GB/T 30146-2013公共安全业务连续性管理体系要求

ICS13200

A90.

中华人民共和国国家标准

GB/T30146—2013/ISO223012012

:

公共安全业务连续性管理体系要求

Socialsecurity—Businesscontinuitymanagementsystems—Requirements

(ISO22301:2012,IDT)

2013-12-17发布2014-05-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T30146—2013/ISO223012012

:

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

31

组织环境…………………

47

了解组织和组织环境………………

4.17

理解相关方的需求和期望…………

4.28

确定业务连续性管理体系的范围…………………

4.38

业务连续性管理体系………………

4.48

领导力……………………

58

领导力和承诺………………………

5.18

管理承诺……………

5.29

方针…………………

5.39

组织的角色职责和权力……………

5.4、9

策划………………………

610

应对风险和机会的措施……………

6.110

业务连续性目标和实现计划………………………

6.210

支持………………………

710

资源…………………

7.110

能力…………………

7.210

意识…………………

7.311

沟通…………………

7.411

存档信息……………

7.511

实施………………………

812

实施的策划和控制…………………

8.112

业务影响分析和风险评估…………

8.212

业务连续性策略……………………

8.313

建立和实施业务连续性程序………………………

8.414

演练和测试…………………………

8.515

绩效评估…………………

916

监视测量分析和评价……………

9.1、、16

内部审核……………

9.216

管理评审……………

9.317

改进……………………

1018

Ⅰ

GB/T30146—2013/ISO223012012

:

不符合和纠正措施………………

10.118

持续改进…………………………

10.218

参考文献……………………

19

Ⅱ

GB/T30146—2013/ISO223012012

:

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准使用翻译法等同采用公共安全业务连续性管理体系要求英文

ISO22301:2012《》(

版仅有编辑性修改

),。

本标准由全国公共安全基础标准化技术委员会提出并归口

(SAC/TC351)。

本标准起草单位中国标准化研究院中国信息安全认证中心中金数据系统有限公司

:、、。

本标准主要起草人王金玉秦挺鑫董晓媛刘俊华张超李忠强魏军尤其王明尹晖

:、、、、、、、、、。

Ⅲ

GB/T30146—2013/ISO223012012

:

引言

01总则

.

本标准规定了建立和管理一个有效的业务连续性管理体系的要求

(BCMS)。

强调以下方面的重要性

BCMS:

理解组织的需求以及制定业务连续性管理方针和目标的必要性

———;

实施和运行控制措施来管理组织应对中断事件的整体能力

———;

监视和评审业务连续性管理体系的绩效和有效性

———;

基于客观测量的持续改进

———。

和其他管理体系一样包括以下关键部分

,BCMS:

方针

a);

职责明确的人员

b);

与以下几点相关的管理过程

c):

方针

1);

策划

2);

实施和运行

3);

绩效评估

4);

管理评审

5);

改进

6);

提供含有审核证据的文件

d);

任何和组织有关的业务连续性管理过程

e)。

业务连续性有助于构建更具弹性的社会更宽泛的群体以及组织环境对组织的影响会要求其他的

,

组织参与到恢复过程中来

。

02策划—实施—检查—处置PDCA模型

.()

本标准采用了策划实施检查改进模型来策划建立实

“(Plan)—(Do)—(Check)—(Act)”(PDCA)、、

施运行监视评审保持和改进组织的有效性

、、、、BCMS。

模型的采用在一定程度上保证了与其他管理体系标准例如质量管理体系

PDCA(GB/T19001、

环境管理体系信息安全管理体系信息技术服务管理和

GB/T24001、GB/T22080、GB/T24405.1———

供应链的安全管理体系规范的一致性从而支持与相关管理体系整合后的实施与运行

ISO28000),。

图说明了如何把相关方的业务连续性管理要求作为输入并通过必要的措施和过程产

1BCMS,,

生满足这些要求的连续性结果例如受控的业务连续性表对模型进行了解释

()。1PDCA。

Ⅳ

GB/T30146—2013/ISO223012012

:

图1应用于BCMS过程的PDCA模型

表1PDCA模型的解释

策划建立与改进业务连续性管理相关的业务连续性方针目标指标控制措施过程和程序以提供与

、、、、,

建立组织的总方针和总目标相一致的结果

()

实施实施和运行业务连续性的方针控制措施过程和程序

、、

实施和运行

()

检查对照业务连续性方针和目标监视和评审业务连续性的绩效并将结果报告管理者以供评审确定

,,,

监视和评审和授权纠正与预防措施

()

改进基于管理评审以及重新评审的业务连续性管理体系的范围方针和目标的结果采取纠正措施以

、,,

保持和改进持续改进

()BCMS

03本标准中PDCA组成部分

.

如图所示的策划实施检查改进模型本标准中的第章至第

1(Plan)—(Do)—(Check)—(Act),410

章包括以下组成部分

:

第章属于策划部分它提出了将本标准应用于组织建立的环境需求要求和范围

———4。BCMS、、

时的必要的要求

。

第章属于策划部分它总结了对业务连续性管理体系中最高管理者角色的要求以及领导

———5。,

层如何通过方针声明向组织阐明它的期望

。

第章属于策划部分它描述了制定整个的战略目标和指导原则的相关要求第

———6。BCMS。6

章的内容与风险评估中的风险处置机会以及业务影响分析中建立恢复目标的内容

,(BIA)

不同

。

注第章对业务影响分析和风险评估过程的要求进行了规定

:8。

第章属于策划部分它为的运行提供了支撑涉及能力的建立在循环必要的基础

———7。BCMS,、/

上与相关方的沟通以及对记录管理保持和保留所需文件的要求

,、、。

第章属于实施部分它定义了业务连续性的要求确定了怎样达到要求以及如何通过制定

———8。,

程序来管理中断事件

。

第章属于检查部分它汇总了测量业务连续性管理绩效与本标准和管理层期望的

———9。、BCMS

符合性以及从管理层的期望值方面寻求反馈信息的必要要求

,。

第章属于改进部分它识别并通过采取纠正措施处置的不符合

———10。BCMS。

Ⅴ

GB/T30146—2013/ISO223012012

:

公共安全业务连续性管理体系要求

1范围

本标准为策划建立实施运行监视评审保持和持续改进一个文件化的业务连续性管理体系规

、、、、、、

定了要求用以实施保护减少中断事件发生的可能性以及当中断事件发生时准备响应并恢复

,,,、。

本标准规定的所有要求是通用的适用于各种类型规模和特性的组织或组织的一部分这些要求

,、。

的适用范围取决于组织的运行环境和复杂性

。

本标准的目的不是要规定统一的业务连续性管理体系结构而是为组织设计一个适合其

(BCMS),

自身需要且同时符合相关方要求的这些需求由法律法规标准产品和服务工作流程组织

BCMS。、、、、、

的规模和结构以及相关方的要求等方面构成

。

本标准适用于有如下期望的各种类型和规模的组织

:

建立实施保持和改进

a)、、BCMS;

确保符合声明的业务连续性方针

b)