GB∕T 40755-2021 公共安全 業(yè)務連續(xù)性管理體系 業(yè)務連續(xù)性管理能力評估指南

ICS13.200GB/T40755—2021公共安全業(yè)務連續(xù)性管理體系業(yè)務連續(xù)性管理能力評估指南國家市場監(jiān)督管理總局國家標準化管理委員會GB/T40755—2021 I 3附錄A(資料性)能力構造 4附錄B(資料性)能力指標評分規(guī)則 IGB/T40755—2021本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國公共安全基礎標準化技術委員會(SAC/TC351)提出并歸口。1公共安全業(yè)務連續(xù)性管理體系業(yè)務連續(xù)性管理能力評估指南1范圍a)各種規(guī)模和類型的組織對自身業(yè)務連續(xù)性管理能力進行自我評估；b)外部機構對上述組織的業(yè)務連續(xù)性管理能力進行評估。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文GB/T30146公共安全業(yè)務連續(xù)性管理體系要求3術語和定義構成業(yè)務連續(xù)性能力并存在相互聯系的各要素的集合。用于度量組織業(yè)務連續(xù)性管理某一局部能力的要素。業(yè)務連續(xù)性管理能力劃分為5個等級，見圖1。管理能力等級自低向高依次為起始級(1級)、發(fā)展級(2級)、穩(wěn)健級(3級)、優(yōu)秀級(4級)和卓越級(5級),每個能力等級表明當前組織業(yè)務連續(xù)性管理能2GB/T40755—2021優(yōu)秀級(4級)(5級)優(yōu)秀級(4級)(5級)(1級)對于一個組織，業(yè)務連續(xù)性管理能力的提升一般是通過漸進的方式來實現的。除了起始級(1級)礎上，組織可以選擇一個更高的能力等級并加以改進。上述過程為組織持續(xù)提升自身的業(yè)務連續(xù)性管理能力提供了路線圖。不同能力等級對應了不同的業(yè)務連續(xù)性管理水平：a)起始級(1級):該等級情況下，組織缺乏開展業(yè)務連續(xù)性管理工作的意識。組織在中斷事件發(fā)b)發(fā)展級(2級):該等級情況下，組織的業(yè)務連續(xù)性管理工作是經過簡單策劃的。組織為應對中性方面存在明顯的不足。c)穩(wěn)健級(3級):該等級情況下，組織的業(yè)務連續(xù)性管理工作是經過系統(tǒng)策劃的，并且有措施確和有效的準備。d)優(yōu)秀級(4級):該等級情況下，組織的業(yè)務連續(xù)性管理工作是體系化的，并且注重通過各種措續(xù)改進。e)卓越級(5級):該等級情況下，組織的業(yè)務連續(xù)性管理工作是嚴格體系化的，并且強調通過各了充分的、有效的準備。組織在其經營活動中量化并監(jiān)測其績效，予以持續(xù)改進以追求更佳績效。組織的業(yè)務連續(xù)性管理能力可分解為組織與領導力3GB/T40755—2021各層級能力構造見附錄A。I=ZD×w…………(1)I——業(yè)務連續(xù)性管理能力；F——能力子域評分；根據4.3業(yè)務連續(xù)性管理能力評分I對業(yè)務連續(xù)性管理能力進行定4GB/T40755—2021 (資料性)能力能力域能力子域能力項業(yè)務連續(xù)性管理能力D1:組織與領導力F1:組織環(huán)境分析P1:內部環(huán)境分析P2:外部環(huán)境分析F2:業(yè)務連續(xù)性方針P1:方針內容和評審P2:方針傳達和溝通F3:驅動機制P1:最高管理者對BCM的理解P2:最高管理者對BCM的支持P3:內外部驅動力的匹配F4:領導機構P1:領導機構設置P2:領導機構履職F5:日常管理組織P1:日常管理組織設置P2:日常管理組織履職F6:中斷響應組織P1:中斷響應組織設置P2:中斷響應組織履職D2:業(yè)務影響分析和風險評估F1:業(yè)務影響分析P1:優(yōu)先活動P2:恢復目標與持續(xù)要求P3:關鍵資源P4:外包活動P5:最高管理者確認F2:風險評估P1:風險識別P2:風險分析P3:風險評價D3:業(yè)務連續(xù)性策略、解決方案和計劃F1:業(yè)務連續(xù)性策略P2:策略可行性P3:策略有效性F2:預警和溝通P1:風險監(jiān)控對象P2:監(jiān)測預警機制P3:內部溝通P4:外部溝通5GB/T40755—2021表A.1能力構造(續(xù))能力能力域能力子域能力項業(yè)務連續(xù)性管理能力D3:業(yè)務連續(xù)性策略、解決方案和計劃F3:業(yè)務連續(xù)性計劃P1:優(yōu)先活動覆蓋度P2:與策略的一致性P3:計劃的完備性P4:中斷后使用的計劃和程序是否由中斷響應組織提供D4:培訓與宣貫F1:培訓P1:培訓目標P2:培訓對象和內容F2:宣貫P1:宣貫的內容P2:宣貫的形式D5:資源建設與維護F1:資源建設與維護P1:資源敞口識別P2:資源規(guī)劃P3:資源覆蓋度P4:資源更新與維護D6:演練、監(jiān)視、測量和改進F1:演練P1:演練范圍與計劃P2:演練數量與頻率P3:演練過程控制P4:演練總結F2:監(jiān)視與測量P1:監(jiān)視P2:評估F3:改進P1:改進6GB/T40755—2021(資料性)能力指標評分規(guī)則能力指標評分規(guī)則見表B.1。表B.1能力指標評分規(guī)則指標編號指標名稱評分標準0分1分2分附加規(guī)則D1/F1/P1內部環(huán)境分析未開展內部環(huán)境分析開展了內部環(huán)境分析，但是不夠全面全面分析了組織的內部環(huán)境D1/F1/P2外部環(huán)境分析未開展外部環(huán)境分析開展了外部環(huán)境分析，但是不夠全面全面分析了組織的外部環(huán)境D1/F2/P1方針內容和評審未制定方針或制定了方針但是方針內容與組織情況不符制定了業(yè)務連續(xù)性方針，但方針內容與組織的目標、規(guī)模、風險偏好等存在不匹配之處，對方針只有簡要的形式評審制定了業(yè)務連續(xù)性管理方針，且與組織的目標、規(guī)模、風險偏好等匹配，并對方針內容進行了詳細的評審D1/F2/P2方針傳達和溝通未對方針進行傳達和溝通對方針進行了傳達和溝通，但是未做到使有關人員對業(yè)務連續(xù)性管理方針充分理解和認識對方針進行了傳達和溝通，所有相關人員對方針內容充分理解D1/F3/P1最高管理的理解度最高管理者不理解業(yè)務連續(xù)性管理的基本概念和價值，對于業(yè)務運營中斷事件可能造成的財務及非財務影響不敏感最高管理者對業(yè)務連續(xù)性管理的概念、價值以及業(yè)務運營中斷事件可能造成的財務及非財務影響有一定程度的理解最高管理者對業(yè)務連續(xù)性管理的概念、價值、工作目標和內容以及業(yè)務運營中斷事件可能造成的財務及非財務影響有深刻理解D1/F3/P2最高管理者對BCM的支持度最高管理者不支持開展業(yè)務連續(xù)性管理工作，原因包括但不限于對該項工作不夠理解，財務或人力資源緊張等因素最高管理者適度支持業(yè)務連續(xù)性管理工作，能夠給予必要的財務及人力資源投入，偶爾聽取相關報告或議案以了解工作情況，將業(yè)務連續(xù)性管理工作部分落實到組織治理層面并形成相關制度保障落實最高管理者極其支持業(yè)務連續(xù)性管理工作，給予充足的財務及人力資源投入，經常性聽取相關報告或議案并進行決策指導；并將業(yè)務連續(xù)性管理工作落實到公司治理層面、形成相關制度保障落實D1/F3/P3內外部驅匹配組織開展業(yè)務連續(xù)性管理工作的驅動力主要來源于所在國家、地區(qū)或行業(yè)的法律法規(guī)及監(jiān)管要求組織業(yè)務連續(xù)性管理工作存在一定的內部驅動力，但開展工作的外部驅動力組織開展業(yè)務連續(xù)性管理工作的驅動力主要來源組織的內部驅動力，或內外部驅動力基本均衡7GB/T40755—2021表B.1能力指標評分規(guī)則(續(xù))指標編號指標名稱評分標準0分1分2分附加規(guī)則D1/F4/P1領導機構設置未在高級管理層中明確負責業(yè)務連續(xù)性管理工作的領導人或設置專門的領導機構在高級管理層中明確了負責業(yè)務連續(xù)性管理工作的領導人或設置了專門的領導機構，但未明確該領導主體的具體職責和權限在高級管理層中明確了業(yè)務連續(xù)性管理工作的領導人或設置了專門的領導機構，并明確了該主體的職責和權限D1/F4/P2領導機構履職領導人或領導機構基本未履職領導人或領導機構具有一定履職能力但不充分領導人或領導機構具有充分的履職能力構設置為0為0D1/F5/P1日常管理組織設置未明確業(yè)務連續(xù)性日常管理組織架構明確了業(yè)務連續(xù)性日常管理組織架構，定義了各方的職責但職責邊界不夠清晰或有職責遺漏明確了業(yè)務連續(xù)性日常管理組織架構，清晰定義了各方職責，職責遺漏D1/F5/P2日常管理組織履職不能完成業(yè)務連續(xù)性管理日常所需工作基本能完成業(yè)務連續(xù)性管理日常所需工作有效完成業(yè)務連續(xù)性管理日常所需工作置為0時，該項為0D1/F6/P1中斷響應組織設置未設置業(yè)務中斷響應組織架構明確了業(yè)務中斷響應組織架構，定義了各方的職責但職責邊界不夠清晰或有職責遺漏明確了業(yè)務中斷響應組織架構，清晰定義了各方職責，職責邊界清晰且無職責遺漏D1/F6/P2中斷響應組織履職中斷事件發(fā)生后其能力不能有效應對具備應對中斷事件的基本能力具備有效應對中斷事件的能力該項為0D2/F1/P1優(yōu)先活動活動根據業(yè)務連續(xù)性特點明確了組織優(yōu)先活動，但是與組織目標存在不匹配之處明確了組織的優(yōu)先活動，與組織內外部環(huán)境、組織目標等匹配D2/F1/P2恢復目標要求未明確產品或服務的恢復目標與持續(xù)要求，或恢復目標與持續(xù)要求不符合組織的實際運營情況及發(fā)展戰(zhàn)略明確了產品或服務的恢復目標與持續(xù)要求，但相對組織的實際運營情況及發(fā)展戰(zhàn)略存在一定的不一致性明確了產品或服務的恢復目標與持續(xù)要求，且符合組織的實際運營情況和發(fā)展戰(zhàn)略8GB/T40755—2021表B.1能力指標評分規(guī)則(續(xù))指標編號指標名稱評分標準0分1分2分附加規(guī)則D2/F1/P3關鍵資源未識別優(yōu)先活動依賴的關鍵資源識別了優(yōu)先活動依賴的關鍵資源，但存在一定的偏差或遺漏識別了優(yōu)先活動依賴的關鍵資源，且不存在明顯的偏差或遺漏D2/F1/P4外包活動未識別優(yōu)先活動依賴的外包活動識別了有限活動依賴的外包活動，但存在一定的偏差或遺漏識別了優(yōu)先活動依賴的外包活動，且不存在明顯的偏差或遺漏D2/F1/P5最高管理者確認業(yè)務影響分析成果未經最高管理者審定業(yè)務影響分析成果在流程上經過了最高管理者的審定，但未開展充分討論導致無法保證相關成果體現組織風險偏好業(yè)務影響分析成果經過了最高管理者的實質性審定，能夠保證相關成果體現了組織風險偏好D2/F2/P1風險識別未識別威脅組織優(yōu)先活動的風險場景識別了威脅組織優(yōu)先活動的風險場景，但識別得到的風險場景存在一定遺漏識別了威脅組織優(yōu)先活動的風險場景，且識別得到的風險場景較為全面D2/F2/P2風險分析未對識別的風險開展風險分析開展了風險分析，但分析方法和分析內容存在部分偏差開展了風險分析，且分析結果符合客觀情況D2/F2/P3風險評價未對識別得到的風險場景進行評價以識別主要風險場景或評價結果與客觀情況明顯不符對識別得到的風險場景進行評價得到了主要風險場景，但評價結果與客觀情況存在部分偏差對識別得到的風險場景進行了評價得到了主要風險場景，且評價結果符合客觀情況D3/F1/P1行性絕大部分業(yè)務恢復策略不具備可行性或可行性較差部分業(yè)務恢復策略的可行性較差，即策略的有效實施需滿足特定情形或相對較高的條件要求絕大部分業(yè)務恢復策略的可行性較好，在大部分情形下策略能夠得到有效實施D3/F1/P2效性絕大部分業(yè)務恢復策略的預期恢復效果無要求部分業(yè)務恢復策略的預期恢復效果無法滿足業(yè)務連續(xù)性要求絕大部分業(yè)務恢復策略的有效性較好，能完要求D3/F2/P1風險監(jiān)控對象未開展針對主要風險場景的風險監(jiān)控風險監(jiān)控對象范圍存在較大缺失，未納入部分具備監(jiān)控可行性的主要風險場景風險監(jiān)控對象范圍覆蓋了絕大部分具備監(jiān)控可行性的主要風險場景9GB/T40755—2021表B.1能力指標評分規(guī)則(續(xù))指標編號指標名稱評分標準0分1分2分附加規(guī)則D3/F2/P2監(jiān)測預警機制未建立風險監(jiān)測與預警機制建立了風險監(jiān)測與預警機制，但未明確開展監(jiān)測與預警的具體方法、流程和工具，機制的有效運行存在一定不確定性建立了風險監(jiān)測與預警機制，且明確了開展監(jiān)測與預警的具體方法、流程和工具，機制的有效運行能夠得到良好保障D3/F2/P3內部溝通未明確針對何事、何時與組織內部哪些人進行溝通基本明確針對何事、何時與組織內部哪些人進行溝通，溝通內容與人員基本符合事件響應要求明確針對何事、何事以及內部的溝通范圍，并隨組織內部環(huán)境變化動態(tài)調整D3/F2/P4外部溝通未明確針對何事、何時與組織外部哪些人進行溝通基本明確針對何事、何時與組織外部哪些人進行溝通，溝通內容與人員基本符合事件響應要求明確針對何事、何事以及外部的溝通范圍，并隨組織外部環(huán)境變化動態(tài)調整D3/F3/P1優(yōu)先活動覆蓋度未建立業(yè)務連續(xù)性計劃，或業(yè)務連續(xù)性計劃活動業(yè)務連續(xù)性計劃覆蓋了大部分優(yōu)先活動業(yè)務連續(xù)性計劃覆蓋了全部優(yōu)先活動D3/F3/P2與策略的一致性業(yè)務連續(xù)性計劃與業(yè)務連續(xù)性策略不一致業(yè)務連續(xù)性計劃與策略基本一致，但是存在部分偏差業(yè)務連續(xù)性策略與計劃一致D3/F3/P3計劃的完備性業(yè)務連續(xù)性計劃內容要素存在重大缺失業(yè)務連續(xù)性計劃內容要素存在輕微缺失業(yè)務連續(xù)性計劃內容要素完整D3/F3/P4中斷后使用的計劃和程序是否由中斷響應組織提供中斷后使用的計劃和程序基于響應人員的經驗，中斷響應組織未發(fā)揮作用中斷后使用的計劃和程序部分由中斷響應組織在中斷發(fā)生后制定中斷后使用的計劃和程序完全由中斷響應提供D4/F1/P1培訓目標未設立業(yè)務連續(xù)性相關培訓目標設立了培訓目標，但是目標缺乏落地性和可操作性設立了明確的培訓目標，并且目標可度量、可實施D4/F1/P2培訓對象和內容未對培訓對象進行規(guī)劃和分析針對業(yè)務連續(xù)性管理工作對培訓對象進行了規(guī)劃和分析，但是內容模糊、要求不清晰針對業(yè)務連續(xù)性管理工作對培訓對象進行了規(guī)劃和分析，并且針對各類人員明確了其培訓內容GB/T40755—2021表B.1能力指標評分規(guī)則(續(xù))指標編號指標名稱評分標準0分1分2分附加規(guī)則D4/F2/P1內容未明確業(yè)務連續(xù)性宣貫的內容明確了業(yè)務連續(xù)性宣貫的內容，但是內容單薄并缺乏針對性明確了業(yè)務連續(xù)性宣貫的內容，并且內容豐富且針對性強D4/F2/P2形式未開展任何形式的業(yè)工作偶爾開展業(yè)務連續(xù)性意識宣貫工作，但形式單一，難以達到提升意識水平的目的經常開展業(yè)務連續(xù)性意識宣貫工作，形式多樣，能夠很好達到提升意識水平的目的D5/F1/P1資源敞口識別未及時識別組織在業(yè)務中斷時需要但又缺乏的資源，相關人員無法了解資源敞口并加以改善定期識別組織在業(yè)務中斷時需要但又缺乏的資源，但在完備性方面存在瑕疵建立了資源敞口識別機制，能完備地識別組織在業(yè)務中斷時需要但又缺乏的資源D5/F1/P2資源規(guī)劃規(guī)劃對資源建立了簡要的建設規(guī)劃，但規(guī)劃內容較為指導對資源建立了詳細的可落實的建設規(guī)劃，嚴格依據規(guī)劃開展工作D5/F1/P3蓋度未建立業(yè)務連續(xù)性資源以保障業(yè)務連續(xù)性策略與業(yè)務連續(xù)性計劃的實施，且資源缺失嚴重建立了一定的業(yè)務連續(xù)性資源以保障業(yè)務連續(xù)性策略與業(yè)務連續(xù)性計劃的實施，但資源并不充分建立了充分的業(yè)務連續(xù)性資源以保障業(yè)務連續(xù)性策略與業(yè)務連續(xù)性計劃的實施D5/F1/P4資源更新與維護未對業(yè)務連續(xù)性資源進行必要的更新與維護，資源可用性無法得到保障對業(yè)務連續(xù)性資源開展了一定的更新與維護，資源可用性能夠得到基本保障但無法確保隨時可用對業(yè)務連續(xù)性資源開展了充分的更新與維護，資源可用性維持在較高水平確保資源能夠隨時使用D6/F1/P1演練范圍與計劃未對開展的演練進行計劃和準備，演練方案缺失。演練范圍不覆蓋業(yè)務連續(xù)性計劃或重要運營活動的恢復策略、業(yè)務連續(xù)性資源及應急流程對所要開展的演練進行了一定的計劃與準備，建立了相對簡單的演練方案。演練范圍部分覆蓋業(yè)務連續(xù)性計劃或重要運營活動的恢復策略、業(yè)務連續(xù)性資源及應急流程，或僅開展桌面、指揮部或模擬演練對所要開展的演練進行了充分的計劃，建立了相對完善的演練方案，包括演練的時間、蓋業(yè)務連續(xù)性計劃或重要運營活動的恢復策略、業(yè)務連續(xù)性資源及應急流程，且開展了演練GB/T40755—2021指標編號指標名稱評分標準0分1分2分附加規(guī)則D6/F1/P2演練數量與頻率演練數量與頻率明顯不足，無法驗證相關機制、資源和文件的有效性，并促進相關人員掌握既定應急流程并提升應急能力演練數量與頻率需要加強，能夠部分驗證相關機制、資源和文件的有效