ICS0310001

CCSA.90.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T30146—2023/ISO223012019

:

代替GB/T30146—2013

安全與韌性業(yè)務(wù)連續(xù)性管理體系要求

Securityandresilience—Businesscontinuitymanagementsystems—Requirements

ISO223012019IDT

(:,)

2023-03-17發(fā)布2023-10-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T30146—2023/ISO223012019

:

目次

前言

…………………………Ⅰ

引言

…………………………Ⅱ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

組織環(huán)境

4…………………5

領(lǐng)導(dǎo)力

5……………………6

策劃

6………………………7

支持

7………………………8

運行

8………………………10

績效評價

9…………………14

改進

10……………………15

參考文獻

……………………17

GB/T30146—2023/ISO223012019

:

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替安全與韌性業(yè)務(wù)連續(xù)性管理體系要求與

GB/T30146—2013《》,GB/T30146—

相比除結(jié)構(gòu)調(diào)整和編輯性改動外主要技術(shù)變化如下

2013,,:

更改了范圍見第章版的第章

———(1,20131);

刪除了部分術(shù)語和定義見版的

———(20133.4、3.5、3.7、3.12、3.14、3.17、3.18、3.20、3.22、3.23、3.25、

3.26、3.28、3.30、3.36、3.37、3.39、3.43~3.45、3.49~3.52、3.54、3.55);

增加了術(shù)語中斷和影響見

———“”“”(3.10、3.13);

刪除了管理承諾見版的

———“”(20135.2);

增加了業(yè)務(wù)連續(xù)性管理體系變更的策劃見

———“”(6.3);

更改了溝通的相關(guān)內(nèi)容見版的

———“”(7.4,20137.4);

將存檔信息改為成文信息見版的

———“”“”(7.5,20137.5);

將實施改為運行見第章版的第章

———“”“”(8,20138);

更改了業(yè)務(wù)連續(xù)性策略的相關(guān)內(nèi)容見版的

———“”(8.3,20138.3);

增加了業(yè)務(wù)連續(xù)性文件和能力評價見

———“”(8.6);

將績效評估改為績效評價見第章版的第章

———“”“”(9,20139);

更改了監(jiān)視測量分析和評價的相關(guān)內(nèi)容見版的

———“、、”(9.1,20139.1.1);

刪除了業(yè)務(wù)連續(xù)性程序的評價見版的

———“”(20139.1.2);

增加了審核方案見

———“”(9.2.2);

更改了管理評審的相關(guān)內(nèi)容見版的

———“”(9.3,20139.3);

更改了持續(xù)改進的相關(guān)內(nèi)容見版的

———“”(10.2,201310.2)。

本文件等同采用安全與韌性業(yè)務(wù)連續(xù)性管理體系要求英文版

ISO22301:2019《》()。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國公共安全基礎(chǔ)標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC351)。

本文件起草單位北方工業(yè)大學(xué)中國標(biāo)準(zhǔn)化研究院阿里云計算有限公司中國網(wǎng)絡(luò)安全審查技術(shù)

:、、、

與認證中心蘇州蘇大教育服務(wù)投資發(fā)展集團有限公司國網(wǎng)四川省電力公司中鐵上海工程局集團

、()、、

有限公司上海速邦信息科技有限公司北京安創(chuàng)信達科技有限公司湖北省標(biāo)準(zhǔn)化與質(zhì)量研究院北京

、、、、

科技大學(xué)北京市科學(xué)技術(shù)研究院北京市科學(xué)技術(shù)研究院城市安全與環(huán)境科學(xué)研究所浙江圣雪休閑

、、、

用品有限公司和也健康科技有限公司廈門市九安安全檢測評價事務(wù)所有限公司中國家用電器研究

、、、

院標(biāo)準(zhǔn)聯(lián)合咨詢中心股份公司

、。

本文件主要起草人秦挺鑫周倩柳長安李津徐術(shù)坤孫曉鯤王皖魏軍董曉媛史運濤尤其

:、、、、、、、、、、、

陸慶常政威萬興權(quán)劉玉節(jié)張英華徐鳳嬌張超王晶晶鄧哲張卓代寶乾羊靜高玉坤梁育剛

、、、、、、、、、、、、、、

萬誼平董哲徐然姚衛(wèi)華邱有富朱曉輝方志財廖鐘財盧成緒

、、、、、、、、。

本文件及其所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2013GB/T30146—2013;

本次為第一次修訂

———。

Ⅰ

GB/T30146—2023/ISO223012019

:

引言

01總則

.

本文件提出了實施和保持業(yè)務(wù)連續(xù)性管理體系的架構(gòu)和要求其建立業(yè)務(wù)連續(xù)性與組織

(BCMS),

中斷發(fā)生后可以或不可以接受的影響的數(shù)量和類型相適應(yīng)

。

保持的結(jié)果取決于組織所處環(huán)境的法律法規(guī)組織和行業(yè)要求提供的產(chǎn)品和服務(wù)采用的

BCMS、、、

過程組織的規(guī)模和架構(gòu)以及相關(guān)方要求

、。

強調(diào)以下方面的重要性

BCMS:

理解組織的需求以及制定業(yè)務(wù)連續(xù)性方針和目標(biāo)的必要性

———;

運行并保持過程能力和響應(yīng)框架確保組織經(jīng)受住干擾

———、;

監(jiān)視和評審業(yè)務(wù)連續(xù)性管理體系的績效和有效性

———;

基于定性和定量測量的持續(xù)改進

———。

和其他管理體系一樣包括以下部分

,BCMS:

方針

a);

具有明確職責(zé)具備相應(yīng)能力的人員

b)、;

涉及以下內(nèi)容的管理過程

c):

方針

1);

策劃

2);

實施和運行

3);

績效評價

4);

管理評審

5);

持續(xù)改進

6)。

支持運行控制和績效評價的成文信息

d)。

02業(yè)務(wù)連續(xù)性管理體系的效益

.

的目標(biāo)是準(zhǔn)備提供并保持組織在中斷期間持續(xù)運營的整體能力為了實現(xiàn)這一目標(biāo)組

BCMS、。,

織要

:

從業(yè)務(wù)角度

a):

支持其戰(zhàn)略目標(biāo)

1);

建立競爭優(yōu)勢

2);

保護并提高其聲譽和信譽

3);

促進組織韌性

4)。

從財務(wù)角度

b):

降低法律和財務(wù)風(fēng)險

1);

減少直接和間接的中斷成本

2)。

從相關(guān)方角度

c):

保護生命財產(chǎn)和環(huán)境

1)、;

考慮相關(guān)方的期望

2);

Ⅱ

GB/T30146—2023/ISO223012019

:

增強組織有能力成功的信心

3)。

從內(nèi)部過程角度

d):

提高組織在業(yè)務(wù)中斷期間保持有效的能力

1);

證明有效和高效地主動控制風(fēng)險

2);

解決運行脆弱性

3)。

03策劃—實施—檢查—改進循環(huán)

.

本文件使用策劃建立實施執(zhí)行和運行檢查監(jiān)控和評審和改進保持和改進循環(huán)

()、()、()()(PDCA)

來建立保持并持續(xù)改進組織的有效性

、BCMS。

這確保了與和等其他管理體

ISO9001、ISO14001、ISO/IEC20000-1、ISO/IEC27001ISO28000

系標(biāo)準(zhǔn)在一定程度上的一致性從而支持了與相關(guān)管理體系的一致和整合的實施和運作

,。

根據(jù)循環(huán)第章至第章包括以下內(nèi)容

PDCA,410:

第章介紹了組織建立環(huán)境需求要求和范圍時的必要要求

———4BCMS、、;

第章總結(jié)了業(yè)務(wù)連續(xù)性管理體系中最高管理者角色的要求以及領(lǐng)導(dǎo)層如何通過方針聲明

———5,

向組織闡述其期望

;

第章描述了制定整個戰(zhàn)略目標(biāo)和指導(dǎo)原則的要求

———6BCMS;

第章支撐運行在記錄控制保持和保留所需的成文信息的同時建立能力定

———7BCMS,、、,,

期根據(jù)需要與相關(guān)方建立溝通

/;

第章定義了業(yè)務(wù)連續(xù)性需求確定了如何解決這些需求并制定了在中斷期間管理組織的

———8,,

程序

;

第章總結(jié)了測量業(yè)務(wù)連續(xù)性績效與本文件的符合性以及進行管理評審所需的要求

———9、BCMS;

第章識別和糾正的不符合并通過采取糾正措施持續(xù)改進

———10BCMS,。

04本文件內(nèi)容

.

本文件符合管理體系標(biāo)準(zhǔn)要求這些要求包括高層架構(gòu)相同的核心內(nèi)容以及具有核心概念

ISO。、

的通用術(shù)語旨在使實施多個管理體系標(biāo)準(zhǔn)的使用者受益

,ISO。

本文件不包括特定于其他管理體系的要求盡管本文件的要素可以與其他管理體系的要素保持一

,

致或集成

。

本文件包含組織可用于實施和符合評定的要求組織可通過以下方式證明其符合本文件

BCMS。:

做出自我決定和自我聲明

———;

尋求與組織有利益關(guān)系的各方如客戶確認其符合性

———();

尋求組織外部的一方確認其自我聲明

———;

尋求外部組織對其進行認證注冊

———BCMS/。

本文件中第章至第章闡述了范圍規(guī)范性引用文件以及適用于本文件使用的術(shù)語和定義

13、。

第章至第章包含用于評估是否符合本文件的要求

410。

本文件運用了下列助動詞

:

應(yīng)表示要求

a)“”;

宜表示建議

b)“”;

可表示許可

c)“”;

能表示可能性或能力

d)“”。

標(biāo)記為注的信息用于指導(dǎo)理解或澄清相關(guān)要求第章使用的注提供了補充術(shù)語數(shù)據(jù)的附加

“”。3“”

信息可以包含與術(shù)語使用有關(guān)的規(guī)定

,。

Ⅲ

GB/T30146—2023/ISO223012019

:

安全與韌性業(yè)務(wù)連續(xù)性管理體系要求

1范圍

本文件規(guī)定了實施保持和改進管理體系的要求以防止減少中斷事件發(fā)生的可能性為中斷做好

、,、,

準(zhǔn)備做出響應(yīng)并從中恢復(fù)

,。

本文件規(guī)定的所有要求是通用的適用于各種類型規(guī)模和特性的組織或其組成部分這些要求的

,、。

適用范圍取決于組織的運行環(huán)境和復(fù)雜性

。

本文件適用于有如下需求的各種類型和規(guī)模的組織

:

實施保持和改進

a)、BCMS;

確保符合該組織聲明的業(yè)務(wù)連續(xù)性方針

b);

需要能夠在中斷期間以可接受的預(yù)定能力連續(xù)交付產(chǎn)品和服務(wù)

c);

試圖通過有效運用增強其韌性

d)BCMS。

本文件可用于評估一個組織滿足自身業(yè)務(wù)連續(xù)性需求和責(zé)任的能力

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,(