GB∕T30146-2023 《安全与韧性 业务连续性管理体系 要求》“6.3业务连续性管理体系变更的策划”理解与实施指导材料（2024A0）

“6.3业务连续性管理体系变更的策划”理解与实施指导材料GB∕T30146-2023《安全与韧性业务连续性管理体系要求》“6.3业务连续性管理体系变更的策划”理解与实施指导材料过程预期结果 适应与策划：识别业务环境变化，确定BCMS的变更需求，并确保变更经过策划后以受控方式实施；控制影响：评估并最小化变更对业务连续性的不利影响，以适应环境变化和新需求，同时确保变更受控；保持完整性与符合性：在变更期间及之后，保持BCMS的完整性并符合相关标准，持续实现预期的业务连续性结果。有关变更的策划术语变更对组织现有的业务连续性策略、计划、程序、结构、资源或任何其他相关组成部分进行的修改、增加或删除。变更可能带来风险和机遇。变更管理对组织内部或外部环境的变化进行识别、评审、批准、实施和监控的过程。业务连续性管理体系变更对组织现有的BCMS进行的修改、更新或重构的过程。变更管理是所有管理过程的重要考虑因素在管理过程中，无论是制定计划、分配资源、监督执行还是评估结果，都需要将变更管理作为一个重要的考虑因素。变更管理之所以是所有管理过程的重要考虑因素，主要基于以下几点原因：适应变化：变更管理帮助组织适应不断变化的外部环境，如市场、客户需求、技术和法规，确保策略和资源与当前情况相匹配；风险控制：妥善管理变更可降低引入新风险或加剧现有风险的可能性，保护组织的稳定运营；持续改进：通过评估变更效果，组织能够持续优化其管理和运营效率，实现不断进步；保持完整性：变更管理确保所有调整都在受控范围内，从而保持整个管理体系的完整性和一致性。变更过程的管理识别变更需求在管理过程中，需要持续识别可能的变更需求。确定需要对BCMS进行变更（无论是永久性的还是临时性的变更）的需求，变更时机通常包括：外部环境变化：关注并适应市场需求、竞争、法规和技术标准的变动；内部业务调整：随战略、业务、流程或结构的调整更新BCMS；业务规模变化：调整BCMS以适应业务的增长或缩减；供应链与合作伙伴变动：应对供应链和合作伙伴的变化，更新依赖关系和风险管理；关键人员变动：确保新关键人员快速融入并执行业务连续性计划；技术进步与创新：采纳新技术工具，提升业务连续性管理效率；风险评估结果变化与新威胁或风险识别：根据风险评估结果和新识别的威胁，调整业务连续性BCMS以应对潜在影响；应急演练与反馈：通过演练发现不足，持续改进BCMS；事故灾难复盘：事故后分析教训，对BCMS进行重大调整；持续改进：定期审查并抓住改进BCMS的机会。综合考虑BCMS变更策划的各项因素在组织决定对BCM）实施变更时，无论是基于第10章中明确的变更需求还是其他业务需求，应对变更进行周密的策划。为确保变更的有效性和组织的业务连续性，组织在策划过程中应综合考虑以下因素：变更目的：确保充分研究和理解变更的预期目的：增强BCMS的敏捷性、适应性和灵活性，以确保其能够迅速响应组织内部和外部环境的变化；持续提升BCMS的整体绩效和有效性，从而不断提高组织的业务连续性管理水平；识别并减少潜在的业务连续性风险，为组织的稳定运营提供保障；及时调整BCMS以满足合规义务的变化，确保组织的合规性；关注和满足相关方的需求和期望，以维护组织的声誉和利益相关者的信任；提升工作人员和相关方对业务连续性的认识，培养全员的业务连续性意识。变更潜在预期和非预期的后果：运用基于风险的思维：在策划BCMS变更时，组织应积极采用基于风险的思维方式，确定必要的风险应对措施，确保变更过程中的风险得到有效控制；分析变更过程中的业务连续性风险：在变更实施前，组织应对变更过程及变更后可能产生的业务连续性风险进行全面分析；评审非预期性变更的后果：组织应定期评审非预期性变更的实际后果，并在必要时迅速采取措施，以减轻对业务连续性的不利影响；考虑应对风险的措施：在变更管理过程中，组织应充分考虑并策划应对风险的措施，确保变更不会引发非预期的严重后果。确保BCMS的完整性得到保持：组织在建立和维护BCMS时，应确保其全面、系统地覆盖组织内部所有与业务连续性相关的方面，不遗漏任何关键环节。为实现这一目标，组织应采取以下措施：对组织内部的所有业务流程、关键资源、重要设施以及与业务连续性相关的其他方面进行全面识别和分析，确保BCMS能够覆盖所有这些方面；建立和保持一个完整的BCMS框架，包括策略、流程、计划、资源和其他必要组件，以确保组织在面临各种挑战和中断时能够迅速恢复并保持业务连续性；定期对BCMS进行评审和更新，以确保其始终与组织的目标、战略和业务需求保持一致，并能够适应内外部环境的变化；通过培训、演练和其他方式提高组织内部员工对BCMS的认识和理解，确保他们能够在需要时有效地执行BCMS的各项要求和措施。确定适当和充足的资源的可获得性：在推进BCMS的变更之前，组织应确保能够获取适当且充足的资源以支持变更。如果所需的资源尚未到位或不足以满足变更的需求，组织应推迟变更的实施，直至资源条件成熟；职责和权限的分配或重新分配：为确保BCMS变更的顺利进行，组织应对职责和权限进行明确的分配或再分配。在此过程中，特别需要为管理团队指定专门的负责人，负责全面监督和管理BCMS的变更过程。制定变更计划根据对变更影响的深入分析结果，组织应精心制定一份全面的变更计划。该计划必须详细阐述变更的每一个具体步骤，明确各阶段的时间安排，并指定相应的责任人，以确保整个变更过程能够严格按照计划有序进行。实施变更确保BCMS变更的有序性和可控性；在实施BCMS的变更时，组织必须严格遵循既定的步骤和时间表进行操作，以确保变更过程的有序性和可控性。同时，组织应保持高效的沟通和协调机制，确保所有相关方都能充分理解变更的目的、过程和影响，并积极支持变更的实施。有计划地推进BCMS变更；当组织确定需要对BCMS进行变更（包括因第10章所述原因引发的变更）时，应有计划、有系统地推进所确定的变更。包括将变更信息及时告知所有相关工作人员，并提供必要的培训，以确保他们能够适应新的工作要求和流程。定期评审和调整BCMS变更方案。在变更实施过程中，组织应结合实际情况对变更效果进行定期评审，并履行相应的验收程序。如果发现变更未能达到预期效果或存在其他问题，组织应及时重新进行变更策划，调整实施方案，以确保变更能够最终达到预期目标。监控和评估为确保BCMS的变更达到预期效果并持续优化，组织不仅应关注变更的实施阶段，还应对整个变更管理过程进行持续的监控和评估。通过收集和分析变更后的数据、反馈及实际效果，组织可以了解变更对业务连续性的影响，识别潜在的问题和改进机会，从而及时进行必要的调整和优化。形成变更的成文信息应对BCMS的变更形成成文信息，包括变更的目的、内容、实施步骤、时间表、责任人、评审结果以及任何必要的调整和改进措施。附件A：基于过程方法的“6.3业务连续性管理体系变更的策划”流程分析过程输入活动（工作流程表）过程输出技术、工具和方法组织基础与目标：组织目标、战略及业务需求变化、业务连续性方针与目标变化组织与职责：业务连续性组织机构及职责变化环境变化：外部环境变化、内部环境变化、相关方需求与期望变化合规与风险：合规义务变化、业务连续性风险及应对措施变化BCMS范围与资源：BCMS范围变化、资源变化审核、评审与改进：内部审核与管理评审结果、BCMS改进引起的变化其他变化（组织文化、技术、流程等变化）：组织文化、技术、流程等变化，组织文化、价值观更新说明，IT系统升级记录，关键业务流程优化计划，供应链、合作伙伴调整通知，应急预案与危机管理更新记录，外部认证、审计要求应对策略，治理结构、高层团队变动通知，非财务绩效指标变化报告）一级流程二级流程流程控制要点说明1.识别变更需求了解变更需求确保全面、准确地了解变更的背景、目的和影响分析变更需求的背景和影响深入分析变更对业务、流程、系统等方面的影响提出变更申请明确变更内容、目的和期望效果，确保申请完整、准确审核变更申请的合理性和可行性对变更申请进行全面评估，确保变更的合理性和可行性批准或拒绝变更申请根据审核结果，对变更申请进行批准或拒绝通知相关方关于变更的决定确保所有相关方都了解变更的决定和后续行动计划2.综合考虑BCMS变更策划的各项因素评估变更对BCMS的影响对变更可能带来的正面和负面影响进行全面分析，包括对BCMS的完整性、可用性和保密性的影响进行评估分析变更所需的资源和条件识别和确定实施变更所需的资源（如人力、物力、财力）和必要条件（如技术、环境、法规等），确保资源的可获得性和条件的满足性确定变更的优先级和时间安排根据变更的紧急程度、重要性以及业务影响，对变更进行优先级排序，并制定合理的时间安排以确保变更的顺利实施识别可能的风险和挑战，并制定相应的应对措施对变更过程中可能出现的技术、组织、人员、资源等方面的风险和挑战进行预测和识别，并制定相应的风险应对措施和预案，以确保变更的顺利进行3.制定变更计划明确变更目标和范围清晰定义变更的目标、期望结果以及涉及的范围，确保所有相关方对变更内容有共同的理解制定详细的变更实施计划根据变更目标和范围，制定详细的实施计划，包括具体的步骤、任务分配、时间表和里程碑等确定变更的责任人和团队指定变更的负责人和核心团队成员，明确各自的职责和权限，确保变更计划的顺利执行分配任务和资源根据变更实施计划，将任务具体分配给团队成员，并确保所需资源的合理分配和准备制定风险管理计划识别变更过程中可能的风险，制定相应的风险应对措施和预案，确保变更的顺利进行获得相关方的批准和确认将变更计划和相关文档提交给相关方进行审查和批准，确保变更计划得到各方的认可和支持4.实施变更通知相关方关于变更的实施向所有受变更影响的相关方发送正式通知，明确变更的时间、内容和影响，确保他们了解并准备相应的应对措施执行变更计划按照变更实施计划逐步执行变更操作，确保每个步骤都得到正确执行，并及时解决执行过程中出现的问题监控变更过程对变更执行过程进行实时监控，确保变更按照计划进行，并及时发现和解决潜在的问题和风险验证变更效果在变更执行完成后，对变更效果进行验证和测试，确保变更达到了预期的目标，并没有引入新的问题更新相关文档和记录根据变更的实际执行情况，及时更新BCMS的相关文档和记录，确保它们与变更后的状态保持一致5.监控和评估监控变更后的效果对变更实施后的系统进行持续监控，确保变更达到预期效果，并未引入新的问题或风险收集反馈和意见从相关方收集关于变更效果的反馈和意见，包括正面和负面的评价，以及改进建议评估变更效果综合监控数据和收集的反馈，对变更效果进行全面评估，确定是否达到了预期目标报告和沟通将监控和评估结果报告给相关方，包括高层管理者、项目团队和其他利益相关者，确保信息的透明和共享调整和改进根据评估结果和反馈意见，对变更计划或BCMS进行必要的调整和改进，以优化未来的变更管理过程6.形成变更成文信息记录变更过程和结果将整个变更过程的关键活动、决策、问题和结果详细记录下来，形成完整的变更历史记录更新BCMS文档根据变更的实际执行情况和结果，更新BCMS的相关文档，包括策略、计划、程序和指南等汇总变更效果和影响汇总和分析变更实施后的效果和对BCMS整体性能的影响，形成综合性的报告归档变更记录将所有与变更相关的文档和记录进行归档，确保它们得到妥善保存和备份，方便未来参考和审计共享变更信息将变更的成文信息在组织内部共享，确保相关方了解变更的最新状态和影响，促进信息共享和沟通变更需求清单初步影响分析报告变更策划报告摘要风险评估与应对策略概览详细的变更计划摘要成本效益分析报告变更沟通计划概要变更实施记录摘要验证报告概要监控报告摘要评估报告概览改进建议清单变更总结报告更新后的BCMS文档清单经验教训总结专家判断会议讨论或评审决策工具风险评估与管理：风险评估工具、风险仪表盘与可视化工具业务流程优化与建模：业务流程建模工具、流程仿真与优化软件项目与变更管理：敏捷项目管理方法、变更管理工具文档与知识管理：版本控制工具、知识管理平台质量保证与测试：自动化测试工具、性能测试与压力测试工具监控、日志分析与事件管理：实时监控工具、日志分析与事件管理平台沟通与协作支持：企业级即时通讯工具、项目管理与协作软件“6.3业务连续性管理体系变更的策划”需保持和保留成文信息：需保持的成文信