ICS13200

A90.

中華人民共和國國家標準

GB/T30146—2013/ISO223012012

:

公共安全業(yè)務連續(xù)性管理體系要求

Socialsecurity—Businesscontinuitymanagementsystems—Requirements

(ISO22301:2012,IDT)

2013-12-17發(fā)布2014-05-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T30146—2013/ISO223012012

:

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術語和定義………………

31

組織環(huán)境…………………

47

了解組織和組織環(huán)境………………

4.17

理解相關方的需求和期望…………

4.28

確定業(yè)務連續(xù)性管理體系的范圍…………………

4.38

業(yè)務連續(xù)性管理體系………………

4.48

領導力……………………

58

領導力和承諾………………………

5.18

管理承諾……………

5.29

方針…………………

5.39

組織的角色職責和權力……………

5.4、9

策劃………………………

610

應對風險和機會的措施……………

6.110

業(yè)務連續(xù)性目標和實現(xiàn)計劃………………………

6.210

支持………………………

710

資源…………………

7.110

能力…………………

7.210

意識…………………

7.311

溝通…………………

7.411

存檔信息……………

7.511

實施………………………

812

實施的策劃和控制…………………

8.112

業(yè)務影響分析和風險評估…………

8.212

業(yè)務連續(xù)性策略……………………

8.313

建立和實施業(yè)務連續(xù)性程序………………………

8.414

演練和測試…………………………

8.515

績效評估…………………

916

監(jiān)視測量分析和評價……………

9.1、、16

內部審核……………

9.216

管理評審……………

9.317

改進……………………

1018

Ⅰ

GB/T30146—2013/ISO223012012

:

不符合和糾正措施………………

10.118

持續(xù)改進…………………………

10.218

參考文獻……………………

19

Ⅱ

GB/T30146—2013/ISO223012012

:

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準使用翻譯法等同采用公共安全業(yè)務連續(xù)性管理體系要求英文

ISO22301:2012《》(

版僅有編輯性修改

),。

本標準由全國公共安全基礎標準化技術委員會提出并歸口

(SAC/TC351)。

本標準起草單位中國標準化研究院中國信息安全認證中心中金數(shù)據(jù)系統(tǒng)有限公司

:、、。

本標準主要起草人王金玉秦挺鑫董曉媛劉俊華張超李忠強魏軍尤其王明尹暉

:、、、、、、、、、。

Ⅲ

GB/T30146—2013/ISO223012012

:

引言

01總則

.

本標準規(guī)定了建立和管理一個有效的業(yè)務連續(xù)性管理體系的要求

(BCMS)。

強調以下方面的重要性

BCMS:

理解組織的需求以及制定業(yè)務連續(xù)性管理方針和目標的必要性

———;

實施和運行控制措施來管理組織應對中斷事件的整體能力

———;

監(jiān)視和評審業(yè)務連續(xù)性管理體系的績效和有效性

———;

基于客觀測量的持續(xù)改進

———。

和其他管理體系一樣包括以下關鍵部分

,BCMS:

方針

a);

職責明確的人員

b);

與以下幾點相關的管理過程

c):

方針

1);

策劃

2);

實施和運行

3);

績效評估

4);

管理評審

5);

改進

6);

提供含有審核證據(jù)的文件

d);

任何和組織有關的業(yè)務連續(xù)性管理過程

e)。

業(yè)務連續(xù)性有助于構建更具彈性的社會更寬泛的群體以及組織環(huán)境對組織的影響會要求其他的

,

組織參與到恢復過程中來

。

02策劃—實施—檢查—處置PDCA模型

.()

本標準采用了策劃實施檢查改進模型來策劃建立實

“(Plan)—(Do)—(Check)—(Act)”(PDCA)、、

施運行監(jiān)視評審保持和改進組織的有效性

、、、、BCMS。

模型的采用在一定程度上保證了與其他管理體系標準例如質量管理體系

PDCA(GB/T19001、

環(huán)境管理體系信息安全管理體系信息技術服務管理和

GB/T24001、GB/T22080、GB/T24405.1———

供應鏈的安全管理體系規(guī)范的一致性從而支持與相關管理體系整合后的實施與運行

ISO28000),。

圖說明了如何把相關方的業(yè)務連續(xù)性管理要求作為輸入并通過必要的措施和過程產

1BCMS,,

生滿足這些要求的連續(xù)性結果例如受控的業(yè)務連續(xù)性表對模型進行了解釋

()。1PDCA。

Ⅳ

GB/T30146—2013/ISO223012012

:

圖1應用于BCMS過程的PDCA模型

表1PDCA模型的解釋

策劃建立與改進業(yè)務連續(xù)性管理相關的業(yè)務連續(xù)性方針目標指標控制措施過程和程序以提供與

、、、、,

建立組織的總方針和總目標相一致的結果

()

實施實施和運行業(yè)務連續(xù)性的方針控制措施過程和程序

、、

實施和運行

()

檢查對照業(yè)務連續(xù)性方針和目標監(jiān)視和評審業(yè)務連續(xù)性的績效并將結果報告管理者以供評審確定

,,,

監(jiān)視和評審和授權糾正與預防措施

()

改進基于管理評審以及重新評審的業(yè)務連續(xù)性管理體系的范圍方針和目標的結果采取糾正措施以

、,,

保持和改進持續(xù)改進

()BCMS

03本標準中PDCA組成部分

.

如圖所示的策劃實施檢查改進模型本標準中的第章至第

1(Plan)—(Do)—(Check)—(Act),410

章包括以下組成部分

:

第章屬于策劃部分它提出了將本標準應用于組織建立的環(huán)境需求要求和范圍

———4。BCMS、、

時的必要的要求

。

第章屬于策劃部分它總結了對業(yè)務連續(xù)性管理體系中最高管理者角色的要求以及領導

———5。,

層如何通過方針聲明向組織闡明它的期望

。

第章屬于策劃部分它描述了制定整個的戰(zhàn)略目標和指導原則的相關要求第

———6。BCMS。6

章的內容與風險評估中的風險處置機會以及業(yè)務影響分析中建立恢復目標的內容

,(BIA)

不同

。

注第章對業(yè)務影響分析和風險評估過程的要求進行了規(guī)定

:8。

第章屬于策劃部分它為的運行提供了支撐涉及能力的建立在循環(huán)必要的基礎

———7。BCMS,、/

上與相關方的溝通以及對記錄管理保持和保留所需文件的要求

,、、。

第章屬于實施部分它定義了業(yè)務連續(xù)性的要求確定了怎樣達到要求以及如何通過制定

———8。,

程序來管理中斷事件

。

第章屬于檢查部分它匯總了測量業(yè)務連續(xù)性管理績效與本標準和管理層期望的

———9。、BCMS

符合性以及從管理層的期望值方面尋求反饋信息的必要要求

,。

第章屬于改進部分它識別并通過采取糾正措施處置的不符合

———10。BCMS。

Ⅴ

GB/T30146—2013/ISO223012012

:

公共安全業(yè)務連續(xù)性管理體系要求

1范圍

本標準為策劃建立實施運行監(jiān)視評審保持和持續(xù)改進一個文件化的業(yè)務連續(xù)性管理體系規(guī)

、、、、、、

定了要求用以實施保護減少中斷事件發(fā)生的可能性以及當中斷事件發(fā)生時準備響應并恢復

,,,、。

本標準規(guī)定的所有要求是通用的適用于各種類型規(guī)模和特性的組織或組織的一部分這些要求

,、。

的適用范圍取決于組織的運行環(huán)境和復雜性

。

本標準的目的不是要規(guī)定統(tǒng)一的業(yè)務連續(xù)性管理體系結構而是為組織設計一個適合其

(BCMS),

自身需要且同時符合相關方要求的這些需求由法律法規(guī)標準產品和服務工作流程組織

BCMS。、、、、、

的規(guī)模和結構以及相關方的要求等方面構成

。

本標準適用于有如下期望的各種類型和規(guī)模的組織

:

建立實施保持和改進

a)、、BCMS;

確保符合聲明的業(yè)務連續(xù)性方針

b)