(高清版)GB∕T 38299-2019 公共安全 业务连续性管理体系 供应链连续性指南

GB/T38299—2019/ISO22318国家市场监督管理总局国家标准化管理委员会IGB/T38299—2019/ISO22318: Ⅲ 1 1 14供应链连续性的重要性 44.1总则 44.2供应链描述 44.3供应链的动力 6 7 7 84.7保持供应链连续性的重要性 8 95.1总则 95.2分析供应链的注意事项 9 95.4分析的结构 95.5开展分析 5.6分析的输出 5.7供应链分析关键点 6SCCM策略 6.2连续性策略选择 6.4SCCM所有权 6.5连续性策略选择关键点 7供应链中断的管理 7.1总则 7.2事件发生之前 7.3事件的发现与通报 7.4事件中 7.5业务恢复常态 Ⅱ7.6管理供应链中断的关键点 8绩效评价 8.1总则 8.2与供应商深度合作 8.4持续分析 8.5绩效评价的输出 8.6绩效管理的关键点 ⅢGB/T38299—2019/ISO22318:2015本标准使用翻译法等同采用ISO22318:2015《公共安全业务连续性管理体系供应链连续性指——GB/T30146—2013公共安全业务连续性管理体系要求(ISO22301:2012,IDT)心、北京市劳动保护科学研究所、南方电网科学研究院有限责任实施的V实施的策划和控制第5章第6章第8章1GB/T38299—2019/ISO22318:2本标准给出了理解和扩展GB/T30146和GB/T31595中供应商关系管理的BCM原则的方法。供应链管理针对向组织供应产品或者服务相关的各项活动。本标准重点关GB/T30146和GB/T31595给出了制定业务连续性计划和建立业务连续性管理体系的相关指导。下列文件对于本文件的应用是必不可少的。凡是注日期的引ISO22301公共安全业务连续性管理体系要求(Societalsecurity—Businesscontinuitymanagementsystems—Requirements)[ISO22300:2012,定义2.1.8]2GB/T38299—2019/ISO22318:2015[ISO22300:2012,定义2.4.8][ISO22300:2012,定义2.1.15]识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影[ISO22301:2012,定义3.5]3用于指导组织在业务中断时进行响应、恢复、重新开始和还原到预先确定的业务运行水平的形成文件的程序。相关方interestedparty对决策或活动产生影响，受到影响，认为被影响的个人或组织。在中断中组织为达到其业务连续性目标可以接受的最低标准的服务和(或)产品。为了实现目标形成的具有自身职能，按照一系列职责、权限和相互关系安排的个人或一组人员。把组织的部分职能或过程安排给外部组织。产品和服务productsandservices组织提供给顾客、服务对象和相关方的有益成果，例如制成品、汽车保险和社区护理。事件发生后到下列活动完成之间的时间段：——产品或者服务必须恢复；——活动应恢复；——资源应复原。为了运行和实现目标，组织在需要时可供使用的所有资产、人员、技能、信息、技术(包括工厂和设4GB/T38299—2019/ISO22318:2无论属于预期(比如罢工或者飓风)或者非预期的(比如大停电或者地震)在供应链中实施业务连续性管理。1级供应商Tier1supplier2级供应商Tier2supplier间接通过1级供应商向组织提供产品或者服务个人或实体。本章关注的是与SCCM实施架构相关的各项因素。随着供应链的日益复杂、范围扩大(经常延展要SCCM。图2给出了一个简单的供应链模型。5GB/T38299—2019/ISO22318:2组织内部外部客户外部供应关系。不同供应商的关系因组织控制这种关系的灵活程度与能力的不同而不同(见图3)。信息、耗材、移动资产(人员，车辆)6 7描述管理关系授予报价1)设定必要的优先级别与标准；8GB/T38299—2019/ISO22318:2015——供应商在供应链中的距离与可见性(地理位置分散以及供应链——在组织内部跨越相关方职能和在供应链中跨越组织去定义并嵌——从供应商获得产品或者服务供应连续性安排方面的信心(供应商是否在出现短缺的情况下将供应品转移至其他客户);c)供应链中断可能会严重影响组织执行关键业务流程的能d)供应链通常是由大量的供应商组织成线(如链)或网(如网状)。这些相互关系以及f)组织负责(而不是供应商)减轻其供应链风险和应对供应链中断。9GB/T38299—2019/ISO22318:2商对于组织活动的关键程度以及其面对的风险级别将决定分析的深入c)分析意外事件的冲击及其对于同时供应相同产品或者服务的大量非关键供应商的影响。1)组织期望各类供应商在最低供应水平，包括最低业务连续性目标(MBCO2)供应商证明合规性/能力所需的具体证据。e)分析的广度需要考虑根据关键性判断分析全部供应商还是部分供应商，分析的深度需要考虑g)在当前供应商管理以及今后任何采购策略中采纳的具组织可使用供应链分析流程图(见图5)进行如下分析：GB/T38299—2019/ISO22318:2015收集相关信息收集相关信息风险评估(5.2)分析输出建设性关系分析解决方案组织宜识别供应链的级别(见图2),从BIA中获取信息去识别高优先级活动或过程，MBCO与——供应商的MBCO/RTO是否与支持活动或进程的组织相一致。GB/T38299—2019/ISO22318:2015组织宜确保分析的输出是面向每位供应商的可以审计的、基于证据的——供应商的连续性安排并证明其BCM安排对于被要求的MBCO/RTO范围内恢复能力是可e)标准应包括分析过程和对供应商f)分析过程的主要输出包括对供应链和h)整个分析过程宜定期重复。一个适当的恢复策略(见6.2)宜能被每个供应商辨识。选择最合适的一个或多个策略时SCCM需要考虑4.6所确定的挑战。组织宜使用分析结果(见5.5)来确定以下内容： GB/T38299—2019/ISO22318:2015——限制供应商可能调用的不可抗拒力条款而非组织宜识别供应商关系管理以及保障和监控供应链连续性保证情况的部针对BCM的更大范围的安排紧密相连。组织宜要求SCCM的管理权由负责购买产品或者服务的人员转交给管理合同或开展运营的相关人员。组织宜确保采取的控制措施不会随着时间的推移而降级。如与两个供d)供应商应具备一个有效的业务连续性解决方案，供应合同中应包含供应链。在签f)应认识到最好的方法生效需要一定的时间，在此期间内可能需要采取部分其他方法减轻中按照第5章的规定对供应链进行了分析并按照第6章的要求制定适用的策略，为管理任何中断事与关键供应商保持深度合作十分重要，以确保连续性管理安排的管理达成这一目标的最有效方法是确保在各方之间进行定期和开放GB/T38299—2019/ISO22318:2015 提前发现具有破坏性的事态可以使响应高效、及时和适当。这要求组织断或可能的中断告知其客户。延迟通报可能增加组织面临的——安排的互惠性质是当组织是事件的根源时，供应商需要对其受到中断影响组织宜处理好供应商在评审中与其他供应商分享敏感信息的担心，与2)使用关键绩效指标(KPIs)/度量标准持续监测；5)对组织的采购过程进行评审以确保包含了BCM要求；GB/T38299—2019/ISO22318:2015——将供应商SCCM绩效评价过程纳入BCM审核范围。——评估每个供应商符合组织BCM要求的程度； 组织宜在与供应商的BCM安排有重大事宜时，评审与供应商的关系和/或SCCM策略(见第6a)保护其高优先级活动与过程的SCCM条件被保持是组织e)绩效评价包括SCCM安排的监测、验证、确认和评审，激励持续的改进和提供供应链的绩效[2]ISO28000Specifi[3]ISO28002Securitymanagementsystems