发布日期:2023-02-02 10:52 浏览次数:
本文件提出了业务连续性管理能力模型,以及基于该模型的业务连续性管理能力评估方法。
本文件适用于:
a)各种规模和类型的组织对自身业务连续性管理能力进行自我评估;
b)外部机构对上述组织的业务连续性管理能力进行评估。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 30146 公共安全 业务连续性管理体系 要求
GB/T 30146界定的术语和定义适用于本文件。
3.1
业务连续性管理能力 business continuity management capability
在中断事件发生之前、期间以及之后开展预防、准备、响应及恢复业务的管理能力。
3.2
能力构造 capability structure
构成业务连续性能力并存在相互联系的各要素的集合。
3.3
能力指标 capability index
用于度量组织业务连续性管理某一局部能力的要素。
注:本文件中能力指标均隶属于某一能力构造并用于测度该能力构造。
4.1 业务连续性管理能力等级
业务连续性管理能力划分为5个等级,见图1。管理能力等级自低向高依次为起始级(1级)、发展级(2级)、稳健级(3级)、优秀级(4级)和卓越级(5级),每个能力等级表明当前组织业务连续性管理能力所达到的水平。数字越大,能力等级越高,且较高的能力等级涵盖了低于其等级的全部要求。
图1 业务连续性管理能力等级
对于一个组织,业务连续性管理能力的提升一般是通过渐进的方式来实现的。除了起始级(1级)以外,每个能力等级都表明,组织已经有意识地开展了与该等级相匹配的业务连续性管理活动。在此基础上,组织可以选择一个更高的能力等级并加以改进。上述过程为组织持续提升自身的业务连续性管理能力提供了路线图。
不同能力等级对应了不同的业务连续性管理水平:
a) 起始级(1级):该等级情况下,组织缺乏开展业务连续性管理工作的意识。组织在中断事件发生时的准备、响应和恢复,主要取决于组织当时拥有的资源和措施,以及相关人员的个人能力。
b) 发展级(2级):该等级情况下,组织的业务连续性管理工作是经过简单策划的。组织为应对中断事件在机制、资源、措施及人员能力方面开展了预先准备,但这些准备工作在充分性和有效性方面存在明显的不足。
c) 稳健级(3级):该等级情况下,组织的业务连续性管理工作是经过系统策划的,并且有措施确保相关工作受控执行。组织为应对中断事件,在机制、资源、措施及人员能力方面都有较充分和有效的准备。
d) 优秀级(4级):该等级情况下,组织的业务连续性管理工作是体系化的,并且注重通过各种措施确保相关工作得到严格执行。组织为应对可能发生的冲击在机制、资源、措施及人员能力方面开展了相当充分且有效的准备。此外,组织在重大经营活动中量化并监测其绩效,并予以持续改进。
e) 卓越级(5级):该等级情况下,组织的业务连续性管理工作是严格体系化的,并且强调通过各种措施确保相关工作严格执行。组织为应对中断事件在机制、资源、措施及人员能力方面开展了充分的、有效的准备。组织在其经营活动中量化并监测其绩效,予以持续改进以追求更佳绩效。
4.2 能力构造
组织的业务连续性管理能力可分解为组织与领导力,业务影响分析和风险评估,业务连续性策略、解决方案和计划,培训与宣贯,资源建设与维护,演练、监视、测量和改进6个方面,即6个能力域;每个能力域又由若干能力子域构成;每个能力子域又包括若干能力项。
各层级能力构造见附录A。
4.3 能力评价
能力指标评分规则见附录B。
能力指标权重可采用平权的方法,组织也可根据自身情况确定各指标权重。
能力评分由其能力域评分聚合得到,即
I=ΣD×ω …………………………(1)
式中:
I——业务连续性管理能力;
D——能力域评分;
ω——权重。
能力域评分由其能力子域评分聚合得到,即
D=ΣF×ω …………………………(2)
式中:
D——能力域评分;
F——能力子域评分;
ω——权重。
能力子域评分由其能力项评分聚合得到,即
F=Σ(P×2+1)×ω …………………………(3)
式中:
F——能力子域评分;
P——能力项评分;
ω——权重。
5.1 静态评估
采用文件评审、现场勘查等方法对相关指标进行评估。
5.2 动态评估
通过访谈、演练等方式对相关指标进行评估。
根据4.3业务连续性管理能力评分I对业务连续性管理能力进行定级:
a)得分在(0,1],起始级;
b) 得分在(1,2.5],发展级;
c)得分在(2.5,3.5],稳健级;
d) 得分在(3.5,4.5],优秀级;
e) 得分在(4.5,5],卓越级。
以上为标准部分内容,如需看标准全文,请到相关授权网站购买标准正版。
