GB/T 38299-2019 公共安全 业务连续性管理体系 供应链连续性指南

1 范围

      本标准给出了理解和扩展GB/T 30146和GB/T 31595中供应商关系管理的BCM原则的方法。

      本标准是通用的且适用于所有类型、规模和业务性质的组织（或组织内的部分），适用于组织内外部产品和服务的供应。本标准应用程度取决于组织的运营环境和复杂性。

      供应链管理针对向组织供应产品或者服务相关的各项活动。本标准重点关注组织为维持业务活动或者流程而面对的产品和服务连续供应问题，以及供应链中供应商用于降低中断影响的连续性策略，即供应链连续性管理（SCCM）。

      GB/T 30146和GB/T 31595给出了制定业务连续性计划和建立业务连续性管理体系的相关指导。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      ISO 22300 公共安全 术语（Societal security-Terminology）

      ISO 22301 公共安全 业务连续性管理体系 要求（Societal security-Business continuitymanagement systems-Requirements)

3 术语和定义

      下列术语和定义适用于本文件。

3.1

      业务连续性 business continuity

      组织在中断性意外事件之后仍可以接受的预定义水平继续提供产品或者服务的能力。

      ［ISO 22300：2012，定义2.1.10］

3.2

      业务影响分析 business impact analysis BIA

      ysis:BI

      分析活动和业务中断可能带来的影响的过程。

      ［ISO 22300：2012，定义2.2.6］

3.3

      事态 event

      特定情况集合的发生或变化。

      注1：事态可以是一次或多次发生的，可能有多个原因。

      注2：事态可以包括不是正在发生的事情。

      注3：事态有时可发展为“事件”或“事故”。

      注4：未造成后果的事态也可能被称为“未遂”“接近发生”或“紧急”。

      ［ISO 22300：2012，定义2.1.8］

3.4

      演练 exercise

      在组织中训练、评估、实践和提高绩效的过程。

      注1：演练可以用于验证方针、计划、程序、培训、设备和组织间的协议；明确和培训人员的角色和职责；改善组织间的协调和沟通：识别资源上的差距；提升个人绩能；识别改进机会；把握机会提升应变能力。

      注2：测试是演练的一种特殊类型，它包含了对正在计划的演练目标或目的中成功或失败因素的预期。

      ［ISO 22300：2012，定义2.4.8］

3.5

      事件 incident

      可能或将导致中断、损失、紧急状况或危机的情况。

      ［ISO 22300：2012，定义2.1.15］

3.6

      风险 risk

      对于目标的不确定性影响。

      注1：该影响是偏离预期目标的，包括正面的或负面的。

      注2：目标可以有不同的方面（例如财政、健康和安全以及环境），也可以应用于不同的层次（例如战略、组织范围、项目、产品和过程），目标可以用其他方式来表示，例如作为预期结果、意图、运行准则、业务连续性目标或用其他意思相近的词来表达（例如目的或宗旨）。

      注3：风险常被描述为潜在事态和后果，或它们的组合。

      注4：风险通常被表述为事态的后果（包括环境的变化）和发生的可能性。

      注5：不确定性是部分或完全缺少与事态的后果和可能性相关信息的状态。

      ［ISO 22300：2012，定义 2.1.5］

3.7

      最高管理者 top management

      在最高层指挥和控制组织的一个人或一组人。

      注1：最高管理者有权力在组织内进行授权，并提供资源。

      注2：如果管理体系的范围只涵盖了组织的一部分，那么最高管理者指那些直接指导和操控该部分组织的人。

      ［ISO 22300：2012，定义2.2.4］

3.8

      活动 activity

      由组织（或其代表）为生产或支持一个或者多个产品和服务而执行的过程或者一组过程。

      示例：此类过程包括账务、呼叫中心服务、信息技术、生产和配送。

      ［ISO 22301：2012，定义3.1］

3.9

      业务连续性管理 business continuity management；BCM

      识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动。

      ［ISO 22301：2012，定义3.4］

3.10

      业务连续性管理体系 business continuity management system：BCMS

      用于建立、实施、运行、监视、评审、保持和改进业务连续性，是一个组织整个管理体系的一部分。      注：管理体系包括组织结构、方针、规划活动、职责、程序、过程和资源。

      ［ISO 22301：2012，定义3.5］

3.11

      业务连续性计划 business continuity plan

      用于指导组织在业务中断时进行响应、恢复、重新开始和还原到预先确定的业务运行水平的形成文件的程序。

      注：业务连续性计划通常包括确保关键业务功能的连续性所需的资源、服务和活动。

      ［ISO 22301：2012，定义3.6］

3.12

      相关方 interested party

      对决策或活动产生影响，受到影响，认为被影响的个人或组织。

      注：可以是与组织的任何决策或活动有利益关系的个人或团体。

      ［ISO 22301：2012，定义3.21］

3.13

      最小业务连续性目标 minimum business continuity objective;MBCO

      在中断中组织为达到其业务连续性目标可以接受的最低标准的服务和（或）产品。

      ［ISO 22301：2012，定义3.28］

3.14

      组织 organization

      为了实现目标形成的具有自身职能，按照一系列职责、权限和相互关系安排的个人或一组人员。

      注1：组织的概念包括但不限于个体商户、公司、集团、企事业单位、研究机构、合伙企业、慈善机构，或是上述单位的结合体，无论其是否为法人团体，公营还是私营。

      注2：对于拥有一个以上运营单位的组织，可以把每一个单独运营的单位视为一个组织。

      ［ISO 22301：2012，定义3.33］

3.15

      外包 outsource

      把组织的部分职能或过程安排给外部组织。

      注：虽然外包的职能和过程属于管理体系的范围，但外部组织则在此范围之外。

      ［ISO 22301：2012，定义3.34］

3.16

      产品和服务 products and services

      组织提供给顾客、服务对象和相关方的有益成果，例如制成品、汽车保险和社区护理。

      ［ISO 22301：2012，定义3.41］

3.17

      恢复时间目标 recovery time objective;RTO

      事件发生后到下列活动完成之间的时间段：

      ——产品或者服务必须恢复；

      ——活动应恢复；

      ——资源应复原。

      注：对于产品、服务和活动，恢复时间目标应小于组织不能接受的导致产品/服务停止供应、活动无法执行等负面影响所需的时间。

      ［ISO 22301：2012，定义3.45］

3.18

      资源 resources

      为了运行和实现目标，组织在需要时可供使用的所有资产、人员、技能、信息、技术（包括工厂和设备）、场地、物资和信息（无论是否为电子格式）。

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。