GB∕T30146-2023 《安全与韧性 业务连续性管理体系 要求》“8.3业务连续性策略和解决方案”理解与实施指导材料（2024A0）

“8.3业务连续性策略和解决方案”理解与实施指导材料GB∕T30146-2023《安全与韧性业务连续性管理体系要求》“8.3业务连续性策略和解决方案”理解与实施指导材料过程预期结果恢复业务运营：确保组织在面临业务中断时，能够在预定的时间范围内，以可接受的能力重新恢复其业务运营，从而最小化业务中断的时间和影响；缓解中断风险：识别和缓解与中断相关的风险，增强其应对各种中断场景的能力，并在长期内不断改进和完善这些策略，以提高其恢复能力和减少未来中断的可能性。有关业务连续性策略和解决方案术语业务连续性策略；业务连续性策略是组织满足其业务连续性需求的可能方法。满足业务连续性需求：指组织为确保其关键业务流程在面临各种中断事件时能够持续运行而设定的需求。业务连续性策略的制定就是为了满足这些需求，确保组织的业务在任何情况下都能保持连续和稳定；可能的方法：业务连续性策略不是一种固定的解决方案，而是一系列可能的方法、计划和措施的组合。方法可能包括数据备份和恢复、冗余系统建设、灾难恢复计划、应急响应流程等。总则（8.3.1）：依据业务影响与风险评估，构建全周期解决方案识别和选择业务连续性策略：基于业务影响分析和风险评估的输出，组织应识别和选择业务连续性策略，这些策略考虑了中断之前、期间和之后的可选项。业务影响分析和风险评估是基础：先进行业务影响分析（BIA）和风险评估，以全面理解其业务流程的重要性、相互依赖性以及对潜在中断的敏感性。这些分析提供了关于业务中断潜在影响、恢复时间目标（RTO）和数据恢复点目标（RPO）的关键信息。策略识别与选择：基于BIA和风险评估的输出，组织应识别一系列可能的业务连续性策略。这些策略应该是针对组织特定需求的，考虑了其业务目标、资源限制和风险承受能力。全周期考虑：业务连续性策略不仅关注中断期间的应对措施，还应考虑中断之前的预防措施和中断之后的恢复措施。策略应包括预防、响应、恢复和重建等多个阶段，确保组织在任何时候都能保持业务的连续性和稳定性。业务连续性策略应包含一个或多个业务连续性解决方案：策略的复合性：业务连续性策略不是单一的措施或方法，而应是由一个或多个解决方案组成的综合计划。满足多重要求：由于业务连续性涉及多个方面和潜在的中断场景，因此可能需要多个解决方案来共同确保业务的持续运行。解决方案的多样性：业务连续性解决方案可以包括不同的方法、安排、程序、处置方法和措施，这些都可以被用来实施业务连续性战略。基于业务影响分析与风险评估，成本考虑下的业务连续性策略与解决方案选择：业务连续性策略的确定和业务连续性解决方案的选择应基于业务影响分析（见8.2.2）和风险评估（见8.2.3)，并考虑相关的成本。以业务影响分析为基础（见8.2.2)：业务影响分析提供了对业务流程中断潜在后果的深入理解，包括财务损失、声誉损害、客户流失等。这种分析帮助组织识别出哪些业务流程和功能是至关重要的，以及在中断后需要多快恢复。结合风险评估（见8.2.3)：风险评估涉及识别潜在的威胁和脆弱性，以及它们可能对业务运营造成的影响。通过风险评估，组织可以确定不同中断场景的发生概率和潜在影响，从而优先处理那些最可能且影响最大的风险。考虑成本：在确定业务连续性策略和选择解决方案时，组织必须考虑相关的成本。包括实施和维护策略的直接成本（如投资在冗余系统、备份设施和培训上的费用）以及间接成本（如因业务中断而导致的潜在收入损失）；策略与解决方案的匹配：基于业务影响分析和风险评估的结果，以及成本的考虑，组织应选择和制定与其业务需求、风险承受能力和资源状况相匹配的业务连续性策略和解决方案。制定确定和选择业务连续性策略和解决方案的程序。建立程序的重要性：组织应建立一套明确的程序来指导业务连续性策略和解决方案的确定与选择过程，以确保决策的一致性和有效性，以及资源和时间的合理利用；评审与批准流程：应建立评审和批准机制，对建议的业务连续性策略和解决方案进行评审，以确保所选策略和解决方案与组织的目标、需求和资源相匹配，并经过适当的考虑和验证；考虑全周期实施选项：在确定和选择业务连续性策略和解决方案时，组织应全面考虑在中断事件发生之前、期间和之后可以实施的选项，包括预防措施、应急响应计划、恢复和重建策略等，以确保组织在任何阶段都能有效应对中断事件并保持业务的连续性。表1业务连续性策略与解决方案的通用框架策略与解决方案内容要点说明业务连续性策略风险评估与管理对潜在的威胁和脆弱性进行识别、评估和管理确定关键业务流程和资产的优先级恢复时间目标（RTO）与数据恢复点目标（RPO）根据业务需求确定可接受的恢复时间和数据损失资源保障确保关键资源（人员、设备、物资等）在中断期间的可用性法律与合规性遵守相关法规、标准和合同要求，确保业务连续性策略的合法性培训与意识提升对员工进行业务连续性培训和意识提升业务连续性解决方案数据备份与恢复实施定期的数据备份，并确保备份数据的可用性和完整性建立快速的数据恢复机制冗余系统部署冗余的关键系统和基础设施，确保在主系统故障时能够迅速切换应急响应计划制定详细的应急响应计划，包括紧急通讯、人员疏散、危机管理等替代工作场所预先安排替代工作场所，确保在主要工作场所不可用时能够继续运营供应链管理与关键供方建立紧密的合作关系，确保在中断期间能够获得必要的资源和支持测试和演练定期对业务连续性解决方案进行测试和演练，确保其有效性和可靠性跨部门和跨组织协作建立跨部门和跨组织的协作机制，确保在中断事件发生时能够迅速响应和协调确定策略和解决方案概述组织业务连续性策略与解决方案的确定、选择及实施机制；组织应准备确定和选择业务连续性策略和解决方案的机制，包括批准和实施推荐的解决方案（见8.3)。机制建立的重要性：组织需要建立一个明确的机制来确定和选择业务连续性策略和解决方案。这个机制是确保组织在面对潜在的业务中断时，能够迅速、有效地做出反应的关键；策略与解决方案的确定：该机制应包括对组织可能面临的各类风险和中断进行全面评估，并基于这些评估结果来确定适宜的业务连续性策略和解决方案。这些策略和解决方案应旨在最小化业务中断的影响，并确保关键业务功能的快速恢复。选择与批准流程：在确定了一系列的策略和解决方案后，组织需要有一个明确的选择和批准流程。这个流程应确保所选的策略和解决方案与组织的目标、资源和约束条件相一致，并得到相关决策者的认可和支持。实施推荐方案：一旦策略和解决方案得到批准，组织需要迅速实施这些推荐的方案。这可能涉及资源调配、培训计划制定、技术部署等多个方面。注：ISO/TS22331提供了确定和选择业务连续性策略和解决方案的进一步指导。策略与方案的构建；策略实施中的灵活选择：不采取措施或推迟恢复亦可成为特定组织活动的可行策略；策略与解决方案的关系：大多数策略在实施时需要一个或多个具体的解决方案来支撑。解决方案是策略的具体化，为策略的执行提供了明确的方向和步骤；策略的灵活性：尽管大多数策略需要相应的解决方案，但在某些特定情境下，对于某些组织活动而言，不采取任何特别措施或选择推迟重续也可能是一种可接受的策略；迁移策略及其解决方案：迁移策略是恢复活动的一种常见策略，它可能包括多种解决方案，如“紧急运输”以确保关键资源的及时到位，“网络重定向”以维持服务的连续性，以及“替代人员配置”以弥补人员缺口。这些解决方案也可以成为“延长工作时间”策略的一部分，它们可以单独使用，也可以组合使用，以最大程度地减少中断对业务的影响；生产策略及其解决方案：保护优先活动的生产策略同样可能由多个解决方案组成。例如，通过“将产品A的30%制造从地点A转移到地点B”来分散风险，或通过“将产品A的制造拆分到地点C和地点D”来提高生产的灵活性和效率。这些解决方案旨在确保即使在面临不利条件时，组织的优先活动也能得到保护并持续进行；策略与解决方案的适应性：无论是迁移策略还是生产策略，其背后的解决方案都需要根据组织的具体情况和外部环境的变化进行适应和调整。业务连续性计划的预防措施及其局限性：分散团队与ICT系统的挑战与共识；预防措施的必要性：为了降低中断对业务连续性计划（见8.4.4）的不利影响，组织可能需要采取预防措施。例如，将团队和关键的ICT系统分散到多个地点，以增加冗余和减少单点故障的风险。预防措施的局限性：尽管分散团队和ICT系统是一种有效的预防措施，但并非所有类型和规模的中断都能通过这种方式来完全避免或分离。组织需要认识到这种方法的局限性，这包括物理距离、最少人员配置以及中断的严重程度等因素。与最高管理者的一致性：鉴于预防措施的局限性，组织应与最高管理者就这些局限性达成共识。这有助于确保在面临中断时，组织能够根据实际情况做出快速、有效的决策。公共机构响应的影响：在评估预防措施的局限性时，组织还应考虑公共机构对严重或大范围中断的响应能力。这可能会影响组织在中断期间能够获得的外部支持和资源，从而影响其业务恢复的速度和效果。组织策略与解决方案的确定：保护、稳定、恢复优先活动及应对影响；组织应确定适宜的策略和解决方案以：保护组织的优先活动：组织应确定并实施适当的策略，以确保其优先活动在面临潜在威胁时得到保护；稳定、连续、重续和恢复优先活动：除了保护优先活动外，组织还需要确保这些活动的稳定性、连续性和可恢复性。组织应建立稳健的业务连续性计划（包括备份设施、冗余系统、应急响应机制等），以确保在中断事件发生时能够迅速恢复关键业务。缓解、响应和控制影响：组织应制定策略来缓解潜在的中断事件对其业务的影响，建立快速响应机制以应对突发情况，并采取控制措施以防止事态扩大。这可能涉及风险评估、危机管理、应急演练等方面的工作。综合策略与解决方案：为实现上述目标，组织需要确定综合的策略和解决方案。这些策略和解决方案应基于组织的具体情况和需求进行定制，并考虑到各种潜在的风险和中断场景。同时，它们还需要与组织的整体战略和目标保持一致。策略与方案的实施与目标；在实施这些策略和解决方案时，组织应识别并基于以下目标和要求来进行：保护组织的优先活动：保护优先活动的实现方式；在实施策略和解决方案时，首要目标是保护组织的核心业务和优先活动不受损害。组织需要识别其最关键的业务流程，并制定相应的保护措施，以确保这些流程在任何情况下都能得到最大程度地保障。保护优先活动可以通过以下方式实现：降低活动受到中断影响的风险；组织应识别那些对业务运营至关重要的优先活动，这些活动一旦中断，可能会对组织的运营、声誉或财务状况造成重大影响；组织应对这些优先活动进行全面的风险评估，以确定潜在的中断源和风险因素；基于风险评估的结果，组织应制定并实施相应的风险缓解措施（包括增强物理安全、优化业务流程、提高系统冗余度等），以降低这些优先活动受到中断影响的风险。将活动转给第三方（但责任仍由组织承担）。在某些情况下，组织可能会选择将某些优先活动的执行转交给第三方服务提供商；即使活动被转交给第三方执行，组织仍然需要承担最终的责任。在选择第三方服务提供商时，组织应进行充分的尽职调查，确保第三方具备必要的资质和能力来执行这些活动；组织还需要与第三方建立明确的合同和服务水平协议（SLA），明确双方的权利和义务，包括服务范围、质量标准、违约责任等。确定保护优先活动策略时需考虑的关键因素活动的脆弱性及影响评估：组织需要识别并评估优先活动的脆弱性，即这些活动在面对潜在风险时可能受到的影响程度。同时，还需预测和评估如果这些活动停止，会对组织的运营、客户满意度、品牌形象和财务状况等方面产生何种具体影响。成本与收益分析：在选择保护措施和解决方案时，组织应进行成本效益分析。这意味着需要评估实施每项措施所需的投资（包括资金、时间、人员等）与预期减少的风险和潜在的收益之间的平衡。紧迫性考虑：对于某些紧急情况下的优先活动，组织可能面临时间紧迫的限制。在这种情况下，选择解决方案时需要考虑其实施的速度和效率，以确保在有限的时间内最大程度地保障活动的连续性。可行性与适用性评估：最后，组织应评估所考虑策略和解决方案的整体可行性和适用性。这包括考虑组织的现有资源、技术能力、法律法规要求以及员工的知识和技能水平等因素，确保所选方案既切实可行又与组织的环境和目标相适应。满足稳定、连续、重续和恢复优先活动的要求：组织必须确保在预定的时间范围内和既定的能力标准下，能够快速地重新启动和恢复关键的业务活动。为以商定的能力重续优先活动而设置的RTO，使组织能够确定策略以缩短中断时间、减少影响并及时恢复优先活动。缩短中断时间：RTO的设定迫使组织考虑如何在最短的时间内恢复其优先活动；减少影响：通过设定RTO，组织可以预先评估和规划在业务中断期间可能受到的影响，从而采取相应的措施来最小化这些影响；及时恢复优先活动：RTO的核心目的是确保组织能够在预定的时间范围内恢复其优先活动。通过制定明确的恢复策略和流程，并进行定期的测试和演练，组织可以确保在真正的业务中断发生时，能够迅速、有效地响应，并及时恢复其关键业务活动。确保优先活动RTO内恢复的全面策略：匹配依赖资源的RTO与考虑多维度恢复要素识别并设定相匹配的RTO：组织应详细分析优先活动的依赖关系（包括但不限于技术系统、物理设施、外部供方和关键人员）；对于每个依赖项和支持资源，都应设定一个与主活动RTO相匹配的恢复时间目标。确定恢复能力：组织需要评估并确保所有依赖关系和支持资源具备在设定的RTO内恢复到所需能力的能力。设定RTO时的考虑因素。设定这些RTO时，组织可能需要考虑：在全面恢复之前提供替代服务的可能性：组织应考虑在完全恢复之前提供有限或替代服务的策略，以减轻中断对客户和业务运营的影响；人员动员和重返工作：组织应确保有有效的人员动员计划，包括在紧急情况下如何快速通知、集结和部署关键人员，以及在必要时支持他们重返工作岗位；临时方案：组织可能需要制定临时方案，如使用手工过程，以在恢复期间推迟对某些支持资源的依赖；处理积压和恢复丢失信息：组织应评估在中断期间可能积压的工作和丢失的信息，并估算处理这些问题所需的时间；恢复要求的复杂性和规模：组织需要认识到恢复的复杂性和规模可能对RTO产生重大影响，特别是当需要专业设备或长时间交付时。这些因素都应在设定RTO时予以充分考虑。降低中断的可能性：通过采取预防措施和加强风险管理，组织应努力降低业务中断发生的概率。这包括识别潜在的风险源，制定针对性地缓解措施，并持续监控和评估风险状况，以便及时做出调整；缩短中断时间：一旦业务中断发生，组织需要迅速做出响应，并采取有效的措施来尽快恢复业务。这要求组织具备快速响应的能力和恢复策略，以减少中断对业务运营的影响时间限制中断对组织的产品和服务的影响：应确保业务中断对其产品和服务造成的负面影响最小化。包括及时通知客户、提供替代解决方案、维护品牌形象和客户满意度等措施，以减轻中断对组织声誉和市场地位的损害；提供充足、可得的资源：为了有效实施业务连续性计划，组织必须确保有足够的资源可用。这包括人员、资金、技术和设施等方面的支持。组织需要评估其资源需求，并制定合理的资源配置计划，以确保在需要时能够迅速调动和利用这些资源。业务连续性策略的内容业务连续性策略可以包括：活动迁移：活动迁移作为业务连续性策略的一部分，主要涉及将一部分或所有业务活动从受影响的地方转移到其他安全地点，以确保业务不中断。一部分或所有活动转移到组织内部的其他部分，或者转移给组织外部的第三方，可以独立进行也可以通过互惠互助协议来进行。在确定重续活动的地点时，应考虑受损/受影响的站点和未受损的备用站点。活动迁移的定义与范围：活动迁移指将组织内的一部分或全部活动，从原有位置转移至组织内部的其他部门、地点或转移给组织外部的第三方；迁移可以是独立的行动，也可以是基于互惠互助协议（如与合作伙伴、供方或行业内的其他组织之间的协议）进行的。选择迁移地点时的考虑因素：在确定重续活动的地点时，组织需要考虑受损或受影响的站点以及未受损的备用站点。这意味着评估现有业务地点的风险状况和备用站点的可用性、容量和恢复能力；选择迁移地点应基于风险评估、站点恢复能力和业务需求的综合考虑，以确保业务的连续性和最小化中断时间。活动迁移的规划与执行：活动迁移需要详细地规划和执行，包括确定迁移的活动、迁移的时机、所需资源、迁移过程中的风险管理和通信策略；组织还需要确保迁移后的环境能够满足业务的运行要求，并持续监控迁移过程以确保平稳过渡。资源迁移或再分配：资源，包括员工在内，转移到组织内的另一地点或活动，或转给外部第三方。资源迁移或再分配主要关注在业务中断时如何有效调配和利用资源，以确保业务的连续性和快速恢复。资源迁移或再分配的定义：资源迁移指的是将组织内的资源（包括人员、设备、数据等）从一个地点或活动转移到另一个地点或活动；资源再分配则涉及在组织内部或外部重新分配这些资源，以满足关键业务活动的需求。迁移与再分配的目的：确保在业务中断或灾难事件发生时，关键资源能够迅速、有效地重新部署，以支持业务的持续运营；通过将资源从受影响区域转移到安全区域，或将其重新分配给能够更高效利用它们的活动，组织可以最大限度地减少中断对业务的影响。迁移与再分配的实施考虑：在实施资源迁移或再分配时，组织需要考虑资源的可用性、可转移性以及重新部署的成本和时间；对于员工这一特殊资源，还需要考虑员工的技能、经验以及他们在新的工作环境中的角色和职责；与外部第三方的合作和协调也是成功实施资源迁移或再分配的关键因素。c）替代过程和备用能力：建立替代过程或在过程和/或库存上创建冗余/备用能力。替代过程和备用能力作为这一策略的重要组成部分，主要关注在业务中断时如何迅速启用替代方案并维持业务运作。替代过程的建立：替代过程指的是在原有业务过程因某种原因无法正常运行时，能够迅速启动并替代原有过程的一套方案；建立替代过程的目的是确保在业务中断时，组织能够迅速切换到替代模式，继续提供关键产品或服务，从而保持业务的连续性。在过程和库存上创建冗余/备用能力：冗余和备用能力是指在正常业务需求之外，额外配置的资源或能力，用于应对突发情况或业务高峰；在过程中创建冗余可能涉及增加额外的处理步骤、设置备用路径或配置额外的系统容量等；在库存方面，创建冗余可能意味着储备额外的原材料、零部件或成品，以确保在供应链中断时仍能满足客户需求。策略的意义与实施：替代过程和备用能力的建立是业务连续性策略中的关键环节，它们能够帮助组织在面临各种挑战时保持灵活性和韧性；实施这些策略需要细致地规划和定期的测试与维护，以确保在关键时刻能够迅速、有效地发挥作用。临时应对方案：临时应对方案作为这一策略的一个组成部分，主要关注在紧急情况下如何迅速采取临时措施以维持业务的基本运作。临时应对方案的定义与目的：临时应对方案是指在业务中断或资源受限的情况下，为在有限时间内提供可接受的结果而采取的替代性、非标准的工作方式或流程；其主要目的是在恢复正常业务操作之前，保持关键业务功能的运行，减少中断对组织的影响。临时方案的特点与限制：临时应对方案可能更加费时和/或费力，例如，手工操作可能替代自动化系统，导致处理速度下降和人力成本增加。因此，临时应对方案通常仅适用于短期或推迟返回正常的情况。这些方案通常不适用于长期运行，因为它们可能无法满足业务的长期需求或效率要求。适用场景与考虑因素：临时应对方案通常适用于短期或推迟返回正常的情况，如自然灾害后的紧急恢复、系统故障期间的临时替代等。在制定临时应对方案时，组织需要考虑方案的可行性、实施成本、对业务的影响以及恢复正常操作的时间表。策略示例：备用生产能力与远程工作能力1.在备用地点提供备用生产能力：目的：当主要生产地点因各种原因（如自然灾害、技术故障等）无法正常运作时，备用地点能够迅速接管生产任务，确保产品或服务的持续供应；实施方式：组织可能在不同的地理位置建立备用生产设施，这些设施通常配备有必要的生产设备、原材料和人员，以在需要时能够迅速启动生产；考虑因素：备用生产能力的规划和建设需要考虑成本、地理位置、物流链以及与生产主线的协同等因素。2.为关键人员提供远程工作能力：目的：确保在办公场所无法访问或不安全的情况下，关键人员仍能够继续执行其职责，保持业务的连续性和稳定性；实施方式：通过提供远程访问工具、安全的网络连接和必要的支持服务，使关键人员能够在家或其他远离办公场所的地方工作；考虑因素：远程工作策略需要考虑数据安全、隐私保护、沟通协作以及员工培训和支持等方面的问题。策略例：备用生产能力与远程工作能力的具体实践在制造业中，确保生产线的持续运作对于满足客户需求和维护品牌声誉至关重要。为此，某制造企业制定了以下两个具体的业务连续性策略，以应对潜在的中断事件。1.在备用地点提供备用生产能力：场景描述：该企业的主要生产基地位于一个地震频发的地区。为了应对可能的地震灾害，企业在距离主要生产基地200公里外的一个较为安全的地区建立了备用生产工厂。具体实践：备用生产工厂配备了与主要生产基地相同的生产线和设备，并储备了足够的原材料和零部件。此外，该工厂还定期进行生产演练和设备维护，以确保在需要时能够迅速启动并达到最大产能。实际应用：在一次地震中，主要生产基地受到了严重破坏，无法继续生产。企业立即启动了备用生产工厂，并在短时间内恢复了大部分的生产能力，成功避免了供应链的中断和客户的流失。2.为关键人员提供远程工作能力：场景描述：该企业的研发部门负责新产品的设计和开发，是公司的核心竞争力所在。为了确保研发工作的连续性，企业为研发部门的关键人员配备了远程工作工具和支持服务。具体实践：企业为每位关键人员提供了高性能的笔记本电脑、安全的远程访问VPN和在线协作平台。此外，企业还定期为这些人员进行远程工作培训和演练，以提高他们在远程环境下的工作效率和协作能力。实际应用：在一次严重的雪灾中，研发部门所在的办公楼被封锁，人员无法前往办公室。然而，由于企业已经为关键人员提供了远程工作能力，研发工作并未受到太大影响。人员在家中通过远程访问工具连接到公司网络，继续进行产品设计和开发工作，确保了项目的按时交付。缓解、响应和控制影响理解缓解、响应和控制影响；术语定义实践目的缓解限制特定事件的任何负面后果-进行风险评估，识别并降低潜在威胁-实施安全措施，减少漏洞和暴露面-定期更新和强化系统以抵御新出现的威胁通过预防措施最小化潜在业务中断的可能性和影响，确保业务的连续性和稳定性响应为了阻止即将发生的危险和/或减轻潜在不稳定事件或冲击的后果，以及恢复到正常情况所采取的行动-制定应急响应计划，明确角色和职责-建立事件监测和报告机制，快速识别并响应事件-部署恢复策略，尽快恢复关键业务功能在事件发生时迅速、有效地响应，最小化损失，并尽快将业务恢复到正常运营状态控制影响通过管理和技术措施来限制潜在中断事件对业务目标产生的负面影响结果-实施业务影响分析，评估潜在事件对业务的具体影响-制定风险控制策略，减少潜在损失和影响-建立恢复策略，确保业务能够快速恢复并继续运营最小化潜在风险事件对业务运营、财务状况或声誉的实际影响，保持业务的连续性和稳定性缓解、响应和控制中断影响的策略缓解、响应和控制中断影响的策略可能包括：保险：目的：为潜在损失提供经济补偿；限制：不能覆盖所有类型的损失，如未投保风险、品牌声誉损害、相关方价值下降、市场份额减少、对人力资源的影响等；综合应用：保险通常与其他风险管理策略结合使用，以提供更全面的保护；财务结算的局限性：虽然能提供一定的经济保障，但单靠财务手段不足以完全保护组织并满足所有相关方的期望。资产修复：策略：与专业公司签订后续服务合同，在资产损坏后清理或修复；应用场景：在资产遭受损坏后进行清理或修复工作；重要性：确保资产在遭受中断后能迅速恢复到可用状态，减少业务中断时间。声誉管理：发展有效的预警和沟通能力（见8.4.3)，制定有效的事件沟通程序（参见8.4.4.5)。预警和沟通能力：发展有效的预警系统，以便及早发现并应对可能对声誉造成损害的事件；同时，建立强大的沟通能力，以便在事件发生时迅速、准确地传达信息；事件沟通程序：制定详细的事件沟通程序，明确在发生不同类型事件时应如何与内部员工、外部相关方（如客户、供方、监管机构等）进行沟通，以最大限度地减少误解和负面影响；综合应用：声誉管理策略应与组织的整体风险管理框架相结合，确保在应对中断事件时能够迅速、有效地维护组织的声誉和品牌价值。组织应根据风险态度采取降低可能性、缩短时间和限制影响的处置方法对于已确定需要处置的风险，组织应根据其对风险的总体态度，考虑降低可能性、缩短时间和限制中断影响的方法。已确定风险：组织已经识别并评估了特定风险，认为这些风险需要被处置或缓解；组织的风险态度：在决定如何处置风险时，组织应根据其风险承受能力、风险偏好和风险容忍度等总体态度进行权衡；降低可能性：组织应考虑采取措施来降低风险事件发生的概率或频率，例如通过实施预防性的安全措施或管理系统；缩短时间：对于那些无法完全避免的风险，组织应寻求方法来缩短其持续时间，以减少对业务连续性的不利影响，例如建立快速响应机制和恢复流程；限制中断影响：除了降低可能性和缩短时间外，组织还应考虑如何限制风险事件一旦发生时所造成的潜在中断影响，例如通过业务影响分析来确定关键业务过程和恢复优先级，并实施相应的缓解和控制措施。针对不可控且破坏性危害，组织应制定策略、监测机制与外部协议不可控且破坏性危害：组织面临某些无法控制且可能对其造成严重破坏的危害，如自然灾害（地震、洪水等）；制定策略与解决方案：组织需要酌情确定应对策略，并实施相应的解决方案，以最大限度地限制这些危害的潜在影响；确定外部监测机构：由于这些危害通常超出组织的直接控制范围，因此组织应确定负责监测此类危害的外部机构，以便及时获取相关信息和预警。与外部机构的联系与协议分析：组织需要与这些外部机构建立联系，了解它们的通知协议，即当危害发生时，这些机构如何向组织提供信息和预警。组织还需要分析这些通知协议，确保它们符合组织的需求，包括信息的及时性、准确性和相关性等方面。选择策略和解决方案基于策略与解决方案的选择原则；选择应基于策略和解决方案的程度，以：满足连续和恢复优先活动的要求：考虑它们能否在确定的时间范围和商定的能力上，保证组织的关键业务活动得以连续运行并迅速恢复；考虑可承担的风险：充分考虑自身可承担或不可承担的风险的数量和类型；考虑相应的成本和收益（进行成本和收益分析）：包括对实施策略和解决方案所需投入的资源、时间、金钱等成本进行估算，以及预测这些投入能够带来的潜在收益和长期效益。通过综合考虑成本和收益，组织可以选择出性价比较高、更加经济合理的策略和解决方案。运营变化后的解决方案再评估；变化带来的影响：组织运营环境的变化都可能对现有的业务连续性解决方案产生影响，甚至可能使得原有的解决方案不再适用；解决方案的时效性：业务连续性解决方案通常是在特定的组织环境和业务需求下制定的，具有一定的时效性。当组织的运营发生变化时，原有的解决方案可能无法满足新的业务需求，因此需要重新检查。重新评估与调整：组织应对现有的业务连续性计划进行全面的评估，识别哪些部分仍然适用，哪些部分需要调整或更新；保持业务连续性：通过重新检查并调整解决方案，组织可以确保在新的运营环境下，其业务连续性管理体系仍然能够有效地应对潜在的中断事件，保障关键业务活动的连续性和恢复能力。高成本业务连续性解决方案的替代或范围外处理；成本考虑：业务连续性解决方案，尤其是那些用于确保关键业务活动稳定、连续、重续或迅速恢复的方案，往往伴随着高昂的成本；替代方案：当组织认为实施某个业务连续性解决方案的成本过高时，它应当寻找并选择成本更低、同时仍能满足其业务连续性目标的替代方案；范围外处理：如果找不到合适的替代方案，或者替代方案的成本仍然过高，组织可以根据标准4.3.3的指引，考虑将受影响的产品和服务排除在业务连续性管理体系（BCMS）的范围之外；极不可能威胁或高成本保护下的风险接受与重新评价。当组织估计一个威胁极不可能发生或保护优先活动的成本过高时，组织可以选择接受风险，并作为持续BCMS绩效评价的一部分（见第9章）对其重新评价。接受风险还可能要求将受影响的产品或服务从BCMS的范围中删除。风险评估与成本考虑：当组织评估某个威胁为极不可能发生，或者保护关键业务活动免受该威胁影响的成本过高时，组织应权衡风险与成本之间的关系；风险接受决策：在上述情况下，组织可以选择接受该风险，即不采取额外的措施来降低或消除该风险；重新评价与调整：接受风险并不意味着组织对其放任不管。相反，作为持续BCMS绩效评价的一部分，组织应定期重新评价已接受的风险，以确保其仍然处于可接受的水平。如果风险状况发生变化或组织对风险的容忍度发生变化，组织可能需要调整其风险接受决策；BCMS范围调整：接受风险可能还要求组织将受影响的产品或服务从BCMS的范围中删除。组织承认并接受这些产品或服务在面临特定威胁时可能无法恢复的风险。资源要求总则组织应确定资源要求以实施所选择的业务连续性解决方案，并确保资源的可用性、可靠性和成本效益，以支持解决方案的有效执行，并应对潜在的业务中断风险。业务连续性管理体系中的团队构建、后勤保障、财务与资源管理以及合作伙伴协同程序。组织应：建立具有适当权限的团队或个人来监管业务连续性事件的准备、响应和恢复工作：对于小型组织，这个角色可能由个人担任。建立后勤保障能力和程序，以确保在业务连续性事件发生之前、期间和之后，能够定位、获取、存储、分配、维护和测试所需的服务、人员、资源、材料、生产或捐赠的设施；建立财务、后勤和管理程序，以支持业务连续性安排。这些程序需要确保在紧急情况下能够迅速做出财务决策，同时还需要与已建立的职权等级、治理和会计原则相一致。通过这些程序，组织可以更好地调配资源，保障业务连续性计划的顺利实施。制定资源管理目标，并明确从组织资源库和供方那里获取每种资源的时间表。组织需要评估这些资源的可用性、可靠性和成本效益，并制定合理的时间表，以确保在需要时能够及时获取这些资源。涉及的资源类型应包括但不限于：人员及培训；资金以及保险、债务控制；基础设施（如建筑物、工作场所或其他设施及相关公用设施）；设备和消耗品（材料）；运输和物流；信息和数据、专业知识；合作方和供方；响应时间、管理目标，以及需要从组织资源库和任何供方那里获取每种资源的时间表；建立与供方、合作伙伴等相关方的协助、沟通、战略联盟和互惠互助程序，以共同应对业务中断风险。这些程序旨在确保有效合作、资源共享、信息传递和相互支持，提高整体的业务韧性和恢复能力。人员总则（业务连续性事件响应与管理的关键人员配备）组织应确保其拥有具备响应和管理业务连续性事件能力的人员，这些人员应被充分授权并准备参与优先活动的重续工作。这些人员可能包括业务连续性管理团队、应急响应团队以及其他关键岗位人员等。事件响应事件响应团队的构建与职责分配指定核心团队。组织应指定具有管理事件所需职责、权限和能力的事件响应人员，他们应具备处理紧急事件所需技能、知识和经验。团队的组成与职责。事件响应人员应组成一个小组，负责管理对组织产生重大影响或可能产生重大影响的任何中断：被指定的事件响应人员需要形成一个紧密合作的团队，该团队负责监控、评估和管理可能对组织运营造成重大干扰的任何事件或中断。他们的核心职责是确保业务连续性的维持和快速恢复。明确的角色与权限。在任何潜在的业务中断发生之前、期间以及之后，应明确规定每个团队成员的具体职责和权限。基于能力的角色分配。团队成员应根据其专业技能和能力被分配到特定的角色中，例如：——事件/战略管理；——沟通；——安全和福利；——救助和安保；——重续活动；——ICT系统的恢复。响应与恢复团队的能力提升与持续培训。基础教育与职责培训：响应和恢复团队必须接受关于其职责和义务的全面教育和培训，包括了解如何与首先响应者（如紧急服务）和其他相关方进行有效互动。为了确保团队始终保持最佳状态，应定期安排培训，并在有新成员加入时为他们提供必要的培训。此外，团队还应接受专门接受防止事件升级为危机的培训，以预防潜在事件升级为全面危机。专业培训内容。适用于事件响应和业务恢复人员的培训包括：如何进行事件评估以确定其严重性和影响范围；如何管理疏散和避难场所（如果适用的话）；如何安排替代生产场所以确保业务连续性；有效掌握有效处理内部和外部沟通的技巧；如何处理人员方面问题的培训，这可能涉及员工福利、心理健康支持和人员配置等（详细指导可参考ISO/TS22330)。实践培训与演练。整个组织需要通过实践培训和积极参与演练来不断发展其响应技能和能力。演练可以帮助团队成员熟悉应急程序，测试响应计划的有效性，并识别可能需要改进的领域。通过模拟真实场景中的压力和挑战，演练能够增强团队的韧性，提高其在实际紧急情况下的表现。重续活动核心技能与知识的维护与拓展，确保业务在人员变动中的连续性；（核心技能和知识的保持与扩展：组织必须识别并采取适当的措施，以确保在关键人员减少的情况下，核心技能和知识仍然可用并能够支持业务的重续；人员响应的不可预测性：在紧急事件发生时，人们的反应可能不同于预期。因此，组织应准备提供必要的鼓励、安慰和支持，以确保人员能够有效地响应并继续执行任务。包含广泛的专业技能和知识：除了正式员工外，组织还应考虑拥有专业技能和知识的承包商和其他相关方。技能和知识的保护措施。采取多种方法来保护或提升关键技能和知识，包括：建立后备技术专家名单及征集计划；对员工和承包方实施多技能培训；分散核心能力以减少单点故障风险，包括把掌握核心技能的人员分配在多个地点；利用第三方资源；制定继任计划；采用记录过程和其他知识管理手段。重续活动中的人员支持与保障。业务中断时，组织需为员工和相关方提供以下支持：实际建议：针对中断事件的直接影响，提供应对策略和最佳实践建议；风险意识培训：增强员工对潜在风险的认知，提高个人安全感和组织韧性；交通解决方案：预先规划交通支持，确保员工在紧急情况下能及时到达所需地点；家庭相关支持：提供家庭联系计划和紧急支持服务，解决员工的后顾之忧。重续活动中的专家角色与支持。专家角色可包括：安保专家：负责确保在紧急情况下组织的安全。他们提供风险评估、安全建议以及危机管理策略，确保员工和资产的安全；交通后勤专家：在业务中断时，这些专家负责协调交通和物流，确保关键资源和人员能够及时到达需要的位置；福利和应急专家：关注员工的福利和心理健康，提供必要的支持和援助。在紧急情况下，他们负责协调应急响应，确保员工的基本需求得到满足。这些专家角色在事件发生时能够提供关键的支持和指导，帮助组织迅速应对挑战，恢复正常的业务活动。因此，在规划重续活动时，组织应充分考虑并整合这些专家资源。重续活动中员工重新安置的程序与考虑因素。事件发生后对员工重新安置的程序应考虑：交通安排：组织应确保员工能够安全、及时地到达替代工作地点。这可能需要预先规划的交通方案，包括备用交通工具、路线和紧急情况下的交通支持；替代站点的员工需求：在重新安置员工时，组织必须考虑他们在替代站点的各种需求，如住宿条件、餐饮设施等。此外，还应关注员工的个人和家庭承诺，如子女教育、家庭照顾等，以减轻他们的后顾之忧；设备与技能培训：由于不同工作地点可能使用不同的设备和技术，组织需要为员工提供必要的设备和技能培训，以确保他们能够在新环境中有效工作；家庭办公的挑战：如果员工需要在家庭环境中远程工作，组织应认识到这可能带来的挑战，如网络连接问题、家庭工作环境的干扰等。组织应提供相应的支持和指导，以帮助员工克服这些挑战。信息和数据信息与数据的定义和关系。在ISO22301-2019标准中，“信息”是经过处理、组织和关联的数据，从而赋予了其特定的意义。而“数据”则是信息的原始形态，包括各种事实、数字、统计数据等，可以电子形式保存，在计算机上进行存储和使用。信息和数据的涵盖范围。本节明确提到了信息和数据可以包含的多个方面，包括但不限于：联系信息：如电话号码、电子邮件地址等，用于日常的沟通联络；供方、相关方详细信息：涉及与业务活动有关的各方，包括供方、合作伙伴、客户等的详细资料；法律文件：业务运营中不可或缺的法律文件，如合同、保单、所有权证书等；其他服务文件：包括与服务提供有关的文件，如服务水平协议等；元数据：用于描述音视频内容和数据本质的特定信息，以明确的格式进行展现；通知和警报消息：在发生事件时，用于响应和应对的通知和警报信息；程序调用指引和标准：关于在特定情况下谁有权调用特定程序的指导原则和规定。中断时从数据重新创建信息的挑战。在业务连续性管理中，当面临中断事件时，组织可能会尝试从原始数据重新创建关键信息以恢复业务。然而，这一过程可能面临两大挑战：处理时间可能很长：从原始数据重新生成信息可能是一个复杂且耗时的过程，特别是在数据量庞大或数据结构复杂的情况下。方法不一定可行：在某些情况下，即使有足够的时间，也可能没有合适的方法或技术来从数据中重新创建所需的信息。组织在规划业务连续性时，必须充分考虑其对信息和数据的依赖程度。如果某项关键活动所依赖的信息或数据完全丢失，那么该活动可能无法恢复，从而导致业务中断。保护关键信息和数据的法律要求；基于业务影响分析确定关键信息和数据的保护需求：为了确保业务的连续运营，组织应根据业务影响分析的结果来确定哪些信息和数据是至关重要的。这些信息和数据必须在特定的时间范围内得到保护，以防止丢失、损坏或未经授权的访问。在数据存储和恢复策略中考虑法律合规性要求：在确定如何存储和恢复这些关键信息和数据时，组织还需要考虑适用的法律要求。这些法律要求可能涉及数据的隐私、安全性、保留期限等方面，并可能对组织的数据存储和恢复策略产生重大影响。组织响应和恢复所需信息和数据的关键特性。组织响应和恢复所需的任何信息或数据都应有适当的：机密性：保护信息和数据不被非授权人员获取，特别在活动迁移至另一地点时要加强保密；完整性：确保信息和数据准确、可信（未被篡改），在传输和存储中保持一致；可用性：信息和数据必须在需要时能够迅速、有效地被访问和使用，特别是关键信息要立即可用（如在活动的RTO以内）。响应过程中需要的信息和数据可能要求立即获得，而其他信息和数据可能在事件发生后才需要；时效性：信息和数据要及时更新，避免过时导致错误决策，以使活动运行（见8.2.2)；丢失信息的处理：有备份和恢复机制，以应对因事件丢失的信息可能需要重新创建，并且可能需要复原数据的情况。信息和数据的复制（备份）、存储与恢复信息和数据的复制。信息和数据复制可以采取各种不同的方法：虚拟（电子）格式复制：利用磁盘、云存储或磁带等电子媒介进行信息和数据的复制；物理（硬拷贝）格式复制：通过缩微胶片、影印或在生产过程中直接创建双份等物理（硬拷贝）手段来复制信息和数据。信息和数据的存储与恢复。存储位置选择：存储信息或数据副本时，位置选择很关键。太近可能中断可能会损坏其完整性或阻止对其存取，太远则可能阻止信息/数据在需要时可用；组织需进行风险评估，确定最佳存储位置，并有书面记录证明决策合理性。未复制数据的记录：对于未复制到安全地点的数据，必须详细记录，包括类型、原因和风险。这些记录有助于了解恢复策略的不足，并为未来改进提供依据。未复制或备份至安全地点的信息和数据记录对于未能复制到安全地点或未进行备份的信息和数据，组织必须保持详细的记录；这些记录应明确指出哪些信息和数据没有受到保护，并解释其原因。建筑物、工作场所和相关公共设施生产场所解决方案的多样性与选择差异性：生产场所的解决方案存在显著的差异，这主要取决于组织的特定需求、所面临的风险以及业务运营模式；广泛性：在选择生产场所时，组织拥有广泛的选择范围，包括但不限于传统的实体工作场所、虚拟工作环境、共享设施或备用场地等；事件与威胁的驱动：不同类型的事件或威胁（如自然灾害、技术故障、人为破坏等）可能要求组织采取不同的或多个生产场所选项；组织因素的考虑：选择生产场所时，组织需要考虑其规模、所属行业、业务活动的分布、关键相关方以及地理位置等因素；公共机构的特殊性：与私营组织相比，公共机构在维护其社区中的一线服务交付方面可能面临更多的挑战和限制。因此，它们在选择生产场所时可能需要考虑更多的社会、政治和地域因素。关于降低正常生产场所不能使用影响的解决方案。为确保业务在面临生产场所无法使用的风险时仍能持续，组织应设计并实施综合解决方案。该方案可能包括以下一种或几种：使用备用人力：在关键站点或备用场地预先安排人力，以接管关键任务；内部备用场地：设立内部备用场地，用于在主场所不可用时维持业务；外部合作与第三方场地：与其他组织或专业机构合作，获取其备用场地支持；建立指挥中心：协调恢复活动，确保信息和资源畅通；远程工作策略：允许员工在家或远离主场所工作，保持业务连续性；家庭办公或远程办公：组织应实施远程工作策略，允许员工在家庭或其他远离主工作场所的地点工作；其他适宜场地：考虑其他商定且适宜的场地解决方案。组织内部的备用场地（地点），包括取代其他活动；备用场地选择与资源配置策略；备用场地选择的考虑因素：备用场地的选择首要的因素是地理位置，确保备用场地不会受到与主场地相同的灾难性事件影响。例如，在自然灾害频发的地区，选择一个地理位置较远的备用场地可以降低因同一事件导致的双重打击风险。这是为了防止基础服务（如电力、燃气、供水和通讯）的中断，这些中断可能由大范围的灾害引发。员工转移到备用场地的考虑：当需要转移到备用场地时，必须确保员工的安全与便利。备用场地不能离得太近，以免受主场地灾害事件的波及；备用场地也需要足够近，以便于员工的迅速转移和到达。员工转移的可行性和意愿也是需要考虑的因素，特别是考虑到灾难性事件可能带来的交通和通讯障碍。备用场地的资源配置与共享：如果备用场地是共享的，那么需要额外的规划和协调。这可能涉及制定相关协议或计划，以确保在多个组织同时需要使用场地时，资源的可用性和分配的公平性。这种计划旨在减轻因场地不可用而导致的潜在风险。如果备用场地是共享的，那么需要额外的规划和协调。这可能涉及制定相关协议或计划，以确保在多个组织同时需要使用场地时，资源的可用性和分配的公平性并以减轻这些场地不可用的情况。特定情境下的任务转移优于员工转移。当面临生产线、呼叫中心或较短的恢复时间目标（RTO）等情况时，转移工作任务可能比转移员工更为合适。这种策略的实施需要替代站点具备足够的备用容量或能够迅速调配额外的员工（通过加班或招募），并确保其他必要资源的可用性。设备和易耗品核心供给品的确定与维护；组织应确定哪些是其优先活动所依赖的核心供给品，并维护相应的库存水平以确保这些活动的连续进行。专门供给品与供方管理；对于那些依赖专门供给品的活动，组织应特别关注供方的管理。组织应确定优先活动依赖的供方，尤其是单一货源的供给品。管理供应连续性的解决方案可包括：——增加供方的数量；——鼓励或要求供方具备业务连续性；——与关键供方签订合同或服务水平协议；——确定有能力的备选供方。供应方法的确定。提供这些的方法可能包括：在多个地点存储额外供给品；与第三方签订协议，确保可在短期内供货；将库存分散到不同地点以降低风险；利用仓库或货运站进行物资存储；将装配业务转移到有充足物资供应的备用地点；确定可以备用或替代的供给品；确定各阶段所需的设施和设备，并制定多种备选供货方案。迁移活动的供方支持。如果迁移活动，应确认供方可以高效地把他们的产品和服务送到备用地点。ICT系统技术策略的基础。组织在构建其ICT系统时，应根据所需技术的性质以及这些技术与组织业务活动之间的关系来制定技术策略。这些策略可能包括下列一种或多种组合：组织内部自行开发和维护技术系统；从第三方服务供方处获取所需的服务；订购外部的专业服务。ICT系统的重要性及其复原；在许多组织中，没有这些系统的支持，许多关键业务流程将无法正常运行，ICT系统的快速恢复至关重要。在活动重续之前，ICT系统需要先行复原；在可能的实际情况中，组织进行ICT系统复原时，可能需要手动的临时方案。这些方案可能涉及使用备用系统、数据恢复程序、手动操作流程等，以确保在关键时刻能够维持业务的连续性。提供优先活动所需ICT系统的方法，可以包括：在地理上将ICT系统分散布局，在不同的地点部署和维护相同的技术，以确保单一地点的故障或中断不会影响到整个组织的业务活动；组织还可以选择保留较老的设备作为紧急情况下的替代品或备用品；与供方签署供应设备或恢复服务的合同，以确保组织在需要时能够及时获得所需的设备和恢复服务力。多场所ICT系统的容量规划。当组织在多个场所部署ICT系统时，应考虑每个场所的系统容量是否能够满足合并后整个组织的业务需求。如果一个场所的系统发生故障，其他场所的系统应该有足够的额外容量来接管失效系统的工作负载。管理ICT系统的复杂性。由于所用支持技术的复杂性，ICT系统经常需要复杂的安排以确保能够及时恢复。因此应注意以下事项：技术站点的位置和它们之间的距离：ICT系统的恢复能力受站点位置及其相互间距离的影响。合理规划的站点布局可以减少由自然灾害或其他地域性风险带来的潜在影响；跨越分散站点的分布式技术：使用分布式技术可以增加系统的灵活性和韧性，因为它允许数据和服务在多个地理位置之间进行复制和同步；为远程访问用户的增加提供足够的设施：随着远程工作的增加，组织需要确保ICT系统能够支持更多的远程用户，同时保持安全性和性能；设置无人（暗）站点及有人站点：暗站点是预先配置但平时不运行的系统或数据中心，它们在紧急情况下可以快速启动以恢复服务。与常规运行的有人站点结合使用，可以提高整体恢复能力；改进通讯的连通性并提高冗余线路的等级：通讯网络的连通性和冗余度对ICT系统的恢复至关重要。高级别的冗余和多样的通讯路径可以减少单点故障的风险；采用自动“故障切换”替代要求人工手动干预方式恢复ICT系统：自动故障切换可以显著减少系统中断时间，因为它能在无需人工干预的情况下自动将服务转移到备用系统。考虑ICT系统的过时：技术不断更新，组织需要定期评估其ICT系统是否过时，并根据需要更新或替换系统，以确保它们能够支持当前的业务需求并具有足够的安全性和韧性。专业化或定制技术的考虑：如果组织使用了非常专业化或定制的技术，而且交付周期很长，为了确保业务的连续性，组织需要为这些专业化或定制的技术制定特定的替换或复原计划。这些计划应该考虑以下几点：备份与冗余：对于关键的专业