国家标准 GB/T40755一2021 公共安全业务连续性管理体系业务连续性管理能力评估指南 Soeietalsecurity一Businesscontinuitymanagementsystems- Guidanceonusinesscontinuitymanagementcapabilityassessment 2021-11-26发布 2022-05-01实施国家市场监督管理总局发布国家标涯花警理委员会国家标准
GB/T40755一2021 次目前言范围 2 规范性引用文件 3 术语和定义业务连续性管理能力模型评估方法能力定级附录A资料性能力构造附录B资料性能力指标评分规则
GB/40755一2021 前言本文件按照GB/T1.1一2020<标准化工作导则第1部分;标准化文件的结构和起草规则》的规定起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任本文件由全国公共安全基础标准化技术委员会(SAC/TC351)提出并归口本文件起草单位;标准化研究院、网络安全审查技术与认证中心,北京安创信达科技有限公司、广东省珠海市质量技术监督标准与编码所、阿里云计算有限公司、国网山东省电力公司、北京城市系统工程研究中心本文件主要起草人:秦挺鑫、魏军、祁小华,董晓媛、王皖、刘仁寞、孙世军,李津尤其,朱坤双、徐凤娇、王晶晶张超、王亚飞、张卓、周倩、沈乘黄
GB/40755一2021 公共安全业务连续性管理体系业务连续性管理能力评估指南范围本文件提出了业务连续性管理能力模型,以及基于该模型的业务连续性管理能力评估方法本文件适用于各种规模和类型的组织对自身业务连续性管理能力进行自我评估 a b 外部机构对上述组织的业务连续性管理能力进行评估规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T30146公共安全业务连续性管理体系要求术语和定义 GB/T30146界定的术语和定义适用于本文件 3.1 业务连续性管理能力businesscontinuitymanagemmenteapability 在中断事件发生之前、期间以及之后开展预防、准备、响应及恢复业务的管理能力 3.2 能力构造capabilitystrcture 构成业务连续性能力并存在相互联系的各要素的集合 3.3 能力指标eapabiltyindex 用于度量组织业务连续性管理某一局部能力的要素注:本文件中能力指标均隶属于某一能力构造并用于测度该能力构造业务连续性管理能力模型 4.1业务连续性管理能力等级业务连续性管理能力划分为5个等级,见图1 管理能力等级自低向高依次为起始级(1级),发展级(2级、稳健级(3级)、优秀级(4级)和卓越级(5级),每个能力等级表明当前组织业务连续性管理能力所达到的水平数字越大,能力等级越高且较高的能力等级涵盖了低于其等级的全部要求
GB/T40755一2021 起始级发展级稳健级优秀级卓越级 2级 3级 4级 5级 1级图1业务连续性管理能力等级对于一个组织,业务连续性管理能力的提升一般是通过渐进的方式来实现的除了起始级(1级以外,每个能力等级都表明,组织已经有意识地开展了与该等级相匹配的业务连续性管理活动在此基础上,组织可以选择一个更高的能力等级并加以改进上述过程为组织持续提升自身的业务连续性管理能力提供了路线图不同能力等级对应了不同的业务连续性管理水平: a 起始级(级);该等级情况下,组织缺乏开展业务连续性管理工作的意识组织在中断事件发响应和恢复,主要取决于组织当时拥有的资源和措施,以及相关人员的个人能力生时的准备、发展级(2级);该等级情况下,组织的业务连续性管理工作是经过简单策划的组织为应对中 b 断事件在机制、资源、措施及人员能力方面开展了预先准备,但这些准备工作在充分性和有效性方面存在明显的不足稳健级(3级);该等级情况下,组织的业务连续性管理工作是经过系统策划的,并且有措施确保相关工作受控执行组织为应对中断事件,在机制、资源、措施及人员能力方面都有较充分和有效的准备 d 优秀级(4级):该等级情况下,组织的业务连续性管理工作是体系化的,并且注重通过各种措施确保相关工作得到严格执行组织为应对可能发生的冲击在机制资源、措施及人员能力方面开展了相当充分且有效的准备此外,组织在重大经营活动中量化并监测其绩效,并予以持续改进卓越级(5级);该等级情况下,组织的业务连续性管理工作是严格体系化的,并且强调通过各种措施确保相关工作严格执行组织为应对中断事件在机制、资源、措施及人员能力方面开展了充分的、有效的准备组织在其经营活动中量化并监测其绩效,予以持续改进以追求更佳绩效 4.2能力构造组织的业务连续性管理能力可分解为组织与领导力,业务影响分析和风险评估,业务连续性策略、解决方案和计划,培训与宣贯,资源建设与维护,演练、监视、测量和改进6个方面,即6个能力域;每个
GB/40755一2021 能力域又由若干能力子域构成;每个能力子域又包括若干能力项各层级能力构造见附录A 4.3能力评价能力指标评分规则见附录B. 能力指标权重可采用平权的方法,组织也可根据自身情况确定各指标权重能力评分由其能力域评分聚合得到,即 I=习D×o 式中: 业务连续性管理能力; D 能力域评分权重能力域评分由其能力子域评分聚合得到,即 D=习F×o 式中: -能力域评分 D 能力子域评分; F 权重能力子域评分由其能力项评分聚合得到,即 F-习(P×2十l)×o 式中能力子域评分能力项评分权重评估方法 S 5.1静态评估采用文件评审、现场勘查等方法对相关指标进行评估 5.2动态评估通过访谈、演练等方式对相关指标进行评估能力定级 6 根据4.3业务连续性管理能力评分I对业务连续性管理能力进行定级得分在(0,1],起始级; aa b 得分在(1,2.5],发展级; 得分在(2.5,3.5],稳健级; c d 得分在(3.5,4.5],优秀级得分在(4.5,5],卓越级
GB/T40755一2021 附录 A 资料性能力构造业务连续性管理能力模型由能力构造和能力指标组成,其中能力构造包括;能力,能力域,能力子域和能力项如表A.1所示表A.1能力构造能力能力域能力子域能力项 Pl:内部环境分析 F1组织环境分析 P2:外部环境分析 Pl;方针内容和评审 F2:业务连续性方针 P2;方针传达和沟通 Pl最高管理者对BCM的理解 F3;驱动机制 P2:最高管理者对BCM的支持 D1;组织与领导力 P3;内外部驱动力的匹配 P1:领导机构设置 F4;领导机构 P2;领导机构履职 Pl日常管理组织设置 F5;日常管理组织 P2:日常管理组织履职 P1;中断响应组织设置 F6;中断响应组织 P2:中断响应组织履职业务连续性 Pl;优先活动管理能力 P2:恢复目标与持续要求 F1l;业务影响分析 P3:关键资源 P4;外包活动 D2;业务影响分析和风险 P5最高管理者确认评估 P1;风险识别 F2;风险评估 P2:风险分析 P3;风险评价 P2:策略可行性 F1业务连续性策略 P3:策略有效性 Pl;风险监控对象 D8;业务连续性策略、解决方案和计划 P2监测预警机制 F2:预警和沟通 P3;内部沟通 P4;外部沟通
GB/40755一2021 表A.1能力构造续) 能力子域能力能力域能力项 Pl:优先活动覆盖度 P2;与策略的一致性 D3;业务连续性策略、解决 F3.业务连续性计划 P3计划的完备性方案和计划 P4:中断后使用的计划和程序是否由中断响应组织提供 Pl:培训目标 F1;培训 P2;培训对象和内容 D4:培训与宣贯 Pl;宜贯的内容 F2;宜贯 2;宣贯的形式 P1;资源敞口识别业务连续性管理能力 P2;资源规划 D5;资源建设与维护 F1;资源建设与维护 P3;资源覆盖度 P4:资源更新与维护 Pl:演练范围与计划 P2;演练数量与频率 F1:演练 P3演练过程控制 P4:演练总结 D6,演练、监视、测量和改进 P1:监视 F2;监视与测量 P2;评估 F3;改进 Pl:改进
GB/T40755一2021 附录 B 资料性) 能力指标评分规则能力指标评分规则见表B.1 表B.1能力指标评分规则评分标准指标指标编号名称 0分 2分附加规则内部环境开展了内部环境分析,但全面分析了组织的内 D1/F1/P1 未开展内部环境分析分析是不够全面部环境外部环境开展了外部环境分析,但全面分析了组织的外未开展外部环境分析 D1/F1/P2 分析是不够全面部环境制定了业务连续性方针，制定了业务连续性管未制定方针或制定了但方针内容与组织的目理方针,且与组织的目方针内容方针但是方针内容与标、规模、风险偏好等存标、规模、风险偏好等 D1/F2/P1 和评审组织情况不符在不匹配之处,对方针只匹配,并对方针内容进有简要的形式评审行了详细的评审对方针进行了传达和沟对方针进行了传达和方针传达未对方针进行传达和通,但是未做到使有关人 D1/F2/P2 沟通,所有相关人员对沟通和沟通员对业务连续性管理方方针内容充分理解针充分理解和认识最高管理者不理解业最高管理者对业务连最高管理者对业务连续务连续性管理的基本续性管理的概念、价最高管理性管理的概念、价值以及概念和价值,对于业务值、工作目标和内容以 D1/F3/P1者对BCM 业务运营中断事件可能运营中断事件可能造及业务运营中断事件的理解度造成的财务及非财务影成的财务及非财务影可能造成的财务及非响有一定程度的理解响不敏感财务影响有深刻理解最高管理者适度支持业最高管理者极其支持务连续性管理工作,能够业务连续性管理工作最高管理者不支持开务及给予必要的财务及人力给予充足的财展业务连续性管理工最高管理资源投人,偶尔听取相关力资源投经常性听作,原因包括但不限于 D1/F3/P2者对cM 报告或议案以了解工作取相关报告或议案并对该项工作不够理解，的支持度情况,将业务连续性管理进行决策指导;并将业财务或人力资源紧张工作部分落实到组织治务连续性管理工作落等因素理层面并形成相关制度实到公司治理层面、形保障落实成相关制度保障落实组织开展业务连续性组织业务连续性管理工组织开展业务连续性内外部驱管理工作的驱动力主作存在一定的内部驱动管理工作的驱动力主 D1/F3/P3 动 Y 要来源于所在国家,地力,但开展工作的外部驱要来源组织的内部驱匹配区或行业的法律法规动力明显高于内部驱动力,或内外部驱动力及监管要求基本均衡动力
GB/40755一2021 表B.1能力指标评分规则(续评分标准指标指标编号名称附加规则 0分 1分在高级管理层中明确了在高级管理层中明确未在高级管理层中明负责业务连续性管理工了业务连续性管理工领导机构确负责业务连续性管作的领导人或设置了作的领导人或设置了专 D1/F4/P1 设置理工作的领导人或设门的领导机构,但未明确专门的领导机构,并明置专门的领导机构该领导主体的具体职责确了该主体的职责和和权限权限当领导机领导机构领导人或领导机构基领导人或领导机构具有领导人或领导机构具构设置为0 D1/F4/P2 项履职本未履职 -定履职能力但不充分有充分的履职能力时，该为0 明确了业务连续性日明确了业务连续性日常常管理组织架构,清晰日常管理未明确业务连续性日管理组织架构,定义了各 D1/F5/P1 定义了各方职责,职责组织设置常管理组织架构方的职责但职责边界不边界清晰且无职责够清晰或有职责遗漏遗漏当日常管日常管理不能完成业务连续性基本能完成业务连续性有效完成业务连续性理组织设 D1/F5/P2 组织履职管理日常所需工作管理日常所需工作管理日常所需工作置为0时，该项为0 明确了业务中断响应组明确了业务中断响应中断响应未设置业务中断响应织架构,定义了各方的职组织架构,清晰定义了 D1/F6/P1 组织设置组织架构责但职责边界不够清晰各方职责,职责边界清或有职责遗漏晰且无职责遗漏当中断响中断响应中断事件发生后其能具备应对中断事件的基具备有效应对中断事应组织设 D1/F6/P2 组织履职力不能有效应对本能力件的能力置为0时，该项为0 根据业务连续性特点明明确了组织的优先活未明确组织的优先确了组织优先活动,但是 D2/F1/P1优先活动动,与组织内外部环活动与组织目标存在不匹配境、组织目标等匹配之处未明确产品或服务的明确了产品或服务的恢明确了产品或服务的恢复目标恢复目标与持续要求，复目标与持续要求,但相恢复目标与持续要求，续 D2/F1/P2 与持或恢复目标与持续要对组织的实际运营情况且符合组织的实际运要求求不符合组织的实际及发展战略存在一定的营情况和发展战略运营情况及发展战略致性
GB/T40755一2021 表B1能力指标评分规则(续》评分标准指标指标编号名称附加规则 0分 1分 2分识别了优先活动依赖的识别了优先活动依懒未识别优先活动依赖 2/F1/P3关键资源关键资源,但存在一定的的关键资源,且不存在的关键资源偏差或遗漏明显的偏差或遗漏识别了有限活动依赖的识别了优先活动依懒未识别优先活动依赖 D2/F1/P4外包活动外包活动,但存在一定的的外包活动,且不存在的外包活动偏差或遗漏明显的偏差或遗漏业务影响分析成果在流业务影响分析成果经程上经过了最高管理者过了最高管理者的实最高管理业务影响分析成果未 D2/F1/P5 的审定,但未开展充分讨质性审定,能够保证相者确认经最高管理者审定论导致无法保证相关成关成果体现了组织风果体现组织风险偏好险偏好识别了威胁组织优先活识别了威胁组织优先未识别威胁组织优先动的风险场景,但识别得活动的风险场景,且识 D2/F2/P1风险识别活动的风险场景到的风险场景存在一定别得到的风险场景较遗漏为全面开展了风险分析,但分析未对识别的风险开展开展了风险分析，且分 2/F2/P2风险分析方法和分析内容存在部风险分析析结果符合客观情况分偏差未对识别得到的风险对识别得到的风险场景对识别得到的风险场场景进行评价以识别进行评价得到了主要风景进行了评价得到了主要风险场景或评价 D2/F2/P3风险评价险场景,但评价结果与客主要风险场景,且评价结果与客观情况明显结果符合客观情况观情况存在部分偏差不符部分业务恢复策略的可绝大部分业务恢复策绝大部分业务恢复策策略可行性较差,即策略的有效略的可行性较好,在大 D3/F/P1 略不具备可行性或可行性实施需满足特定情形或部分情形下策略能够行性较差相对较高的条件要求得到有效实施绝大部分业务恢复策绝大部分业务恢复策部分业务恢复策略的预策略有略的预期恢复效果无略的有效性较好,能完 D3/F1/P2 期恢复效果无法满足业效性法满足业务连续性全满足业务连续性务连续性要求要求要求风险监控对象范围存在风险监控对象范围覆风险监控未开展针对主要风险较大缺失,未纳人部分具盖了绝大部分具备监 D3/F2/P1 对象场景的风险监控备监控可行性的主要风控可行性的主要风险险场景场景
GB/40755一2021 表B.1能力指标评分规则(续评分标准指标指标编号名称附加规则 0分 1分 2分建立了风险监测与预建立了风险监测与预警警机制,且明确了开展机制,但未明确开展监测监测预警未建立风险监测与预监测与预警的具体方与预警的具体方法,流程 8:/PP2 机制警机制法,流程和工具机制和工具,机制的有效运行的有效运行能够得到存在一定不确定性良好保障基本明确针对何事,何时明确针对何事,何事以未明确针对何事、何时与组织内部哪些人进行及内部的沟通范围,并 D3/F2/P3内部沟通与组织内部哪些人进沟通,沟通内容与人员基随组织内部环境变化行沟通本符合事件响应要求动态调整基本明确针对何事,何时明确针对何事,何事以未明确针对何事、何时与组织外部哪些人进行及外部的沟通范围,并 3/F2/P4外部沟通与组织外部哪些人进沟通,沟通内容与人员基随组织外部环境变化行沟通本符合事件响应要求动态调整未建立业务连续性计优先活动划,或业务连续性计划业务连续性计划覆盖了业务连续性计划覆盖 D3/F3/P1 覆盖度未覆盖大部分优先大部分优先活动了全部优先活动活动业务连续性计划与策略与策略的业务连续性计划与业业务连续性策略与计 D3/F3/P2 基本一致,但是存在部分 -致性务连续性策略不一致划一致偏差计划的完业务连续性计划内容业务连续性计划内容要业务连续性计划内容 D3/F3/P3 要素存在重大缺失要素完整素存在轻微缺失备性中断后使用的计划中断后使用的计划和中断后使用的计划和中断后使用的计划和程程序完全由中断响应和程序是程序基于响应人员的 D3/F3/P4 序部分由中断响应组织否由中断经验,中断响应组织术组织在中断发生后在中断发生后制定响应组织发挥作用提供提供设立了培训目标,但是目设立了明确的培训目未设立业务连续性相 H/F1/PI培训目标标缺乏落地性和可操标,并且目标可度量、关培训目标作性可实施针对业务连续性管理针对业务连续性管理工工作对培训对象进行培训对象未对培训对象进行规作对培训对象进行了规 D4/F1/P2 了规划和分析,并且针划和分析划和分析，但是内容模和内容对各类人员明确了其糊、要求不清晰培训内容
GB/T40755一2021 表B1能力指标评分规则(续》评分标准指标指标编号名称附加规则 0分 1分 2分明确了业务连续性宣贯明确了业务连续性宣贯宣的未明确业务连续性宣 D4/F2/P1 的内容,但是内容单薄并贯的内容,并且内容丰贯的内容内容缺乏针对性富且针对性强偶尔开展业务连续性意经常开展业务连续性未开展任何形式的业宣贯识宣贯工作，但形式单意识宣贯工作,形式多 D4/F2/P2 务连续性意识宣贯形式 -,难以达到提升意识水样,能够很好达到提升工作平的目的意识水平的目的未及时识别组织在业定期识别组织在业务中建立了资源敞口识别务中断时需要但又缺资源敞口断时需要但又缺乏的资机制,能完备地识别组乏的资源,相关人员无 D5/FI/P1 识别源,但在完备性方面存在织在业务中断时需要法了解资源敞口并加暇批但又缺乏的资源以改善对资源建立了简要的建对资源建立了详细的未对资源建立建设设规划,但规划内容较为 D5/F1/P2资源规划可落实的建设规划,严规划粗略仅能提供方向性格依据规划开展工作指导未建立业务连续性资建立了一定的业务连绒建立了充分的业务连源以保障业务连续性性资源以保障业务连续资源覆续性资源以保障业务策略与业务连续性计性策略与业务连续性计 D5/FI/P3 盖度连续性策略与业务连划的实施，且资源缺失划的实施，但资源并不续性计划的实施严重充分对业务连续性资源开展对业务连续性资源开未对业务连续性资源 -定的更新与维护,资展了充分的更新与维资源更新进行必要的更新与维 D5/F1/P4 源可用性能够得到基本护,资源可用性维持在与维护护,资源可用性无法得保障但无法确保随时较高水平确保资源能到保障可用够随时使用对所要开展的演练进行了充分的计划,建立对所要开展的演练进行了相对完善的演练方定的计划与准备,建案,包括演练的时间未对开展的演练进行计划和准备,演练方案立了相对简单的演练方地点缺失演练范围不覆案演练范围部分覆盖范围,形式和风险等内演练范围 D6/F1/P1 盖业务连续性计划或业务连续性计划或重要容演练范围完全覆与计划重要运营活动的恢复运营活动的恢复策略、盖业务连续性计划或 .业策略,业务连续性资源务连续性资源及应急流重要运营活动的恢复及应急流程程,或仅开展桌面、指挥策略、业务连续性资源部或模拟演练及应急流程，且开展了真实业务活动接管演练 10
GB/40755一2021 表B.1能力指标评分规则(续评分标准指标指标编号名称附加规则 0分 1分 2分演练数量与频率明显演练数量与频率需要加演练数量与频率能够不足,无法验证相关机强,能够部分验证相关机完全满足组织对于验演练数量制、资源和文件的有效制、资源和文件的有效证相关机制、资源和文 D6/F1/P? 与频率性,并促进相关人员掌性,并促进相关人员掌握件的有效性,并促进相握既定应急流程并提既定应急流程并提升应关人员掌握既定应忽升应急能力急能力流程并提升应急能力未对演练过程进行有对演练过程进行了一定对演练过程进行了严效控制,演练过程得不控制,演练过程能得到基格控制,演练过程能得演练过程到保障,包括但不限于本保障,包括但不限于演到充分保障,包括但不 D6/F1/P3 控制演练组织混乱,应急处练组织相对有序,应急处限于演练组织有序,应置存在重要缺陷、风险置基本到位,演练风险得急处置到位,演练风险严重失控等情形到较好控制得到良好控制对演练过程进行总结并对演练过程进行较为未对演练过程进行总在后续演练中予以一定深人的总结并在后续 D6/F1/P4演练总结结并在后续演练中予改进,但对演练的总结及对存在的问题予以根以改进存在问题的改进缺乏本性改进深度建立了业务连续性管理建立了业务连续性管的监视机制,但监视内容理的监视机制,监视内未建立业务连续性管 D6/F2/P1监视不全面,并且开展相关工容全面,管理流程和要理的监视机制作的管理流程和要求不求清晰,能够为评估提够请晰供所需的信息建立了业务连续性管未建立业务连续性管建立了业务连续性管理理体系的评估机制,明理体系的评估机制,无体系的评估机制,但开展 6/F2/P2评估确了开展相关工作的法及时发现存在的问相关工作的管理流程和具体管理流程和管理题和不足管理要求不够清晰要求建立了针对监视评估建立了针对监视评估工未建立针对监视评估工作中发现问题的改作中发现问题的改进机工作中发现问题的改进机制,且机制相对完 D6/F3/P1改进制,但机制不够完善,无进机制,无法保证相关善,能够保证相关问题法保证相关问题得到及问题能够得到整改得到及时和有效的时和有效的整改整改

公共安全业务连续性管理体系业务连续性管理能力评估指南GB/T40755-2021

随着公共安全意识的不断提高，对于公共安全领域的业务连续性管理也越来越受到关注。而业务连续性管理作为一种维护组织正常运营及应对各种突发事件的重要手段，在保障公共安全方面起着至关重要的作用。因此，如何评估和提升业务连续性管理能力成为公共安全领域需要解决的问题。

GB/T40755-2021 评估指南简介

GB/T40755-2021《公共安全业务连续性管理体系业务连续性管理能力评估指南》是由国家市场监督管理总局团体标准化工作委员会主管，中国标准化研究院承担的。该标准是在GB/T 25921-2010《信息安全等级保护评估要求》和GB/T 23331-2009《企业应急管理体系要求》等基础上制定的，旨在为公共安全领域的单位提供业务连续性管理能力评估指南。

该标准主要包括评估原则、评估方法、评估程序、评估结果表述等内容。其中，评估原则明确了评估的目的、对象、范围及依据；评估方法主要包括文件审查、访谈、现场检查等；评估程序则从准备、实施、结论、报告四个方面详细描述了评估的流程；而评估结果表述则明确了评估结果的类型、层次及表达方式。

评估指南的适用范围

GB/T40755-2021 评估指南适用于公共安全领域的单位，包括政府机关、事业单位、企业等各类组织形式。同时，该标准还可以为公共安全领域的单位提供业务连续性管理能力的参考和指导。

评估指南的意义

GB/T40755-2021 评估指南的发布，为公共安全领域单位提供了一份有力的参考工具。通过该标准，可以全面评估单位的业务连续性管理能力，并提供有效的改进措施，从而提高单位在应对突发事件方面的能力和效率，进一步保障公共安全。

总之，GB/T40755-2021 评估指南的发布，为公共安全领域提供了更加系统、科学、规范的业务连续性管理能力评估指南，将为各类组织提供更好的指导和帮助，推动公共安全领域的可持续发展。