GB∕T30146-2023 《安全与韧性 业务连续性管理体系 要求》“6.2业务连续性目标及其实现的策划”理解与实施指导材料（2024A0）

“6.2业务连续性目标及其实现的策划”理解与实施指导材料GB∕T30146-2023《安全与韧性业务连续性管理体系要求》“6.2业务连续性目标及其实现的策划”理解与实施指导材料过程预期结果 确保组织建立明确、可衡量的业务连续性目标，并通过有效策划其实现方式，确保组织在面临潜在的业务中断时，能够快速恢复并保持关键业务的持续运营，同时不断提升组织的业务连续性和韧性能力。有关业务连续性目标及其实现的策划术语目标要实现的结果。结果：组织计划或期望达到的未来状态或绩效水平；目标可能是战略性的、战术性的或运行层面的：战略性目标可被设立为改进BCMS整体绩效；战术性目标可被设立在设施、项目或过程层面；目标可涉及不同领域（如财务的、健康安全的和环境的目标），并可应用于不同层面（如战略层面、组织整体层面、项目层面、产品和过程层面）。运行层面的目标可被设立在活动层面。目标既可以是短期的，也可以是长期的；目标指导工作前进的方向，包括要达成的目的，要实现的预期结果；目标可按其他方式来表述，例如：按预期结果、意图、追求、目的、运行准则来表述目标。目的可以用其他方式来表示，例如：按预期结果、意图、运行准则、作为业务连续性的目标，或用其他意思相近的词来表达（例如指标）；在BCMS中，组织根据业务连续性策略确定业务连续性目标，以实现预期结果。指标适用于组织或其部分的，为实现其目标而需设定或满足的具体绩效要求。业务连续性目标的制定组织应建立业务连续性管理的实施和保持目标（见“8运行”）。这些目标应与组织的总体目标相一致，并应包括确定职责和设定适当和现实的完成目标——建立实施和保持目标：确立业务连续性管理的具体实施与长期维护目标：实施目标旨在快速恢复中断的业务；保持目标则关注日常运营中的持续完善；适当性：目标设定应考虑组织规模、业务类型和资源状况，确保既不过于保守也不过于冒进，真实反映组织在业务连续性方面的需求；现实性：目标设定需基于组织现有技术、人员、设施和法规标准，确保具备可实现性和可操作性；包括设定完成目标：组织应将总体目标细化为具体、可衡量的完成目标，明确时间节点、衡量指标和预期效果，以便清晰跟踪管理进展。表1：业务连续性管理的实施目标和保持目标的关系说明表项目实施目标保持目标涵义区别联系定义在遭遇业务中断时，能够迅速、有效地恢复业务运行的目标在日常运营中，通过持续改进和维护，确保业务连续性管理始终处于有效状态的目标两者都是业务连续性管理的重要组成部分实施目标是应对中断事件的短期行动，保持目标是长期稳定的维护两者相辅相成，实施目标为实现保持目标提供基础和保障关注点快速响应、恢复业务、最小化损失业务稳定性、系统可用性、风险防控实施目标关注应急响应和恢复，保持目标关注持续稳定运营实施目标更侧重于当前事件的应对，保持目标关注长期业务连续性保持目标的达成需要依赖实施目标的有效执行时间范围中断事件发生时至业务恢复正常运行业务运行的全过程，包括日常运维和风险管理实施目标是短期内的行动，保持目标是长期持续的过程实施目标具有临时性和紧急性，保持目标具有持续性和稳定性实施目标和保持目标共同构成了业务连续性管理的完整时间范围目标内容恢复业务运行、保障数据安全、最小化业务损失等维护关键业务流程、系统的高可用性、定期风险评估等两者都旨在保障业务的持续稳定运行和降低风险实施目标具体明确，保持目标更注重长期稳定和持续改进保持目标的实现需要不断完善和改进实施目标的执行效果表2：组织的总体目标与业务连续性管理的实施目标之间的关系（示例）总体目标业务连续性管理实施目标业务连续性管理的保持目标实施和保持目标与总体目标对应关系说明实现品牌知名度提升10%确保品牌宣传活动在潜在业务中断后24小时内恢复保持品牌传播渠道在业务中断中的可用性达到95%快速恢复和持续可用的品牌宣传活动有助于维持和提升品牌知名度。股东回报率（ROE）提高5%减少因业务中断导致的年收入损失至少10%确保财务报告和关键决策支持系统的稳定运行时间达到98%以上降低业务中断对财务的影响和保持财务系统的稳定有助于提高股东回报率。在现有市场基础上扩大市场份额3%在业务中断后12小时内恢复至少70%的销售产能保持销售和客户关系管理系统的可用性达到99%快速恢复销售流程和持续可用的销售系统有助于减少市场份额损失并支持扩张。实现年度营收增长8%关键业务流程的平均恢复时间（MTTR）不超过6小时数据备份和恢复策略的可靠性达到99.9%缩短恢复时间和确保数据可靠性有助于减少营收损失并支持年度增长目标。提高组织弹性，恢复时间比上一年缩短20%通过定期培训和演练，提高员工响应速度和准确性至少15%定期更新业务连续性培训计划，确保员工参与率达到90%以上提升员工应急响应能力和知识保持率有助于提高组织弹性并缩短恢复时间。客户满意度提升5%在业务中断事件中，客户服务流程的恢复时间不超过4小时保持客户服务多渠道在业务中断中的可用性达到95%以上快速恢复和持续可用的客户服务流程有助于提升客户满意度。关键业务流程效率提高10%优化关键业务流程，减少中断风险点至少20%监控关键业务流程性能，确保稳定运行时间达到98%以上减少中断风险点和保持流程稳定运行有助于提高关键业务流程的效率。供应链中断事件影响降低20%与关键供应商建立业务连续性合作协议，确保供应链恢复能力达到80%以上定期评估供应链风险，确保应急响应计划的有效性达到95%与供应商合作建立业务连续性计划和定期评估风险有助于降低供应链中断事件的影响。表3：业务连续性管理角色职责与量化目标对照表角色重要职责实施目标保持目标业务连续性经理制定和维护业务连续性计划-在中断事件发生后1小时内激活业务连续性计划-恢复关键业务功能，确保业务损失不超过预定的可接受范围（例如5%）-每年至少对业务连续性计划进行全面审查1次-确保计划中至少90%的风险得到有效更新和管理-每半年根据业务变化调整计划至少1次业务连续性管理团队组织和执行业务连续性演练-每季度至少组织1次全面的业务连续性演练，确保覆盖所有关键业务场景-在演练中发现的问题在3天内解决率达到90%-每年提高演练中发现问题的解决率至少5%-每季度评估并改进至少2项演练中的不足之处职能代表确保其职能领域的业务连续性计划和策略有效执行-在中断事件发生后15分钟内响应，并开始执行恢复策略-确保职能领域的关键业务功能在中断事件发生后2小时内恢复至少80%-每月至少参与1次与业务连续性相关的会议和培训-每季度评估职能领域的业务连续性风险，并确保至少75%的风险得到有效管理和控制组织应在相关职能和层次上制定业务连续性目标；组织内的多个职能都与业务连续性管理相关，因此应在这些职能上制定相应的业务连续性目标；表4：相关职能业务连续性目标（示例）职能核心职责对应的业务连续性目标可测量的业务连续性目标业务运营部门负责日常业务运营在中断事件发生时，确保关键业务功能能够在预定时间内恢复并维持正常运营在中断事件后的小时内，恢复至少%的关键业务功能信息技术部门负责信息技术系统和数据的恢复确保在中断事件发生时，信息技术系统可用，数据完整，并支持关键业务功能的恢复和持续运营在中断事件后的小时内，恢复关键信息技术系统的正常运行，并确保数据丢失不超过%设施管理部门负责设施的恢复和维护在中断事件发生时，确保设施能够迅速恢复正常运行，为业务连续性提供支持在中断事件后的小时内，恢复至少%的关键设施正常运行人力资源部门负责人员配备和培训确保在中断事件发生时，有足够数量且具备必要技能的人员能够迅速响应，支持业务恢复和持续运营在中断事件后的小时内，确保至少有%的关键岗位人员能够到位并有效执行任务供应链管理部门负责供应链的稳定性和恢复在中断事件发生时，确保供应链的稳定性和快速恢复，以最小化对业务运营的影响在中断事件后的小时内，恢复至少%的关键供应商或物流渠道的运营能力业务连续性目标的制定应涵盖组织的各个层次，应在以下层次上制定业务连续性目标：组织级别：制定整个组织的业务连续性目标，以明确组织对业务连续性的整体要求和期望；部门级别：各部门根据其在组织中的角色和职责，制定与业务连续性相关的具体目标；岗位级别：各岗位人员根据其工作内容和职责，制定与业务连续性相关的个人目标。表5：各层次业务连续性目标（示例）组织级别目标部门级别目标岗位级别目标在任何中断事件下，确保组织关键业务在24小时内恢复至少80%的运营能力信息技术部确保关键信息系统在中断事件后4小时内恢复运行，数据丢失率不超过5%IT系统管理员在中断事件后的2小时内，完成关键数据备份的恢复验证工作（确保备份数据可用，且能在需要时迅速恢复至少95%的关键业务数据）人力资源部在中断事件后的6小时内，确保至少90%的关键岗位有合格人员替补人力资源专员在供应商中断事件发生后2小时内，与备用供应商建立联系并启动切换流程（在中断事件后的6小时内，确保至少90%的关键岗位有合格人员替补）供应部在主要供应商中断事件后，确保在12小时内切换到备用供应商，恢复至少70%的供应链运营能力采购专员定期更新紧急联系信息，确保在中断事件发生时能够及时通知关键岗位人员（确保能在12小时内成功切换至少60%的受影响采购项目到备用供应商，且新供应商的交付性能达到原供应商的80%以上）业务连续性目标：与业务连续性方针保持一致，以实现特定的结果：即在建立业务连续性目标时，组织需要将业务连续性方针作为输入；表6：业务连续性方针与业务连续性目标的对应关系表业务连续性方针业务连续性目标关联关系确保关键业务在任何情况下都能持续运营在遭遇任何中断事件时，关键业务功能在4小时内恢复并维持至少70%的运营能力此目标直接响应了方针中“在任何情况下都能持续运营”的要求，设定了具体的时间和恢复比例来衡量业务连续性保护组织的声誉和品牌价值不受业务中断的影响在中断事件发生后24小时内，确保关于中断事件的公关响应覆盖至少80%的受影响客户和合作伙伴此目标旨在通过及时的公关响应来保护组织的声誉，与方针中保护品牌价值的要求相一致最小化业务中断对财务的影响在业务中断期间，确保组织的财务损失不超过预计年度收入的10%此目标将业务中断对财务的影响量化为具体的百分比，与方针中最小化财务影响的要求相符合维护关键客户和业务伙伴的信任和满意度在业务恢复后一周内，确保至少90%的关键客户和合作伙伴对恢复计划和执行感到满意此目标通过客户满意度来衡量业务连续性管理的效果，与方针中维护关键客户关系的要求相关联保障员工的安全和福利在任何中断事件中，确保员工的安全撤离和必要的福利支持此目标体现了组织对员工安全和福利的承诺，与方针中的员工保障要求相一致考虑适用的要求（包括相关方的要求和法律法规要求）；表7：业务连续性目标与适用的要求对照表业务连续性目标适用的要求（包括相关方要求和法律法规要求）典型示例在遭遇任何中断事件时，关键业务功能在4小时内恢复并维持至少70%的运营能力法律法规要求：金融行业监管机构要求关键金融服务在中断事件后2小时内恢复至少50%的服务能力。一家银行为满足监管要求并提升业务连续性水平，设定了在中断事件后4小时内恢复70%运营能力的目标。在中断事件发生后24小时内，确保关于中断事件的公关响应覆盖至少80%的受影响客户和合作伙伴相关方要求：重要客户期望在中断事件发生后能够迅速获得组织的更新和说明。一家在线零售商为满足重要客户的期望并提高品牌声誉，设定了在中断事件后24小时内覆盖80%受影响客户和合作伙伴的公关响应目标。在业务中断期间，确保组织的财务损失不超过预计年度收入的10%内部业务要求：组织的战略规划中设定了财务稳定性和增长的目标。一家制造企业为确保财务稳定性并实现持续增长，将业务连续性目标设定为在业务中断期间财务损失不超过预计年度收入的10%。在业务恢复后一周内，确保至少90%的关键客户和合作伙伴对恢复计划和执行感到满意市场竞争力要求：保持高客户满意度以增强市场竞争力。一家服务提供商为提升客户满意度和保持市场竞争力，设定了在业务恢复后一周内达到90%客户满意度的业务连续性目标。在任何中断事件中，确保员工的安全撤离和必要的福利支持法律法规要求：劳动法规定组织必须确保员工在工作场所的安全和福利。一家大型制造企业为确保遵守劳动法规并保障员工权益，将员工的安全撤离和福利支持作为业务连续性目标的重要组成部分。可测量[即可量化（如果可行）、可绩效评价]。表8：业务连续性目标可测量目标（示例）目标维度简要解释具体典型示例时间指标恢复关键业务功能所需的时间，通常以分钟、小时或天为单位来衡量。在中断事件发生后2小时内恢复80%的关键业务功能。恢复程度业务功能或运营能力在中断后恢复到的百分比或具体水平。在中断事件后恢复至少70%的业务运营能力。财务影响业务中断对组织财务造成的具体损失或收入减少的百分比。业务中断期间财务损失不超过年度收入的5%。客户满意度客户对业务恢复计划和执行过程的满意程度，通常通过调查或反馈机制来衡量。在业务恢复后一周内，确保至少90%的客户对恢复计划和执行感到满意。合规性业务连续性计划符合相关法规、标准或行业要求的情况。确保业务连续性计划符合金融行业监管机构的要求。关键业务功能恢复速度特定关键业务功能在中断后恢复的速度或时间。在中断事件发生后1小时内恢复支付功能。供应链稳定性供应链中断后恢复正常所需的时间，以及中断对供应链的具体影响。在供应链中断后24小时内恢复至少80%的供应链稳定性。员工生产力恢复员工在中断事件后恢复到正常生产力水平所需的时间。在中断事件后4小时内，确保至少75%的员工恢复到正常生产力水平。信息系统可用性信息系统在中断后恢复的时间和恢复后的性能水平。在中断事件发生后2小时内恢复信息系统的正常访问，并确保系统性能不低于中断前的90%。危机沟通能力组织在危机期间与内部员工和外部相关方沟通的效果和效率。在中断事件发生后1小时内发布准确的内部和外部沟通信息，覆盖至少95%的相关方。风险和脆弱性管理组织定期评估其面临的风险和脆弱性，并采取相应的管理措施来降低风险。每年进行一次全面的业务连续性风险评估，并根据评估结果更新业务连续性计划。表9：业务连续性目标与绩效评价指标关系（示例）目标和指标维度业务连续性目标绩效评价指标KPI恢复时间(RTO)在中断事件发生后2小时内恢复关键业务功能。实际恢复时间与设定的RTO进行比较，计算恢复效率。恢复时间效率=(实际恢复时间/RTO目标)*100%数据恢复点(RPO)确保数据丢失不超过最近1小时内的备份。实际数据丢失量与设定的RPO进行比较，评估数据恢复策略的效果。数据恢复效果=(实际数据丢失量/RPO目标)*100%财务损失业务中断期间财务损失不超过年度收入的2%。实际财务损失与设定的财务损失目标进行比较，衡量业务连续性计划对财务的保护程度。财务保护程度=(实际财务损失/财务损失目标)*100%客户满意度在业务恢复后3天内，确保至少95%的客户对恢复计划和执行感到满意。通过客户满意度调查，实际客户满意度与设定的目标进行比较，评估客户关系的维护情况。客户满意度达成率=(实际满意的客户数量/目标满意的客户数量)*100%关键业务功能可用性确保关键业务功能在中断事件发生后4小时内至少恢复到75%的可用性。实际关键业务功能可用性与设定的目标进行比较，评估关键业务功能的恢复效果。关键业务功能恢复率=(实际恢复的关键业务功能/目标恢复的关键业务功能)*100%危机响应速度在中断事件发生后30分钟内启动危机响应计划。实际危机响应时间与设定的目标进行比较，评估危机响应的速度和效率。危机响应效率=(实际危机响应时间/目标危机响应时间)*100%供应链恢复在供应链中断后24小时内恢复至少80%的供应链稳定性。实际供应链恢复时间与设定的目标进行比较，评估供应链管理的效果。供应链恢复率=(实际恢复的供应链稳定性/目标恢复的供应链稳定性)*100%员工安全撤离在中断事件发生时，确保所有员工在15分钟内安全撤离。实际员工安全撤离时间与设定的目标进行比较，评估员工安全管理的效果。员工安全撤离达成率=(实际安全撤离的员工数量/总员工数量)*100%信息系统恢复在中断事件发生后1小时内恢复核心信息系统的访问。实际信息系统恢复时间与设定的目标进行比较，评估信息系统恢复的速度和效果。信息系统恢复速度=(实际恢复时间/目标恢复时间)*100%外部沟通效率在中断事件发生后1小时内向所有关键外部合作伙伴发布准确的信息。实际外部沟通时间与设定的目标进行比较，评估外部沟通的效率和准确性。外部沟通准确率=(实际准确发布信息的合作伙伴数量/总合作伙伴数量)*100%业务连续性目标的管理建立并保持全面、系统的业务连续性目标成文信息；组织应详细记录并以书面形式保存有关业务连续性目标的所有信息，包括但不限于业务连续性工作计划、平衡计分卡、管理展示板、内联网通讯等；将业务连续性目标融入组织的战略规划和年度计划，确保与整体发展方向一致；定期对业务连续性目标的成文信息进行审查、更新和验证，以确保其准确性、完整性和时效性。实现业务连续性目标的有效沟通；在组织内部建立多层次的沟通机制，确保业务连续性目标在各相关职能和层次之间得到清晰、准确和及时地传达；定期召开业务连续性管理会议，促进跨部门和跨层级的协作与交流；必要时与外部相关方进行沟通合作，共同推动业务连续性目标的实现。对业务连续性目标的实施进行持续监视、评审和测量；建立完善的业务连续性管理绩效评估体系，明确评估指标和方法；定期对业务连续性目标的实施情况进行监视、评审和测量，及时发现问题并采取改进措施；利用先进的信息技术手段，如大数据分析、人工智能等，提高业务连续性管理的智能化水平。保持业务连续性目标的适应性和灵活性。密切关注外部变化：组织应持续监测市场动态、技术发展趋势、法规政策更新以及任何可能影响业务连续性的外部因素；定期评估影响：基于收集到的信息，组织应定期评估这些外部变化对当前业务连续性目标可能产生的影响；适时更新目标：一旦发现外部变化对业务连续性目标产生实质性影响，组织应立即启动目标更新流程。在以下情形时可考虑适时更新目标：外部环境变化：当市场、行业或法规有重大变动时，应更新业务连续性目标以适应新环境；技术发展：新技术出现或现有技术大幅进步时，应调整业务连续性目标以利用技术优势；内部运营变动：组织内部发生如并购、重组等重大变革时，需更新目标以匹配新的运营状态；风险评估：定期风险评估发现新风险或风险升级时，应更新目标以应对这些威胁；业务策略调整：当组织的业务策略发生方向性变化时，业务连续性目标需同步更新；历史事件反馈：从过去的业务中断事件中学习，根据发现的问题和不足更新目标。快速响应变化：在更新目标的同时，组织应迅速制定并采取相应的措施，以确保在新的环境和要求下仍能保持业务的连续性。实现业务连续性目标的策划组织可为实现目标进行单独策划或整体策划。必要时，可针对多重目标进行策划；组织在实现业务连续性目标时，可以根据目标的性质、重要性和紧急性进行单独策划或整体策划。单独策划可能针对某个特定的、关键的业务连续性目标，而整体策划则考虑整个业务连续性管理体系的多个目标；当多个目标之间存在相互关联或影响时，或者当组织需要同时实现多个目标时，可以进行针对多重目标的策划。组织应制定短期、中期和长期计划，以应对不同需求组织的不同规划周期；组织应根据自身的业务特点、市场环境和发展战略，制定不同时间跨度的业务连续性计划。短期计划可能关注即将到来的业务中断风险或恢复需求，中期计划考虑未来几年内可能面临的变化和挑战，而长期计划则着眼于组织的长远发展和战略目标；通过制定不同规划周期的计划，组织可以更好地应对各种变化和挑战，确保业务连续性的长期稳定和可持续发展。计划应在整个组织内予以沟通。应监视和记录计划的实施进展情况。计划应在整个组织内部进行广泛而有效地沟通，确保所有相关人员都了解并理解自己的角色和责任；组织应建立监视和记录机制，定期跟踪和评估计划的实施进展情况。随着BCMS的进展，应定期评审该计划，并在适当的情况下进行更新。BCMS是一个持续演进的过程，随着组织内外部环境的变化、业务的发展以及新技术的出现，原有的业务连续性计划可能需要进行调整或更新；组织应定期对业务连续性计划进行评审，评估其仍然适用的部分以及需要调整或更新的部分，确保计划始终与组织的战略目标和实际需求保持一致。在策划如何实现业务连续性目标时，组织应确定：要做什么：为实现业务连续性，应制定明确的行动方案。方案应综合考虑各种技术方案的可行性、财务成本效益以及运行和业务需求，选择最具成本效益和可行性的选项来确保业务的持续运行。所需资源：应全面评估并调配实现业务连续性所需的资源，确保在关键时刻拥有足够的支持来保障业务的持续运行；由谁负责：应明确指定负责实现的团队或部门，由其承担起推动和执行行动方案的责任，确保各项措施得到有效实施；何时完成：应设定清晰的时间表，包括明确各项措施的完成时间和关键里程碑，以确保按计划有序推进；如何评价结果：建立保持一个有效的评价体系来定期评估业务连续性目标的实现情况。通过定期评估和反馈，可以及时发现存在的问题并采取相应措施进行改进和优化；如何将实现业务连续性目标的措施融入其业务过程：业务连续性措施应与组织的日常运营和业务流程紧密结合，确保业务的连续性和整体战略的一致性；组织应保持和保留业务连续性目标和实现业务连续性目标的策划的成文信息；业务连续性目标策划的成文信息包括：业务连续性目标文档、业务影响分析（BIA）的摘要、目标可行性分析报告、管理层审批记录：实现业务连续性目标策划的成文信息包括：业务连续性计划（BCP）、资源调配计划、责任分配矩阵、时间表和里程碑、风险评估与应对计划、沟通与培训记录。组织应定期评审业务连续性目标及其实现措施，可通过进度报告、反馈会议、管理评审和绩效评价等方式进行。必要时，应及时调整以确保BCMS的有效性和适宜性。

表10：业务连续性目标及其实现的策划（示例）业务连续性目标测量指标与目标值实施措施负责部门完成时间评估方法1.确保关键业务在中断后快速恢复恢复时间：≤2小时；恢复运营能力：≥80%-识别关键业务流程和恢复优先级-预先配置备用硬件、软件和网络资源-制定详细的恢复策略和计划，包括人员配置、资源调配和备用设施-定期进行恢复演练，验证恢复策略的有效性业务连续性管理团队、IT部门、关键业务部门中断发生后2小时内实际恢复时间和恢复后的运营能力百分比2.控制业务中断导致的财务损失财务损失占预计年度营收比例：≤5%-实施业务影响分析，确定潜在的业务中断场景和对应的财务影响-制定风险缓解策略，包括预防措施和应急响应计划-设立财务应急预案，确保资金迅速调配以应对中断事件-跟踪中断事件后的财务影响，及时调整策略和预案业务连续性管理团队、财务部门业务中断事件发生后立即实际财务损失与预计年度营收的比例3.维持关键信息系统的高可用性信息系统可用性：≥99.99%-采用高可用性架构，包括冗余服务器、存储设备和网络设备-实施定期的系统维护和健康检查，确保系统稳定运行-监控关键系统的性能指标，及时发现并解决潜在问题-建立故障切换机制，确保在主系统故障时能够快速切换到备用系统IT部门持续进行监控系统的可用性指标4.提升员工应急响应能力每年培训和演练次数：≥2次；员工掌握程度：≥90%-制定详细的培训计划，包括培训内容、时间和参与人员-准备培训材料，如应急响应流程、操作手册和模拟演练场景－组织全员参与的业务连续性培训和演练，确保员工了解应急响应流程-对培训和演练进行评估和反馈，及时改进培训计划和应急响应流程人力资源部门、业务连续性管理团队每年至少2次员工对应急响应流程的掌握程度测试和培训反馈附件A：基于过程方法的“6.3业务连续性目标及其实现的策划”流程分析过程输入活动（工作流程表）过程输出技术、工具和方法组织自身的战略（目标）业务连续性方针相关方需求和期望合规义务风险评估和控制活动的结果业务连续性绩效准则和