ISO 22313-2020 安全与韧性 业务连续性管理体系 - ISO 22301使用指南（雷泽佳编制-2024A0）

安全与韧性业务连续性管理体系—ISO22301使用指南范围 本文件为应用ISO22301中规定的业务连续性管理体系的要求提供了指导和建议。这些指导和建议基于良好的国际惯例。本文件适用于以下组织：a)实施、保持和改进业务连续性管理体系的组织；b)寻求确保符合既定业务连续性政策的组织；c)需要在中断期间以可接受的预定能力继续提供产品和服务的组织；d)寻求通过有效应用业务连续性管理体系增强其韧性的组织。这些指导和建议适用于所有规模和类型的组织，包括在工业、业务、公共和非营利部门运行的大、中、小型组织。所采用的方法取决于组织的运行环境和复杂程度。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ISO22300安全与韧性术语ISO22301安全与韧性业务连续性管理体系要求术语和定义ISO22300、ISO22301界定的以及下列术语和定义适用于本文件。ISO和IEC在以下地址维护用于标准化的术语数据库：ISO在线浏览平台：/obrIEC在线电工术语库：/业务连续性管理businesscontinuitymanagement实施和保持业务连续性的过程。组织环境本条款为理解与组织业务连续性管理体系相关的组织环境提供了建议。有关建立和保持业务连续性的建议，见8.1。组织应评价并理解其总体目标、产品和服务的相关外部和内部因素（包括要考虑的正面和负面因素或条件），以及可能面临或不面临的风险的数量和类型。在实施和保持组织的业务连续性管理体系以及分配优先顺序时，应考虑这些信息。组织的外部环境包括（如适用）以下方面：（国际、国内、地区或当地的）政治、法律和监管环境；社会和文化方面；（国际、国内、地区或当地的）金融、技术、经济、自然和竞争环境；供应链承诺和关系（见ISO/TS22318）；对组织目标和运行产生影响的驱动因素（如风险、技术）和趋势；与组织外部相关方的关系，以及他们对组织的看法和价值观；用于确定和形成此类关系的沟通渠道，包括社交媒体。组织的内部环境包括（如适用）以下方面：产品和服务、活动、资源、供应链以及与相关方的关系；在资源和知识方面的能力（如资本、时间、人员、过程、系统、技术）；现有的管理体系；以物理或电子形式存储的信息和数据，以及决策过程（正式的或非正式的）；组织内部的相关方，包括内部供方[考虑服务水平协议（SLA）、评估的韧性和恢复安排]，见ISO/TS22318；方针和目标，以及为实现这些目标而制定的业务相关方；未来的机会和业务优先事项；认知、价值观和文化；组织采用的标准和参考模型；结构（如治理、岗位、责任）；用于员工内部信息交流的内部沟通渠道（如社交媒体）。理解相关方的需求和期望总则组织对组织内部和外部的广泛人群负有照顾义务（见ISO/TS22330）。在建立其业务连续性管理体系时，组织应确保考虑所有相关方的需求和要求。组织应识别所有与其业务连续性管理体系有关相关方（见图4），并根据他们的需求和期望确定他们的要求。不仅要识别出强制性和明确的要求，还要识别出任何隐含的要求，这一点很重要。在策划和实施业务连续性管理体系时，识别与相关方相关的适当行动很重要，但要区分不同的相关方。例如，虽然在中断后与所有相关方进行沟通可能是适当的，但在实施和保持业务连续性管理时（见8.1.2），与所有相关方进行沟通可能并不适当。法律和法规要求本文件的应用以了解适用的法律和法规要求为前提。要求可以是隐含的、声明的或强制性的。有关这些要求的信息应记录在案并保持更新。新的要求或对现有要求的更改应传达给受影响的员工和其他相关方。组织应表明其能够获取与其运行相关的现行和待定的法律和法规要求，以及这些要求是如何得到满足的。要求可以包括：事件响应：包括应急管理和其他相关法律；业务连续性：它可以决定计划的范围或恢复的程度或速度；风险：即定义风险管理范围或方法的要求；危害：例如，与危险品存放场所相关的运行要求。在多地点运行的组织可能需要满足不同司法管辖区的要求。确定业务连续性管理体系的范围总则确定业务连续性管理体系范围的目的是明确其边界和适用性，以确保覆盖所有相关的产品和服务、活动、地点、资源、供方和其他依赖项。范围应解决4.1中确定的因素、4.2中确定的相关方的要求以及组织的使命、目标和义务。组织应以适合组织规模、性质和复杂程度的方式和术语编制一份声明，阐述业务连续性管理体系的范围。该声明应向相关方提供。业务连续性管理体系的范围组织应：通过参考产品和服务，确定组织内纳入或删减在业务连续性管理体系范围之外的部分，例如：仅包括向特定国家或地区交付的特定产品；删减对组织不再可行或价值较低的产品；仅包括一组特定的产品和服务；以能够识别所有相关活动、资源和供应链的方式识别组织的产品和服务。范围可能：包括业务连续性管理体系将应对的事件的规模或程度；确定业务连续性管理体系如何融入组织的业务相关方和风险管理方法。范围删减范围确定了业务连续性管理体系适用的地点、产品和服务、活动和资源。因此，即使范围声明中没有明确识别，所有依赖项也都在范围内。例如，如果一家制造公司将某产品纳入其业务连续性管理体系范围，那么与该产品的交付直接或间接相关的任何地点的原材料供应、加工、交付以及任何支持职能（如数据处理、采购和人力资源）都将包括在内。删减项不应影响组织满足业务影响分析（见8.2.2）确定的业务连续性要求的能力。不能删减提供范围内产品和服务所需的活动、资源和供应链。应记录业务连续性管理体系范围删减项，并解释其理由。如果业务连续性管理体系正在融入现有的管理体系，组织应确保业务连续性管理体系的所有要素都被包括在内。业务连续性管理体系本条款的目的是强调组织需要实施和保持能够使业务连续性管理体系满足ISO22301要求的过程，包括这些过程之间的相互作用。在确定整个组织中的过程及其应用时，组织应：确定这些过程所需的输入和预期的输出；确定这些过程的顺序和相互作用；确定并应用确保这些过程有效运行和控制所需的准则和方法（包括监视、测量和相关的绩效指标）；确定这些过程所需的资源并确保其可获得；分配这些过程的职责和权限；按照6.1的要求应对风险和机遇；评价这些过程，实施所需的变更，以确保实现这些过程的预期结果；改进过程和业务连续性管理体系。在必要的范围和程度上，组织应：保持成文信息以支持过程运行；保留成文信息以确信其过程按策划进行。领导作用领导作用和承诺总则组织内所有层级的管理层都应在其职责范围内证实领导作用和承诺。最高管理者最高管理者应通过以下方式证实领导作用和承诺：分配管理职责并确保其得到履行（见5.1.3）；制定业务连续性方针（见5.2）；指定一名或多名具有适当权限和能力的人员负责业务连续性管理体系，并对其有效运行负责（见5.3）；沟通业务连续性的重要性，并确保符合业务连续性管理体系的要求；提供必要的资源，包括适当的资金水平（见附录7.1）；推动持续改进（见10.2）；确保实现业务连续性管理体系的预期结果；支持其他相关管理者在其职责范围内发挥领导作用。其他管理岗位其他管理层应通过以下方式证实其领导作用和承诺：制定与组织相关方目标相兼容的业务连续性目标（见6.2）；将业务连续性管理体系要求融入组织的业务过程（见8.1）；表现出对适用的法律、法规和其他要求的意识（见4.2.2）；确业务连续性管理体系的岗位、职责和能力（见5.3和7.2）；实现业务连续性管理体系的预期结果；积极参与演练计划（见8.5）；进行业务连续性管理体系内部审核（见9.2）；对业务连续性管理体系进行有效的管理评审（见9.3）；指导并支持业务连续性管理体系的改进（见第10条）。管理层的承诺还可以通过以下方式展现：通过指导小组参与业务连续性管理的运行；将业务连续性作为管理层会议的常设议题。方针建立业务连续性方针最高管理者应根据组织的目标和义务来定义业务连续性方针，并确保其：是最高管理者对业务连续性管理体系的意图和方向的简明、高层次的陈述；适合于组织的宗旨（考虑到其规模、性质和复杂程度，并反映其文化、依赖关系和运行环境）；为设定目标提供框架；包括对满足适用要求的明确承诺，包括法律和法规义务；包括对业务连续性管理体系持续改进的承诺。方针应：明确组织业务连续性的范围和边界，包括限制和删减（见4.3）；确定所需的任何权限和委托，包括负责组织业务连续性管理体系的人员（见5.3）；包括业务连续性管理体系应考虑或遵守的标准、指南、规定或方针的引用。方针可能包含以下内容：资金承诺；对其他相关方针的引用；实施业务连续性的要求；对演练和保持业务连续性的承诺。对于已有管理体系的组织，将业务连续性管理体系方针与其他管理体系相关的方针进行整合可能是适当的。应制定适当的规定来批准该方针，保留有关方针的成文信息，并定期（如每年）或在内部或外部因素发生重大变化时（如最高管理者变更、新法规的引入）对其进行评审。这些规定的适用性将取决于组织的规模、复杂程度、性质和范围。业务连续性方针的沟通业务连续性方针应：作为成文信息可获取和予以保持；在组织内部进行沟通、理解和应用；经管理层批准后，可为有关相关方所获取。岗位、职责和权限最高管理者应确保在业务连续性管理体系内分配和沟通职责和权限。最高管理者中的一名成员应对业务连续性管理体系负责，并可要求其承担职责。最高管理者可任命其他机构（如指导委员会）来监督业务连续性管理体系的实施和持续监视。应任命代表，无论其承担其他什么职责，都应为其定义岗位、职责和权限，以便：确保业务连续性管理体系符合业务连续性方针；向最高管理者报告业务连续性管理体系的绩效，以供其评审并作为改进的基础（见第9章和第10章）；在整个组织中提高业务连续性的意识（见7.3）；确保为应对事件而制定的程序的有效性（见.2）。管理者代表可能：被赋予特定的头衔（如“业务连续性经理”“业务连续性官员”或“韧性经理”）；在组织内承担其他职责；来自组织的任何部门。可确定来自组织各职能或地点的代表，以协助实施业务连续性管理体系（如负责风险相关事项的人员）。他们的岗位、职责、责任和权限应纳入职位描述，这可通过将其纳入组织的评估、奖励和表彰政策来加以强化。表3提供了可能适用的业务连续性管理体系岗位和职责的示例。注：表5（见8.4.4）提供了可能适用于应对事件和恢复活动的团队以及可能的岗位和职责的示例。根据组织的规模，表3中列出的岗位和职责可以以不同的方式设置。重要的是要确保所有职责都是某个岗位的一部分，并有负责人。业务连续性管理体系的所有岗位、职责和权限都应得到规定和记录，并应接受审核。表3：业务连续性管理体系岗位和职责的示例岗位职责最高管理者代表对业务连续性管理体系负责；在管理评审中代表业务连续性管理。业务连续性经理负责业务连续性管理体系；确立并展现对业务连续性政策的承诺，领导所有计划活动并与其他部门协调；提名具有适当资历、权限和能力的团队成员，推动解决方案、程序和演练计划的审批；在管理评审会议上提出团队建议。业务连续性管理团队在整个组织中实施业务连续性管理，维护文件；确保及时对计划进行评审，评审各部门业务连续性的充分性；组织和协调业务连续性意识计划；制定演练计划并寻求适当权限的审批，进行演练简报和汇报；使相关方了解计划；确保按照演练计划进行演练；确保内部审核和管理评审按时完成；与各部门保持联系，并在中断期间与它们进行联络，确保及时实施纠正措施计划；促进职能代表/协调员的努力。职能代表保持业务连续性程序；向业务连续性经理报告准备状态，按要求执行并报告计划活动；确认供方的连续性计划已得到测试和保持；协调人员参与演练，维护业务连续性演练记录；使团队了解可能影响业务连续性的变化，及时跟进纠正措施；及时向业务连续性经理报告纠正措施的进展情况。策划应对风险和机遇的措施注：本条款中的指导内容与业务连续性管理体系的有效性相关。有关优先活动中断风险的指导，请参见8.2.3。确定风险和机遇确定并应对风险和机遇，使组织能够：确保业务连续性管理体系能够实现其预期结果；预防或减少不良影响；实现持续改进。组织应确定措施，以应对4.1中识别出的因素、4.2中识别出的相关方的需求和期望，以及4.2.2中识别出的法律和法规要求。此确定过程应包括考虑风险和机遇及其对业务连续性管理体系有效性的潜在影响。风险和机遇可能源于：最高管理者缺乏领导和承诺；业务连续性管理体系资金不足，导致应对无效；信息记录不充分；缺乏具有证实能力的人员；管理评审过程不充分；无法进入将业务连续性作为要求的新市场。应对风险和机遇组织应策划所需措施，以应对这些风险和机遇，其方式应：防止产生非预期结果；利用任何改进业务连续性管理体系的机遇；实现与业务连续性管理体系过程的整合（见8.1）；确保成文信息可用于评价措施是否有效（见9.1）。业务连续性目标及其实现的策划建立业务连续性目标组织应确立实施和保持业务连续性管理的目标（见第8章）。这些目标应与组织的总体目标一致，并应包括确定职责和设定适当且现实的完成目标。应在整个组织中沟通策划情况。应监视并记录其实施的进展情况。随着业务连续性管理体系的发展，应定期评审该计划，并酌情更新。确定业务连续性目标在确定业务连续性目标时，组织应确保它们明确规定：a）要做什么；b）所需资源；c）由谁负责；d）何时完成；e）如何评价结果。在某些情况下，以下业务连续性目标的示例可以满足ISO22301中规定的要求：“最高管理者将分配必要的资源，以确保按照日期为所有产品和服务建立符合ISO22301的业务连续性管理体系。”；“A主管将与XXX咨询公司合作，以确保在指定日期前为指定产品和服务获得ISO22301认证。”；“最高管理者将利用现有资源，以确保在指定日期前，我们将具有符合ISO22301的业务连续性，以履行我们对指定客户的义务。”；“IT主管将与我们的供方合作，将支持指定产品和服务的活动的恢复时间缩短10%。这将在指定日期前实现。”；“在不动用额外资源的情况下，生产经理将在截止日期前建立符合ISO22301要求并保护指定产品和服务的业务连续性管理。”业务连续性管理体系变更的策划变更管理是所有管理过程的重要考虑因素。应仔细策划对业务连续性管理体系的变更，包括在10.1中识别的变更，以确保充分调查和了解其预期目的。这应包括考虑拟议变更的后果，确保同时考虑预期和非预期的后果，并确保保持业务连续性管理体系的完整性。组织还应确保有适当和充足的资源可用，并根据需要分配或重新分配职责和权限。支持资源总则组织应确定并确保为业务连续性管理体系提供所需的资源，这些资源将：实现其业务连续性政策和目标；满足组织不断变化的需求；促进在业务连续性管理体系事务上进行有效的内部和外部沟通；为业务连续性管理体系的持续运行和不断改进提供支持。资源应以及时和高效的方式提供。业务连续性管理体系资源在确定业务连续性管理体系所需的资源时，组织应充分考虑以下方面：人员和与人员相关的资源，包括：履行业务连续性管理体系角色和职责所需的时间；培训、教育、宣传和演练；业务连续性管理体系人员的管理；设施，包括适当的工作地点和基础设施；信息和通信技术（ICT）系统，包括支持有效和高效程序管理的应用程序；所有形式成文信息的管理和控制；与相关方的沟通（见图4）；财务和资金。应定期评审资源及其分配情况，以确保其充分性。可能适合让最高管理者参与这一评审过程。能力组织应建立适当且有效的体系，以管理在其控制下从事业务连续性管理体系工作的人员的能力。管理层应确定所有业务连续性管理体系岗位和职责所需的能力，以及履行这些职责所需的意识、知识、理解、技能和经验。组织内被分配岗位的所有人员都应展示出所需的能力，并获得培训、教育、发展和其他必要的支持。这可以被称为“能力发展计划”，并可能包括：对将要承担的岗位进行能力评估；制定个人发展计划，明确达到所需能力所需的培训、教育、发展和其他支持；提供培训和指导，包括选择合适的方法和材料；绩效评价；知识共享；工作分享；聘用或签约有能力的人员；对目标群体进行培训；对接受的培训进行记录和监视；根据规定的培训需求和要求评价接受的培训，以验证是否符合业务连续性管理体系的培训要求；根据需要改进发展计划。组织应有一个过程，用于确定和提供所有参与者的业务连续性培训需求，并评价其提供的有效性。对于建立、管理和保持业务连续性管理体系，可能适当的培训类型如下：设立和管理业务连续性管理；进行业务影响分析；进行风险评估；沟通技巧；项目管理；制定和实施业务连续性文件；运行演练计划。能力可以通过以下任何方式得到加强：将业务连续性管理体系的成就纳入组织的奖励和认可过程；将业务连续性管理体系的成就纳入组织的绩效和评价过程；将业务连续性管理体系的岗位、职责、责任和权限纳入组织的职位描述和技能组合中；业务用户和高管积极参与排练、演练和测试。组织应要求代表其工作的承包商证实，在其控制下工作的人员具备他们将要履行的业务连续性管理体系和应急响应岗位所需的能力。意识组织应确保其控制下的所有人员（如员工、承包商、供方）都了解业务连续性政策以及组织的业务连续性目标，并且了解：如何降低中断的可能性以及他们在事件发现、减缓、自我保护、疏散、响应、持续性和恢复方面的作用；符合业务连续性方针和程序的重要性；对供方和外部合作伙伴的依赖以及任何与业务目标相关的风险；组织运行变更的影响；他们对业务连续性管理体系有效性的贡献，包括改进业务连续性带来的益处；他们在实现符合其要求方面的岗位和职责。组织应在组织文化中建立、推广并嵌入业务连续性管理，以便：它成为组织核心价值观和管理的一部分；相关方了解业务连续性方针以及他们在相关程序中的角色。将业务连续性管理嵌入其文化的组织将：更有效地发展业务连续性；使其相关方（尤其是员工和客户）对其处理中断的能力充满信心；通过确保在各级决策中考虑业务连续性影响，随着时间的推移提高其韧性；最小化中断的可能性和影响。在组织文化中嵌入业务连续性管理可通过以下方式得到支持：组织中所有人员的参与；组织内部的分散领导；分配职责；基于绩效指标的测量；将业务连续性融入正常的管理实践；提高意识；技能培训；实施业务连续性计划。意识提升计划可能包括：与组织内的员工就业务连续性管理的设立和管理进行协商；在组织的新闻通讯、简报、介绍计划或期刊（包括新员工入职培训）中讨论业务连续性；在相关网页上包含业务连续性的内容；将业务连续性管理作为员工和管理团队会议的主题；在事件发生后选择性发布事后报告；为最高管理者提供简报；参观指定的备用地点（如恢复站点）；与供方定期沟通，以确保他们了解组织的业务连续性要求，并能证实其具备满足商定连续性能力的能力。业务环境和运行的变化影响着业务连续性活动的策划、设计和实施方式。组织可通过积极参与与行业业务连续性相关的活动来展示其对业务连续性管理趋势的认识，这可能包括：成为行业利益集团的成员；成为会议组织委员会的成员；在会议和研讨会上发表演讲；参加本地或全球的业务连续性会议。沟通组织应确定与业务连续性管理体系相关的沟通事项。与业务连续性管理体系相关的沟通使组织能够回应相关方的需求和期望（见4.2）。为了沟通有效，组织应确定并在适当时建立以下方面的判定准则：沟通内容：根据组织的性质和情况，可能需要有关业务连续性管理体系的沟通。例如，一些组织在法律或法规上有沟通的义务；沟通时间：可能存在一些阈值，超过这些阈值，组织就必须进行沟通，并且组织环境可以决定沟通的频率；沟通对象：所有相关方都将不时需要沟通，因此，重要的是要为每个相关方确定需要进行沟通的情况和沟通的优先顺序；沟通方式：提前确定沟通的方法、工具和渠道，包括备选方案，以使组织能够有效地进行沟通。实施沟通的人员：组织应指定发言人代表组织，并指定特定人员作为沟通的联络点。组织可以在供方和客户新闻通讯和简报中提及其业务连续性管理体系和业务连续性安排。组织应提供有效的外部沟通，作为其意识提升计划（见7.3）的一部分，并在应对事件时（见8.4.4）进行沟通。成文信息总则ISO22301所要求的成文信息提供了符合要求和管理体系有效运行的证据。“程序”一词指的是执行活动或过程的一种特定方式。“文件化程序”则意味着该程序应在适当的媒介上建立并保持。一份文件可以包含对一个或多个文件化程序的要求。一个文件化程序的要求也可能由多份文件来覆盖。成文信息包括：对组织及其环境的理解（见4.1）；法律和法规要求（见4.2.2）；业务连续性管理体系的范围和任何删减项（见4.3）；方针（见5.2）；业务连续性目标及实现这些目标的计划（见6.2）；能力（见7.2）；业务影响分析和风险评估（见8.2）；业务连续性策略和解决方案（见8.3）；业务连续性计划和程序（见8.4）；演练计划（见8.5）；监视、测量、分析和评价（见9.1）；内部审核（见9.2）；管理评审（见9.3）；不符合和纠正措施（见10.1）。此外，为确保业务连续性管理体系的有效性，可能还需要包含以下信息的成文信息：客户合同和服务水平；业务影响分析结果；风险评估结果；业务连续性解决方案的确定和选择；事件响应概述；意识提升计划；与员工和相关方的业务连续性管理体系和事件沟通，如新闻通讯、会议记录和警报；组织和个人的培训计划；演练计划；与供方的合同和服务水平协议；承包商和供方的业务连续性政策和计划，包括对其供方风险监视的证据，以及其供方连续性计划得到维护和演练的证据；承包商和供方的通知和响应程序；检查、维护和校准的证据；事件和后果未遂事件的报告；业务连续性管理体系评审会议纪要。创建和更新为符合创建和更新成文信息的要求：所有成文信息应清晰可识别（例如名称、参考编号、描述、日期、作者、版本）；组织应指定可接受的格式（例如语言、软件版本、图形）和可用于存储成文信息的媒介（例如纸质、电子）；所使用的格式和媒介应经过评审和批准，以确保其适宜性和充分性。由于以下因素，不同组织的业务连续性管理体系成文信息的程度可能有所不同：组织的规模、其产品和服务以及其所从事的活动类型；活动的复杂程度和它们之间的相互作用；人员的能力。成文信息的控制访问成文信息所有所需的成文信息都应得到控制。控制文件的目的是确保组织以适当和充分的方式创建、维护和保护文件，以实施和运行业务连续性管理体系。主要焦点应放在这个目的上，而不是建立一个复杂的文件控制系统。保护的例子包括防止文件在未经适当授权的情况下被篡改或修改，以及防止文件被意外删除。可以授予各种访问级别和组合（例如仅查看、查看和更改、受限查看）。组织还可以根据其敏感性（例如受限、机密、受保护）对成文信息进行分类。例如，这种分类可能对于与内部劳动纠纷相关的业务连续性解决方案是必需的，或者当业务连续性计划和程序包含竞争对手敏感信息时。控制类型应建立文件化程序来定义所需的控制，以：分发成文信息；提供对其的访问（访问包括例如查看或更改成文信息的权限和授权）；在发布前批准文件的充分性；根据需要评审和更新，并重新批准文件；确保识别出文件的更改和当前修订状态；确保在使用点可获得所有适用文件的相关版本；确保文件保持清晰易读和易于识别；确保组织确定为业务连续性管理体系策划和运行所必需的外部来源文件得到识别，并控制其分发；防止无意中使用过时的文件，如果为任何目的而保留它们，则应对其进行适当的标识；建立文件保留和存档参数；确保机密信息的保护和不泄露。组织应通过使文件防篡改、安全备份、仅授权人员可访问以及防止损坏、变质和丢失来确保成文信息的完整性。组织应证实其了解所有与成文信息保留相关的法律和法规，并应保留合规性的证据。运行运行策划和控制总则组织应确定、策划、实施并控制所需的过程，以建立和维护满足适用要求（见第4条）的业务连续性管理体系，并实施6.1中确定的措施。这些过程应融入组织的业务过程中，以确保它们得到适当管理并保持其有效性。组织应建立控制机制，包括：决定如何确定、策划、实施和控制这些过程（例如，通过制定实施计划，并商定实施和维护业务连续性管理的合适方法）；确保按照所作出的决定对这些过程实施控制，例如，设定项目里程碑并规定所需的交付物；保存成文信息，以证实这些过程已按策划执行。组织应确保对策划内的变更进行控制，对非策划内的变更进行评审，并采取适当的措施。组织应确保对外部过程和供应链进行控制（见）。业务连续性管理如图5所示，业务连续性管理的要素如下：运行策划与控制（见8.1）：有效的运行策划与控制是业务连续性管理的核心。它应由最高管理者指定的负责人领导；业务影响分析和风险评估（见8.2）：业务影响分析使组织能够评估活动中断对其产品和服务交付的影响。这使组织能够优先恢复活动；了解这些优先活动的中断风险，使组织能够对其进行管理；业务影响分析和风险评估的结果使组织能够为其业务连续性策略和解决方案确定适当的参数。业务连续性策略和解决方案（见8.3）：识别和评价一系列业务连续性策略，使组织能够找到减少风险、减缓优先活动中断影响并应对任何发生的中断的解决方案。所选的业务连续性解决方案将在可接受的能力（生产或服务水平）和约定的时间范围内提供产品和服务的交付恢复；业务连续性计划和程序（见8.4）：业务连续性计划和程序使组织能够根据其业务连续性要求管理中断并继续活动。应有一个确定的响应结构，明确负责应对中断的团队（见8.4.2）。组织应建立并实施警告和沟通计划（见8.4.3）事件响应（见.2）和恢复（恢复正常业务）（见8.4.5）的程序；演练计划（见8.5）：演练计划使组织能够验证已实施的解决方案、计划和程序的有效性。演练计划还为组织提供了以下机会：提高人员意识和能力发展；确保其业务连续性计划和程序完整、最新且适当；提高其业务连续性。业务连续性文件和能力评价（见8.6）：组织应评价其业务连续性管理，以确保其有效并使组织能够实现其业务连续性目标。保持业务连续性有效保持业务连续性包括：确保业务连续性的范围、岗位和职责持续相关；在适当情况下，在组织和其他相关方内部推广并融入业务连续性管理；管理与业务连续性相关的成本；在业务连续性管理体系内建立并监视变更管理和继任管理制度；安排或提供适当的员工培训和提高意识活动；保持适合组织规模和复杂程度的程序文件。组织的业务连续性安排的每个组成部分（包括文件）都应定期评审、演练和更新。当组织的运行环境、结构、地点、人员、流程或技术发生重大变更，或演练或事件凸显出不足之处时，也应评审和更新这些安排。组织可采用公认的项目管理方法，以确保业务连续性管理得到有效管理。确保业务连续性持续有效的技术包括：实施良好实践；管理演练计划；协调业务连续性的定期评审和更新，包括评审或重新分析业务影响和风险评估；确保业务连续性程序仍然符合应急团队的需求。业务影响分析和风险评估总则组织通过向客户提供其产品和服务来实现其目的。因此，重要的是要了解随着时间的推移，这些产品和服务（以及支持它们的活动）的交付中断会对组织和相关方产生的不利影响。同样重要的是要了解支持产品和服务的活动之间的相互关系、资源需求以及它们所面临的威胁。组织应实施并保持一组过程，系统地分析业务影响（见8.2.2）并评估中断风险（见8.2.3），其结果使组织能够确定业务连续性策略和解决方案（见8.3）。业务影响分析和风险评估应按策划的时间间隔进行评审，并在组织或其运行环境发生重大变化时进行评审。只要对组织的优先活动（见8.2.3）进行了风险评估，组织就可以自行决定进行业务影响分析和风险评估的顺序。业务影响分析业务影响分析使组织能够为恢复已中断的活动设置优先顺序。其主要目的是使组织能够识别和分类为“优先”的任何活动，这些活动在中断时可能需要紧急行动，因为如果不能迅速恢复，可能会导致不可接受的不良影响水平。除了需要迅速恢复的活动外，其他活动也可能需要优先考虑。例如，一项活动虽然六个月内不需要恢复，但如果恢复至少需要八个月，那么这项活动就需要优先考虑。因此，优先活动也可以被视为需要在中断之前实施业务连续性解决方案的活动（见8.3.5）。本文件使用“优先活动”这一术语，但组织可以使用自己的术语、时间段或优先级顺序。术语示例包括“关键”“必要”“至关重要”和“主要”。时间段示例包括“0-2小时”“0-1天”和“1—3天”。优先级示例包括“高”“中”和“低”，或“第1”“第2”和“第3”。每个组织都以自己的方式描述其运行方式。例如，一个组织可能会将活动描述为组织为生产或交付其产品和服务而执行的任务或任务集（见图6）。其他组织可能希望将产品和服务描述为由活动组成的过程所创造。分析应涵盖业务连续性管理体系范围内的所有活动。可以对活动组进行分析，例如与特定产品和服务相关的活动组（见图6）。在进行业务影响分析时，所使用的术语应反映组织描述其自身运行的方式。图6：理解组织ISO/TS22317提供了关于如何进行业务影响分析的进一步指导。它是一项技术规范，提出了一种分阶段的方法来满足ISO22301的要求。业务影响分析使组织能够确定中断对其运行造成的不利影响，并作为结果，制定并说明业务连续性要求及其理由。分析还使组织能够：了解其产品和服务以及提供这些产品和服务的活动；确定恢复产品和服务交付的优先级和时间范围；确定连续性和恢复可能需要的资源；确定依赖关系（包括内部和外部依赖）。应使用业务影响分析过程来确定业务连续性的优先顺序和要求。该过程应包括为业务影响分析规定评价准则，包括要考虑的影响类型和时间范围。这两者都应基于组织环境、业务目标和宗旨，并应考虑相关方的需求。应定期评审评价准则，在变更期间更应频繁评审。影响类型（可能被称为“影响类别”）的示例可以包括表4中所示的内容。表4：影响类型的示例类型描述财务因罚款、处罚、利润损失或市场份额减少而造成的损失声誉负面意见或品牌损害运行业务运行流程中断的程度和持续时间法律和监管诉讼责任和撤销贸易许可合同组织间违反合同或义务业务目标无法实现目标或抓住机会影响变得不可接受所需的时间可能在几秒到几个月之间不等。这一时间范围将取决于组织的产品和服务的时效性。例如，对于时效性非常强的产品，时间范围可能需要以分钟或小时计。而对于时效性不那么强的产品和服务，较长的时间范围则较为合适。活动的中断可能会间接影响产品和服务的交付。例如，丧失向供方付款的能力可能会损害组织的声誉，并导致供方拒绝供货，进而阻碍产品的制造或服务的提供。产品和服务的需求也每日不同，并可能呈现周期性。通常会有与每周、每月或每年的截止日期或项目交付日期相关的季节性变化和更高水平的活动。考虑到间接后果，并假设中断发生在最坏的时间点，可以确保对可能产生的最大影响进行评估。组织的最高管理者应确定对组织来说不可接受的影响阈值。影响变得不可接受所需的时间可称为“最大可容忍中断期（MTPD）”“最大可容忍期”或“最大可接受中断期”。组织可接受的产品或服务的最低水平可表示为“最低业务连续性目标（MBCO）”。业务影响分析还应包括确定优先活动的依赖关系，这将使组织能够确保其被纳入风险评估（见8.2.3）中，并可用于确定业务连续性策略和解决方案（见8.3）。组织在选择连续性解决方案（见8.3.3）之前，应谨慎确定优先活动的资源需求（见8.3.4），因为优先活动的依赖关系可能与所选的连续性解决方案不相关。业务影响分析过程应包括：规定与组织环境相关的评价准则，包括：影响类型；时间范围；确定支持组织产品和服务交付的活动；使用评价准则来评估这些活动中断随时间产生的预期影响；估算在不恢复活动的情况下，影响变得不可接受的时间；在d）项中确定的时间内，为以指定的最低可接受能力恢复活动设置时间范围（见图2和图3）；确定优先活动；确定优先活动的依赖关系，包括人员（见）信息和数据（见）建筑物、工作场所和相关设施（见）设备和耗材（见）信息和通信技术（ICT）系统（见）运输和物流（见）财务（见）以及合作伙伴和供应链（见）；确定优先活动之间的相互依赖关系（例如，采购依赖于财务来释放资金）。在本文件中，恢复活动的时间范围[见上文e）项]称为活动的“恢复时间目标（RTO）”。设置活动的RTO可能还需要考虑：对相关活动的依赖；恢复过程的复杂程度。对于恢复过程复杂的组织而言，为一系列可接受的能力设置多个RTO可能是合适的。在考虑活动对信息和数据的依赖时，组织应确保为恢复活动所需的信息和数据将是适当且最新的。组织可使用“恢复点目标（RPO）”一词来实现这一点。RPO是指活动使用的信息和数据恢复到的那一点，以使活动在恢复时能够运行。RPO也可用于确定避免不可接受的数据和信息丢失，以及其他可能阻碍活动恢复的在进行中的工作所需的备份频率。ISO/IEC27031提供了关于确保电子持有数据的时效性的进一步指导。ISO/IEC27002提供了关于确保数据的持续保密性、完整性和可用性的指导。业务影响分析应记录，包括：确定法律、法规和合同要求（义务）及其对业务连续性要求的影响（见4.2.2）；认可或修改组织业务连续性管理体系的范围（见4.3）；评估随时间对组织的影响，作为业务连续性要求（时间和能力）的依据；确定产品和服务、活动和资源之间的关系；确定优先活动所依赖的支持资源；确定对其他活动、供应链、合作伙伴和其他相关方的依赖。信息可能来自：面谈；问卷；研讨会；其他内部和外部来源。风险评估注：本条款的指导内容涉及优先活动的中断风险。有关业务连续性管理体系有效性的指导，请参见6.1。风险评估的目的是使组织能够评估优先活动被中断的风险，以便采取适当措施应对这些风险。组织应实施并保持一个正式的风险评估过程，该过程应系统地识别、分析和评价中断组织优先活动及其支撑过程、系统、信息、人员、资产、供方和其他资源的风险。风险评估是一个结构化过程，用于在分析风险的可能性和后果之后，决定是否需要进一步的应对。这个结构化过程试图回答一些基本问题，例如：可能发生什么？发生的可能性有多大？可能产生什么后果？是否有任何措施可以减缓后果或降低可能性？该过程应考虑组织环境以及相关方的需求和期望（见4.1和4.2）。组织应了解与组织活动所需资源相关的威胁和脆弱性，特别是：被识别为高优先级活动所需的资源；资源替换前置时间长于活动恢复时间目标的资源。组织应选择适当的方法来识别、分析和评价可能导致中断的风险。ISO31000阐述了风险管理的原则和相关指南。本文件应包含的典型要素如下：风险识别：识别可能对组织的优先活动及其支撑过程、系统、数据、人员、资产、供方和其他资源造成风险的潜在来源。这些来源可能包括：可能在某些时候中断活动和资源的具体威胁（例如火灾、洪水、电力故障、人员流失、员工缺勤、计算机病毒、硬件故障）；由于资源内部的脆弱性而产生的中断（例如单点故障、防火措施不足、电气韧性缺乏、人员配置不足、信息技术（IT）安全和韧性不足）。风险分析：理解风险，以便对其进行评价并确定最合适的处理方式。这应涉及：考虑风险的原因和来源、正负后果的可能性，以及其他因素可能对可能性产生的影响；主要基于可能性和预期后果来确定风险，但也要考虑现有控制措施的有效性和效率。在分析中，可能性是一个关键参数，因此应考虑其有效性的置信度（基于专家意见的分歧、不确定性、信息的可用性、质量、数量和相关性的持续性，或模型限制），并将这些信息提请决策者和其他相关方注意。分析可以是定性、半定量或定量的。风险评价：评价哪些与中断相关的风险需要处理。这应重点关注高优先级活动或替换前置时间较长的活动所需的资源。组织应注意任何要求传达这些发现结果的财务、法规/立法或政府义务。此外，某些社会需求也可能要求在适当的详细程度上共享这些信息。业务连续性策略和解决方案总则业务连续性策略是组织为满足其业务连续性要求而可能采取的途径。业务连续性策略应至少包含一个业务连续性解决方案，但也可能需要多个解决方案来满足业务连续性的全部要求。业务连续性解决方案包括可以实施以实现业务策略的各种方法、安排、程序、处理和行动。这些解决方案可以用于多个策略中，具有灵活性和可复用性。业务连续性策略和解决方案的主要目标包括：使组织能够在规定的时间范围内，并以可接受的业务容量恢复运行；确定组织可以实施并随时间不断改进的能力，以减缓与业务中断相关的风险。识别和选择业务连续性策略和解决方案的过程应基于业务影响分析（见8.2.2）和风险评估（见8.2.3），同时需考虑相关成本。组织应制定识别和选择业务连续性策略和解决方案的程序，该程序应包括对所推荐解决方案的评审和批准。此外，组织还应考虑在中断发生前、中断期间和中断后可以实施的各种选项，以确保业务的持续性和恢复能力。确定策略和解决方案总则大多数策略需要一个或多个解决方案来支持，但对于组织的一些活动，不采取任何措施或推迟恢复也可能是可接受的策略。例如，恢复活动的重新安置策略可以由多个解决方案组成，包括“紧急运输”“网络重定向”和“备用人员配置”。这些解决方案也可以构成“延长工作时间”策略的一部分。同样，保护优先活动的生产策略也可以由多个解决方案组成，例如“将产品A的30%生产从地点A转移到地点B”，或者“将产品A的生产在地点C和地点D之间进行分配”。为了确保业务连续性计划（见8.4.4）的运行不受中断的负面影响，组织可能需要采取预防措施，例如，在多个地点分散团队和恢复的信息和通信技术（ICT）系统。对于所有规模和类型的中断，完全分离并不总是可实现的，因此可能需要确定限制并与最高管理者达成一致。限制条件可以用距离、最低人员数量或严重程度来表示，并可能受到公共机构对严重或广泛中断的响应的影响。组织应确定以下方面的适当策略和解决方案：保护优先活动；稳定、继续、恢复和复原优先活动；减缓、应对和管理影响。组织应建立一种机制，用于确定和选择业务连续性策略和解决方案，包括批准和实施推荐的解决方案（见8.3）。ISO/TS22331提供了关于确定和选择业务连续性策略和解决方案的进一步指导。保护优先活动保护优先活动可以通过以下方式实现：降低活动受中断影响的风险；将活动转移给第三方（尽管责任仍由组织承担）。另外，如果可行，可以改变活动的执行方式。在确定保护优先活动的策略和解决方案时，组织应考虑：活动的感知脆弱性和活动停止将产生的影响；措施的成本与预期收益的比较；活动的紧迫性，因为解决问题的时间将更少；整体可行性和适用性。稳定、继续、恢复和复原优先活动为恢复优先活动而设定恢复时间目标（RTO），使组织能够确定缩短中断期、减少影响并及时恢复优先活动的策略。为了确保优先活动能够在其RTO内恢复，还应为依赖项和支持资源设置兼容的RTO。组织还应确定依赖项和支持资源需要恢复的容量。在设置这些RTO时，组织可能需要考虑：在需要全面恢复之前提供不同服务的可能性；确保人员有效动员；在需要时鼓励和支持人员返回工作；使用变通方法（如手动流程）来推迟恢复依赖项或支持资源的需求；恢复丢失信息所需的积压工作和时间；恢复要求的复杂程度和规模，或需要长时间准备的专用设备。业务连续性策略可能包括以下内容：活动重新安置：将部分或全部活动转移到组织内的其他部分或外部的第三方，可以独立进行，也可以通过互惠或互助协议进行。在确定恢复活动的地点时，应考虑受损/受影响的地点和未受损的备用地点。资源重新安置或重新分配：将资源（包括员工）转移到组织内的其他地点或活动，或外部的第三方。备用流程和冗余容量：建立备用流程或在流程和/或库存中创建冗余/备用容量。临时变通方法：一些活动可能采用不同的工作方式，在有限的时间内提供可接受的结果。变通方法可能更耗时和/或劳动力密集（例如，手动操作与自动化系统相反）。因此，变通方法通常仅适用于短时间或推迟恢复正常业务。策略示例包括：在备用地点提供备用生产能力；为关键员工提供远程工作能力。减缓、应对和管理影响减缓、应对和管理中断影响的策略可能包括以下内容：保险：购买保险可以为一些损失提供一些财务补偿，但不会承担所有成本（例如，未投保的风险、品牌、声誉、相关方的价值、市场份额、人力后果）。单独的财务结算无法完全保护组织并满足相关方的期望。保险更有可能与其他解决方案结合使用。资产恢复：与公司签订合同，这些公司在资产损坏后专门从事资产的清洁或修理工作。声誉管理：开发有效的警告和沟通能力（见8.4.3），并建立有效的事件沟通程序（见）。对于需要应对的已识别风险，组织应根据其整体风险态度，考虑降低可能性、缩短时间和限制中断影响的方法。如果组织无法控制某个特定危险，并且该危险可能对组织造成重大破坏（例如，地震或洪水），则组织应在适当情况下：确定限制其潜在影响的策略并实施解决方案；确定负责监视该危险的外部机构；与该外部组织联系，了解其通知协议；分析通知协议，以确定它们是否符合组织的需求。选择策略和解决方案选择业务连续性策略时，应基于以下程度：使优先活动能够在业务影响分析（见8.2.2）中确定的时间范围内，以约定的能力恢复；与组织可能承受或不愿承受的风险量和类型相一致；以可管理和合理的成本带来效益。当组织的运行发生变更时，应重新评审所有解决方案。用于稳定、继续、恢复或复原优先活动的业务连续性解决方案往往成本高昂。如果组织预计会出现这种情况，则应选择可接受且符合其业务连续性目标的替代解决方案，或根据4.3.3的规定，将受影响的产品和服务排除在业务连续性管理体系的范围之外。如果组织估计某一威胁发生的可能性极低，或保护优先活动的成本过高，它可以选择接受该风险，并将其作为持续进行的业务连续性管理体系绩效评价的一部分重新评价（见第9章）。接受风险还可能要求将受影响的产品或服务从业务连续性管理体系的范围中移除。资源要求总则组织应确定实施所选解决方案所需的资源要求。组织应建立：适当的团队，或对于小型组织而言，指定具有适当权限的个人来监督事件准备、响应和恢复；物流能力和程序，用于定位、获取、存储、分发、维护、测试和核算服务、人员、资源、材料和设施，无论这些是由组织生产还是由他人捐赠；财务、物流和管理程序，以在事件发生前、事件发生时和事件发生后支持业务连续性安排，这些程序应：确保能够加快财务决策；符合既定的权限级别、治理和会计原则。资源管理目标，包括响应时间、人员、设备、培训、设施、资金、保险、责任控制、专业知识、材料，以及从组织资源和任何供方处获取这些资源所需的时间范围；相关方援助、沟通、相关方联盟以及互惠或互助的程序。人员.1总则组织应具有能够响应和管理事件，并参与优先活动恢复的人员。.2事件响应组织应指定具有必要责任、权限和能力的事件响应人员来管理事件。事件响应人员应组成一个团队，负责管理任何对组织产生重大影响或有可能产生重大影响的中断。人员可根据其展现出的能力被分配到不同的团队，例如：事件/策略管理（见）；沟通（见）；安全和福利（见）；抢救和安全（见8.4.4.Z，注：此处Z可能是笔误，应为具体编号，如或其他）；活动恢复（见）；ICT系统恢复（见）。所有这些团队中的人员都应具有明确界定的职责和权限，这些职责和权限适用于中断发生前、发生时和发生后。适用于事件响应和业务恢复人员的培训包括：事件评估；疏散和就地避难管理（如果适用于范围）；备用工作场所的安排；有效处理内部和外部沟通的技巧；处理人员相关事务（见ISO/TS22330）。整个组织的响应技能和能力应通过实际操作培训来发展，包括积极参与演练。响应和恢复团队应接受关于其职责和义务的教育和培训，包括与第一响应者和其他相关方的互动。团队应定期进行培训，新成员在加入响应结构时也应接受培训。这些团队还应接受关于防止事件升级为危机的培训。.3活动恢复组织应确定适当的措施，以维持和扩大核心技能和知识的可用性，以便在人员可用性减少的情况下仍能恢复活动。在事件发生时，人员可能不会像预期那样响应，并可能需要鼓励、安抚和支持。应包括拥有广泛专业技能和知识的员工、承包商和其他相关方。保护或增强这些技能的技巧可能包括：备用技能专家名单和召集计划；员工和承包商的多技能培训；分离核心技能以降低事件影响，包括在多个地点物理分离具有核心技能的员工；使用第三方；继任计划；文件化流程和其他形式的知识保留和管理。依靠事件发生后员工搬迁的程序可能需要考虑：员工转移到另一个地点的交通；备用场所的员工需求，如住宿、餐饮设施、个人和家庭承诺、不同设备的培训、居家工作带来的挑战。专业角色可能包括安全、运输物流、福利和应急。为了鼓励和安抚需要响应中断的人员，组织应提供实用的建议、风险意识培训、交通解决方案和家庭相关支持。ISO/TS22330提供了关于业务连续性中人员方面的进一步指导。信息和数据“信息”和“数据”在日常使用中可互换使用。本文件使用“信息”一词来表示已处理、组织和相关联以产生意义的数据。因此，信息是由数据创建的，数据包括例如以手动和电子形式存储并可在计算机上使用和存储的事实、统计数据和数字。在中断期间，可以从数据中重新创建信息，但处理时间可能非常长，而且可能也无法使用这种手段。因此，组织应考虑活动和数据的信息要求。如果活动（而不仅仅是优先活动）所需的信息或数据无法恢复地丢失，则可能无法恢复该活动。对组织运行至关重要的信息和数据应根据业务影响分析中确定的时间范围进行保护和恢复。在确定数据存储和恢复安排时，组织应了解适用的法律要求。任何使组织能够响应和恢复所需的信息或数据都应具有适当的：保密性（例如，如果活动被转移到另一个地点）；完整性：信息和数据是可靠的，可以信赖的；可用性：信息和数据应尽快可用，以满足活动的需求（即在活动的RTO内）；响应期间所需的信息和数据可能需要立即提供，而其他信息和数据可能直到事件发生后才需要；时效性：根据需要保持最新，使活动能够运行（见8.2.2），尽管由于事件而丢失的信息可能需要重新创建，数据可能需要恢复。在复制信息和数据时，可以使用各种方法，包括虚拟（电子）格式（例如磁盘、云、磁带）和物理（硬拷贝）格式（例如微缩胶片、复印件、在生产时创建双份副本）。应记录用于恢复尚未复制到安全位置或尚未备份的信息和数据的解决方案。如果复制的信息或数据存储得太靠近原始数据，则中断可能会破坏其完整性或阻止访问。然而，过远的距离可能会阻止在需要时访问信息/数据。应有书面证据证实如何解决这些相互冲突的问题。本条款中提及的信息和数据可能包括：联系人信息；供方、相关方和相关方详细信息；法律文件（例如合同、保险单、产权契据）；其他服务文件（例如合同、服务水平协议）；元数据（即以定义的格式描述视听内容和数据本质的信息）；作为事件响应措施传播的通知和警报消息；关于谁有权调用程序的指南和标准。建筑物、工作场所及相关设施工作场所的解决方案可能有很大差异，并且有多种选择。不同类型的事件或威胁可能需要实施不同或多个工作场所方案。适当的策略部分取决于组织的规模、行业和活动范围、相关方以及地理位置。例如，公共机构需要在其社区中维持前线服务，而有些组织则可能从另一个国家或大陆运行。组织应制定一种解决方案，以减少其正常工作场所不可用性的影响。这可能包括以下一种或多种措施：组织内部的其他场所（地点），包括其他活动的转移；其他组织提供的场所（无论是否为互惠安排）；指挥中心；第三方专家提供的场所；居家办公或在偏远地点办公；其他商定的合适场所；在既定场所使用替代劳动力。选择替代场所时，应谨慎考虑可能受到同一事件影响的地理区域。例如，自然灾害等事件可能造成广泛区域的破坏，并影响电力、燃气、水和通信等基本服务。如果预期存在此类风险，替代场所应远离可能受影响的区域。如果员工需要转移到替代场所，应充分考虑以下因素：确保场所不会过于接近，以免受到同一事件的影响；确保场所足够近，以便员工愿意并能够前往；可能由事件引起的困难。使用替代场所以维持业务连续性时，应明确说明替代场所所需的资源是否为组织专用。如果替代场所与其他组织共享，应制定并记录缓解这些场所不可用性的计划。在某些情况下（例如生产线、呼叫中心或恢复时间目标较短时），移动工作量而不是员工可能更为合适。这可能需要备用场所有额外的容量，或增加员工（通过加班或招聘）和其他可用资源。设备和耗材组织应确定并保持支持其优先活动的核心供应品清单。一些设施和机器可能难以获取、价格昂贵（需要长时间授权）或交货期长。提供此类资源的解决方案可能需要考虑这些问题。改变业务实践，如库存控制或建筑管理，可以提供解决方案。提供这些资源的技巧可能包括：在其他地点储存额外供应品；与第三方达成短期交货协议；将即时交货转移到其他地点；在仓库或货运站点持有材料；将子装配操作转移到有供应品的替代地点；确定替代/替代供应品；确定设施和设备，并按阶段进行多选项策划。当活动依赖于专业供应品时，组织应确定优先活动所依赖的供方，尤其是单一来源供应的情况。管理供应连续性的解决方案可能包括：增加供方数量；鼓励或要求供方具有业务连续性；与供方签订合同和/或服务级别协议；确定替代的、有能力的供方。当活动正在重新安置时，应验证供方是否能够在替代地点有效地提供其产品或服务。ICT系统在许多组织中，活动无法在没有ICT系统的情况下进行，因此在活动恢复之前，需要重新启用这些系统。如果可能且实际可行，组织可能需要在其ICT系统恢复期间实施手动解决方案。技术选项将取决于所采用技术的性质及其与活动的关系，但通常将是以下组合：组织内部提供的服务；第三方提供给组织的服务；组织订阅的外部服务。为优先活动提供所需ICT系统的技术可能包括：在地理上分散（例如，在不同地点维护相同的技术，这些地点不会受到相同中断的影响）；持有旧设备作为紧急替换或备件；签订设备或恢复服务合同。由于支持ICT系统的技术复杂程度，通常需要复杂的安排来确保它们可以及时恢复。因此，应注意以下方面：技术站点的位置以及它们之间的距离；在不同站点分布技术；为远程访问的用户数量增加提供足够的设施；设置无人值守（暗）站点以及有人值守站点；改善电信连接并提高冗余路由水平；提供自动“故障转移”，而不是需要手动干预来恢复ICT系统；适应ICT系统的淘汰。如果一个组织在多个站点托管其ICT系统，那么可能有机会实施一种解决方案，即每个站点的大小都能容纳多个站点的组合ICT系统容量。如果一个组织使用具有长交货期的非常专业或定制的技术，它可能需要考虑通过为替换或恢复做出特别规定来增加其ICT系统的保护。ISO/IEC27031提供了关于ICT业务连续性准备的进一步指导。运输和物流事故发生后，可能需要提供运输服务，用于：将员工送回家，如果他们的正常交通方式不可用；将员工转移到其他工作地点；将资源运送到不同地点。组织应提前确定在中断后可能需要提供的替代交通方式。这些可能包括：确定物流中断的可能情景，包括由事件或异常情况直接引起的情景；确保有替代交通方式和路线来应对异常的交通状况；与替代交通提供者达成协议。财务组织应确定在中断期间和之后确保必要资金可用的选项。这可能包括：为紧急采购提供资金，如食品、住宿、设施、消耗品和交通；报销员工费用；主要支出，例如，租赁或购买建筑物和设备；为了防止滥用或便于保险索赔，可能需要通过例如正式记录中断期间和之后的费用，来展示有效的财务控制。合作伙伴和供应链业务网络和供应链通常广泛、复杂且相互依赖，并具有多个层级。了解供应链及其对组织构成的风险至关重要。在分析业务影响时（见8.2.2），组织应与相关供方共同分析优先活动所依赖的供应链。反过来，也应要求供方将分析扩展至其供方。供应链分析应基于组织制定的一套标准，为评估对供应链及其内部特定供方的依赖程度，并了解寻找替代安排的时间范围，提供一种共同的组织方法。获得保证和评估供方及合作伙伴业务连续性的技术可能包括：在招标和合同中规定业务连续性要求；定期审核供方计划；评审演练和维护计划；参加联合业务连续性演练。如果产品、服务或活动已外包，则该产品、服务或活动的责任仍由组织承担。当优先活动或业务连续性解决方案依赖于供方的产品和服务时，组织应评估供方的业务连续性，以获得保证，即供方已为这些产品和服务制定了有效的业务连续性安排，例如，通过评审演练结果。组织可能希望将精力集中在那些无法交付产品和服务将导致优先活动最快中断的供方上。实施解决方案选定的解决方案应得到实施并长期维护。在选择业务连续性解决方案后，管理层应参与选择业务连续性资源（如工作空间、人员、设备、用品）。应谨慎确保这些资源在事件发生时可用。为确保恢复和缓解策略可实现，组织应在中断发生前定义并实施所有必要的解决方案。如果启动解决方案的准备时间超过业务连续性要求，组织应提前实施选定的解决方案。业务连续性计划和程序总则组织应拥有一个由业务连续性计划和程序支持的应对结构，用于：控制对中断的应对；与相关方进行有效沟通；利用业务连续性解决方案在恢复时间目标（RTO）内恢复活动。计划包含一个或多个程序。总体上，计划和程序应：确定要采取的即时步骤并协助及时决策；具有足够的灵活性以适应未预期的威胁和可变情况；重点关注中断的预期影响；与组织选定的业务连续性解决方案保持一致，以最小化影响；明确确定所有待执行任务的岗位和职责分配。应对结构目的有效的应对结构使组织能够发现事件、识别事故并确定它们是否可能导致中断。组织应开发一个事件应对结构，以便对中断进行有效应对，无论其原因如何。如果没有商定并文件化的结构，组织可能无法对中断进行有效应对，并且无法在必要的时间范围内恢复中断的活动。设计事件应对结构应明确：负责应对事件和恢复活动的团队；团队层级；团队的岗位和职责。应对结构应简单且能够快速形成。它还应提供机制，以确保信息和决策的及时沟通。没有适合所有组织的单一事件应对结构。每个组织应考虑以下因素来设计自己的结构：现有的管理结构；组织的性质、文化、规模、复杂程度和过程基础设施；选定的业务连续性解决方案；组织的业务连续性要求；对组织的任何感知威胁。较大或复杂的组织可能需要建立单独的团队来关注事件的不同方面。在较小的组织中，一个团队处理事件是可行的，但绝不应由单个人负责。团队能力总体上，团队应具备以下能力：评估中断的性质和范围及其潜在影响；根据预定义的影响阈值测量事件的可能影响，以确定是否需要采取正式应对措施；对中断采取适当的应对措施，启动计划，动员响应团队，并确保所需资源的可用性；策划所有要采取的措施；为所有行动确定优先级，优先考虑生命安全；监视事件的进展以及组织在应对影响和后果方面的响应效果；启动适当的业务连续性解决方案；对组织的事件响应进行有效指挥和控制，并根据情况的发展做出相应调整；与相关方进行沟通，特别是员工、受影响的家庭成员、访客、当局和媒体。团队组成和指导每个团队应：确定团队成员和替补人员，他们应具有必要的职责、权限和能力，以使团队能够履行其角色和责任；制定指导团队行动的程序（见8.4.4）。预警和沟通总则从中断一开始就有效处理初步沟通，可以对组织响应的有效性产生巨大影响。只有当组织明确沟通什么、何时、与谁以及如何沟通时，才能实现有效沟通。因此，组织应建立以下与预警和沟通相关的行动的程序，并确定谁将负责执行这些行动：组织内不同级别和功能之间的内部沟通，包括响应结构内的沟通；向相关方发出警报，并接收、记录和回应他们的沟通（这可能包括员工的紧急联系人）；确保通信设备和设施可用；促进与应急响应者的结构化沟通；管理组织对媒体的响应，并确保其与组织的沟通策略相一致；记录有关事件、实施的运行和做出的决策的重要信息。组织应确保建立有效的程序和设施，以接收、记录和回应来自国家或地区风险咨询系统或同等机构的警告、警报和外部通信。一些组织可能需要建立位于受影响现场足够远的专用或临时设施，以确保其运行不会受到事件的阻碍。对于有特殊需求的人（例如老年人和残疾人），可能需要做出特别安排。有关警告传播（包括信息内容和通信渠道）的指导，请参阅ISO22322。通信设备可能会受到中断的影响，因此可能需要提供多种替代方案，例如：扩音器；公共广播系统；备用移动电话；卫星电话；对讲机。向相关方发出警报在某些情况下，已经发生或即将发生的中断可能会影响相关方。例如，从事危险作业或储存有毒产品的组织发生的中断可能会导致该组织的邻居处于危险之中。此类组织应考虑：制定程序以监视危险；提前确定在中断期间可能需要提供的公众警告信息；确定可能需要发送公众警告信息的地理区域；科学评价危险的潜在严重程度；制定基于科学的发出警告的标准，并确保有程序将警告信息传递给负有公众警告责任的组织；与负责潜在受影响区域的外部机构建立关系。此类组织还有必要：与负有公众警告责任的外部组织建立关系；确保其邻居了解如何发布警报以及如何应对。应将警告和沟通程序作为组织演练计划的一部分进行演练（见8.5）。业务连续性计划总则业务连续性计划规定了团队如何应对中断并在业务连续性管理体系范围内恢复活动。由于各组织之间的术语存在差异，并且在许多情况下，特定术语可互换使用，因此必须明确说明团队的角色和职责，并且支持它们的文件化程序必须明确说明其目的、范围和目标（见表5）。表5：团队示例及可能的角色和职责团队角色职责现场应急响应设施管理安全应急响应生命安全损害限制损害评估损害评估损害评估事件管理事件管理和控制事件管理危机管理高级管理相关方决策事件期间的沟通相关方管理危机管理沟通公共关系沟通事件期间的沟通沟通公共关系ICT恢复恢复ICT系统和基础设施ICT灾难恢复注：关于ICT程序的指南，请参见ISO/IEC27031。财务管理通用和财务管理财务和管理人力资源职业健康福利和特殊需求利益相关方福祉人力资源安全和福利抢救安全设施ICT抢救设施ICT系统和数据安全抢救和安全业务连续性恢复中断的活动协调恢复管理资源覆盖范围.1总则总体而言，业务连续性计划应涵盖应对事件的各个方面，并应针对将使用这些计划的团队进行具体制定。因此，可能有益的做法包括：让包括专业团队在内的广泛人员参与业务连续性计划的制定；利用演练反馈并吸取中断事件的经验教训。时间表和绩效水平应基于业务影响分析（见8.2.2）期间收集的信息以及业务连续性策略和解决方案的选择（见8.3.3）。.2应对事件在处理事件时，可能需要考虑一系列措施。这些措施应包含在文件化程序中，包括：应对和评估事件，包括：确定发生了什么以及如何发生；识别组织的哪些部分和哪些相关方已经或可能受到影响；试图预测事件的持续时间和可能的影响；评估事件是否将通过常规管理安排进行处理；参考预定义的阈值判断事件是否可能导致中断；管理事件的直接后果，适当考虑受影响人员（包括团队成员）的福利问题和环境影响，考虑应对事件的选项，并防止进一步的损失或损害；根据每项程序的启动准则评价事件评估；当满足启动准则时，宣布事件发生并启动程序；动员事件响应人员组成团队，进行稳定、持续和恢复活动；为管理和控制事件的团队（指挥中心）建立一个中心位置；确定在管理事件及其影响时要优先处理的问题和活动；控制和协调所有已启动的程序；启动或建立替代站点，以恢复信息技术或其他基础设施能力，并临时运行组织的活动；监视事件的进展情况；根据变化的情况评审和调整计划；随着可持续能力的重新建立，逐步降级、待命并恢复常规运行；进行汇报总结并确定学习机会；确保良好的治理以及管理和恢复事件期间生成的文件的整理和安全性。为了实现组织及时恢复产品和服务的交付，每项活动恢复的文件化程序应：满足支持该产品或服务的活动的恢复时间目标（RTO）；足够可靠。这可以通过以下方式实现：拥有或控制执行程序所需的手段和资源；与第三方签订合同、协议或服务级别协议。内容和可用性.1总则每个业务连续性计划应以使用它的团队能够清楚理解的形式，明确其目的、范围和目标。应明确说明与其他所需或相关的文件化程序或文件的联系，并描述获取和访问它们的方法。业务连续性计划还应包括：启动标准和程序；实施程序；沟通要求和程序；内部和外部的相互依赖和相互作用；资源要求；报告要求；信息流和文件化过程。.2指导和支持信息每个计划应包括：岗位、职责和权限：为将使用计划的人员和团队定义角色、职责和权限；关于谁有权在什么情况下调用计划的指南和标准（这可能包括定义的升级阶段）。启动准则：启动组织对中断的响应的流程，以及在每个文件化程序中，其启动准则和程序（考虑这是否在正常工作时间之内或之外可能是相关的）；会议地点和合适的备选地点。运行参数：识别要执行的措施和任务，特别是关于组织将如何在预定的时间范围内继续或恢复其优先活动；相关的资源要求（见8.3.4）；记录有关事件、采取的措施和做出的决策的信息的手段；协调和沟通的支持信息：团队成员和其他有角色和职责的人员的联系详情；组织应了解与信息保护相关的适用法律要求，并应保留合规证据；任何可能需要的相关机构、组织和资源的联系和动员详情；终止准则：一旦事件过去，终止的机制；要遵循的指令。.3可用性与任何形式的成文信息一样（见7.5.3），组织应确保业务连续性计划在任何需要的时间和地点都是可用和可使用的。为了确保业务连续性计划的运行不受中断的不利影响，组织可能需要采取预防措施（例如，在多个地点分隔团队和恢复的ICT系统）。对于所有规模和类型的中断，完全分隔并不总是可以实现的，因此可能需要确定限制并与最高管理者达成一致。限制可以用距离、最低人员数量或严重程度来表示，并可能受到公共机构对严重或广泛中断的响应的影响。事件/策略管理事件管理的目的是确保组织对中断的响应在策略层面有效。程序应包括管理组织在事件期间面临的所有可能问题的基础，包括与相关方相关的问题，并应解决管理事件的团队和其他响应团队可能需要的所有设施。沟通沟通程序可能包含在事件管理程序或其他团队的响应程序中。如果有多个团队，他们应密切合作。应对事件期间将传递和接收的沟通进行管理和协调。程序应包含：关于组织将在何种情况下以及如何与员工及其亲属、其他相关方和紧急联系人进行沟通的详细信息；关于事件发生后组织的媒体响应的详细信息，可能包括：事件沟通策略；与媒体的首选接口；为媒体起草声明的指南或模板；授权向媒体发布信息的训练有素、能力胜任的发言人的适当数量。重要的是，内部和外部沟通的时间和内容要一致。为了建立信心、信任和动力，内部沟通是优先事项。在事件的早期阶段，预先准备的信息可能特别有用。它将使团队能够提供有关组织及其业务活动的详细信息，而事件的细节仍在确定中。可能适当的是：为与媒体或其他相关方群体联络建立合适的场所；确定适当数量的训练有素、有能力的人来回答媒体的电话咨询；使用组织可用的所有沟通渠道，包括社交媒体；准备关于组织及其运行环境材料（这些信息应预先同意发布）。可能还需要考虑那些集体对组织拥有权力或影响力的压力团体或社区行动团体。应包括一个用于识别和优先处理与其他关键相关方的沟通的过程。可能需要制定一个单独的程序来管理相关方，提供设置优先级的标准，并为分配给每个相关方或相关方群体的人员做出规定。安全与福利当事件对生命、生计和福利构成直接风险时，组织有责任照顾员工、承包商、访客和客户。需要特别关注任何有身体和学习障碍或其他特殊需求（如怀孕、因受伤导致的临时残疾）的群体。提前策划以满足这些要求可以降低风险，并让受影响者感到安心。事件的长期影响不容低估。组织应制定适当的解决方案，包括考虑相关的社会和文化问题，以促进组织内的身心恢复。福利响应应包括以下要素：现场疏散（包括现场内部避难活动）和集合点；安全、急救或疏散援助团队的动员；查找并确认在现场或附近区域的人员。以下也可能包括在内：翻译服务；所需的交通协助，包括指路；紧急服务、适当机构和第一响应者的指定联络人和联系信息；查找流离失所的劳动力或承包商；管理电话帮助热线；身体康复和心理支持。应明确所需的资源。资源应及时可用，并应具备执行其预期功能的能力。抢救与安全组织可以制定涉及抢救和安全的文件化程序，并提供以下方面的指导：设施、设备（包括信息和通信技术系统）和成文信息的抢救优先级（考虑到信息安全和隐私要求）；紧急服务部门交接后的场所安全。组织可以在事件发生前任命专业的抢救承包商。有效的设施、设备和成文信息的抢救可以限制影响，并使业务更快地恢复正常。优先活动的恢复应制定程序，明确：要恢复的优先活动；恢复的时间范围；优先活动恢复时的能力；可以使用该程序的情况。每个程序都应适当详细地说明在不同时间点实现目标所需的资源。这可能包括：资源数量；技能和资格；技术设备；电信设施；已签订合同的资源、通过互助协议商定的资源或可能可用的资源的可用性。信息和通信技术系统恢复活动的程序应确定其恢复所依赖的信息和通信技术系统，并应引用任何现有的信息和通信技术连续性程序。如果有的话，信息和通信技术连续性程序至少应解决以下问题：调用所需的信息和通信技术响应并部署信息和通信技术人员；访问备份数据并获得替代服务提供；恢复数据、信息服务、通信和支持；可用性和能力要求的时间表，使活动能够满足其恢复时间目标。ISO/IEC27031提供了进一步的指导。恢复组织应预先确定在发生中断后如何恢复正常业务，并应制定文件化程序，以从事件期间采取的临时措施中恢复和恢复业务运行。这些程序应满足相关的审核和企业治理要求。恢复的目的是在发生中断后重新建立业务活动，以支持正常工作。通过以下方式可以实现恢复正常业务：修复事件造成的损害；将业务从临时场所迁回已恢复的主要业务地点；迁往新地点。如何最好地恢复正常业务将取决于事件造成的损害程度以及建立必要设施所需时间的估计。文件化程序应规定对情况和其影响的详细评估，以及确定恢复的任务和步骤。在恢复期间，组织可能需要：建立恢复资源和