影響角度看待脆弱性；——中斷風險，并確定最佳應對方法；——在資源有限的情況下業務運行的替代方案；——處理中斷的有效結構和程序；——對社會和其他相關方的責任。——按照第9章(“績效評價”)，該組織：：——具有有效的績效監控、測量和評估機制；——讓管理者參與監控BCMS的績效，并為其有效性作出貢獻。——按照第10章(“改進”)，該組織：——具有監控績效和提高有效性的程序；——受益于管理體系的持續改進。因此，實施BCMS可：a)保護生命、財產和環境；b)保護和提高組織的聲譽與信譽；c)有助于組織提高競爭優勢，使其能夠在中斷期間運行；d)減少因中斷而產生的成本，并提高組織在中斷期間有效運行的能力；e)有助于組織的整體韌性建設；f)有助于使相關方對組織的成功更有信心；g)減少組織的法律和財務風險；h)展示組織管理風險和解決運行漏洞的能力。0.3策劃-實施-檢查-改進（PDCA）循環本文件采用策劃-實施-檢查-改進（PDCA）循環來策劃、建立、實施、運行、監視、評審、保持和持續改進組織BCMS的有效性。有關PDCA循環的說明見表1。圖1說明了BCMS如何把相關方的業務連續性管理要求作為輸入，并通過必要的措施和過程，產生滿足這些要求的業務連續性成果（即受控的業務連續性）。表1PDCA循環說明策劃（建立）建立與改進業務連續性相關的業務連續性方針、目標、控制、過程和程序，以實現與組織的總方針和目標相一致的結果。實施（實施和運行）實施和運行業務連續性的方針、控制、過程和程序。檢查根據業務連續性方針和目標，監視和評審業務連續性的績效，并將結果報告管理者（監視和評審）以供審核，確定并授權采取補救和改進措施。改進（保持和改進）根據管理評審的結果和對BCMS范圍、業務連續性方針和目標的重新評估，采取糾正措施，以持續改進BCMS。業務連續性管理體系（BCMS）的持續改進建立（策劃）實施和運行（實施）保持和改進（改進）監視和評審（檢查）實施和運行（實施）保持和改進（改進）監視和評審（檢查）求圖1應用于BCMS過程的PDCA循環0.4本文件中PDCA組成部分本文件中各章節和圖1內容間對應關系如表2所示。表2PDCA循環與第4章到第10章之間對應關系PDCA組成部分與PDCA組成部分對應的章節策劃（建立）并考慮所有相關的外部和內部因素，包括：—相關方的需求和期望；—法律法規義務；—BCMS所要求的范圍。責任和權限方面的關鍵作用。溝通和文件化信息。實施（實施和運行）檢查（監視和評審）處置第10章（“改進”）包括解決通過績效評價發現的不符合的糾正措施。V（保持和改進）0.5本文件的內容本文件目的不是要制定統一的BCMS結構，而是為組織設計一個適合組織自身需要和滿足其相關方要求的BCMS。這些需求由法律、法規、組織和行業要求、產品和服務、所采用的過程、運行環境，組織的規模和結構以及相關方的要求等構成。本文件不可用于評估組織的能力是否滿足其自身業務連續性要求，也不能用于評估是否滿足其客戶、法律法規的要求。希望這樣做的組織可以使用ISO22301中的要求。本文件第1至3章規定了本文件使用的范圍、規范性引用以及術語和定義。第4至10章包含對GB/T30146中給定要求的指導。在本文件中，使用的動詞形式如下：a)“宜”表示建議；b)“可”表示允許；c)“能”表示一種可能或能夠。0.6業務連續性業務連續性是在中斷事件發生后，組織在預先定義的可接受的水平上連續交付產品或提供服務的能力。業務連續性管理是實施和保持業務連續性的過程（見8.1.2和圖5）,以預防損失，并為中斷做好準備、減輕和管理。建立BCMS使組織能夠控制、評估和持續改進其業務連續性。本文件中，“業務”一詞泛指組織為實現其目標、目的或使命而開展的運營和服務。該詞同樣適用于大、中、小型的工業、商業、公共和非盈利組織。中斷有可能中斷組織的整個運營及其交付產品和服務的能力。但是，在中斷發生前實施BCMS，而不是在事件發生后以非計劃的方式進行響應，將使組織能夠在所受影響尚未嚴重到不可接受之前重續運業務連續性管理包括：a)確定組織的產品和服務，以及交付這些產品和服務的活動；b)分析不重續活動及其所依賴的資源的影響；c)了解中斷的風險；d)確定重續產品和服務交付的優先順序、時間范圍、能力和策略；e)制定解決方案和計劃，在中斷發生后所要求的時間范圍內重續活動；f)確保這些計劃得到定期評審和更新，從而使其在各種情況下都有效。組織的業務連續性管理方法及其文件化信息宜與其環境(例如，運營環境、復雜性、需求、資源)相適應。業務連續性在處理突發中斷（例如爆炸）和漸進中斷（例如大流行病）時都是有效的。能夠造成活動中斷的事件非常多，其中許多是難以預測和分析的。由于業務連續性關注中斷帶來的影響而不是其產生的原因，所以業務連續性使組織能夠確定對其履行義務重要的活動。通過業務連續性，組織能認識到在中斷發生前需要做什么準備來保護其資源（例如：人、場地、技術和信息）、供應鏈、相關方以及聲譽。基于該認識，組織能夠將響應結構落實到位，從而有信心管理中斷的影響。圖2和圖3從概念上來說明在某種情況下業務連續性是如何有效地減輕影響的。兩圖中所示的各個階段之間的相對距離并不表示特定的時間尺度。VI運行水平運行水平在可接受的時間內恢縮短中斷復到可接受的水平開展業務連續性管理無業務連續性管理影響變得不可接事件恢復時間目標影響變得不可接受的時間點圖2業務連續性對突發中斷有效的圖示VII運行水平運行水平在可接受的時間內恢復到可接受的水平縮短中斷有業務連續性應無業務連續性最低能力影響變得不可接受的時間點預警事件影響變得不可接受的時間點圖3業務連續性對漸進中斷有效的圖示（如：即將爆發的大流行病）1安全與韌性業務連續性管理體系指南本文件為應用GB/T30146給出的業務連續性管理體系(BCMS)的要求提供了指南和建議。這些指南和建議以良好的國際實踐為基礎。本文件適用于組織：a)實施、保持和改進BCMS；b)意圖與組織的業務連續性方針保持一致；c)需要能夠在中斷期間以可接受的預定義能力繼續交付產品和服務；d)意圖通過有效應用BCMS來增強其韌性。本文件適用于所有規模和類型的組織，包括大、中、小型從事工業、商業、公共和非盈利等組織，采用的方法取決于組織的經營環境和復雜性。2規范性引用文件下列文件的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，凡是注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T44483安全與韌性術語GB/T30146安全與韌性業務連續性管理體系要求3術語和定義GB/T44483、GB/T30146界定的以及下列術語和定義適用于本文件。ISO和IEC在以下地址保存了用于標準化的術語數據庫：——ISO在線瀏覽平臺：/obp——IEC電子百科：/3.1業務連續性管理實施和保持業務連續性的過程。4組織環境4.1理解組織及其環境本章為了解BCMS相關的組織環境提供建議。建立和保持業務連續性的建議見8.1。組織宜評估和了解與其總體目標、產品和服務、可能（或不可能）面臨風險的數量和類型有關的內部和外部事項（包括需要考慮的正面和負面因素或條件）。組織在實施和保持其BCMS時宜考慮這些信息并排列優先級。組織相關的外部環境包括：——國際、國家、地區或本地的政治、法律和監管環境；——社會和文化方面；——國際、國家、地區或本地的財政、科技、經濟、自然和競爭環境；——供應鏈的承諾和關系（見GB/T38299）；——影響組織目標和運行的驅動因素（如：風險，技術）和趨勢；——組織外部相關方的關系、觀念和價值觀；——用于明確和形成這些關系的溝通渠道，包括社交媒體。組織相關的內部環境包括：——產品和服務、活動、資源、供應鏈以及和相關方的關系；——資源和知識方面的能力（如資金、時間、人員、過程、系統和技術——現有的管理體系；——信息和數據（以實物或電子形式存儲）以及決策制定過程（正式和其他的）——組織內部相關方，包括內部供應商[考慮服務等級協議(SLA)、已評估的韌性和恢復安排]，見GB/T38299；——方針和目標，以及實現它們的業務策略；——未來機遇和業務優先級；——觀念、價值觀和文化；——組織采用的標準和參考模型；——組織結構（如：治理，角色和職責）；——用于在員工之間交換信息的內部溝通渠道（如：社交媒體）。4.2理解相關方的需求和期望4.2.1總則組織對組織內外的廣泛人員負有關注義務(見ISO/TS22330)。在建立BCMS時，組織宜確保考慮所有相關方的需求和要求。組織宜識別與其BCMS相關的所有相關方（見圖4），并基于他們的需要和期望確定他們的要求。識別強制的、闡明的和隱含的要求很重要。當策劃和實施BCMS時，識別相關方適用的措施是很重要的，也有所差別。例如，在中斷事件發生后與所有相關方進行溝通可能是合適的，而建立和管理業務連續性管理（見8.1.2）時與所有相關方進行溝通可能是不合適的。服務供應商 服務供應商圖4公共和私營部門需考慮的相關方的示例4.2.2法律和法規要求本文件應用的前提是了解適用的法律和法規要求。這些要求可能是隱含的、闡明的或強制性的。有關這些要求的信息宜形成文件，并隨時更新。新的要求或對現有要求的變更宜通知受影響的員工和其他相關方。組織宜表明其可以獲得與運營相關的現行和待定的法律法規要求，以及如何滿足這些要求。要求可能包括：a)事件響應，包括應急管理和其他相關法律；b)業務連續性，可能規定方案的范圍、恢復的程度或速度；c)風險，定義風險管理的范圍或方法的要求；d)危險（如與危險品存放場所相關的運行要求）。多場所經營的組織還要滿足不同司法管轄區的要求。4.3確定BCMS的范圍44.3.1總則確定BCMS范圍的目的是識別其邊界和適用性，以確保覆蓋所有相關產品和服務、活動、場所、資源、供應商和其他依賴關系。范圍宜包括4.1中確定的事項、4.2中確定的相關方要求、以及組織的使命、目標和義務。組織宜準備一份聲明，以適合組織規模、性質和復雜性的方式，描述BCMS的范圍。該聲明宜提供給相關方。4.3.2BCMS的范圍組織宜：a)參考產品和服務，確定BCMS范圍包含或排除組織的哪些部分，如：1)僅包含向一個國家或地區交付特定產品；2)排除一個不再經營或對組織價值不高的產品；3)僅包含產品及服務的一部分；b)通過識別所有相關活動、資源和供應鏈的方式來識別組織的產品和服務；范圍可以：——包括BCMS將應對的事件規模或嚴重程度的說明；——識別BCMS如何融入組織的業務戰略和風險管理方法。4.3.3范圍刪減范圍確定了BCMS適用的場所、產品和服務、活動和資源。即使沒有在范圍聲明中明確確定，所有依賴關系也都在范圍內。例如，如果一家制造公司將一款產品納入其BCMS范圍，那么在任何場所直接或間接參與向客戶交付該產品的原材料供應、加工、交付和所有支持功能(如數據處理，采購和人力資源)，都將包含在范圍內。刪減的范圍不宜影響組織滿足由業務影響分析（見8.2.2）確定的業務連續性要求的能力。不能刪減交付范圍內產品和服務必需的活動、資源和供應鏈。BCMS范圍的刪減宜形成文件并闡明原因。如將BCMS整合到現有的管理體系中，組織宜確保BCMS的所有要素都包括在內。4.4BCMS本節的目的是強調組織實施和保持過程的必要性，使BCMS能夠滿足GB/T30146的要求，其中包括過程之間的相互作用。在確定過程及其在整個組織中的應用時，組織宜：a)確定這些過程中所需的輸入和預期的輸出；b)確定這些過程的順序和相互作用；c)確定和應用確保這些過程有效運行和控制所需的標準和方法（包括監視、測量和相關績效指標）；d)確定這些過程所需的資源并確保其可獲得性；e)分配這些過程的職責和權限；f)應對6.1中確定的風險和機遇；g)評估這些過程，并實施所需的變更，以確保這些過程達到預期的結果；h)改進過程和BCMS。必要時，組織宜：——維護文件化信息以支持其過程的運行；——保留文件化信息以確保過程正在按計劃進行。5領導力5.1領導力和承諾5.1.1總則組織的各級管理者宜證明他們在職責范圍內的領導力和承諾。5.1.2最高管理者最高管理者宜通過以下方式證明其領導力和承諾：a)分配管理角色并確保其履行職責（見5.1.3）；b)建立業務連續性方針（見5.2）；c)任命一名或多名具有適當權限和能力的人員負責BCMS，并對其有效運行負責（見5.3）；d)傳達業務連續性和符合BCMS要求的重要性；e)提供必要的資源，包括適當的資金水平（見7.1）；f)促進持續改進（見10.2）；g)確保實現BCMS的預期結果；h)為其他級別的管理者提供支持，使他們能夠證明其在職責范圍內的領導力和承諾。5.1.3其他管理角色其他管理層宜通過下列方式展現其領導力和承諾：a)建立與組織戰略目標相適應的業務連續性目標（見6.2）；b)將BCMS要求整合到組織的業務過程中（見8.1）；c)了解適用的法律、法規和其他要求（見4.2.2）；d)建立BCMS的角色、職責和能力（見5.3和7.2）；e)實現BCMS的預期結果；f)積極參與演練項目（見8.5）；g)進行BCMS內部審核（見9.2）；h)對BCMS進行有效的管理評審（見9.3）；i)指導并支持BCMS的改進（見第10章）。也可以通過以下方式證明其管理承諾：——通過指導委員會參與運營；——將業務連續性作為管理會議的常設議題。5.2方針5.2.1建立業務連續性方針最高管理者宜根據組織的目標和義務確定業務連續性方針，并確保其：a)是最高管理者對BCMS的意圖和方向的簡明、高層聲明；b)符合組織的宗旨（與組織的規模、性質和復雜度相適應并反映組織的文化、依賴關系和運行環境）；c)為目標的制定提供框架；d)包含遵守相關適用要求的明確承諾，包括法律和法規所規定的義務；e)包含持續改進BCMS的承諾；方針宜：——明確組織業務連續性的范圍和邊界，包括限制范圍和刪減范圍（見4.3——識別權限和授權要求，包括負責組織BCMS的人員或人群（見5.3）；——包括參考的標準、指引、法規或者BCMS宜考慮或遵從的方針。業務連續性方針可包括：——資金承諾；——所參考的其它相關方針；——實施業務連續性的要求；——演練和保持業務連續性的承諾。對于已有管理體系的組織，可能適合將BCMS方針與其他管理體系的方針整合。組織宜制定適當的規定來審批方針、保存相關文件化信息，并定期（如每年度）和當內外部因素發生顯著變化時（如最高管理者變更或引入新法規）對方針進行評審。這些規定的適用性取決于組織的規模、復雜性、性質和范圍。5.2.2傳達業務連續性方針業務連續性方針宜：a)可獲得并作為文件化信息保存；b)在組織內部得到傳達、理解和應用；c)經管理層批準提供給相關方。5.3角色、職責和權限最高管理者宜確保在BCMS內對職責和權限進行分配和傳達。最高管理者中宜有一人負責BCMS。組織的最高管理者可以任命其他機構（如指導委員會）監督BCMS的實施和持續監控。就其他職責而言，宜任命代表，明確其角色、職責和權限，以：——確保BCM符合業務連續性方針；——向最高管理者匯報BCM的績效以便于評審并作為改進的基礎（見第9章和第10章——在組織中提升業務連續性的意識（見7.3）；——確保制定的事件響應程序有效（見.2）。管理代表可：——被授予特定職務（如：“業務連續性經理”、“業務連續性官”或“韌性經理”——在組織中負有其他職責；——來自于組織的任何領域。7可指派來自于組織每個職能部門或區域的代表來協助實施BCMS（如負責風險相關事務的人員）。他們的角色、義務、責任和權限宜寫入其工作職責描述中，并通過將其納入組織的評估、獎勵和表彰政策而得到加強。表3列舉了適用于BCMS的角色和職責的示例。注：適合于應對事件和恢復活動團隊和可能的角色和職責示例見表5（見8.4.4）。根據組織的規模，表3中列出的角色和職責可以用不同的方式設置。重要的是要確保所有的責任都有角色擔任，并有一個負責人。BCM的所有角色、職責和權限都宜被明確、存檔和審核。表3BCM角色和職責示例角色職責最高管理者代表——負責BCMS工作——在管理評審中代表業務連續性管理者業務連續性經理——負責BCMS工作——建立并證明對業務連續性方針的承諾——領導所有的項目活動，并協調職能部門——提名具有適當資歷、權限和能力的團隊成員——協助審批解決方案、程序和演練方案——在管理評審會議上提出團隊建議業務連續性管理團隊——在整個組織中實施業務連續性管理——維護文件化信息——確保及時評審方案——評估各職能部門的業務連續性——組織和協調業務連續性意識方案——制定演練方案并尋求相關部門的批準——進行演前簡報和演后匯報——隨時向相關方通報方案情況——確保演練按演練計劃進行——確保內部審核和管理評審按時進行——維護與職能部門的關系，并在中斷期間保持聯系——確保及時實施糾正措施計劃——推進職能代表/協調員的工作職能代表——維護業務連續性程序——向業務連續性經理通報準備狀態——根據指示執行并報告方案活動——確認供應商的連續性計劃已經測試和維護——協調人員參加演練——保持業務連續性演練記錄——隨時通知團隊可能影響業務連續性的變更——向業務連續性經理匯報糾正措施的進展情況6策劃6.1應對風險和機遇的措施注：本條款中的指南涉及BCMS的有效性。關于優先活動被中斷的風險指南見8.2.3。86.1.1確定風險和機遇確定和應對風險與機遇使組織能夠：a)確保BCMS能夠實現其預期結果；b)預防或減少不良影響；c)實現持續改進。組織宜確定措施以處理4.1中確定的事項、4.2中確定的相關方的需求和期望、以及4.2.2中確定的法律法規要求。該決定宜包括考慮風險和機遇及其對BCMS有效性的潛在影響。風險和機遇可能來自：——缺乏最高管理者的領導和承諾；——BCMS資金不足導致響應不力；——文件化信息不足；——缺乏有能力的人員；——管理評審過程不到位；——無法進入需要業務連續性的新領域。6.1.2應對風險和機遇組織宜以下列方式策劃應對這些風險和機遇所需的措施：——預防意外結果；——利用一切機遇改進BCMS；——將這些措施在BCMS的過程中進行整合（見8.1）；——確保可獲取文件化信息以評估措施有效（見9.1）。6.2業務連續性目標及實現計劃6.2.1確立業務連續性目標組織宜確立實施和保持業務連續性管理的目標（見第8章）。這些目標宜與組織的總體目標相一致，并宜確定職責以及設定適當的、現實的完成目標。計劃宜在整個組織內傳達。宜監控并記錄其進展情況。隨著BCMS的發展，宜定期評審該計劃，并在適當時予以更新。。6.2.2確定業務連續性目標在確定業務連續性目標時，組織宜確保明確規定：a)要做什么；b)需要的資源；c)由誰負責；d)完成日期；e)如何評估結果。以下業務連續性目標的示例在某些情況下符合GB/T30146規定的要求：——“最高管理者將分配必要的資源，以確保按期為所有產品和服務建立符合GB/T30146的BCMS。”；——“A總監將與XXX咨詢公司合作，按期為指定產品和服務獲得GB/T30146認證。”；——“最高管理者將利用現有資源確保，按期擁有符合GB/T30146的業務連續性，以滿足我們對指定客戶的義務。”；——“IT總監將與我們的供應商合作，將支持指定產品和服務的活動的恢復時間縮短10%，并如期實現。”；——“在不動用額外資源的情況下，生產經理將按期準備好符合GB/T30146并保護指名產品和服務的業務連續性管理。”。6.3業務連續性管理體系變更的策劃變更管理是所有管理過程都要考慮的重要事項。宜仔細策劃BCMS的變更，包括10.1中確定的變更，以確保預期目的得到充分研究和理解。其中宜考慮包括提議變更的后果、預期的和意外的后果、同時確保BCMS的完整性。組織還宜確保可獲得適當和充分的資源，必要時分配或重新分配責任和權限。7.1資源7.1.1總則組織宜確定BCMS所需的資源并確保資源可用，這些資源可：a)實現其業務連續性方針和目標；b)滿足組織的變化要求；c)能就BCMS相關事宜進行有效的內外部溝通；d)為BCMS的持續運行和持續改進提供支持。宜及時有效地提供資源。7.1.2BCMS資源當識別BCMS所需的資源時，組織宜提供適當的：a)人員及相關資源，包括：1)履行BCMS角色和職責所需的時間；2)培訓、教育、意識和演練；3)BCMS人員的管理。b)設施，包括適當的工作場所和基礎設施；c)信息通信技術（ICT），包括支持有效和高效方案管理的應用程序；d)管理和控制所有形式的文件化信息；e)與相關方進行溝通（見圖4）；f)財務和資金。資源及其分配宜定期評審以確保資源充足。該評審最好有最高管理者的參與。7.2能力組織宜建立一個適當而有效的體系來管理在該體系控制下承擔BCMS工作的人員的能力。管理層宜確定所有BCMS角色和職責的能力要求以及需要達到的意識、知識、理解力、技能和經驗。在組織內被分派角色的所有人員宜證明其具有所要求的能力，并且提供了培訓、教育、發展和其他所需的支持。這可被稱作“能力發展方案”，該方案可包括：——對所承擔的角色進行能力評估；——建立個人發展方案以確定達到能力所需的培訓、教育、發展和其他支持；——提供培訓和輔導，包括挑選適當的方法和資料；——績效評價；——知識分享；——工作分擔；——雇傭或與能勝任人員簽訂工作合同；——目標團隊的培訓；——記錄并監督所接受的培訓；——根據培訓需求和要求對所接受的培訓進行評估以證明與BCMS培訓要求相一致；——必要時，改進發展方案。組織宜有識別和交付所有參與者的業務連續性培訓需求，并對其交付的培訓效果進行評估的過程。建立、管理和保持BCMS的適當的培訓類型如下：——建立并管理業務連續性管理體系；——開展業務影響分析；——開展風險評估；——溝通技能；——項目管理；——開發和實施業務連續性文檔；——執行演練方案。通過以下方式可加強能力：——將BCMS的業績納入組織的獎勵和認可過程；——將BCMS業績納入組織的績效和評價過程；——將BCMS的角色、義務、責任和權限納入組織的職位描述和技能要求；——業務人員和最高管理者要積極參與演習、演練和測試。組織宜要求承包商證明在其管理下工作的人員具備BCMS所要求的能力并能勝任他們所履行的響應角色。。7.3意識組織宜確保在其管理下工作的人員（如：員工、承包商、供應商）了解業務連續性方針和業務連續性目標，以及：——如何減少中斷事件的可能性及其在事件發現、緩解、自我保護、疏散、響應、連續性和恢復中的角色；——遵守業務連續性方針和程序的重要性；——對供應商和外部合作伙伴的依賴性以及與業務目標相關的風險；——組織運營的變化所帶來的影響；——他們對BCMS有效性的貢獻，包括改進BCM績效的收益；——他們在實現其要求中的角色和職責。組織宜在組織文化中建立、推動和融入業務連續性管理，以：——使其成為組織核心價值觀和管理的一部分；——使相關方了解業務連續性方針以及他們在相關程序中的角色。一個將業務連續性管理融入其文化中的組織將：——更有效地開展業務連續性；——使相關方（尤其是員工和客戶）相信組織有能力處理中斷事件；——通過確保在各級決策中都考慮了業務連續性理念來增強組織的韌性；——降低中斷的可能性和影響。將業務連續性管理融入組織文化要依靠：——組織全員參與；——在整個組織中傳播領導力；——責任分配；——績效指標的衡量；——將業務連續性融入組織日常管理實踐；——意識提升；——技能培訓；——對業務連續性計劃進行演練。意識方案可包括：——與組織中所有員工就建立和管理業務連續性管理進行討論的過程；——在組織內部的通訊、簡報、介紹方案或刊物（包括新員工入職培訓）中討論業務連續性；——將業務連續性納入相關網頁；——將業務連續性管理納入員工和管理團隊會議的議題；——對事后報告的選擇性地公開發布；——向最高管理者做簡報；——參觀選定的備用場所（如恢復場所）；——定期與供應商溝通，以確保他們了解組織的業務連續性要求，并能證明他們有能力滿足約定的連續性能力。業務環境和運營的變化會影響業務連續性活動的策劃、設計和實施的方法。組織可通過積極參與行業業務連續性相關活動來證明對業務連續性管理趨勢的認知，可包括：——成為行業利益團體成員；——成為會議組織委員會成員；——在會議和研討會上發言；——參加本地或國際業務連續性會議。7.4溝通組織宜確定與BCMS相關的溝通事宜。與BCMS相關的溝通使組織能夠響應相關方的需求和期望（見4.2）。為使溝通有效，組織宜確定并在適當時制定確定下列事項的標準：a)溝通內容：根據組織的性質和情況，可能需要就BCMS進行溝通。如一些組織有法律法規義務進行溝通。b)溝通時間：可能存在一些閾值，超過這個閾值，組織就必須進行溝通，組織的環境可決定宜溝通的頻次。c)溝通對象：所有相關方都需要進行溝通，因此重要的是對每個相關方，確定必須溝通的情況以及溝通的優先順序。d)溝通方式：提前確定溝通的方法、工具和渠道，包括備選方案，使組織能夠有效溝通。e)溝通執行人員：組織宜確定其發言人，指定特定人員作為溝通聯絡人。在供應商和客戶的通訊和簡報里，組織也可對其BCMS和業務連續性的安排進行介紹。組織宜將有效的外部溝通作為其意識方案的一部分（見7.3），并在事件響應過程中提供有效的外部溝通（見8.4.4）。7.5文件化信息7.5.1總則GB/T30146要求的文件化信息可為管理體系滿足要求以及有效運行的證據。“程序”指完成某項活動或過程的具體方法。“文件化程序”是指該程序宜在合適的介質上建立并維護。單個文檔可解決一個或多個文件化程序的要求，文件化程序的要求可能包含在多個文檔中。文件化信息包括：——對組織及其環境的理解（見4.1——法律、法規要求（見4.2.2）；——BCMS的范圍和刪減范圍（見4.3——方針（見5.2）；——業務連續性目標和實現計劃（見6.2——能力（見7.2）；——業務影響分析和風險評估（見8.2）；——業務連續性策略和解決方案（見8.3）；——業務連續性計劃和程序（見8.4——演練方案（見8.5）；——監視、測量、分析和評估（見9.1——內部審核（見9.2）；——管理評審（見9.3）；——不符合和糾正措施（見10.1）。此外，為確保BCMS的有效性，文件化信息可包括：——客戶協議和服務等級；——業務影響分析的結果；——風險評估的結果；——業務連續性解決方案的確定和選擇；——事件響應概述；——意識方案；——與員工和相關方就BCMS及事件進行的溝通，如通訊、會議紀要和警報；——組織和個人的培訓方案；——演練進度表；——與供應商的合同和服務級別協議；——承包商和供應商的業務連續性方針和計劃，包括對其供應商進行風險監測的證據，以及其供應商的連續性計劃得到保持和實施的證據；——承包商和供應商的通知和響應程序；——檢驗、保持和校正的證據；——已發生事件和未遂事件的報告；——BCMS評審會議記錄。7.5.2創建和更新為了滿足創建和更新文件化信息的要求：——文件化信息宜清楚標識（如姓名、參考編號、描述、日期、作者、版本）；——組織宜指定可接受的格式（如語言、軟件版本、圖形）及用于儲存文件化信息的媒介（如紙質、）；——使用的格式和媒介宜經過應經過評審和批準，以確保其適宜性和充分性。。BCMS文件化信息的范圍可能會根據組織的以下因素而有所不同：——組織的規模、產品和服務以及所從事的活動類型；——活動的復雜性及其相互關系；——人員的能力。7.5.3文件化信息的控制訪問文件化信息所有要求的文件化信息宜受控。控制文件的目的是確保組織以適當和充分的方式創建、維護和保護文件，以實施和運行BCMS。宜主要關注該目的，而不是建立一個復雜的文件控制系統。保護的例子包括防止文件在沒有適當授權的情況下被損壞、修改和意外刪除。可設置不同的訪問等級和組合（如只讀、讀寫以及限制閱讀）。組織也可根據其敏感性（如限制、機密、保護）對其文件化信息進行分類。如在涉及內部勞動力中斷的業務連續性解決方案中，或在業務連續性計劃和程序包含競爭對手敏感信息時，可能需要分類。控制類型宜建立一個文件化的程序來確定需要的控制措施以：——分發文件化信息；——提供文件化信息訪問（訪問包括，例如，批準和授權查看或更改文件化信息——發布前審批文件的充分性；——評審和更新以及必要時重新審批文件；；——確保文件的變更內容及其當前的修改狀態得到確認；——確保適用的文件版本在使用時的可用性；——確保文件的清晰易讀；——確保組織確定的為策劃和運行BCMS所需的外部文件得到識別，并這些文件的分發受控；——避免意外使用過期文件，如這些文件因為某種原因需要加以保留，則宜提供適當的識別方法；——設置文件保存和歸檔的編號；——確保對機密信息的保護和保密。組織宜確保文件化信息的完整性，防止對其進行篡改，進行安全備份，僅限授權人員訪問，并謹防損壞、變質和丟失。組織宜表明了解保存文件化信息相關的法律法規，并宜保留合規證據。8運行8.1運行的策劃和控制8.1.1總則組織宜確定、策劃、實施和控制所需的過程，以建立和保持業務連續性方針和目標，并滿足適用的需求（見第4章）和實施6.1中確定的措施。這些過程宜融入到組織的業務過程中，以確保它們得到適當的管理并保持其有效性。組織宜在過程中建立控制機制，包括：a)決定如何確定、策劃、實施和控制這些過程（如通過建立實施計劃并就實施業務連續性管理的方法論達成一致）；b)確保這些過程按照所做的決定得到實施，如設置項目里程碑并明確要求的交付物；c)保留文件化信息以證明這些過程已按策劃得到實施。組織宜確保策劃的變更受到控制，計劃外變更得到評審，并且采取了適當的措施。組織宜確保外包過程和供應鏈受控（見）。8.1.2業務連續性管理業務連續性管理包括以下要素，如圖5所示：a)運行的策劃和控制（見8.1）：有效地運行策劃和控制是業務連續性管理的核心。宜由最高管理者任命的責任人來領導。b)業務影響分析和風險評估（見8.2業務影響分析使組織能夠評估活動中斷對產品和服務交付的影響。以使組織能夠確定恢復的優先活動。了解優先活動中斷的風險，使組織能夠管對其管理。業務影響分析和風險評估的結果使組織能夠為其業務連續性策略和解決方案確定適當的參數。c)業務連續性策略和解決方案（見8.3）：確定和評估一系列業務連續性策略，使組織能夠確定降低風險和減輕優先活動中斷影響的解決方案，并處理任何發生的中斷。選定的業務連續性解決方案可以在可接受的能力(生產和服務水平)和在議定的時間范圍內重續產品和服務的交付。d)業務連續性計劃和程序（見8.4）：業務連續性計劃和程序使組織能夠根據其業務連續性要求管理中斷事件和繼續開展活動。宜有明確的響應結構，確定負責響應中斷的團隊（見8.4.2）。組織宜建立和實施預警和溝通（見8.4.3）、事件響應（見.2）和恢復（恢復正常運行見8.4.5）的計劃和程序。e)演練方案（見8.5）：演練方案使組織能夠驗證解決方案、計劃和程序的有效性。演練方案亦為機構提供機遇以：1)提升個人意識并發展能力；2)確保業務連續性和業務連續性程序是完整的、最新的和合適的；3)改進其業務連續性。f)評估業務連續性文件和能力（見8.6）：組織宜評估其業務連續性管理，以確保其有效性，并使組織能夠實現其業務連續性目標。業務連續性管理業務連續性策略和解決方案(8.3)業務影響分析業務連續性策略和解決方案(8.3)業務影響分析和風險評估(8.2)演練方案(8.5)運行的策劃和控制演練方案(8.5)運行的策劃和控制評估(8.6)業務連續性計業務連續性計劃和程序(8.4)圖5業務連續性管理要素8.1.3保持業務連續性保持有效的業務連續性包括：——確保業務連續性的范圍、角色和職責的持續相關；——適當時，促進業務連續性管理并將其融入組織和其他相關方；——管理與業務連續性相關的費用；——在BCMS內建立和監視變更管理和繼任管理；——安排或提供適當的員工培訓和意識宣貫；——維護與組織的規模和復雜度相適宜的方案文件。組織業務連續性安排的每個組成部分，包括文件都宜定期評審、演練和更新。當組織的運營環境、結構、場所、人員、過程或技術發生顯著變化，或者當某次演練或事件突顯不足時，這些安排也宜被評審和更新。組織可采取公認的項目管理方法來確保業務連續性管理得到有效的管理。確保業務連續性有效的方法包括：——實施最佳實踐；——管理演練方案；——統籌業務連續性計劃的定期評估和更新，包括評估或重做業務影響分析和風險評估；——確保業務連續性程序持續適合響應團隊的需求。8.2業務影響分析和風險評估8.2.1總則組織通過向客戶提供產品和服務來實現其目標。因此，重要的是要了解隨著時間的推移，中斷產品和服務（以及支持活動）的交付將對組織和相關方產生的不利影響。理解支持產品和服務的活動的相互關系和資源需求以及對它們的威脅也是很重要的。組織宜實施和維護系統分析業務影響（見8.2.2）和評估中斷風險（見8.2.3）的過程，組織從而能夠識別業務連續性策略和解決方案（見8.3）。當組織內部或其運行環境發生重大變化時，宜在計劃的時間間隔內評審業務影響分析和風險評估。只有對其優先活動的風險（見8.2.3）進行了評估后，組織就可以確定業務影響分析和風險評估的順序。8.2.2業務影響分析業務影響分析使組織能夠為恢復中斷活動設置優先級。它的主要目的是使組織能夠識別可能需要緊急行動的活動，并將其歸類為“優先”活動，當這些活動中斷時，如不能迅速恢復可能導致不可接受的不利影響。除了需要迅速恢復的活動，可能需要優先考慮其他活動。例如，一項活動不需要在6個月內恢復，但至少需要8個月才能恢復也需要優先考慮。因此，優先活動也可以被視為在其中斷前需要實施業務連續性解決方案的活動(見8,3.5)。本文件使用術語“優先活動”，但組織可使用自己的術語、時間段或優先順序。例如，可使用術語天”。優先順序可以是“高”、“中”和“低”，或“第一”、“第二”和“第三”。每個組織都以自己的方式描述其運行。例如，一個組織可將活動描述為組織為生產或交付其產品和服務而執行的任務或任務集（見圖6）。其他組織可能希望將產品和服務描述為由活動組成的過程創建的。分析宜涵蓋BCMS范圍內的所有活動。可對一組活動進行分析，例如，與特定產品和服務相關的活動（見圖6）。在進行業務影響分析時，使用的術語宜反映組織描述其自身運行的方式。/GB/T35625包含進行業務影響分析的進一步指導。作為技術規范，提出了一種階段性方法來滿足GB/T30146的要求。業務影響分析使組織能夠識別中斷將對其運行產生的不利影響，并編制(作為結果)一份關于業務連續性要求的聲明和理由。分析還使組織能夠：——了解其產品和服務以及交付活動；——為恢復產品和服務交付確定優先級和時間范圍；——識別業務連續性和恢復可能需要的資源；——識別相互依賴關系（包括內部和外部）。宜使用分析業務影響的過程來確定業務連續性的優先順序和需求。該過程宜包括明確業務影響分析的評估標準，包括影響的類型和考慮的時間方位。兩者都宜基于組織環境、業務目標和組織目標，并宜考慮相關方的需求。評估標準宜定期復查，并在變化時期更頻繁地復查。表4列舉了一些影響類型（可稱為“影響類別”）。表4影響類型示例類型描述財務類因罰款、罰金、利潤損失或市場份額減少而造成的損失聲譽類負面意見或品牌損害運行類業務運行流中斷的程度和持續時間法律法規類訴訟責任及吊銷營業執照合同類違約或違反組織間的義務業務目標類未能實現目標或利用機遇影響變得不可接受的時間可能從幾秒鐘到幾個月不等。時間范圍取決于組織產品和服務的時間敏感性。例如，為適應對時間非常敏感的產品，時間范圍可能為幾分鐘或幾小時。較長的時間范圍適合產品和服務時間敏感性較低的組織。活動中斷會導致產品和服務的交付受到間接的影響。例如，不能向供應商付款可能會損害組織的聲譽，并導致供應商拒絕供應貨物，從而妨礙產品生產或服務交付。產品和服務的需求每天都在變化，在本質上可是周期性的。與每周、每月或每年的最后期限或項目交付日期相關的活動通常有季節性變化和波峰波谷。考慮到間接后果，并假設中斷發生在最糟糕的時間，可確保評估最大的影響。由組織的最高管理者來確定組織不能接受的影響閾值。影響變得不可接受所需要的時間可稱為“最長可容忍中斷時間(MTPD)”、“最長可容忍時間”或“最大可接受中斷時間”。組織可接受的最低產品或服務水平可表示為“最小業務連續性目標(MBCO)”。業務影響分析還宜包括確定優先活動的依賴關系，使組織確保將其包含在風險評估中（見8.2.3并可用于確定業務連續性策略和解決方案（見8.3）。在選擇連續性解決方案（見8.3.3）之前，組織宜謹慎確定優先活動的資源需求（見8.3.4），因為優先活動的依賴關系可能與所選擇的連續性解決方案無關。業務影響分析的過程宜包括：a)定義與組織環境相關的評估標準，包括：1)影響的類型；2)時間范圍；b)確定支持組織產品和服務交付的活動；c)使用評估標準評估由于活動的中斷隨時間變化所造成的預期影響；d)估算活動無法恢復，影響變得不可接受的時間；e)在d)確定的時間內，設定以規定的最低可接受能力恢復活動的時間范圍（見圖2和圖3）；f)確定優先活動；g)確定優先活動的依賴關系，包括人員（見）、信息和數據（見）、建筑物、工作場所和相關公用設施（見）、設備和消耗品（見）、信息通信技術系統（見）、運輸和物流(見)、財務(見)，以及合作伙伴和供應鏈（見）；h)確定優先活動的相互依賴關系（例如，采購依賴于財務發放資金）。本文件中，恢復某個活動的時間范圍（見上文e）被稱為“恢復時間目標(RTO)”。設置一個活動的RTO可能還需要考慮：——對相關活動的依賴性；——恢復過程的復雜性。對于恢復過程復雜的組織，為可接受的能力范圍設置多個RTO可能是合適的。在考慮活動對信息和數據的依賴關系時，組織宜確保恢復活動所需的信息和數據是適當的最新的。組織可使用術語“恢復點目標(RPO)”來實現這一點。RPO是恢復某個活動使用的信息和數據以使該活動在恢復時能夠運行的時間點。RPO還可用于確定所需的備份頻率，以避免不可接受的數據和信息丟失，以及其他可能阻止活動恢復的正在進行的工作。ISO/IEC27031在確保電子化數據的流通方面提供了進一步的指南。ISO/IEC27002為確保數據的持續保密性、完整性和可用性提供了指南。宜記錄業務影響分析，包括：——確定法律、法規和合同要求（義務）及其對業務連續性要求的影響（見4.2.2——確認或修改組織的BCMS范圍(見4.3)；——評估隨時間變化對組織的影響，作為業務連續性要求(時間和能力)的理由；——識別產品與服務、活動與資源之間的關系；——識別優先活動所依賴的支持資源；——識別對其他活動、供應鏈、合作伙伴和其他相關方的依賴關系。信息可能來自：——采訪；——問卷；——研討會；——其他內部和外部來源。8.2.3風險評估注：本子條款與優先活動被中斷的風險相關，與BCMS有效性相關的風險見6.1。風險評估的目的是使組織能夠評估優先活動被中斷的風險，以便采取適當的措施應對風險。組織宜實施和維護一個正式的風險評估過程，系統地識別、分析和評估破壞組織優先活動的風險，以及支持這些活動的過程、體系、信息、人員、資產、供應商和其他資源。風險評估是一個結構化，在決定可能需要的進一步處理之前，分析風險的可能性和后果的過程。結構化過程試圖回答一些基本的問題，如：——會發生什么？——發生的可能性有多大？——會有什么后果？——有什么方法可減輕后果或降低這種可能性？該過程宜考慮組織環境以及相關方的需求和期望(見4.1和4.2)。組織宜了解與組織活動所需資源相關的威脅和脆弱性，特別是：——識別為高優先級的活動所需的資源；——資源更換交付周期長于活動恢復時間目標。組織宜選擇適當的方法識別、分析和評估可能導致中斷的風險。GB/T24353給出了風險管理的原則和相關指南。本文件宜包含的典型要素如下：a)識別風險：識別組織優先活動和支持這些活動的過程、體系、信息、人員、資產、供應商和其他資源的潛在風險源，可能來自于：1)在某種情況下可能破壞活動和資源的具體威脅（如：火災、洪水、電力中斷、員工流失、員工缺勤、電腦病毒和硬件故障等）；2)由資源脆弱性（如單點故障、消防防護不充分、電力韌性不足、人員配備不足，IT安全水平和韌性低下）引起的中斷。b)風險分析：了解風險，以便對其進行評估和確定適當的處理方法。宜包括：1)考慮風險的原因和來源，正面和負面后果的可能性，以及其他因素可能對這種可能性產生的影響；2)確定風險主要根據風險的可能性和預期后果，但也要考慮現有控制措施的有效性和效率。分析的關鍵參數是可能性，因此宜考慮其有效性的可信度（根據專家之間的意見分歧、不確定性、可用性、信息的質量、數量和持續相關性，或建模的局限性），并提請決策者和其他有關方面注意。分析可以是定性、半定量或定量的。c)風險評估：評估哪些與中斷有關的風險需要處置。宜關注高優先級或重要替代物交付時間的活動需要的資源；組織宜了解要求傳達這些結果的財務、監管/立法或政府義務。此外，某些社會層面的要求也保證在適當的詳細程度上共享這些信息。8.3業務連續性策略和解決方案8.3.1總則業務連續性策略是組織滿足其業務連續性要求的可能方法。——業務連續性策略宜包含至少一個業務連續性解決方案，但也可能需要多個解決方案來滿足業務連續性要求。——業務連續性解決方案包括實施業務策略的方法、安排、方式、程序、處置方法和措施。解決方案可用于多種策略。業務連續性策略和解決方案：a)使組織能夠在規定的時間范圍內以可接受的能力恢復業務運行；b)確定組織可以實施并隨時間改進、用來緩解中斷相關風險的能力。確定業務連續性策略和選擇業務連續性解決方案時，宜基于業務影響分析(見8.2.2)和風險評估(見8.2.3)，并考慮相關成本。組織宜制定程序來確定和選擇業務連續性策略和解決方案，包括評審和批準建議的解決方案的。組織宜考慮在中斷之前、期間和之后可實施的選項。8.3.2確定策略和解決方案總則大多數策略需要一個或多個解決方案，但對于組織的某些活動，不采取措施或推遲恢復可能是可接受的策略。例如，恢復活動的重新部署策略可由若干解決方案組成，包括“緊急運輸”、“網絡再定向”和“備用人員”。這些解決方案也可成為“延長工作時間”策略的一部分。類似地，保護優先活動的生產策略可由若干解決方案組成，例如“將30%的產品A的生產從A地轉移到B地”或“將產品A的生產拆分到C地和D地”。為確保業務連續性計劃（見8.4.4)的運行不受中斷的不利影響，組織可能需要采取預防措施，例如，將團隊和要恢復的ICT系統分散到多個地點。但是并非總能實現各種規模和類型中斷的分離，有必要認識到這種方式的局限性并與最高管理者達成一致。局限性可以用距離、最少人員或嚴重程度來表示，并會受到公共機構對嚴重或大范圍中斷的響應的影響。組織宜確定適當的策略和解決方案，以：——保護優先活動；——穩定、連續、重續和恢復優先活動；——減輕、響應和控制影響。組織宜具備確定和選擇業務連續性策略和解決方案的機制，包括批準和實施推薦的解決方案（見8.3）。ISO/TS22331為確定和選擇業務連續性策略和解決方案提供了進一步的指南。保護優先活動保護優先活動可通過以下方式實現——降低活動受到中斷影響的風險；——將該活動轉給第三方（但責任仍由組織承擔）。或者，如有切實可行的替代方案，可更改活動的執行方式。在確定保護優先活動的策略和解決方案時，組織宜考慮：——已發覺的活動的脆弱性以及活動中止可能帶來的影響；——措施的成本與預期收益的比較；——該活動的緊迫性，由于只有較少的時間來解決問題；——整體的可行性和適用性。穩定、連續、重續和恢復優先活動為以商定的能力重續優先活動而設置的RTO，使組織能夠確定策略以縮短中斷時間、減少影響，并及時恢復優先活動。為了確保優先活動可在RTO內恢復，還宜為依賴關系和支持資源設定相匹配的RTO。組織還宜確定恢復依賴關系和支持資源所需的能力。設置這些RTO時，組織可能需考慮：——在全面恢復服務之前，提供不同服務的可能性；——確保有效動員人員；——在必要時，鼓勵和支持人員重返工作崗位；——推遲重續支持資源的依賴關系的臨時方案（如手工過程——積壓工作和恢復丟失信息所需時間；——恢復要求的復雜性和規模，或對交付時間較長的專業設備的需求。業務連續性策略可包括：a)活動遷移：一些或所有活動轉移到組織內部的其他部分，或者轉移給外部第三方，可獨立進行也可通過互惠互助協議來進行。在決定重續活動的場所時，宜考慮受損/受影響的場所和未受損的備用場所。b)資源遷移或再分配：包括員工在內的資源轉移到組織內另一處地址或另一個活動，或轉給外部第三方；c)替代過程和備用能力：建立替代過程或在過程和/或庫存上創建冗余/備用能力；d)臨時應對方案：為在有限時間提供可接受的結果，某些活動可能會采取不同的工作方式。臨時應對方案可能更加費時和/或費力（例如，手工操作不同于自動化系統）。因此，臨時應對方案通常僅適用于短期或延緩恢復正常業務的情況；策略的例子包括：——在備用場所提供備用生產能力；——為關鍵員工提供遠程工作能力。緩解、響應及控制影響緩解、響應和控制中斷的影響的策略可包括：a)保險：購買保險可為某些損失提供一定的經濟補償，但不能彌補全部損失（例如，未投保事件、品牌、聲譽、相關方價值、市場份額和對人員的影響）。僅靠財務結算并不能完全保護組織并滿足相關方的期望。保險可能與其他解決方案結合使用；b)資產恢復：與專業公司簽訂后續服務合同，在資產損壞后清理或修復；c)聲譽管理：發展有效的預警和溝通的能力（見8.4.3制定有效的事件溝通程序（見）。對于已確定需要處置的風險，組織宜根據其對風險的總體態度，考慮降低可能性、縮短時間和限制中斷影響的方法。如存在組織無法控制且可能會嚴重破壞組織的特定危害（如地震或洪水），組織宜：——確定策略并實施解決方案，以限制其潛在影響；——確定負責監測此類危害的外部機構；——與外部機構建立聯系，了解它們的通知協議；——分析通知協議，以確定它們是否符合組織的需求。8.3.3選擇策略和解決方案業務連續性策略的選擇宜基于：a)使優先活動能夠在業務影響分析中確定的時間范圍內以商定的能力重續(見8.2.2)；b)與組織可承擔或不可承擔風險的數量和類型相一致；c)以可管理和合理的成本提供利益。當組織的運行發生變化時，組織宜重新檢查所有的解決方案。用于穩定、連續、重續或恢復優先活動的業務連續性解決方案的成本通常非常高。如組織估計到這樣的情況，宜選擇可接受的和滿足其業務連續性目標的替代解決方案，或者按照4.3.3的要求將受影響的產品和服務從BCMS范圍中刪除。當組織估計威脅極不可能發生，或者保護優先活動的成本過高時，作為其持續進行的BCMS績效評價的一部分(第9章)，組織可選擇接受風險并對其重新評估。接受風險還可要求將受影響的產品或服務從BCMS范圍中刪除。8.3.4資源要求總則組織宜確定資源要求以實施所選的解決方案。組織宜建立：——具有適當權限的團隊或個人（對小規模組織而言）來監管事件的準備、響應和恢復；——為服務、人員、資源、材料、生產或捐贈的設施進行定位、獲取、存儲、分配、維護、測試及記賬的后勤保障能力和程序；——財務、后勤和行政程序來支持在事件發生前、中、后的業務連續性安排；程序宜：——確保可迅速做出財務決策；——與已建立的權限等級、治理和會計原則相一致。；——響應時間、人員、設備、培訓、設施、資金、保險、債務控制、專業知識、材料的資源管理目標，以及需要從組織資源庫和供應商那里獲取每種資源的時間表；——與相關方的協助、溝通、戰略聯盟和互助程序。人員.1總則組織宜配備有能力響應和管理事件的人員，并參與重續優先活動。.2事件響應組織宜指定具有管理事件所需責任、權限和能力的事件響應人員。事件響應人員宜組成一個小組，負責管理對組織產生重大影響或可能產生重大影響的任何中斷。可根據人員的能力進行分組：——事件/策略管理(見)；——溝通(見)；——安全和福利(見)；——救助和安全(見)；——重續活動(見)；——恢復ICT系統(見)。小組中的所有人員宜有明確的、適用于中斷之前、期間和之后的職責和權限。適用于事件響應和業務恢復人員的培訓包括：——事件評估；——疏散和避難場所的管理（如適用于上述范圍——替代生產場所的安排；——有效進行內外部溝通的技巧；——處理人員方面的事宜（見ISO/TS22330）。整個組織的響應技能和能力宜通過實踐培訓來發展，包括積極參與演練等。響應和恢復小組宜接受有關其責任的教育和培訓，包括與第一響應者和其他相關方的互動。各小組宜定期接受培訓，新成員加入應急結構時也宜接受培訓。這些小組還宜接受防止事件升級為危機的培訓。.3重續活動組織宜確定適宜的措施，以維護和擴大可用的核心技能和知識，使活動能夠在工作人員減少的情況下重續。在事件發生時，人們可能不會按預期作出響應，可能需要鼓勵、保證和支持。擁有廣泛專業技能和知識的員工、承包商和其它相關方都宜包括在內。保護或提升這些技能的方法可包括：——后備技術專家的名單及召集計劃；——員工和承包方的多技能培訓；——分散核心能力以減少事件的影響，包括把掌握核心技能的員工分配在多個場所；——第三方的使用；——繼任計劃；——記錄過程，其它形式的知識保留和管理。事件發生后對員工進行重新安置的程序需考慮：——員工到另一場所的交通；——員工在備用場所的需求，如：——住宿；——餐飲設施；——個人和家庭承諾；——不同設備的培訓。——家庭辦公帶來的挑戰。專家角色可包括：——安全；——交通后勤；——福利和應急。為了鼓勵和安撫那些需要對中斷做出響應的人，組織宜提供實用的建議、風險意識培訓、交通解決方案和家庭相關的支持。ISO/TS22330對業務連續性的人員方面提供了進一步的指南。信息和數據“信息”和“數據”二詞在日常生活中可互換使用。本文件中“信息”表示經過處理、組織和關聯后產生意義的數據。因此，信息是由數據創建的，這些數據包括，例如，事實數據、以電子形式保存、可在計算機上存儲和使用的統計數據和數字。在中斷期間，可從數據中重新創建信息，但處理時間可能會很長，方法也不一定可行。因此，組織宜考慮各項活動對信息和數據的要求。如一項活動（不僅僅是優先活動）所需的信息或數據不可挽回地丟失了，那么該活動就不可能重續。宜根據業務影響分析中確定的時間范圍保護對組織運營至關重要的信息和數據。當確定存儲和恢復數據的安排時，組織宜了解適用的法律要求。組織響應和恢復所需的信息或數據宜有適當的：——保密性（例如，活動遷移至另一場所）；——可靠性：信息和數據可靠、可信；——可用性：信息和數據在活動需要時可盡快獲取（在該活動的RTO以內）；響應期間所需的信息和數據可能要求立即獲得，但其他信息和數據可能在事件發生后一段時間內不需要；——時效性：按要求及時更新，以使活動運行（8.2.2）—因事件丟失的信息可能需要重新創建，并且可能需要復原數據。在復制信息和數據時，可使用各種方法，包括虛擬（電子）格式（如磁盤、云、磁帶）和實物（硬拷貝）格式（如縮微膠片、影印、生產時就創建雙份）。對于尚未復制或備份到安全位置的信息和數據的恢復解決方案，宜記錄在案。如果信息或數據副本與其原始信息距離太近，中斷可能會損壞其完整性或阻止對其存取。然而，距離過遠可能會使信息/數據在需要時無法獲得。最好有書面證據證明這些相互沖突的關注點是如何解決與本子條款有關的信息和數據可包括：——聯系信息；——供應商、相關方和相關方的詳細信息；——法律文件（例如合同、保單、所有權證書——其他服務文件（例如合同、服務水平協議——元數據（即以規定格式描述音視頻內容及數據實質的資料——作為事件響應措施的通知和警報信息；——關于誰有權調用程序的指引和標準。建筑、工作場所和相關公共設施工作場所解決方案的差別可能很大，選擇范圍也很廣。不同類型的事件或威脅可能要求實施不同的或多個工作場所選項。恰當的選擇取決于組織的規模、行業和活動范圍，以及相關方和地理位置。例如，公共機構需要維護在其社區的一線服務交付，而有些組織卻可在不同的國家或地區進行運營。組織宜設計解決方案來降低正常場所不能使用帶來的影響。該方案可能包括以下一種或幾種：——組織內部的備用場所（地點），包括取代其他活動；——其他組織提供的備用場所（不論其是否屬于互助協議——指揮中心；——第三方專業機構提供的備用場所；——家庭辦公或遠程辦公；——其他商定的適宜的場所；——在已建立的場所中使用備用人力。備用場所宜認真選擇，考慮地理位置是否可能會受到同一事件的影響。事件，如自然災害，可能會導致大范圍的損毀，影響基礎服務，如電力、燃氣、供水和通訊。如存在這種風險，備用場所宜遠離這種可能受影響的區域。如員工需要轉移到備用場所，宜充分考慮：——確保有關場所距離不太近，以免受到同一事件的影響；——確保辦公場所足夠近，員工愿意并能夠前往那里工作；——可能由事件引起的困難。為連續性使用備用場所，宜對備用場所內要求的資源是否屬于該組織進行明確的說明。如備用場所是與其他組織共享，宜制定并編寫相關計劃以應對這些場所不可用的情況。在某些情況下（如，生產線、呼叫中心或如RTO很短）,轉移工作任務可能比轉移員工合適。這可能會要求備用場所具有備用容量或額外的員工（不管是通過加班或者招募），以及可用的其他資源。設備和易耗品組織宜確定和維護支持其優先活動的核心供給品的庫存。有些設施和機器由于非常昂貴（需要很長時間來批準）或者交付時間長，可能難以獲取。提供這類資源的解決方案需要將這些問題考慮在內。改變商業慣例，例如庫存控制或建筑管理，可能提供解決方提供解決方案可能包括：——在另一場所存儲額外供給品；——與第三方簽定協議，確保可在短期內供貨；——將零庫存交付產品分散到其他場所；——在倉庫或貨運站存儲物資；——把部件裝配業務轉移到有物資供給的備用場所；——確定備用或替代供給品；——確認各階段所需的設施和設備，并制定多種備選供貨方案。如有些活動需依賴專門的供給品，組織宜確定優先活動依賴的供應商，特別是單一貨源的供應商。管理供應連續性的解決方案可包括：——增加供應商的數量；——鼓勵或要求供應商具備業務連續性能力；——與關鍵供應商簽訂合同或服務水平協議；——確定有能力的備選供應商。如業務活動改換到備用場所，宜確認供應商可高效地把他們的產品和服務送到備用場所。ICT系統在許多組織內，無ICT系統就無法完成業務活動，在活動重續之前，ICT系統需要先得到恢復。在可能的實際情況下，ICT恢復期間，可能需要手動的臨時方案。技術策略取決于所用技術的性質及其與活動之間的關系，但基本上是下列組合：——組織內部自建；——第三方向組織交付的服務；——組織購買的外部服務。提供優先活動所需的ICT系統的方法可包括：——在地理上將其分散布局（例如在不會受到同一中斷事件影響的不同場所維持同樣的技術——保留較老的設備，作為緊急情況下的替代品或備用品；——簽署供應設備或恢復服務的合同。由于所用支持技術的復雜性，ICT系統經常需要復雜的技術方案來確保其得到及時的恢復，因此宜注意：——各技術站點的位置以及它們之間的距離；——跨越分散站點的分布式技術；——為遠程訪問用戶的增加提供足夠的設施；——設置無人（暗）站點及有人站點；——改進通訊的連通性并提高冗余路由的等級；——采用自動“故障切換”替代要求人工干預來恢復ICT系統；——考慮ICT系統的過時。如組織在不止一個場所擁有ICT系統，那就可能有機會實施如下解決方案，每個場所的規模宜達到多個ICT合并后的容量要求。如果組織使用了非常專業化或定制的技術，而且交付周期很長，就可能需要考慮通過為替換或復原作出特定規定來加強對其ICT系統的保護。ISO/IEC27031為業務連續性的ICT準備提供了進一步的指南。交通運輸和物流事件發生后，可能需為員工提供交通運輸服務：——當員工平時所乘交通工具不可用時，送員工回家；——將員工遷移到備用工作場所；——運送各地所需資源。組織宜預先確定提供中斷后可能需要的替代交通運輸工具的選擇，可能包括：——確定物流中斷的可能情景，包括由事件或異常情況直接導致的；——保護替代交通運輸工具和路線，以應對異常交通狀況；——與交通運輸提供方簽署協議。財務組織宜確定在中斷事件發生期間及發生后確保提供必要財務服務的策略，可包括：——提供緊急采購資金，例如食物、住所、設施、消耗品及交通工具；——員工費用補貼；——重大支出，如租賃或購買辦公樓和設備。為防范濫用保險或促進保險索賠，組織可能有必要證明有效的財務控制，例如，提供在中斷期間以及之后所有花費的正式記錄。合作伙伴和供應鏈業務網絡和供應鏈通常是廣泛、復雜和相互依賴的，并有多個層次。理解供應鏈及其給組織帶來的風險是至關重要的。在分析業務影響時(見8.2.2)，組織宜與相關供應商共同對優先活動所依賴的供應鏈進行分析。反之，宜要求供應商將分析傳遞到他們的供應商。供應鏈分析宜基于組織制定的