GB∕T30146-2023 《安全与韧性 业务连续性管理体系 要求》“4.3确定业务连续性管理体系的范围”标理解与实施指导材料VIP

“4.3确定业务连续性管理体系的范围”标理解与实施指导材料GB∕T30146-2023《安全与韧性业务连续性管理体系要求》“4.3确定业务连续性管理体系的范围”标理解与实施指导材料过程预期结果确定BCMS的边界和适用性，以明确其范围，确保组织能够按照规定满足体系要求并取得预期结果。有关BCMS范围术语及其理解范围BCMS中所包含活动的总和。边界组织确定的物理界限、场所界限、原辅材料界限或产品、物流区域界限、服务内容界限或上下游组织界限。边界可以是一个物理界限或场所界限、一个或一组过程界限、一个完整的组织或一个组织所控制的多个场所一种或一系列原辅材料或产品的界限等。审核范围审核的内容和界限。审核范围通常包括对实际和虚拟位置、职能、组织单元、活动和过程以及所覆盖的时期的描述。虚拟位置是指组织执行工作或提供服务所使用的在线环境，该在线环境允许无论实际位置如何的个人执行过程。确定业务连续性管理体系的范围 确定BCMS范围的考虑因素确定业务连续性管理体系的范围是一个综合考虑多个方面的过程，应全面考虑其所处环境、相关方要求以及自身使命、目标和责任等因素，以确保体系的有效性和适应性。在4.1中提及的各种外部和内部因素：组织应对其所处环境进行全面环境分析，识别出对业务连续性有潜在影响的关键因素，并在BCMS的范围定义中予以体现；4.2中提及的相关方的有关要求：相关方对组织的业务连续性有着不同的期望和要求，应在BCMS的范围定义中予以满足。组织的使命、目标以及内外部责任：在确定BCMS的范围时，组织应确保其能够支持组织的使命、目标以及内外部责任。BCMS范围描述与关键考虑因素对应关系表维度BCMS范围描述要点因素类别关键因素对确定范围的影响说明组织结构与关键业务流程涵盖所有对业务连续性至关重要的部门与职能外部和内部因素市场竞争要求高效的业务流程，内部组织架构需支持关键业务流程的顺畅运作以确保竞争优势。识别并保护关键业务流程，如订单处理、客户服务等相关方要求客户期望高效、无中断的服务，合作伙伴要求业务流程的可靠性以确保业务合作的顺利进行。使命、目标和责任组织的使命是提供持续、高效的服务，目标是确保关键业务流程在任何情况下都能正常运作，以满足内外部相关方的需求和期望。地理区域（f场所）与设施涵盖所有关键运营地点和设施，包括数据中心、办公场所等外部和内部因素全球化运营要求BCMS覆盖所有关键地理区域，关键设施对业务连续性至关重要，需考虑地理位置的风险。考虑地理位置的风险，如自然灾害、政治风险等相关方要求客户期望在全球范围内获得一致的服务，监管机构对特定地理区域的合规性有严格要求。使命、目标和责任组织的使命是实现全球无缝运营，目标是确保所有关键设施在紧急情况下都能迅速恢复，以维护员工和资产的安全。产品与服务类型涵盖所有关键产品和服务，特别是那些对组织收入和市场份额有重大影响的产品和服务外部和内部因素产品和服务的多样性要求BCMS具备灵活性，市场需求和竞争态势影响产品和服务的连续性，需考虑产品和服务的生命周期。考虑产品和服务的生命周期，包括研发、生产、销售和支持等阶段相关方要求客户期望产品和服务的稳定供应，合作伙伴对特定产品和服务的连续性有严格要求以确保业务合作的持续进行。使命、目标和责任组织的使命是提供稳定、可靠的产品和服务，目标是确保关键产品和服务在任何情况下都能满足客户需求，以维护客户和合作伙伴的利益。明确边界和适用性组织可以自主灵活地通过界定BCMS的边界和适用性，来确定其范围。确保BCMS能提供所需的灵活性和响应速度；组织BCMS范围界定的核心要素与策略；参考产品和服务，组织应确定BCMS范围包含或排除的具体部分，例如：特定区域的产品交付：仅包含向特定国家或地区交付的核心产品，以确保在这些关键市场上的业务连续性；排除低价值产品：从BCMS范围中剔除不再经营或对组织整体价值较低的产品，以优化资源分配和管理效率；产品子集的选择性纳入：仅将高风险、高价值或具有战略意义的产品和服务子集纳入BCMS范围，以集中管理精力和资源。组织应以能够全面识别所有相关活动、资源和供应链的方式来确定其产品和服务，包括：明确与产品和服务直接相关的所有核心活动和业务流程，确保BCMS的全面覆盖和有效管理；评估支持这些核心活动的关键资源，包括人员、设施、技术和信息等，以确保其可靠性和可用性；深入分析供应链结构和关键依赖关系，识别潜在风险点，并为业务连续性计划提供有力支持。ABC公司BCMS范围界定策略应用BCMS范围界定策略BCMS范围界定策略应用示例参考产品和服务特定区域的产品交付ABC公司仅将向美国和欧洲市场交付的高端产品纳入BCMS范围，以确保在这些关键市场上的业务连续性排除低价值产品ABC公司决定从BCMS范围中剔除不再受市场欢迎或低利润率的低端产品，以优化资源分配产品子集的选择性纳入ABC公司选择将高风险、高回报的创新产品子集纳入BCMS范围，以集中管理精力和资源，并确保这些产品的业务连续性相关活动、资源和供应链的确定明确核心活动和业务流程ABC公司识别了与高端产品和创新产品直接相关的研发、生产、销售和客户服务等核心活动，并确保这些活动被BCMS全面覆盖评估关键资源ABC公司评估了支持核心活动的关键资源，包括研发团队、生产设备、关键原材料和信息技术系统，以确保其可靠性和可用性深入分析供应链和依赖关系ABC公司对其供应链进行了深入分析，识别了关键供应商和合作伙伴，并了解了潜在的供应链风险，以便为业务连续性计划提供有力支持通过以下方面界定BCMS的边界和适用性，包括：业务范围（覆盖所有相关的产品和服务类型、关键业务流程或活动）；物理范围（地理区域位置、场所、设施）；组织范围（覆盖的部门、职能或关键岗位）；外包安排；资源；供方和其他依赖关系；地理因素。某全球金融服务公司BCMS范围确定BCMS范围示例业务范围：产品和服务类型：包括投资银行服务（股票交易、债券发行）、零售银行业务（储蓄账户、个人贷款）、保险服务（人寿保险、财产保险）以及在线金融服务平台；关键业务流程：交易处理、客户身份验证、资金清算与结算、风险管理、投诉处理及客户数据管理。物理范围：地理区域位置：公司总部位于A国，区域办公室分布在B国、C国和D国，数据中心位于E国和F国；场所与设施：包括所有主要办公大楼、数据中心、备份站点、关键通信线路和服务器硬件。组织范围：覆盖的部门：交易部、客户服务部、风险管理部、信息技术部、运营部、财务部及法务合规部；职能或关键岗位：交易员、客户服务代表、风险分析师、系统管理员、数据库管理员、网络安全专员及业务连续性管理员。外包的安排外包服务类型：IT支持服务、呼叫中心服务、数据录入与处理、部分后台运营流程。资源：人力资源：包括关键岗位员工、应急响应团队、恢复团队和业务连续性管理团队；技术资源：包括主要信息系统、备份系统、恢复工具、通信设备和网络安全设备。物理资源：包括办公场所、数据中心、备份站点、关键基础设施和交通工具。供方和其他依赖关系：关键供方：提供核心系统、技术支持、数据处理和外包服务的供方；其他依赖关系：包括与其他金融机构、清算所、交易所和监管机构的合作关系，这些关系对业务连续性至关重要。涉及的风险类别范围：自然灾害（地震、洪水、飓风等）；技术故障与网络安全事件；内部欺诈与人为错误；供应链中断；法规变化与合规要求；市场波动与金融危机。范围确定理由说明组织已确定的各种外部和内部因素：外部因素：金融市场的波动性、竞争压力、客户期望的变化、技术进步、法规及标准的更新以及自然灾害等不可抗力因素。内部因素：组织的战略目标、业务模式、组织架构的复杂性、信息技术系统的依赖性、员工的技能和知识以及历史中断事件的教训。考虑这些因素，公司必须确保BCMS能够灵活应对外部市场变化，满足不断变化的客户期望，并合规遵守不断更新的金融监管要求。同时，内部系统的稳定性和员工的专业能力对保持业务连续性至关重要。组织已确定相关方的有关要求：客户要求：24/7无间断服务、数据安全与隐私保护、快速响应投诉与查询。监管机构要求：遵守金融服务法规、定期报告业务连续性计划与实施情况、确保业务在任何情况下都能持续进行。供方与合作伙伴要求：建立稳定的合作关系、确保供应链的可靠性、在中断事件中互相支持。为满足这些要求，公司BCMS必须覆盖所有关键产品和服务，确保所有业务流程都能快速恢复，并在全球范围内提供一致的服务水平。同时，与供方和合作伙伴的协同合作也是减少业务中断风险的关键。组织的使命、目标以及内外部责任：使命：为客户提供稳定、高效、安全的金融服务体验。目标：确保在任何情况下业务都能持续进行，保护客户和公司的资产安全，维护公司声誉和市场份额。内外部责任：对客户负责，确保服务的连续性和质量；对员工负责，提供安全的工作环境；对股东负责，保护其投资并持续创造价值；对监管机构负责，合规经营并积极应对风险挑战。基于这些使命、目标和责任，公司BCMS的范围必须全面覆盖所有可能影响业务连续性的方面，包括产品和服务类型、关键业务流程、地理区域位置以及涉及的风险类别。通过这样做，公司能够最大限度地降低业务中断的风险，并确保在任何挑战下都能履行其对各利益相关方的责任。将范围形成成文信息并加以保持形成成文件信息：BCMS范围可采用组织所确定的适合其需求的方法形成成文信息，可采用下列几种方式：例如文字描述，手册或网站、平面图、组织结构图或发布一份BCMS范围声明。范围是对包含在BCMS边界内的组织运行的真实并具代表性的声明，不可对相关方造成误导；BCMS范围声明的作用：明确界限：通过声明，组织可以清晰地界定BCMS所覆盖的业务领域、物理位置、组织单元、关键流程、资源以及外部依赖关系等；指导决策：为管理层和相关方提供决策依据，确保在资源分配、风险管理和应急响应等方面做出符合BCMS目标的选择；沟通桥梁：作为与内部员工、外部供方、合作伙伴和监管机构等沟通的工具，确保各方对组织的业务连续性计划和准备有共同的理解。编制BCMS范围声明的要点：适应性：声明应根据组织的规模、性质和复杂度进行定制，确保内容的针对性和实用性；全面性：声明应涵盖业务范围、物理范围、组织范围、外包安排、资源以及供方和其他依赖关系等所有相关方面；明确性：使用清晰、简洁的语言描述BCMS的范围，避免模糊和歧义。更新维护范围并提供给相关方更新与维护：随着组织环境和业务的变化，定期审查和更新BCMS范围声明，确保其持续有效。提供给相关方：确保声明能够被内部员工、外部供方、合作伙伴和监管机构等容易获取和理解。组织应将BCMS范围的成文信息传达至组织的所有内外部相关方。BCMS范围的应用对BCMS进行策划时，组织应考虑所确定的新BCMS的范围（见6.2.1）；在策划内部审核方案和内部审核实施计划中，根据所确定的新BCMS的范围来规定每次审核的范围；在确定成文信息的详略水平、复杂性和文件化程度以及所需资源时应考虑组织BCMS的范围。附件A：基于过程方法的“4.3确定业务连续性管理体系的范围”流程分析过程输入活动（工作流程图）过程输出技术、工具和方法外部环境和内部因素组织的业务连续性方针和目标营业执照载明的经营或业务范围组织环境信息（运营环境、资产位置、物理环境等）相关方需求和期望（客户、供应商、合作伙伴等）法律法规和其他合规性要求组织的产品、服务和活动、资源组织的产品和服务清单外部供方提供的过程、产品和服务所计划或正在实施的活动清单组织的关键基础设施和资源组织的使命、目标和责任组织的使命和核心价值观战略目标和业务计划组织对内外部利益相关方的责任组织的社会责任和声誉管理BCMS范围说明书BCMS边界图BCMS适用性声明涵盖的过程、活动、产品和服务类型及场所区域描述BCMS范围变更请求BCMS范围变更说明BCMS标准要求分析：标准对照表、要求矩阵SWOT分析：SWOT矩阵专家判断：专家咨询、德尔菲法会议和研讨会：议程设置、小组讨论、角色扮演头脑风暴法：头脑风暴会议、思维导图检查单：详细检查表、核对清单问卷调查：在线/纸质问卷、统计分析标杆对照：行业标杆数据、对比分析业务流程映射：通过绘制业务流程图，识别关键业务活动和依赖关系影响分析：进行业务影响分析（BIA），评估潜在的业务中断影响供应链