(高清版)GBT 42581-2023 信息技術服務 數(shù)據(jù)中心業(yè)務連續(xù)性等級評價準則

信息技術服務數(shù)據(jù)中心業(yè)務連續(xù)性等級評價準則2023-05-23發(fā)布I前言 2規(guī)范性引用文件 13術語和定義 4數(shù)據(jù)中心業(yè)務連續(xù)性等級模型 25數(shù)據(jù)中心的業(yè)務連續(xù)性等級評定 35.1數(shù)據(jù)中心的業(yè)務連續(xù)性等級構造與評價 35.2數(shù)據(jù)中心的業(yè)務連續(xù)性等級分值計算 35.3數(shù)據(jù)中心的業(yè)務連續(xù)性等級的確定 36評價方式和方法 46.1數(shù)據(jù)中心業(yè)務連續(xù)性等級評價方式 46.2靜態(tài)評價 46.3動態(tài)評價 46.4組織自聲明 47業(yè)務連續(xù)性等級評價有效性 47.1等級評價申請 47.2評價的有效期 47.3數(shù)據(jù)中心業(yè)務連續(xù)性等級持續(xù)和變更 4附錄A(規(guī)范性)數(shù)據(jù)中心設施可用性 5附錄B(規(guī)范性)能力構造 6附錄C(規(guī)范性)能力指標評分規(guī)則 8附錄D(資料性)能力項權重 附錄E(規(guī)范性)數(shù)據(jù)中心業(yè)務連續(xù)性管理能力評分 附錄F(規(guī)范性)數(shù)據(jù)中心業(yè)務運行效果 附錄G(規(guī)范性)數(shù)據(jù)中心的業(yè)務連續(xù)性等級 參考文獻 ⅢGB/T42581—2023本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國信息技術標準化技術委員會(SAC/TC28)提出并歸口。本文件起草單位：神州數(shù)碼系統(tǒng)集成服務有限公司、中國電子技術標準化研究院、北京太極華保科技股份有限公司、上海浦東發(fā)展銀行股份有限公司、成方金融信息技術服務有限公司、北京同創(chuàng)永益科技發(fā)展有限公司、管易眾享(北京)科技有限公司、國網(wǎng)區(qū)塊鏈科技(北京)有限公司、中國太平洋保險(集團)股份有限公司、國泰君安證券股份有限公司、中國民航信息網(wǎng)絡股份公司、興業(yè)銀行股份有限公司、中國光大銀行股份有限公司、中國移動通信集團有限公司、上海翰緯信息科技有限公司、北京世紀互聯(lián)寬帶數(shù)據(jù)中心有限公司、萬國數(shù)據(jù)服務有限公司、中電科大數(shù)據(jù)研究院有限公司、華夏銀行股份有限公司、中平信息技術有限責任公司、深圳前海微眾銀行股份有限公司、重慶市通信建設有限公司、武漢四通信息服務有限公司、廣州賽寶認證中心服務有限公司、北京銀信長遠科技股份有限公司、北京德信永道信息技術服務有限公司、首都信息發(fā)展股份有限公司、南京云信達科技有限公司、北京青云科技股份有限公司、北京海鷹科技情報研究所、上海數(shù)騰軟件科技股份有限公司。0.1總則隨著網(wǎng)絡強國戰(zhàn)略、國家大數(shù)據(jù)戰(zhàn)略、中國制造2025等國家戰(zhàn)略的落地實施，人工智能、云計算技術等技術的廣泛應用，各行各業(yè)數(shù)字化轉型的逐步深入，將誕生越來越多對數(shù)據(jù)中心和信息技術高度依賴的行業(yè)，數(shù)據(jù)中心服務的中斷不再是數(shù)據(jù)中心自己的事，將會成為一個系統(tǒng)性的社會風險，必須引起高度的重視。我國先后發(fā)布了多部業(yè)務連續(xù)性管理領域的國家標準，但是這些標準要求過于通用，不能體現(xiàn)數(shù)據(jù)中心的業(yè)務特點，不能很好指導數(shù)據(jù)中心的業(yè)務連續(xù)性工作。本文件提出的數(shù)據(jù)中心業(yè)務連續(xù)性等級模型專注于數(shù)據(jù)中心本身的業(yè)務特點，適用于提供場地服務、云計算(算力)服務和業(yè)務處理服務等各種服務類型的數(shù)據(jù)中心，可用于評價不同數(shù)據(jù)中心的業(yè)務連續(xù)性等級，也可指導數(shù)據(jù)中心提升自身業(yè)務連續(xù)性等級。0.2與其他標準的關系本文件數(shù)據(jù)中心業(yè)務連續(xù)性管理能力部分，與《公共安全業(yè)務連續(xù)性管理體系業(yè)務連續(xù)性管理能力評估指南》(GB/T40755—2021)的能力構造保持一致，并針對數(shù)據(jù)中心的特點，對能力指標評分規(guī)則進行了細化。1:2018《信息技術服務管理第1部分：服務管理體系要求》(Informationtechnology—Servicemanagement—Part1:Servicemanagementsystems—Requirements)和ISO22301:2019《安全和韌性業(yè)務連續(xù)性管理體系要求》(Securityandresilience—Businesscontinuitymanagementsystems—Requirements),本文件滿足這些標準或其中有關部分的要求。應用本文件可有效支持上述標準或其對應條款的要求。1信息技術服務數(shù)據(jù)中心業(yè)務連續(xù)性等級評價準則本文件界定了數(shù)據(jù)中心業(yè)務連續(xù)性等級模型，規(guī)定了業(yè)務連續(xù)性等級要求，明確了對應的評價方法。本文件適用于：a)建立、實現(xiàn)、維護和持續(xù)改進數(shù)據(jù)中心業(yè)務連續(xù)性管理工作；b)選擇外包數(shù)據(jù)中心提供部分設施的，評價供方數(shù)據(jù)中心業(yè)務連續(xù)性能力和水平；c)外部評價數(shù)據(jù)中心業(yè)務連續(xù)性等級。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T2887計算機場地通用規(guī)范GB/T33136—2016信息技術服務數(shù)據(jù)中心服務能力成熟度模型GB50174數(shù)據(jù)中心設計規(guī)范ISO22301:2019安全和韌性業(yè)務連續(xù)性管理體系要求(Securityandresilience—Businesscontinuitymanagementsystems—Requirements)3術語和定義GB/T33136—2016、ISO22301:2019界定的以及下列術語和定義適用于本文件。數(shù)據(jù)中心datacenter由計算機場地(機房)、其他基礎設施、信息系統(tǒng)軟硬件、信息資源(數(shù)據(jù))和人員以及相應的管理制度組成的實體。運用能力，利用資源，為數(shù)據(jù)中心相關方創(chuàng)造價值的活動。注：一個數(shù)據(jù)中心通常會維護一個完整的服務目錄來界定本數(shù)據(jù)中心的業(yè)務范圍，并與本數(shù)據(jù)中心的需方組織(可能是外部的，也可能是上級組織或者是屬于同一上級組織的其他組織)通過簽署服務水平協(xié)議來明確具體業(yè)務。可參考ISO/IEC20000-1、SJ/T11691。數(shù)據(jù)中心設施infrastructureandfacilityofdatacenter數(shù)據(jù)中心提供業(yè)務所需要的基礎設施、信息系統(tǒng)硬件(物理和虛擬資源)、軟件和數(shù)據(jù)。2在中斷發(fā)生期間，組織在可接受的時間范圍內，以預定的能力持續(xù)交付產品和服務的能力。數(shù)據(jù)中心開展業(yè)務連續(xù)性管理工作、落實業(yè)務連續(xù)性計劃所需要的資源。業(yè)務連續(xù)性管理businesscontinuitymanagement組織為了實現(xiàn)業(yè)務連續(xù)性目標而采取的管理活動。4數(shù)據(jù)中心業(yè)務連續(xù)性等級模型數(shù)據(jù)中心業(yè)務連續(xù)性等級自低向高依次為起始級、發(fā)展級、穩(wěn)健級、優(yōu)秀級和卓越級，并用一、二、三、四、五表示，每個等級表明數(shù)據(jù)中心業(yè)務連續(xù)性的能力水平。較高的等級涵蓋了低于其等級的全部卓越級(π)卓越級(π)優(yōu)秀級(四)穩(wěn)健級(三)發(fā)展級(二)起始級(·-)圖1數(shù)據(jù)中心業(yè)務連續(xù)性等級不同業(yè)務連續(xù)性等級對應數(shù)據(jù)中心擁有不同可用性級別的設施、不同的業(yè)務連續(xù)性管理水平以及維持業(yè)務連續(xù)性的可靠結果。a)起始級(一級):數(shù)據(jù)中心擁有開展業(yè)務活動所需的基本設施，缺乏開展業(yè)務連續(xù)性管理工作的意識。數(shù)據(jù)中心在中斷事件發(fā)生時，主要依賴數(shù)據(jù)中心現(xiàn)有的資源和措施，以及相關人員的個人能力來維持和恢復運營。b)發(fā)展級(二級):數(shù)據(jù)中心擁有開展業(yè)務活動所需的基礎設施，數(shù)據(jù)中心的業(yè)務連續(xù)性管理工作已有簡單規(guī)劃。數(shù)據(jù)中心為應對中斷事件，在機制、資源、措施及人員能力方面開展了預先準備，但這些準備工作在充分性和有效性方面存在明顯的不足。c)穩(wěn)健級(三級):數(shù)據(jù)中心擁有開展業(yè)務活動所需的基礎設施以及冗余設施，在冗余能力范圍內，不因一般故障而導致業(yè)務中斷。數(shù)據(jù)中心的業(yè)務連續(xù)性管理工作經過系統(tǒng)的策劃，并且有措施確保相關工作受控執(zhí)行。數(shù)據(jù)中心為應對中斷事件，在機制、資源、措施及人員能力方面3都有較充分和有效的準備。d)優(yōu)秀級(四級):數(shù)據(jù)中心擁有開展業(yè)務活動所需的容錯設施，不應因單一意外事故而導致業(yè)務中斷。數(shù)據(jù)中心的業(yè)務連續(xù)性管理工作是體系化的，并且注重通過各種措施確保相關工作得到嚴格執(zhí)行。數(shù)據(jù)中心為應對可能發(fā)生的沖擊在機制、資源、措施及人員能力方面開展了相當充分且有效的準備。此外，數(shù)據(jù)中心實現(xiàn)了績效量化監(jiān)測與評估，并予以持續(xù)改進。e)卓越級(五級):數(shù)據(jù)中心擁有開展業(yè)務活動所需的容錯設施，不應因單一意外事故而導致業(yè)務中斷，對多因意外事故具有較強的容錯能力。數(shù)據(jù)中心的業(yè)務連續(xù)性管理工作是嚴格體系化的，并且強調通過全面的技術措施確保相關工作嚴格且高效執(zhí)行。數(shù)據(jù)中心為應對中斷事件在機制、資源、措施及人員能力方面開展了充分的、有效的準備。數(shù)據(jù)中心在其經營活動中量化并監(jiān)測其績效，予以持續(xù)改進以追求更佳績效。5數(shù)據(jù)中心的業(yè)務連續(xù)性等級評定5.1數(shù)據(jù)中心的業(yè)務連續(xù)性等級構造與評價數(shù)據(jù)中心的業(yè)務連續(xù)性等級由數(shù)據(jù)中心設施可用性、數(shù)據(jù)中心業(yè)務連續(xù)性管理能力和數(shù)據(jù)中心業(yè)務運行效果三個方面共同確定，三個方面的評價需要符合下列規(guī)則。a)數(shù)據(jù)中心設施可用性等級值由基礎設施可用性等級值和信息系統(tǒng)(硬件、軟件和數(shù)據(jù)等)可用性等級值加權聚合而成，數(shù)據(jù)中心設施可用性等級值(L)應按照附錄A的規(guī)則獲取。b)數(shù)據(jù)中心業(yè)務連續(xù)性管理能力可分解為組織與領導力，業(yè)務影響分析和風險評估，業(yè)務連續(xù)性策略、解決方案和計劃，培訓與宣貫，資源建設與維護，演練、監(jiān)視、測量和改進6個方面，即6個能力域；每個能力域又由若干能力子域構成；每個能力子域又包括若干能力項，數(shù)據(jù)中心業(yè)務連續(xù)性管理能力值(M)的評價需要符合下列規(guī)則：1)數(shù)據(jù)中心業(yè)務連續(xù)性管理能力構造應按照附錄B的規(guī)則執(zhí)行；2)數(shù)據(jù)中心業(yè)務連續(xù)性管理能力的能力項指標評分應按照附錄C的規(guī)則獲取，其中指標得分取該指標各子項得分最低值，指標得分不滿足1分的要求時，該指標不得分；3)數(shù)據(jù)中心業(yè)務連續(xù)性能力等級評價由：能力域、能力子域、能力項評分結果分層、加權、聚合而成，能力域、能力子域和能力項權重可參照附錄D給出的權重計算，數(shù)據(jù)中心或評價機構也可根據(jù)自身情況確定各指標權重；4)數(shù)據(jù)中心業(yè)務連續(xù)性管理能力值(M)的計算方法應按照附錄E的規(guī)則執(zhí)行。c)數(shù)據(jù)中心業(yè)務運行效果綜合考慮了包括中斷事件情況、應急恢復處置、業(yè)務影響程度等方面，數(shù)據(jù)中心業(yè)務運行效果值(N)取值應按照附錄F的規(guī)則獲取。5.2數(shù)據(jù)中心的業(yè)務連續(xù)性等級分值計算數(shù)據(jù)中心的業(yè)務連續(xù)性等級得分I由數(shù)據(jù)中心設施可用性等級值L、數(shù)據(jù)中心業(yè)務連續(xù)性能力指標M和數(shù)據(jù)中心業(yè)務運行效果指標N三個方面共同確定，即數(shù)據(jù)中心的業(yè)務連續(xù)性等級得分L——數(shù)據(jù)中心設施可用性等級值；M——數(shù)據(jù)中心業(yè)務連續(xù)性管理能力值；N——數(shù)據(jù)中心業(yè)務運行效果值。5.3數(shù)據(jù)中心的業(yè)務連續(xù)性等級的確定以數(shù)據(jù)中心的業(yè)務連續(xù)性等級得分I為基礎，綜合考慮數(shù)據(jù)中心設施可用性等級值(L)得分情況，4確定數(shù)據(jù)中心的業(yè)務連續(xù)性等級。數(shù)據(jù)中心的業(yè)務連續(xù)性等級的確定應按照附錄G的規(guī)則評定。6評價方式和方法6.1數(shù)據(jù)中心業(yè)務連續(xù)性等級評價方式數(shù)據(jù)中心業(yè)務連續(xù)性等級評價包括內部評價和外部評價兩種方式，在形式上有：a)數(shù)據(jù)中心內部對業(yè)務連續(xù)性的檢查與評價；b)監(jiān)管部門或者需方組織對數(shù)據(jù)中心業(yè)務連續(xù)性的檢查與評價；c)第三方機構對數(shù)據(jù)中心業(yè)務連續(xù)性的檢查與評價。采用文件評審、現(xiàn)場勘查等方法對相關指標進行評價。6.3動態(tài)評價通過訪談、演練等方式對相關指標進行評價。6.4組織自聲明在實施數(shù)據(jù)中心業(yè)務連續(xù)性等級評價時，對難以取證的檢查項基于信任的原則，采信數(shù)據(jù)中心自我聲明。如果在評審中發(fā)現(xiàn)虛假聲明信息，則終止評審。如發(fā)證后發(fā)現(xiàn)虛假聲明，則注銷證書。7業(yè)務連續(xù)性等級評價有效性7.1等級評價申請針對第三方評價，數(shù)據(jù)中心在投產運行一年后，可在數(shù)據(jù)中心業(yè)務連續(xù)性建設自評價的基礎上，根據(jù)數(shù)據(jù)中心業(yè)務范圍選擇基礎設施服務、云計算服務或業(yè)務處理服務的分類，向有資質實施業(yè)務連續(xù)性評價和認證的機構申請實施數(shù)據(jù)中心業(yè)務連續(xù)性評價和認證。7.2評價的有效期數(shù)據(jù)中心業(yè)務連續(xù)性評價有效期和有效性包含：a)數(shù)據(jù)中心業(yè)務連續(xù)性評價有效期由評價(認證)機構確定，有效期超過一年的，每年需要復查；b)如果在有效期內發(fā)生規(guī)劃、架構和業(yè)務戰(zhàn)略性重大的變化或者未進行年度復查，評價認證有效性將失效，需要重新進行業(yè)務連續(xù)性等級評價或對變化的部分進行專項評價。7.3數(shù)據(jù)中心業(yè)務連續(xù)性等級持續(xù)和變更數(shù)據(jù)中心業(yè)務連續(xù)性等級持續(xù)和變更包括：a)數(shù)據(jù)中心取得業(yè)務連續(xù)性評價周期結束后，可再次申請同等級認證，也可申請不同等級的b)數(shù)據(jù)中心在評價周期內可以根據(jù)自身的業(yè)務連續(xù)性建設情況，申請變更等級的業(yè)務連續(xù)性等級評價。5(規(guī)范性)數(shù)據(jù)中心設施可用性本附錄用于確定該數(shù)據(jù)中心可獲得數(shù)據(jù)中心設施可用性等級值(L)的數(shù)值。僅提供機房基礎設施服務或者僅提供云計算服務的數(shù)據(jù)中心，或者同時提供基礎設施服務與云計算服務的數(shù)據(jù)中心，見式(A.1):僅提供業(yè)務處理服務的數(shù)據(jù)中心，或者同時提供業(yè)務處理服務與前款一種或多種服務的數(shù)據(jù)中心，其中L1取值見表A.1,L2取值見表A.2。表A.1數(shù)據(jù)中心基礎設施可用性數(shù)據(jù)中心基礎設施可用性等級值(L1)數(shù)據(jù)中心基礎設施可用性等級描述(依據(jù)GB/T2887或GB50174的等級劃分)1有基礎設施2C類基礎設施3B類基礎設施4A類基礎設施或2個(含)以上不同物理地址的B類基礎設施52個(含)以上不同物理地址的A類基礎設施或3個(含)以上不同物理地址的B類基礎設施應引導關鍵信息系統(tǒng)采用高可用方案分布部署在不同物理地址的基礎設施中提供基礎設施服務的數(shù)據(jù)中心，評價范圍為該數(shù)據(jù)中心所擁有或者可支配的并可用于提供基礎設施服務的基礎設施；提供云計算服務或提供業(yè)務處理服務的數(shù)據(jù)中心，評價范圍該數(shù)據(jù)中心提供云計算服務或者業(yè)務處理服務所依托的基礎設施。表A.2信息系統(tǒng)硬件、軟件和數(shù)據(jù)可用性信息系統(tǒng)硬件、軟件和數(shù)據(jù)可用性等級值(L2)信息系統(tǒng)硬件、軟件和數(shù)據(jù)可用性等級描述1具有支撐本數(shù)據(jù)中心客戶業(yè)務所需的基本的信息系統(tǒng)2具有支撐本數(shù)據(jù)中心客戶業(yè)務所需的基本的信息系統(tǒng)，具備有效的冷備設施；已經完成生產系統(tǒng)建設并穩(wěn)定運行；冷備設施已完成配置并專項使用3采用具有生產系統(tǒng)和災備系統(tǒng)(與生產系統(tǒng)不在同一物理地址)的高可用技術，實現(xiàn)實時數(shù)據(jù)傳輸及完整設備支持；已經完成生產系統(tǒng)和災備系統(tǒng)建設并穩(wěn)定運行；已經實現(xiàn)生產環(huán)境災備切換，災備系統(tǒng)可正常接管4采用多活動的高可用技術和遠程集群支持，可實現(xiàn)數(shù)據(jù)零丟失、業(yè)務秒級切換；已經完成多活動生產系統(tǒng)的穩(wěn)定運行；已經實現(xiàn)節(jié)點中斷后的業(yè)務秒級切換5采用多活動的高可用技術和遠程集群支持，且每個活動節(jié)點可實現(xiàn)冗余設置，可實現(xiàn)數(shù)據(jù)零丟失、業(yè)務秒級切換，冗余設施具有節(jié)能運行模式；已經完成多活動生產系統(tǒng)的穩(wěn)定運行；已經實現(xiàn)節(jié)點中斷后的業(yè)務秒級切換；多個節(jié)點中斷后仍可實現(xiàn)滿負載運行6(規(guī)范性)數(shù)據(jù)中心業(yè)務連續(xù)性管理能力模型由能力構造和能力指標組成。其中能力構造包括：能力、能力域、能力子域和能力項。見表B.1。表B.1能力構造能力能力域能力子域能力項業(yè)務連續(xù)性管理能力D1:組織與領導力F1:組織環(huán)境分析P1:內部環(huán)境分析P2:外部環(huán)境分析F2:業(yè)務連續(xù)性方針P1:方針內容和評審P2:方針傳達和溝通F3:驅動機制P1:最高管理者對業(yè)務連續(xù)性管理的理解P2:最高管理者對業(yè)務連續(xù)性管理的支持P3:內外部驅動力的匹配F4:領導機構P1:領導機構設置P2:領導機構履職F5:日常管理組織P1:日常管理組織設置P2:日常管理組織履職F6:中斷響應組織P1:中斷響應組織設置P2:中斷響應組織履職D2:業(yè)務影響分析和風險評估F1:業(yè)務影響分析P1:優(yōu)先活動P2:恢復目標與持續(xù)要求P3:關鍵資源P4:外包活動P5:最高管理者確認F2:風險評估P1:風險識別P2:風險分析P3:風險評價D3:業(yè)務連續(xù)性策略、解決方案和計劃F1:業(yè)務連續(xù)性策略P1:策略可行性P2:策略有效性F2:預警和溝通P1:風險監(jiān)控對象P2:監(jiān)測預警機制P3:內部溝通P4:外部溝通F3:業(yè)務連續(xù)性計劃P1:優(yōu)先活動覆蓋度P2:與策略的一致性P3:計劃的完備性P4:中斷后使用的計劃和程序是否由中斷響應組織提供7能力能力域能力子域能力項業(yè)務連續(xù)性管理能力D4:培訓與宣貫F1:培訓P1:培訓目標P2:培訓對象和內容F2:宣貫P1:宣貫的內容P2:宣貫的形式D5:資源建設與維護F1:資源建設與維護P1:資源敞口識別P2:資源規(guī)劃P3:資源覆蓋度P4:資源更新與維護D6:演練、監(jiān)視、測量和改進F1:演練與改進P1:演練范圍與計劃P2:演練數(shù)量與頻率P3:演練過程控制P4:演練總結F2:監(jiān)視與測量P1:監(jiān)視P2:評估F3:改進P1:改進Co能力指標評分規(guī)則見表C.1。(規(guī)范性)能力指標評分規(guī)則表C.1能力指標評分規(guī)則(第1頁/共12頁)指標編號指標名稱1分2分3分4分5分D1/F1/P1內部環(huán)境分析子項1進行了一定分析，但未形成書面成果開展了內部環(huán)境分析，但是不夠全面進行了比較全面的分析應用了有效的分析方法，并借助工具定期進行全面的分析形成了適用組織自身特點的有效分析方法，并借助工具，持續(xù)進行分析D1/Fl/P2外部環(huán)境分析子項1進行了一定分析，但未形成書面成果開展了外部環(huán)境分析，但是不夠全面進行了比較全面的分析應用了有效的分析方法，并借助工具進行了全面的分析形成了適用組織自身特點的有效分析方法，并借助工具，持續(xù)進行分析D1/F2/P]方針內容和評審子項1制定了方針，但無證據(jù)表明該方針可支持數(shù)據(jù)中心管理目標與數(shù)據(jù)中心的目標、規(guī)模、風險偏好等存在不匹配之處制定了方針與數(shù)據(jù)中心的本匹配制定了方針，體現(xiàn)了數(shù)據(jù)中心業(yè)務連續(xù)性管理目標相關要求和業(yè)務相關方的期望制定了方針，滿足相關方要求，且與數(shù)據(jù)中心各個方面的目標相匹配子項2無評審開展過簡要的形式評審定期對方針進行評審定期對方針進行全面評審，根據(jù)評審進行調整定期且在特定的情況發(fā)生時，對方針進行評審，根據(jù)評審進行調整D1/F2/P2溝通子項1缺乏對方針的傳達和溝通，員工不知道方針內容對方針進行了傳達和溝通，但是未做到使有關人員對業(yè)務連續(xù)性管理方針充分理解和認識定期對方針進行傳達和溝通，員工和有關人員知道方針基本內容定期對方針進行傳達和溝通，員工和所有相關人員在對方針內容充分理解的基礎上認可管理方針持續(xù)對包括業(yè)務連續(xù)性管理方針在內的數(shù)據(jù)中心個領域管理方針進行傳達和溝通，員工和相關人員認可數(shù)據(jù)中心各領域管理方針表C.1能力指標評分規(guī)則(續(xù))(第2頁/共12頁)指標編號指標名稱1分2分3分4分5分D1/F3/P1最高管理者對業(yè)務連續(xù)性管理的理解度子項1最高管理者對業(yè)務連續(xù)性管理的概念、價值以及業(yè)務運營中斷事件可能造成的財務及非財務影響有一定程度的認識，但不敏感標和內容以及業(yè)務運營中明確的目標和驅動最高管理者對數(shù)據(jù)中心業(yè)務連續(xù)性管理的概念、價值、工作目標和內容以及數(shù)據(jù)中心中斷事件可能造成的影響有比較全面的書劃目標和決策上的響應機制最高管理層對數(shù)據(jù)中心業(yè)務連續(xù)性管理的概念、價值、工作目標和內容以及數(shù)據(jù)中心中斷事件可能造成的影響有深刻理解和比較全面的書面共識，并在本數(shù)據(jù)中心的業(yè)務連續(xù)性管理建設上有完整的計劃和持續(xù)的投入最高管理層對數(shù)據(jù)中心業(yè)務連續(xù)性管理的概念、價值、工作目標和內容以及數(shù)據(jù)中心中斷事件可能造成的影響有深刻理解和全面的書面共識，并在本數(shù)據(jù)中心的業(yè)務連續(xù)性管理建設上有完整的計劃和持續(xù)的投入，已將業(yè)務連續(xù)性管理目標納入各部門績效考核體系D1/F3/P2最高管理者對業(yè)務連續(xù)性管理的支持度子項1最高管理者會在重大風險或事件發(fā)生時參與應急工作，在出現(xiàn)業(yè)務連續(xù)性中斷可能影響服務交付時，能夠給予必要的財務及人力資源投入，但是對開展業(yè)務連續(xù)性管理工作支持不足最高管理者直接參與業(yè)務連續(xù)性管理策略制定，能夠給予必要的財務及人力資源投入，偶爾聽取相關報告或議案以了解工作情況，并將業(yè)務連續(xù)性管理職責落實到組織治理層面最高管理者支持業(yè)務連續(xù)性管理工作，能夠給予必要的財務及人力資源投入，將業(yè)務連續(xù)性管理工作落實到公司發(fā)展、規(guī)劃和決策中，公司層級有專職的崗位和人員編制并形成相關制度保障最高管理層直接參與業(yè)務連續(xù)性管理規(guī)劃和策略制定等相關工作，給予充足的財務及人力資源投入，經常性聽取相關報告或議案并進行決策指導；公司層級有專職的業(yè)務連續(xù)性管理崗位和人員，各個部門層級有專職或兼職的業(yè)務連續(xù)性管理人員并有專門的預算編制支持最高管理層極其關注和支持支持業(yè)務連續(xù)性管理工作，直接參與業(yè)務連續(xù)性管理的關鍵活動，定期參與業(yè)務連續(xù)性管理會議，定期聽取相關報告或議案并進行決策指導工作D1/F3/P3內外部驅動力的匹配子項1能夠被動響應所在地法律法規(guī)和監(jiān)管要求，并按要求完成整改明確知曉所在地法律法規(guī)和監(jiān)管、客戶或業(yè)務部門的業(yè)務連續(xù)性需求并進行主動性地整改能夠將所在地法律法規(guī)和監(jiān)管、客戶或業(yè)務部門的業(yè)務連續(xù)性需求匹配成明確的業(yè)務連續(xù)性管理的資源和目標要求能夠將所在地法律法規(guī)和監(jiān)管、客戶或業(yè)務部門的業(yè)務連續(xù)性需求轉換成量化可監(jiān)督的業(yè)務連續(xù)性建設目標和績效指標能夠定期回顧量化可監(jiān)督的業(yè)務連續(xù)性建設目標和績效指標達成情況，并適時調整D1/F4/P]領導機構設置子項1在管理層對業(yè)務連續(xù)性工作的目標和責任有了解，但未形成書面共識在管理層已明確業(yè)務連續(xù)性工作的責任，但具體職責目標和負責機制不清晰在管理層已明確負責業(yè)務連續(xù)性工作的角色和人員，且有明確的職責目標管理層已設置專門的業(yè)務連續(xù)性決策機構，有明確的職責目標和運行機制管理層已設置專門的業(yè)務連續(xù)性決策機構，有明確的職責目標，有相應的考核和獎懲機制表C.1能力指標評分規(guī)則(續(xù))(第3頁/共12頁)指標編號指標名稱1分2分3分4分5分D1/F4/P2領導機構履職子項1基本未履職有履職但缺乏系統(tǒng)性有履職，并有履職的書面記錄提出明確管理要求，并督促落實，有明確的、系統(tǒng)性的履職記錄有系統(tǒng)性的履職記錄，與數(shù)據(jù)中心各領域管理目標相一致，對履職情況有考核有應用本指標評分不應高于Dl/F4/P1的評分D1/F5/P1日常管理組織設置子項1未明確業(yè)務連續(xù)性日常管理組織架構有相對固定的管理人員和職責有業(yè)務連續(xù)性日常管理組織架構有明確的業(yè)務連續(xù)性日常管理組織架構、職責；且在人員數(shù)量和技能上能夠完全滿足業(yè)務連續(xù)性日常管理的要求有明確的業(yè)務連續(xù)性日常管理組織，且其他各主要部門均設置了業(yè)務連續(xù)性管理的相關人員D1/F5/P2日常管理組織覆職子項1未根據(jù)職責要求開展業(yè)務連續(xù)性管理日常工作能根據(jù)職責要求開展業(yè)務連續(xù)性管理基本日常工作有履職，并有履職的書面記錄能根據(jù)職責要求有效完成業(yè)務連續(xù)性管理日常工作，有相關日常工作記錄且能主動回顧和改進有系統(tǒng)性的履職記錄，與數(shù)據(jù)中心各領域管理目標相一致，對履職情況有考核有應用本指標評分不應高于D1/F5/P1的評分Dl/F6/Pl中斷響應組織設置子項1未設置業(yè)務連續(xù)性中斷響應組織架構，有人員負責中斷處置有業(yè)務連續(xù)性中斷響應組織架構和職責的定義，但沒有指定確定的人員，需要臨時指派有業(yè)務連續(xù)性中斷響應組織架構和職責的定義，指定了確定的人員，但部分人員無法確保7×24h承擔職責有業(yè)務連續(xù)性中斷響應組織架構的定義，且已指定確定的人員和相應的職責，能夠與數(shù)據(jù)中心業(yè)務連續(xù)性計劃匹配有業(yè)務連續(xù)性中斷響應組織架構的定義，且已指定確定的人員和相應的職責，且人員職責覆蓋中斷場景時數(shù)據(jù)中心各領域的管理要求D1/F6/P2中斷響應組織覆職子項1有業(yè)務連續(xù)性中斷響應處置的經驗，但未形成書面要求，也沒有相關的履職記錄有書面的中斷處置的基本要求，但缺少具體措施和資源，中斷響應人員接受過必要的培訓中斷響應組織相關人員有明確的職責體系，部分關鍵場景有預先準備的技術措施和可用資源，進行過中斷響應或演練活動有預先準備的技術措施和可用資源用于中斷響應，定期進行中斷演練活動，并且進行回顧和改進，證明其完整履職的能力定期進行中斷演練活動，且中斷演練活動以實戰(zhàn)演練和模擬演練為主本指標評分不應高于D1/F6/P1的評分表C.1能力指標評分規(guī)則(續(xù))(第4頁/共12頁)二指標編號指標名稱1分2分3分4分5分D2/F1/P]優(yōu)先活動子項1初步識別了本數(shù)據(jù)中心的重要業(yè)務識別了本數(shù)據(jù)中心的重要業(yè)務和優(yōu)先運營活動定期且完整識別了本數(shù)據(jù)中心的重要業(yè)務和優(yōu)先運營活動持續(xù)識別本數(shù)據(jù)中心的重要業(yè)務和優(yōu)先運營活動及其之間的關聯(lián)關系識別結果與數(shù)據(jù)中心內外部環(huán)境、組織目標等匹配，在業(yè)務連續(xù)性管理活動中得到充分應用子項2依靠人員進行識別依靠有經驗的人員或者一定的方法進行識別有成熟的方法、表格工具進行識別使用信息系統(tǒng)工具進行識別信息系統(tǒng)不僅有識別方法與數(shù)據(jù)中心其他管理領域的信息系統(tǒng)進行了整合或者存在接口D2/Fl/P2恢復目標與持續(xù)要求子項1初步明確數(shù)據(jù)中心業(yè)務的恢復目標與持續(xù)要求，但無證據(jù)證明恢復目標與持續(xù)要求符合數(shù)據(jù)中心的實際運營情況及管理方針初步明確數(shù)據(jù)中心業(yè)務的恢復目標與持續(xù)要求，且恢復目標與持續(xù)要求基本符合數(shù)據(jù)中心的實際運營情況及管理方針明確了數(shù)據(jù)中心主要業(yè)務的恢復目標與持續(xù)要求，且基本符合數(shù)據(jù)中心實際運營情況及管理方針明確了有業(yè)務連續(xù)性要求的全部數(shù)據(jù)中心業(yè)務的恢復目標與持續(xù)要求，且符合數(shù)據(jù)中心的實際運營情況和管理方針，且與客戶溝通一致定期回顧與調整恢復目標，且與數(shù)據(jù)中心其他各管理領域目標保持一致D2/F1/P3關鍵資源子項1初步識別數(shù)據(jù)中心重要業(yè)務活動依賴的關鍵資源識別了數(shù)據(jù)中心重要業(yè)務活動依賴的關鍵資源，但存在一定的偏差或遺漏識別了數(shù)據(jù)中心重要業(yè)務活動依賴的關鍵資源，且不存在明顯的偏差或遺漏定期識別數(shù)據(jù)中心重要業(yè)務活動依賴的關鍵資源持續(xù)全面識別了數(shù)據(jù)中心重要業(yè)務活動依賴的資源子項2依靠人員進行識別依靠有經驗的人員或者一定的方法進行識別有成熟的方法、表格工具進行識別使用信息系統(tǒng)工具進行識別信息系統(tǒng)不僅有識別方法與數(shù)據(jù)中心其他管理領域的信息系統(tǒng)進行了整合或者存在接口D2/F1/P4外包活動子項1初步識別數(shù)據(jù)中心重要業(yè)務活動依賴的外包活動識別了數(shù)據(jù)中心重要業(yè)務活動依賴的外包活動，但存在一定的偏差或遺漏識別了數(shù)據(jù)中心重要業(yè)務活動依賴的外包活動，且不存在明顯的偏差或遺漏定期識別數(shù)據(jù)中心重要業(yè)務活動依賴的外包活動持續(xù)全面識別了數(shù)據(jù)中心重要業(yè)務活動依賴的外包活動子項2依靠人員進行識別依靠有經驗的人員或者一定的方法進行識別有成熟的方法、表格工具進行識別使用信息系統(tǒng)工具進行識別信息系統(tǒng)不僅有識別方法與數(shù)據(jù)中心其他管理領域的信息系統(tǒng)進行了整合或者存在接口表C.1能力指標評分規(guī)則(續(xù))(第5頁/共12頁)指標編號指標名稱1分2分3分4分5分D2/Fl/P5確認子項1業(yè)務影響分析成果未經審定業(yè)務影響分析成果在流程上經過了日常管理組織負責人的審定業(yè)務影響分析成果在流程上經過了最高管理者的審定，但未開展充分討論業(yè)務影響分析成果經過了最高管理者的實質性審定業(yè)務影響分析成果經過了業(yè)務連續(xù)性決策機構的集體審議，得到了最高管理者的實質性審定D2/F2/P1風險識別子項1初步開展了風險評估以識別威脅數(shù)據(jù)中心重要業(yè)務活動的風險場景，但識別得到的風險場景很不充分開展了風險評估以識別威脅數(shù)據(jù)中心重要業(yè)務活動的風險場景，但識別得到的風險場景存在一定遺漏定期開展風險評估以識別威脅數(shù)據(jù)中心重要業(yè)務活動的風險場景，且識別得到的風險場景較為全面持續(xù)開展風險評估全面識別威脅數(shù)據(jù)中心重要業(yè)務活動的風險場景不僅持續(xù)全面識別了業(yè)務連續(xù)性風險，還能夠與數(shù)據(jù)中心其他領域的風險風險、合規(guī)風險、危險源、環(huán)境影響因素等)識別活動協(xié)調一致子項2依靠人員進行識別依靠有經驗的人員或者一定的方法進行識別有成熟的方法、表格工具進行識別使用信息系統(tǒng)工具進行識別信息系統(tǒng)不僅有識別方法與其他管理領域信息系統(tǒng)進行了整合或者存在接口D2/F2/P2風險分析子項1初步對識別得到的風險場景開展風險分析開展了風險分析，但分析方法和分析內容存在部分偏差定期對識別得到的風險場景開展風險分析，分析結果符合客觀情況定期對識別得到的風險場景開展風險分析，隨著客觀情況的變化、風險處置措施的實施、技術的發(fā)展等持續(xù)開展風險分析，分析結果符合客觀情況與數(shù)據(jù)中心其他領域的風險分析活動協(xié)調一致子項2僅依靠人員進行分析依靠有經驗的人員或者一定的方法進行分析有成熟的方法、工具進行分析使用信息系統(tǒng)工具進行分析信息系統(tǒng)不僅有分析方法與其他管理領域信息系統(tǒng)進行了整合或者存在接口表C.1能力指標評分規(guī)則(續(xù))(第6頁/共12頁)指標編號指標名稱1分2分3分4分5分D2/F2/P3風險評價子項1初步對識別得到的風險場景進行評價，得到了主要風險場景，但評價結果與客觀情況存在較大偏差對識別得到的風險場景進行評價得到了主要風險場景，但評價結果與客觀情況存在部分偏差定期對識別得到的風險場景進行評價得到了主要風險場景，且評價結果符合客觀情況定期對識別得到的風險場景進行評價，隨著客觀情況的變化、風險處置措施的實施、技術的發(fā)展等持續(xù)更新評價結果，得到了主要風險場景，且評價結果符合客觀情況與數(shù)據(jù)中心其他領域的風險評價活動協(xié)調一致子項2僅依靠人員進行評價依靠有經驗的人員或者一定的方法進行識別有成熟的方法、工具進行識別使用信息系統(tǒng)工具進行識別信息系統(tǒng)不僅有評價方法和工具，還有完整的素材，與其他管理領域信息系統(tǒng)進行了整合或者存在接口D3/Fl/P1策略可行性子項1大部分業(yè)務恢復策略可行性較差部分業(yè)務恢復策略的可行性較差，策略的有效實施需滿足特定情形或相對較高的條件要求大部分業(yè)務恢復策略的可行性較好，在大部分情形下策略能夠得到有效實施絕大部分業(yè)務恢復策略的可行性較好，策略能夠得到有效實施業(yè)務恢復策略的可行性較好，策略能夠得到全天候的有效實施D3/Fl/P2策略有效性子項1大部分業(yè)務恢復策略的預期恢復效果無法滿足業(yè)務持續(xù)要求部分業(yè)務恢復策略的預期恢復效果無法滿足業(yè)務持續(xù)要求大部分業(yè)務恢復策略的預期恢復效果能滿足業(yè)務持續(xù)要求絕大部分業(yè)務恢復策略能完全滿足業(yè)務持續(xù)要求絕大部分業(yè)務恢復策略不僅能完全滿足業(yè)務持續(xù)要求，還能滿足數(shù)據(jù)中心其他管理領域的要求D3/F2/P1風險監(jiān)控對象子項1未開展針對主要風險場景的風險監(jiān)控，對風險的監(jiān)控主要依靠人員自身的意識風險監(jiān)控對象范圍存在較大缺失，未納入部分具備監(jiān)控可行性的主要風險場景風險監(jiān)控對象范圍覆蓋了大部分具備監(jiān)控可行性的主要風險場景，風險監(jiān)控通過信息系統(tǒng)工具實現(xiàn)風險監(jiān)控對象范圍覆蓋了絕大部分具備監(jiān)控可行性的主要風險場景，風險監(jiān)控通過信息系統(tǒng)工具實現(xiàn)，并且與預警、溝通工具實現(xiàn)了集成風險監(jiān)控對象范圍覆蓋了具備監(jiān)控可行性的主要風險場景，風險監(jiān)控通過信息系統(tǒng)工具實現(xiàn)，并且與預警、溝通工具實現(xiàn)了集成，與數(shù)據(jù)中心其他領域的監(jiān)控工具實現(xiàn)了集中統(tǒng)一監(jiān)控表C.1能力指標評分規(guī)則(續(xù))(第7頁/共12頁)指標編號指標名稱1分2分3分4分5分D3/F2/P2監(jiān)測預警機制子項1可以進行預警，但未建立風險監(jiān)測與預警機制，依靠人員自身的意識預警建立了風險監(jiān)測與預警機制，但未明確開展監(jiān)測與預警的具體方法、流程和工具，機制的有效運行存在一定不確定性建立了風險監(jiān)測與預警機制，且明確了開展監(jiān)測與預警的具體方法、流程和工具，機制的有效運行能夠得到基本保障建立了風險監(jiān)測與預警機制，且明確了開展監(jiān)測與預警的具體方法、流程和工具，信息技術工具得到充分應用并與業(yè)務連續(xù)管理的其他能力項工具有效集成，機制的有效運行能夠得到有效保障，可對預警活動進行審計信息技術工具具有告警聚合能力，建立了備用預警工具和備用預警渠道，并與數(shù)據(jù)中心其他管理領域的工具平臺有效集成D3/F2/P3內部溝通子項1按照中斷處置人員的認知與數(shù)據(jù)中心內部人員進行溝通基本明確溝通時機、溝通事項、溝通對象并基本符合中斷處置溝通需要明確溝通時機、溝通事項、了溝通的渠道、方式和記錄要求，滿足日常管理和中斷處置需要明確溝通時機、溝通事項、溝通對象，溝通內容，明確了溝通的渠道、方式和記錄要求，滿足日常管理和中斷處置需要，溝通過程可被審計子項2中斷處置人員自行選擇當時可用的溝通工具有中斷處置可用的溝通工具有日常管理與中斷處置相結合的溝通工具有日常管理與中斷處置相結合的溝通工具和戰(zhàn)時指揮平臺有日常管理與中斷處置相結合的溝通工具和戰(zhàn)時指揮平臺，并有備用溝通工具，且經過驗證確?？捎肈3/F2/P4外部溝通子項1按照中斷處置人員的認知與數(shù)據(jù)中心外部人員進行溝通基本明確溝通時機、溝通事項、溝通對象并基本符合中斷處置溝通需要明確溝通時機、溝通事項、了溝通的渠道、方式和記中斷處置需要D3/F3/P1蓋度子項1業(yè)務連續(xù)性計劃覆蓋部分重要業(yè)務活動和中斷場景業(yè)務連續(xù)性計劃覆蓋了較多重要業(yè)務活動和中斷場景業(yè)務連續(xù)性計劃基本覆蓋了重要業(yè)務活動和中斷場景業(yè)務連續(xù)性計劃覆蓋了全部重要業(yè)務活動和中斷場景業(yè)務連續(xù)性計劃覆蓋了全部業(yè)務活動和中斷場景表C.1能力指標評分規(guī)則(續(xù))(第8頁/共12頁)示指標編號指標名稱1分2分3分4分5分D3/F3/P2致性子項1業(yè)務連續(xù)性計劃與業(yè)務恢復策略等工作成果存在重大的不一致業(yè)務連續(xù)性計劃與業(yè)務恢復策略等工作成果存在部分偏差業(yè)務連續(xù)性計劃與業(yè)務影響分析、風險評估、業(yè)務恢復策略等工作成果存在輕微的不一致并且不一致的方面已被清晰標明業(yè)務連續(xù)性計劃與業(yè)務影響分析、風險評估、業(yè)務恢復策略等工作成果完全一致業(yè)務連續(xù)性計劃與業(yè)務影響分析、風險評估、業(yè)務恢復策略等工作成果完全一致，且通過演練和評審被確認D3/F3/P3計劃的完備性子項1業(yè)務連續(xù)性計劃內容要素存在重大缺失業(yè)務連續(xù)性計劃內容要素存在輕微缺失業(yè)務連續(xù)性計劃內容要素存在輕微缺失，缺失被清晰標明業(yè)務連續(xù)性計劃內容要素完整業(yè)務連續(xù)性計劃內容要素完整，且通過演練和評審被確認D3/F3/P4中斷后使用的計劃和程序是否由中斷響應組織提供子項1中斷后使用的計劃和程序基于響應人員的經驗，中斷響應組織未發(fā)揮作用且僅限于應急響應明確了應急響應期間的特殊運行措施，制定了恢復正常業(yè)務的程序，但是程序較為寬泛，可操作性一般。中斷后使用的計劃和程序部分由中斷響應組織制定制定了恢復正常業(yè)務的程序，符合數(shù)據(jù)中心情況，具有較強可操作性。中斷后使用的具體計劃和程序部分由中斷響應組織制定制定了恢復正常業(yè)務的程序，符合數(shù)據(jù)中心情況，具有較強可操作性，明確了需要的相關資源以及這些資源快速獲取的方式。中斷后使用的具體計劃和程序由中斷響應組織在中斷發(fā)生后提供制定了恢復正常業(yè)務的程序，符合數(shù)據(jù)中心情況，具有較強可操作性，且具備災后重建計劃。中斷后使用的具體計劃和程序由中斷響應組織在中斷發(fā)生后提供D4/F1/P1培訓目標子項1有培訓工作的開展，但未設立業(yè)務連續(xù)性相關培訓目標設立了培訓目標，但是目標缺乏落地性和可操作性設立了明確的培訓目標，并且目標可度量、可實施定期對目標進行回顧和評審，確保培訓目標持續(xù)符合數(shù)據(jù)中心開展業(yè)務連續(xù)性管理活動的需要將業(yè)務連續(xù)性相關培訓納入數(shù)據(jù)中心整體培訓工作中，業(yè)務連續(xù)性管理培訓目標成為數(shù)據(jù)中心培訓目標的重要組成部分，在各項數(shù)據(jù)中心培訓中，強化業(yè)務連續(xù)性相關內容D4/Fl/P2內容子項1未對培訓對象進行規(guī)劃和分析針對業(yè)務連續(xù)性管理工作對培訓對象進行了規(guī)劃和分析，但是內容模糊、要求不清晰針對業(yè)務連續(xù)性管理工作對培訓對象進行了規(guī)劃和分析，并且針對各類人員明確了其培訓內容針對業(yè)務連續(xù)性管理工作對培訓對象進行了規(guī)劃和分析，并且針對各類人員明確了其培訓內容。定期對培訓活動進行回顧和評審，并根據(jù)回顧與評審的結果，對培訓的對象和內容進行持續(xù)地調整和優(yōu)化針對業(yè)務連續(xù)性管理工作對培訓對象進行了規(guī)劃和分析，并且針對各類人員明確了其培訓內容，并與數(shù)據(jù)中心其他領域的培訓工作進行整合和持續(xù)優(yōu)化表C.1能力指標評分規(guī)則(續(xù))(第9頁/共12頁)指標編號指標名稱1分2分3分4分5分D4/F2/P1宣貫的內容子項1業(yè)務連續(xù)性管理思想存在于部分人員的意識中，但未將業(yè)務連續(xù)性管理作為組織文化的組成部分。未明確業(yè)務連續(xù)性宣貫的內容將業(yè)務連續(xù)性管理作為組織文化的組成部分，但在組織文化建設工作中缺乏體現(xiàn)，基層員工基本不了解業(yè)務連續(xù)性管理工作。明確了業(yè)務連續(xù)性宣貫的內容，但是內容單薄并缺乏針對性將業(yè)務連續(xù)性管理作為組織文化的組成部分，明確了業(yè)務連續(xù)性宣貫的內容，并且內容豐富且針對性強，員工對業(yè)務連續(xù)性管理工作有足夠的認知，知曉自身在此項工作中的職責和任務將業(yè)務連續(xù)性管理作為組織文化的組成部分，并在組織文化建設工作中充分體現(xiàn)，明確了業(yè)務連續(xù)性宣貫的內容，且定期優(yōu)化完善。員工對業(yè)務連續(xù)性管理工作有足夠的認知，知曉自身在此項工作中的職責和任務將業(yè)務連續(xù)性管理作為組織文化的組成部分，并在組織文化建設工作中充分體現(xiàn)，持續(xù)優(yōu)化業(yè)務連續(xù)性宣貫的內容，員工認可組織的業(yè)務連續(xù)性管理方針，不僅能夠主動履行自身職責，還能知曉相關崗位的職責，并且能夠就改善業(yè)務連續(xù)性工作，形成自己的認知D4/F2/P2宣貫的形式子項1一部分人員主動學習為主，未開展任何形式的業(yè)務連續(xù)性意識宣貫工作偶爾開展業(yè)務連續(xù)性意識宣貫工作，但形式單一，難以達到提升意識水平的目的，基層員工基本不了解業(yè)務連續(xù)性管理工作定期開展業(yè)務連續(xù)性意識宣貫工作，但形式單一，員工對業(yè)務連續(xù)性管理工作形成認知定期開展業(yè)務連續(xù)性意識宣貫工作，全員覆蓋，形式多樣，能夠很好達到提升意識水平的目的，員工對業(yè)務連續(xù)性管理工作有足夠的認知，知曉自身在此項工作中的職責和任務持續(xù)開展業(yè)務連續(xù)性意識多樣，能夠很好達到提升意識水平的目的，員工認可組織的業(yè)務連續(xù)性管理方針，不僅能夠主動履新自身職責，還能知曉相關崗位的職責，并且能夠就改善業(yè)務連續(xù)性工作，形成自己的認知D5/Fl/Pl資源敞口識別子項1未及時識別數(shù)據(jù)中心在業(yè)務中斷時需要但又缺乏的資源，相關人員無法了解資源敞口并加以改善識別了數(shù)據(jù)中心在業(yè)務中斷時需要但又缺乏的資源，但在完備性方面存在瑕疵識別了數(shù)據(jù)中心在業(yè)務中斷時需要但又缺乏的資源定期識別數(shù)據(jù)中心在業(yè)務中斷時需要但又缺乏的資源建立了資源敞口識別機制，持續(xù)完備地識別數(shù)據(jù)中心在業(yè)務中斷時需要但又缺乏的資源D5/F1/P2資源規(guī)劃子項1未對資源建立建設規(guī)劃對資源建立了簡要的建設規(guī)劃，但規(guī)劃內容較為粗略，僅能提供方向性指導對資源建立了建設規(guī)劃對資源建立了詳細的可落實的建設規(guī)劃對資源建立了詳細的可落實的建設規(guī)劃，嚴格依據(jù)規(guī)劃開展工作。及時進行回顧和評審，持續(xù)改進資源建設工作表C.1能力指標評分規(guī)則(續(xù))(第10頁/共12頁)號指標編號指標名稱1分2分3分4分5分D5/F1/P3資源覆蓋度子項1以中斷發(fā)生當時可獲取的資源為主，未建立業(yè)務連續(xù)性資源以保障業(yè)務連續(xù)性策略與業(yè)務連續(xù)性計劃的實施，資源缺失嚴重建立了一定的業(yè)務連續(xù)性資源以保障業(yè)務連續(xù)性策略與業(yè)務連續(xù)性計劃的實施，但資源并不充分建立了一定的業(yè)務連續(xù)性資源以保障業(yè)務連續(xù)性策略與業(yè)務連續(xù)性計劃的實施，明確了需要的相關資源以及這些資源快速獲取的方式建立了充分的業(yè)務連續(xù)性資源以保障業(yè)務連續(xù)性策略與業(yè)務連續(xù)性計劃的實施，明確了需要的相關資源以及這些資源快速獲取的方式有經確認的資源獲取方式，并有備用方案D5/Fl/P4維護子項1對業(yè)務連續(xù)性資源的更新與維護依賴個人的意識，沒有形成機制，資源可用性無法得到保障對業(yè)務連續(xù)性資源開展了一定的更新與維護，資源可用性能夠得到基礎保障但無法確保隨時可用對業(yè)務連續(xù)性資源開展了一定的更新與維護，并且與業(yè)務資源的變更保持一致，資源可用性能夠得到基礎保障對業(yè)務連續(xù)性資源開展了充分的更新與維護，并且與業(yè)務資源的變更保持一致，資源可用性維持在較高水平確保資源能夠隨時使用資源的更新與維護能夠保持與業(yè)務連續(xù)性策略與業(yè)務連續(xù)性計劃的調整相一致D6/F1/P]計劃子項1無明確的演練計劃和目標，演練范圍基本不覆蓋重要運營活動的恢復策略、業(yè)務連續(xù)性計劃、業(yè)務連續(xù)性資源及應急流程有較為明確的演練計劃和目標，演練范圍部分覆蓋重要運營活動的恢復策連續(xù)性資源及應急流程有較為明確的演練計劃和目標，演練范圍覆蓋重要運營活動的恢復策略、業(yè)務連續(xù)性計劃、業(yè)務連續(xù)性資源及應急流程對所要開展的演練進行了充分的計劃，演練范圍完全覆蓋運營活動的恢復策略、業(yè)務連續(xù)性計劃、業(yè)務連續(xù)性資源及應急流程配合數(shù)據(jù)中心業(yè)務和其他管理領域的要求，對所要開展的演練進行了充分的計劃，演練范圍完全覆蓋運營活動的恢復策略、業(yè)務連續(xù)性計劃、業(yè)務連續(xù)性資源及應急流程子項2僅依靠人員制定演練計劃依靠有經驗的人員或者一定的方法制定演練計劃有成熟的方法、工具制定演練計劃使用信息系統(tǒng)工具制定演練計劃使用演練管理信息系統(tǒng)工具建立制定演練計劃，與數(shù)據(jù)中心其他管理領域的信息系統(tǒng)進行了整合或者存在接口子項3無清晰的演練策略和方案，或者演練策略和方案混亂，對演練組織和實施沒有指導作用有較為清晰的演練策略和方案，包括演練時間、地和風險控制等基本內容，但演練策略多為桌面演練，模擬演練和實戰(zhàn)演練較少有清晰的演練策略和方模擬演練和實戰(zhàn)演練較少有清晰的演練策略和方建立了完善的演練策略和方案，包括演練時間、地和風險控制等內容。演練策略多樣化，且以實戰(zhàn)演練為主要方式，可以真實應對各類風險場景下的中斷響應表C.1能力指標評分規(guī)則(續(xù))(第11頁/共12頁)指標編號指標名稱1分2分3分4分5分D6/F1/P1計劃子項4風險控制措施并不能有效降低演練風險開展較為全面的風險分析，并制定較為清晰的演練風險控制策略開展較為全面的風險分析，并制定較為清晰的演練風險控制策略，針對剩余風險有一定應對措施，演練風險基本可控開展全面風險分析，制定有效風險控制策略，涵蓋技術、業(yè)務、管理等各維度，針對剩余風險有一定應對措施，演練風險基本可控開展全面風險分析，制定有效風險控制策略，涵蓋技術、業(yè)務、管理等各維度且滿足數(shù)據(jù)中心其他管理領域的需要，對剩余風險制定了應對措施D6/F1/P2頻率子項1演練數(shù)量與頻率明顯不足，無法驗證相關機制、資源和文件的有效性，無法促進相關人員掌握既定應急流程并提升應急能力演練數(shù)量較少頻率較低，可部分驗證相關機制、資源和文件的有效性，并促進相關人員掌握既定應急流程并提升應急能力演練數(shù)量與頻率能夠基本滿足數(shù)據(jù)中心對于驗證相關機制、資源和文件的有效性的需要，演練形式以桌面推演為主，促進相關人員掌握既定應急流程并提升應急能力演練數(shù)量與頻率能夠滿足數(shù)據(jù)中心對于驗證相關機演練形式以模擬演練為主，能促進相關人員掌握既定應急流程并提升應急能力演練數(shù)量與頻率能夠完全滿足數(shù)據(jù)中心對于驗證相關機制、資源和文件的有效性，演練形式以模擬演練和實戰(zhàn)演練為主很好地促進相關人員掌握既定應急流程并提升應急能力D6/Fl/P3演練過程控制子項1未對演練過程進行有效控制，演練過程得不到保障，包括但不限于演練組織混亂、應急處置存在重要缺陷、導致產生嚴重中斷事件等情形對演練過程進行了一定控制，演練過程能得到基本保障，未發(fā)生嚴重中斷事件對演練過程進行了有效控制，演練過程能得到基本保障，未發(fā)生中斷事件對演練過程進行了嚴格控制，演練過程能得到充分保障，基本實現(xiàn)了演練目標對演練過程進行了嚴格控制，演練過程能得到充分保障，全面實現(xiàn)了演練目標子項2僅依靠人員經驗控制演練過程有一定的方法和原則控制演練過程使用演練管理信息系統(tǒng)控制演練過程，具有一定自動化能力使用演練管理信息系統(tǒng)和戰(zhàn)時指揮平臺控制演練過程，具有較全面自動化能力與數(shù)據(jù)中心其他管理領域的信息系統(tǒng)進行了整合D6/Fl/P4演練總結子項1僅對演練過程或結果進行了記錄對演練過程進行了總結，對后續(xù)演練改進作用有限對演練過程進行了總結，可支持后續(xù)演練改進演練方案在以前演練總結的基礎上進行了改進，對演練過程進行了較為深入的總結，可支持后續(xù)演練對存在的問題予以根本性改進定期對前一階段的演練活動進行回顧，可支持演練計劃、演練方案、業(yè)務連續(xù)性計劃進行改進表C.1能力指標評分規(guī)則(續(xù))(第12頁/共12頁)指標編號指標名稱1分2分3分4分5分D6/F2/P]監(jiān)視子項1未建立業(yè)務連續(xù)性管理的監(jiān)視機制建立了業(yè)務連續(xù)性管理的監(jiān)視機制，但監(jiān)視內容不全面，并且開展相關工作的管理流程和要求不夠清晰建立了業(yè)務連續(xù)性管理的監(jiān)視機制，監(jiān)視內容全面，管理流程和要求清晰，能夠為評估、改進提供所需的信息建立了業(yè)務連續(xù)性管理的監(jiān)視機制，依托信息化工具，監(jiān)視內容全面量化，能夠為量化評估、改進提供所需的信息建立了業(yè)務連續(xù)性管理的監(jiān)視機制，并與數(shù)據(jù)中心其他領域的監(jiān)視機制相一致，信息化監(jiān)視工具與數(shù)據(jù)中心其他領域工具有效集成D6/F2/P2評估子項1未建立業(yè)務連續(xù)性管理體系的評估機制，無法及時發(fā)現(xiàn)存在的問題和不足建立了業(yè)務連續(xù)性管理體系的評估機制，但開展相關工作的管理流程和管理要求不夠清晰建立了業(yè)務連續(xù)性管理體系的評估機制，定期開展評估工作建立了業(yè)務連續(xù)性管理體系的評估機制，定期及在特定情況下開展評估工作。評估結果可有效指導改進工作建立了業(yè)務連續(xù)性管理體系的評估機制，并與數(shù)據(jù)中心其他管理體系相整合，可開展一體化評估工作D6/F3/P1改進子項1未建立針對監(jiān)視評