ICS 13.200 CCS A 90 中华人民共和国国家标准 GB/T 40755-2021 公共安全业务连续性管理体系 业务连续性管理能力评估指南 Societal security-Business continuity management systems- Guidance on business continuity management capability assessment 2021-11-26发布 2022-05-01实施 国家市场监督管理总局 发布 国家标准化管理委员会
GB/T 40755-2021 目 次 前言 1范围 2规范性引用文件 3术语和定义 4业务连续性管理能力模型 5评估方法 6能力定级 附录A(资料性) 能力构造 附录B(资料性) 能力指标评分规则
GB/T 40755-2021 前言 本文件按照GB/T1.1一2020(标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任. 本文件由全国公共安全基础标准化技术委员会(SAC/TC351)提出并归口. 本文件起草单位:中国标准化研究院、中国网络安全审查技术与认证中心、北京安创信达科技有限 公司、广东省珠海市质量技术监督标准与编码所、阿里云计算有限公司、国网山东省电力公司、北京城市 系统工程研究中心. 本文件主要起草人:秦挺鑫、魏军、祁小华、董晓媛、王皖、刘仁寰、孙世军、李津、尤其、朱坤双、徐风娇、 王晶晶、张超、王亚飞、张卓、周倩、沈乘黄.
GB/T 40755-2021 公共安全业务连续性管理体系 业务连续性管理能力评估指南 1范围 本文件提出了业务连续性管理能力模型,以及基于该模型的业务连续性管理能力评估方法. 本文件适用于: a)各种规模和类型的组织对自身业务连续性管理能力进行自我评估; b)外部机构对上述组织的业务连续性管理能力进行评估. 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款,其中,注日期的引用文 本文件. GB/T30146公共安全业务连续性管理体系要求 3术语和定义 GB/T30146界定的术语和定义适用于本文件. 3.1 业务连续性管理能力business continuitymanagementcapability 在中断事件发生之前、期间以及之后开展预防、准备、响应及恢复业务的管理能力. 3.2 能力构造capability structure 构成业务连续性能力并存在相互联系的各要素的集合. 3.3 能力指标capabilityindex 用于度量组织业务连续性管理某一局部能力的要素. 注:本文件中能力指标均隶属于某一能力构造并用于测度该能力构造. 4业务连续性管理能力模型 4.1业务连续性管理能力等级 业务连续性管理能力划分为5个等级,见图1.管理能力等级自低向高依次为起始级(1级)、发展 级(2级)、稳健级(3级)、优秀级(4级)和卓越级(5级),每个能力等级表明当前组织业务连续性管理能 力所达到的水平,数字越大,能力等级越高,且较高的能力等级涵盖了低于其等级的全部要求.
GB/T 40755-2021 起始级 发展级 优秀级 (1级) (2级) (3级) (4级) (5级) 图1业务连续性管理能力等级 对于一个组织,业务连续性管理能力的提升一般是通过渐进的方式来实现的.除了起始级(1级) 以外,每个能力等级都表明,组织已经有意识地开展了与该等级相匹配的业务连续性管理活动.在此基 础上,组织可以选择一个更高的能力等级并加以改进.上述过程为组织持续提升自身的业务连续性管 理能力提供了路线图. 不同能力等级对应了不同的业务连续性管理水平: a)起始级(1级):该等级情况下,组织缺乏开展业务连续性管理工作的意识,组织在中断事件发 生时的准备、响应和恢复,主要取决于组织当时拥有的资源和措施,以及相关人员的个人能力. b)发展级(2级):该等级情况下,组织的业务连续性管理工作是经过简单策划的.组织为应对中 断事件在机制、资源、措施及人员能力方面开展了预先准备,但这些准备工作在充分性和有效 性方面存在明显的不足. c)稳健级(3级):该等级情况下,组织的业务连续性管理工作是经过系统策划的,并且有措施确 保相关工作受控执行.组织为应对中断事件,在机制、资源、措施及人员能力方面都有较充分 和有效的准备. d)优秀级(4级):该等级情况下,组织的业务连续性管理工作是体系化的,并且注重通过各种措 施确保相关工作得到严格执行.组织为应对可能发生的冲击在机制、资源、措施及人员能力方 面开展了相当充分且有效的准备,此外,组织在重大经营活动中量化并监测其绩效,并予以持 续改进. e)卓越级(5级):该等级情况下...