GB∕T30146-2023 《安全与韧性 业务连续性管理体系 要求》“8.6业务连续性文件和能力评价”理解与实施指导材料（2024A0）

“8.6业务连续性文件和能力评价”理解与实施指导材料GB∕T30146-2023《安全与韧性业务连续性管理体系要求》“8.6业务连续性文件和能力评价”理解与实施指导材料过程预期结果业务连续性文件评价预期结果：完整性与准确性：业务连续性文件应完整覆盖组织的所有关键业务功能和流程，并准确描述恢复策略、程序和责任分配；更新与维护：文件应定期更新，以反映组织的变化、新的风险和挑战，并保持与当前法规和标准的一致性；员工理解与培训：员工应充分理解业务连续性文件的内容，并接受相关培训，以确保在中断事件发生时能够迅速、准确地执行恢复程序；清晰性与可操作性：文件应清晰明了，易于理解和操作，为组织在紧急情况下提供明确的指导。业务连续性能力评价预期结果：资源充足：组织应具备足够的资源储备，包括人力、物资和技术支持，以应对各种可能的中断事件；技能与培训：人员应具备必要的技能和知识，通过定期培训和演练，提高应对中断事件的能力；有效协作：组织内部各部门之间以及与外部相关方之间应建立有效的协作机制，确保在中断事件发生时能够迅速响应和协调；恢复速度与效果：组织应能够在预定的恢复时间内恢复关键业务功能，并最小化业务损失；持续改进：基于能力评价的结果，组织应识别存在的问题和不足，并制定改进措施，以持续提高业务连续性管理水平。有关业务连续性文件和能力评价术语业务连续性文件评价对组织所制定的业务连续性计划、程序、策略以及其他相关文档的全面性、准确性、及时性和适用性进行评估。业务连续性能力评价对组织在应对中断事件、恢复关键业务功能和保持业务连续性方面所具备的能力进行评估。业务连续性文件评价和业务连续性能力评价关系说明定义目的特征关键区别联系业务连续性文件评价对业务连续性计划、程序、策略等文档的全面性、准确性、及时性和适用性的评估。确保文件反映业务需求、风险状况，提供清晰指导。完整性、更新频率、法规一致性、员工理解与使用。侧重于文档的质量和内容。两者相辅相成，文件评价为能力评价提供基础和支持。业务连续性能力评价对组织应对中断事件、恢复关键业务功能和保持业务连续性所具备的能力的评估。了解组织的强项和弱项，制定改进措施。资源储备、技术支持、人员技能、培训、演练效果、协作能力。侧重于组织的实际应对和恢复能力。能力评价反映组织在文件指导下的实际表现，验证文件评价的有效性。总则评价时机：评价应定期、事件发生或响应启动后以及发生重大变化时开展；定期评价：组织应设定固定的时间间隔，定期对业务连续性文件进行全面审查，确保其仍然符合当前的业务需求和法规要求；定期评价还包括对组织业务连续性能力的评估，如资源储备、人员技能、技术支持等，以确保在需要时能够迅速响应。事件发生或响应启动后评价：当实际发生中断事件或组织的业务连续性响应被激活时，应立即进行评价工作；这种评价旨在分析事件对业务的影响、响应的有效性以及恢复过程中的任何挑战或不足；通过实时评价，组织可以及时调整策略、改进程序，并为未来的事件做好更充分的准备。发生重大变化时评价：当组织的业务环境、结构、流程或关键资源发生重大变化时，业务连续性文件和能力也需要相应地进行评价；这种评价确保业务连续性计划与组织的最新状态保持一致，并考虑到所有新的风险和机遇；变化可能包括技术更新、市场变动、法规调整或关键人员变动等，这些都可能对组织的业务连续性产生影响。业务连续性文件和能力持续评价与验证的内容；组织应对其业务影响分析、风险评估、策略和解决方案、业务连续性计划和程序进行评价，以确保其持续的适宜性、充分性和有效性。业务影响分析与风险评估的评价：组织需要定期评价其业务影响分析和风险评估的结果，确保它们仍然准确反映组织的当前状况和业务环境；策略和解决方案的适宜性：组织应评价其业务连续性策略和解决方案是否仍然适宜于满足组织的业务需求和风险状况；业务连续性计划的充分性：业务连续性计划应包含足够的细节和指引，以确保在中断事件发生时，组织能够迅速、有效地响应。评价计划的充分性包括检查计划是否涵盖了所有关键业务功能和流程，以及是否提供了清晰的恢复步骤和资源需求。程序的有效性和执行：组织应评价其业务连续性程序的实施和执行情况，包括计划的演练、人员的培训以及与供方和合作伙伴的协调等。业务连续性文件与能力的全面验证业务连续性文件和能力的评价应验证：产品与服务的覆盖范围；验证组织已明确识别所有关键的产品和服务，以及支持它们的相关活动和资源；确保这些产品和服务均被纳入组织的业务连续性解决方案中，无遗漏。业务连续性策略与程序；评价组织的业务连续性方针是否与其整体战略和业务目标相一致；验证业务连续性解决方案和程序是否准确反映了组织的优先事项和具体业务要求。人员能力与响应有效性；确认人员具备执行业务连续性计划所需的能力和知识；验证组织的业务连续性响应机制是否有效，并能确保在中断事件发生时，人员能够迅速、准确地响应。解决方案的有效性与更新；评价组织的业务连续性解决方案是否在实际应用中被证明是有效的；确保解决方案是最新的，并已根据组织的变化和新的风险进行了适时的更新。演练与维护的执行；验证组织是否定期进行了业务连续性演练，并对演练结果进行了评价和分析；确认维护方案得到了有效执行，以确保业务连续性计划的持续可用性。持续改进与学习；检查组织是否从实际的中断事件、演练和维护活动中汲取了经验教训，并对业务连续性解决方案和程序进行了相应的改进；验证组织是否建立了一个持续学习和改进的文化。培训与意识提升；确认组织为人员提供了充分的业务连续性培训，以提升他们的意识和能力；验证培训方案是否定期更新，并涵盖了最新的业务连续性要求和最佳实践。员工角色与职责沟通；确保业务连续性程序已清晰地传达给所有相关员工，他们了解自己在计划中的角色和职责；验证组织是否建立了有效的沟通机制，以确保员工在中断事件发生时能够迅速、准确地响应。供方与合作伙伴的连续性；评价组织是否与其关键供方和合作伙伴建立了业务连续性安排，以确保在供方或合作伙伴发生中断时，组织的业务能够继续运行；验证这些安排是否适当和充分，能够满足组织的业务连续性需求。合规性与行业最佳实践；确认组织的BCMS符合所有适用的法律法规要求；验证组织是否参考并采纳了行业最佳实践，以提升其业务连续性管理水平。变更控制过程。验证组织是否建立了有效的变更控制过程，以确保对BCMS的任何变更都得到适当的管理和批准；确认变更控制过程在实际操作中得到了有效执行，能够防止未经授权的变更对业务连续性造成不利影响。应通过评审、分析、演练、测试、事后报告和绩效评价等方式开展业务连续性文件和能力评价。评审：对业务连续性文件进行全面、系统地审查，确保其完整性、准确性和适用性。评审过程中应识别潜在的问题、遗漏或不一致之处，并提出改进建议。分析：对业务连续性计划、程序和能力进行深入分析，以评估其在实际中断事件中的可行性和有效性。分析应包括对资源需求、恢复时间目标、恢复点目标以及潜在风险和脆弱性的考量。演练（包括测试）并评价演练（包括测试）结果：通过模拟中断事件进行演练和测试，以验证业务连续性计划和程序的实际运作能力；演练和测试应涵盖各种场景和情况，确保组织在真实事件发生时能够迅速、有效地响应；组织应定期进行业务连续性演练，并对演练结果进行全面评价。评价的目的是识别在演练过程中出现的问题、不足和潜在改进点，从而判断现有的BCMS是否能够有效应对实际的中断事件。基于演练结果的评价，组织可以确定是否需要对BCMS的方针、目标或其它要素进行调整，以提升其有效性和适宜性；事后报告以及事后评审：事件报告：在实际中断事件发生后，编制事后报告以总结恢复过程中的经验教训和改进点；事后报告应详细记录事件的经过、响应和恢复活动，以及识别出的任何问题和改进建议。事件评审：当组织经历实际的中断事件后，应进行事后评审。事后评审的目的是对中断事件的响应和恢复过程进行回顾和分析，总结经验教训，识别改进机会。通过事后评审，组织可以发现BCMS在实际应用中的不足之处，以及需要调整或优化的方面。这些发现应作为对BCMS方针、目标和其它要素进行变更的依据。绩效评价：定期对业务连续性管理的绩效进行评价，以衡量组织在业务连续性方面的成果和进步；绩效评价应基于明确的指标和目标，反映组织在减少中断影响、提高恢复速度和增强韧性方面的表现。组织环境的变化：组织应密切关注组织环境的变化，并评估其对BCMS的影响。如果环境的变化导致现有的BCMS不再适用或无法满足组织的业务连续性需求，那么组织就需要考虑对BCMS的方针、目标和其它要素进行变更，以确保其与当前的环境保持一致并具备适宜性；业务连续性文件和能力评价的形式组织在进行业务连续性评价工作时，应根据实际情况选择合适的评价形式，并综合考虑法律法规、组织规模与性质、法律责任以及相关方要求等因素来确定评审的频率和时间间隔。评价工作的形式：内部审核：由组织内部的专业人员或团队对BCMS进行审核，确保其符合标准和组织要求；外部审核：由独立的第三方机构或专家对组织的BCMS进行审核，提供客观的评价和建议；自评价：组织自行对其BCMS进行评价，通常包括文件审查、员工访谈、流程测试等活动。评审频率和时间间隔的确定：法律法规影响：评审的频率和时间间隔可能受到所在国家或地区法律法规的要求，组织需要遵守相关法规进行定期评审；组织规模与性质：组织的规模和性质也会影响评审的频率。较大或复杂的组织可能需要更频繁的评审以确保业务连续性的有效管理；法律责任：组织承担的法律责任越大，对业务连续性的要求通常也越高，因此需要更频繁地进行评审以确保合规性；相关方要求：相关方可能对组织的业务连续性提出特定要求，这些要求也会影响评审的频率和时间间隔的确定。有效性测量测量业务连续性计划、程序和能力有效性：业务连续性计划：组织应定期评估其业务连续性计划的实施效果，包括计划的完整性、可操作性以及在实际中断事件中的响应和恢复能力；程序：程序是执行业务连续性计划的具体步骤和指南。组织应测量程序的执行效率、准确性和员工对其的熟悉程度；能力：能力包括组织的人员、技术、设施和其他资源。组织应评价其是否具备应对各种潜在中断事件的能力（包括人员的专业技能、技术的可靠性、设施的完备性等）对合作伙伴或供方的业务连续性能力进行评价包括外包活动的业务连续性安排：组织在测量业务连续性有效性时，必须考虑外包服务供方的业务连续性能力。包括评价外包服务提供商是否有完善的业务连续性计划、是否具备应对中断事件的能力以及其与组织之间的协调配合程度。优先活动依赖的供方和合作伙伴的业务连续性：特别是对于那些对组织业务运营至关重要的优先活动依赖关系，组织应重点评价其供方和合作伙伴的业务连续性水平，包括了解他们的业务连续性计划、恢复策略以及在实际中断事件中的表现等。可用于测量有效性的指标示例包括：备份数据足以在规定的RTO内重续活动和资源：组织应确保备份数据的完整性和可用性，以便在发生中断事件时能够及时恢复关键业务数据和资源；组织应评估其备份策略是否能够在RTO内完成数据的恢复和业务的重续。备用地点有所需的居住设施和设备，以便恢复和重续活动：备用地点是组织在发生中断事件时的重要恢复场所，应具备必要的居住设施和设备以支持员工的正常工作和生活；组织应评估备用地点的设施和设备是否完备、可用，并能够满足业务恢复和重续的需求。已证实具有在规定RTO内重续优先活动所需的能力：优先活动的恢复是组织在中断事件后的首要任务，组织应证明其具备在规定RTO内重续这些关键活动的能力；这要求组织对其恢复策略、资源分配和人员技能等方面进行全面的评估和测试，以确保在实际中断事件发生时能够迅速、有效地恢复业务。已证实具有应对和管理事件所需的能力：组织应证明其具备应对各种潜在中断事件和管理相关风险的能力；这包括事件的预防、检测、响应和恢复等各个环节，组织应建立完善的事件管理机制，增强员工的安全意识和应急处理能力，以确保业务的连续性和稳定性。中断事件后的业务连续性评审。当组织经历中断时，应进行评审。这可以包括：确定中断的性质和原因：组织应准确识别中断事件的性质和具体原因，以便更好地理解其对业务的影响，并为未来的预防措施提供基础；评价管理层响应的充分性：评审应包括对管理层在中断事件中的响应进行评估，以确定其是否充分、及时和有效；评价组织在满足其RTO方面的有效性：组织应评估其在恢复时间目标（RTO）方面的表现，以确定是否能够在规定的时间内恢复关键业务功能；评价业务连续性安排在员工应对事件方面的充分性：评审应关注员工在中断事件中的表现，以评价业务连续性安排是否为员工提供了足够的指导和支持；确定业务连续性安排有待改进之处：通过评审，组织应识别出现有业务连续性安排中的不足和需要改进的地方；将实际影响与业务影响分析（见8.2.2）中的考虑进行比较：组织应将中断事件的实际影响与之前的业务影响分析进行比较，以验证分析的准确性和完整性；从相关方和参与响应的人员那里获得反馈：评审过程应包括从相关方和参与响应的人员那里收集反馈，为改进提供有价值的见解。结果（表明有效的业务连续性计划、程序和能力的成果）表明有效的业务连续性计划、程序和能力的结果，可包括：事件管理与响应能力具备事件管理能力并提供有效响应：组织应建立并维护一套完善的事件管理机制，确保在中断事件发生时能够迅速、有效地进行响应；中断期间员工能得到足够的支持和沟通：在业务中断期间，组织应确保员工能够获得必要的信息和支持，以便他们能够继续履行职责并有效应对紧急情况；组织内外部关系理解与协同发展组织对自身及其与其他组织、相关监管机构或政府部门、地方当局和应急服务部门关系的理解得到适当发展、记录和充分理解：组织应全面理解并记录自身在业务连续性管理中的角色和责任，以及与外部实体的相互依赖关系；相关方的要求得到理解并能得到满足：组织应识别并理解其关键相关方在业务连续性方面的需求和期望。通过有效的沟通和协作，组织应努力满足这些要求，以维护良好的关系并确保业务的持续运营。员工培训