GB/T 43046-2023 信息技术服务 应对突发公共安全事件的信息技术应急风险管理

　　ICS 35 . 080 CCS L 77

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 43046—2023

　　信息技术服务 应对突发公共安全事件的

　　信息技术应急风险管理

　　Information technology service—Information technology emergency risk

　　management in public security emergency response

　　2023-09-07 发布 2024-04-01 实施

　　国家市场监督管理总局国家标准化管理委员会

　　

　　发

　　

　　布

　　GB/T 43046—2023

　　目 次

　　前言 Ⅲ

　　引言 Ⅳ

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 缩略语 2

　　5 总则 2

　　5 . 1 IT应急风险管理与 IT应急管理的关系 2

　　5 . 2 风险管理原则 2

　　5 . 3 风险管理文化 3

　　5 . 4 风险管理策略 3

　　5 . 5 风险管理技术 3

　　5 . 6 风险管理对象 4

　　6 风险管理框架 4

　　7 顶层设计 5

　　7 . 1 战略规划 5

　　7 . 2 组织构建 6

　　7 . 3 架构设计 6

　　8 风险管理环境 6

　　8 . 1 内外部环境 6

　　8 . 2 促成因素 7

　　9 风险管理体系 7

　　10 风险管理要素 7

　　10 . 1 专业团队与人员 7

　　10 . 2 风险类型 8

　　10 . 3 风险管理流程 8

　　10 . 4 信息系统 8

　　10 . 5 数据 9

　　10 . 6 其他 9

　　11 风险管理实施 9

　　11 . 1 统筹和规划 9

　　11 . 2 构建和运行 9

　　11 . 3 监控和评价 10

　　I

　　GB/T 43046—2023

　　11 . 4 改进和优化 10

　　附录 A (资料性) IT应急管理总体风险 11

　　附录 B (资料性) IT应急管理专项风险 14

　　附录 C (资料性) IT应急风险管理组织架构与管理体系 22

　　附录 D (资料性) 突发公共安全事件情况下的整体应用场景 25

　　附录 E (资料性) 突发公共安全事件情况下的具体应用场景 31

　　参考文献 34

　　Ⅱ

　　GB/T 43046—2023

　　前 言

　　本文件按照 GB/T 1 . 1—2020《标准化工作导则 第 1 部分:标准化文件的结构和起草规则》的规定起草 。

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别专利的责任 。

　　本文件由全国信息技术标准化技术委员会(SAC/TC28)提出并归口 。

　　本文件起草单位:上海谷航信息科技发展有限公司 、中国电子技术标准化研究院 、上海计算机软件技术开发中心 、北京国家会计学院 、上海市卫生健康委员会 、上海市网络与信息安全应急管理事务中心 、北京太极华保科技股份有限公司 、北京同创永益科技发展有限公司 、北京赛迪认证中心有限公司 、万达信息股份有限公司 、神州数码融信云技术服务有限公司 、国家工业信息安全发展研究中心 、苏州市软件评测中心有限公司 、上海交通大学 、中科软科技股份有限公司 、中福彩科技发展(北京)有限公司 、浙江经济职业技术学院 、天津天大康博科技有限公司 、金税信息技术服务股份有限公司 、上海软件产业促进中心 、山东正中信息技术股份有限公司 、成都市工业互联网发展中心 、陕西省信息化工程研究院 、中远海运科技股份有限公司 、建信金融科技有限责任公司 、国网区块链科技(北京)有限公司 、太极计算机股份有限公司 、上海安言信息技术有限公司 、北京德信永道信息技术服务有限公司 、嘉兴嘉赛信息技术有限公司 、上海软中信息系统咨询有限公司 、上海新炬网络信息技术股份有限公司 、广州物联网研究院 、威海神舟信息技术研究院有限公司 、南京云信达科技有限公司 、上海云济信息科技有限公司 、上海霞安信息科技有限公司 、工业互联网创新中心(上海)有限公司 、北京赛博昆仑科技有限公司 、上海翰纬信息科技有限公司 、武汉速云星博信息技术有限公司 、帝杰曼科技股份有限公司 、湖南创博龙智信息科技股份有限公司 、杭州数列网络科技有限责任公司 、北京中百信信息技术股份有限公司 、黑龙江科技大学 、健康云 (上海)数字科技有限公司 、上海市新能源汽车公共数据采集与监测研究中心 、武汉网信安全技术股份有限公司 、上海申康医院发展中心 、深圳市通商宝科技有限公司 、浙江海瑞网络科技有限公司 、深圳融昕医疗科技有限公司 、中国软件评测中心(工业和信息化部软件与集成电路促进中心) 、北京明易达科技股份有限公司 、河北微保物流科技有限公司 、建标教育科技河北有限公司 、河北沃瑞斯供应链管理有限公司 、河北标质质检技术服务中心 、广东润联信息技术有限公司 、武汉东湖大数据交易中心股份有限公司 、河北鸿宇通信器材有限公司 、河北鹏博通信设备有限公司 。

　　本文件主要起草人:俞文平 、张凤玲 、郭鑫伟 、宋俊典 、冯骏 、吴恩平 、赵勇祥 、郑阳 、邵庆祥 、徐雨清 、薛质 、方健 、郑晨光 、肖 筱 华 、栗 卓 越 、马 烈 、韩 飞 、张 蕾 、徐 刚 、张 玮 、薛 冰 吩 、聂 兴 凯 、杨 烨 、王 珊 珊 、谢美程 、张建成 、王文俊 、熊健淞 、莊敏 、张勇 、俞志东 、张在丰 、石竹玉 、赵建华 、黄建文 、陈申捷 、施勇 、方轶博 、赵丹丹 、高敏 、郭磊 、钱伟峰 、杨泉 、张晓娟 、张明英 、梁铭图 、陈鲁鑫 、郭辉 、李帆 、赵小敏 、王慧芬 、潘钢 、朱柯 、孙诚 、王守选 、杨德华 、卢学哲 、赵秋多 、潘铮 、王成名 、俞丽平 、吕千千 、陈昌杰 、门美龄 、孙明雷 、王萌 、李光亚 、安特 、侯鹏飞 、刘敏 、丁海元 、安淑荻 、金开立 、鹿全礼 、付华茂 、赵晓荣 、陈振东 、何煜翔 、李庆 、董刚华 、付宇 、阙志兴 、程永新 、胡 良霖 、毛慧丽 、黄海峰 、柴磊 、米登科 、徐萍 、左有 良 、赵丹凤 、金燕芳 、唐泽诚 、高金 、王承琨 、曹川難 、钟鸣荟 、朱武振 、黄泽锋 、陈晗 、祝荣荣 、赵亮 、王猛 、蔡未锋 、白瑞英 、孟繁哲 、曹嘉恒 、王慧颖 、姚敏森 、杜乐 、闫航飞 、高占良 、李凯 。

　　Ⅲ

　　GB/T 43046—2023

　　引 言

　　为有效控制突发公共安全事件情况下组织面临的 IT 应急风险 , 提高相应的 IT 应急风险管理能力 , 促进 IT对组织业务的安全 、可靠 、有效支持 , 提出应对突发公共安全事件下的 IT 应急风险管理规范 , 实现责任落实 、风险可控和价值实现的目标 。

　　实施主体可根据应对突发公共安全事件的 IT 应急风险管理规范要求 , 明确组织应对突发公共安全事件的 IT应急风险管理顶层设计 、管理体系等 , 结合实施环境 , 规范相应的 IT 应急风险管理实施过程 , 明确统筹和规划 、构建和运行 、监督和评估 、改进和优化的目标和基本任务 。

　　Ⅳ

　　GB/T 43046—2023

　　信息技术服务 应对突发公共安全事件的

　　信息技术应急风险管理

　　1 范围

　　本文件确立了突发公共安全事件情况下 IT 应急风险管理的总则 、框架 , 并规定了相关的顶层设计 、环境 、体系 、要素及实施等要求 。

　　本文件适用于:

　　a) 决策层或最高管理者实施相关的 IT应急风险管理顶层设计职能 ;

　　b) 建立或完善组织相关的 IT应急风险管理体系 ;

　　c) 明确组织相关 IT应急风险管理流程的要求 ;

　　d) 规范组织相关 IT应急风险管理的实施 ;

　　e) 第三方或其他机构开展相关 IT应急风险管理咨询业务 。

　　2 规范性引用文件

　　本文件没有规范性引用文件 。

　　3 术语和定义

　　下列术语和定义适用于本文件 。

　　3.1

　　组织 organization

　　为实现目标 , 由职责 、权限和相互关系构成自身功能的一个人或一组人 。

　　注 : 组织的概念包括 , 但不限于代理商 、公司 、集团 、商行 、企事业单位 、行政机构 、合营公司 、协会 、慈善机构或研究机构 , 或上述组织的部分或组合 , 无论是否为法人组织 , 公有的或私有的 。

　　[来源: GB/T 19000—2016 , 3 . 2 . 1] 3.2

　　决策层 decision-making level

　　负责确定组织(3 . 1)的目标 、纲领和实施方案 , 进行宏观控制的最高权力机构 。

　　3.3

　　最高管理者 top management

　　在最高层指挥和控制组织(3 . 1)的一个人或一组人 。

　　注 : 最高管理者在组织内有授权和提供资源的权力 。

　　[来源: GB/T 19000—2016 , 3 . 1 . 1] 3.4

　　突发公共安全事件 public security emergency

　　突然发生 , 造成或者可能造成重大人员伤亡 、财产损失 、生态环境破坏和严重社会危害 , 危及公共安全的紧急事件 。

　　1

　　GB/T 43046—2023

　　注 : 根据突发公共安全事件的发生过程 、性质和机理 , 主要分为以下四类: 自然灾害 、事故灾难 、公共卫生事件和社会安全事件。

　　3.5

　　IT应急管理 information technology emergency management

　　组织为应对突发公共安全事件开展的信息技术领域的应急管理。 3.6

　　IT应急风险管理 information technology emergency risk management

　　在突发公共安全事件情况下 , 组织为控制信息技术应急管理中的风险而进行的一系列管控活动。注 : 简称“风险管理”。

　　4 缩略语

　　下列缩略语适用于本文件。

　　BCMS:业务连续性管理体系(Business Continuity Management System)

　　IT:信息技术(Information Technology)

　　RPO:恢复点目标(Recovery Point Objective)

　　RTO:恢复时间 目标(Recovery Time Objective)

　　SWOT分析法 : 企 业 竞 争 态 势 [优 势 (Strength) 、劣 势 (Weakness) 、机 会 (Opportunity) 、威 胁(Threat)]分析方法

　　5 总则

　　5 . 1 IT应急风险管理与 IT应急管理的关系

　　与一般的 IT应急管理不同 , 突发公共安全事件情况下的 IT应急管理 , 旨在为应对突发公共安全事件开展的 IT领域的应急管理。 管理主体的 IT相关应急管理职责不仅仅局限于组织内部 , 还涉及组织与外部的联防 、联动等。

　　突发公共安全事件情况下的 IT应急风险管理旨在相关 IT应急管理基础上 , 进一步强调与应对突发公共安全事件相关 IT应急控制措施的合理性和有效性。 管理主体的 IT应急风险管理职责不仅仅局限于组织内部 , 也涉及组织与外部的联防 、联动等。

　　应对突发公共安全事件情况下的 IT应急风险管理 , 有利于各级各类组织树立 IT应急风险管理意识 , 完善 IT应急管理机制 , 提高应对突发公共安全事件的 IT应急处理能力 , 并达到如下效果:

　　a) 遇到突发公共安全事件时 , 在政府的统筹领导下 , 加强与外部的联防 、联动 , 沉着应对各种IT应急风险 , 提升组织 IT应急相关资源的统筹与调配能力 , 避免无序和失控情况的发生 ;

　　b) 在日常的 IT管理中 , 将 IT应急风险管理意识贯穿于价值 、制度 、机制和能力等方面 , 建立和完善应对突发公共安全事件的 IT应急风险管理体系 , 提高组织的预期管理能力 , 并增强社会责任意识 ;

　　c) 突发公共安全事件情况下的 IT应急风险管理属于组织风险管理体系一部分 , 通过加强对相关IT应急管理合理性 、有效性的监督和评价 , 促进 IT应急管理能力的持续提升 , 确保组织业务的持续运营。

　　5 . 2 风险管理原则

　　IT应急风险管理原则包括如下内容。

　　2

　　GB/T 43046—2023

　　a) 整体性原则 。在突发公共安全事件情况下,作为整体的有机组成部分,组织充分配合国家 、地方 、行业或领域等开展 IT应急风险管理,履行社会责任,并建立与外部的联防 、联动机制 。

　　b) 全面性原则 。IT应急风险管理覆盖 IT应急应用领域的各个方面,贯穿决策 、执行和监督全部管理环节 。

　　c) 标准化原则 。通过实施标准化的 IT应急风险管理,提供更稳定 、更可靠的 IT应急风险管控服务 。

　　d) 前瞻性原则 。组织建立 IT应急风险管理机制,确保 IT应急风险管理目标与组织战略发展 目标一致性,并具有超前意识,预判潜在的 IT应急风险,提前进行干预和制定对策 。

　　e) 预防性原则 。坚持预防为主,建立预防 、预警与演练机制,将日常管理与应急处置有效结合 。

　　f) 可执行性原则 。组织开展的 IT应急风险管理切实符合当前能力,确保 IT应急风险管理的可执行性 。

　　g) 适应性原则 。IT应急风险管理机制与 IT应急风险状况 、信息化或数字化程度等相适应,并根据应急环境变化 、内外部要求进行调整 。

　　h) 人性化原则 。坚持以人为本,重点保障人员安全与健康,并需考虑无障碍服务 。

　　5 . 3 风险管理文化

　　组织建立应对突发公共安全事件的 IT应急风险管理文化,包括但不限于 :

　　a) 加强与国家 、地方 、行业或领域等的协同与沟通,提升社会责任意识 ;

　　b) 与组织文化建设相结合,使其成为组织 日常运营管理的有机组成部分 ;

　　c) 提升全员的 IT应急风险管理意识,遵守公共安全秩序 ;

　　d) 形成与组织相适应的价值准则 、职业操守 ;

　　e) 建立 IT应急风险管理文化培训与传达机制 ;

　　f) 建立 IT应急风险管理文化的评价 、考核 、监督及奖惩机制 。

　　5 . 4 风险管理策略

　　组织将应对突发公共安全事件的 IT应急风险管理纳入 IT总体风险管理体系,并根据内外部环境等情况,围绕组织 IT发展战略,明确相关的 IT应急风险管理策略,包括如下内容 。

　　a) 总体策略 。应对突发公共安全事件的 IT应急风险管理是组织 IT 总体风险管理体系有机组成部分,并与国家 、地方 、行业或领域等的 IT应急风险管理体系相协调 。

　　b) 具体策略 。 内容包括但不限于 :

　　● 组织对 IT应急风险进行分类分级管理,为各类突发公共安全事件制定相应的 IT应急风险管理策略 ;

　　● 根据突发公共安全事件的 IT应急风险特点,采用风险规避 、风险转移 、风险减轻以及风险接受等措施 ;

　　● 采用应对措施时,需要考虑的事项包括关注成本 、承担的责任(含社会责任等)和义务 、自愿承诺和利益相关方的观点;根据组织的 目标 、风险准则和可用资源进行分析;结合价值观 、认知和潜在涉及的利益相关方,以及与他们沟通和咨询的最佳方式进行分析;效果相同的方案,因利益相关方偏好不同而采用结果不同 。

　　5 . 5 风险管理技术

　　IT应急风险管理技术包括但不限于下述内容 。

　　3

　　GB/T 43046—2023

　　a) 风险识别技术 。识别可能影响一个或多个目标的不确定性,包括德尔菲法 、头脑风暴法 、检查表法 、SWOT分析法及图解技术等 。

　　b) 风险分析技术 。对风险影响和后果进行评价和估量,包括定性分析和定量分析 。

　　c) 风险评价技术 。在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分,以揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价 。

　　d) 风险应对技术 。IT技术体系中为特定风险制定的应对技术方案,包括云计算 、冗余链路 、冗余资源 、系统弹性伸缩 、两地三中心灾备 、业务熔断限流 、数据备份和副本数据管理等 。

　　e) 风险监测技术 。监测应急风险演化为事件的特定触发条件 、发展过程,包括 IT基础设备监控 、日志分析 、物联网技术 、实时数据分析 、舆情分析等 。

　　f) 风险预警技术 。对应急风险的产生与发展进行提前预测和预警方面的技术,包括人工智能 、大数据分析 、趋势预测 、容量管理 、渗透性测试 、入侵检测系统等 。

　　5 . 6 风险管理对象

　　突发公共安全事件情况下的 IT应急风险为 IT应急风险管理对象 。IT应急风险类型包括 IT应急管理总体风险与 IT应急管理专项风险(见 10 . 2 、附录 A、附录 B) 。

　　6 风险管理框架

　　IT应急风险管理框架是组织 IT总体风险管理框架的有机组成部分,是组织应对突发公共安全事件的 IT应急风险管理框架,主要包括顶层设计 、风险管理环境 、风险管理体系 、风险管理要素和风险管理实施五部分,见图 1 。

　　4

　　GB/T 43046—2023

　　图 1 风险管理框架

　　在 IT应急管理过程中引入 IT 应急风险管理机制(见第 7 章 ~第 11 章) 。 当突发公共安全事件时,可有效管控 IT应急管理的相关风险(见附录 A、附录 B),提升组织内部以及与国家 、地方 、行业或领域等的联防 、联动 IT应急管理能力,避免无序和失控情况的发生,确保相关 IT应急管理工作的成效 。

　　顶层设计包含应对突发公共安全事件的 IT应急风险管理战略规划 、组织构建和架构设计,决策层或最高管理者通过评估 、指导和监督对相关的 IT应急风险管理层进行管控 。

　　管理环境包含内外部环境和促成因素,其中促成因素是应对突发公共安全事件的 IT 应急风险管理实施的保障 。

　　管理体系包含应对突发公共安全事件的总体风险管理 、执行风险管理 、保障风险管理及审计管理 。

　　管理要素包含应对突发公共安全事件的专业团队与人员 、风险类型 、风险管理流程 、信息系统 、数据等 。管理体系与管理要素是相关 IT应急风险管理实施的核心 。

　　风险管理实施包含应对突发公共安全事件的统筹和规划 、构建和运行 、监控和评价 、改进和优化,是相关 IT应急风险管理的实际应用并促进相关 IT应急管理提升的过程 。

　　7 顶层设计

　　7 . 1 战略规划

　　组织应结合突发公共安全事件情况下的风险特点,根据内外部环境及促成因素制定独立的 IT 应急风险管理战略规划,明确 IT应急风险管理战略规划实施的策略 。IT应急风险管理规划属于组织战略规划的一部分,应与组织战略规划中的业务应急管理规划 、业务风险管理规划保持一致,包括但不

　　5

　　GB/T 43046—2023

　　限于 :

　　a) 分析突发公共安全事件情况下的风险特点 、相关内外部环境及促成因素,理解业务应急规划 、业务风险管理规划和 IT应急规划等,调研需求并评估突发公共安全事件情况下的 IT应急风险管理现状 、技术现状 、应用现状和环境 ;

　　b) 制定应对突发公共安全事件的 IT 应急风险管理战略规划,指导 IT 应急风险管理体系的建立,并明确 IT应急风险管理要素 ;

　　c) 明确应对突发公共安全事件的内控 、合规 、绩效和审计等要求,对相关 IT应急风险进行管控 ;

　　d) 监控和评价应对突发公共安全事件的 IT应急管理规划制定与实施,确保 IT应急管理规划的持续改进和优化。

　　7 . 2 组织构建

　　组织构建应聚焦突发公共安全事件情况下的 IT 应急风险管理责任主体与分工,通过完善组织机制及与外部的联防 、联动机制,获得相关方的理解和支持,制定相应的 IT应急风险管理制度和流程, 以支撑突发公共安全事件情况下 IT应急风险管理的实施,包括但不限于 :

　　a) 建立与外部的联防 、联动机制,配合国家 、地方 、行业或领域等在突发公共安全事件情况下IT应急风险管理的开展 ;

　　b) 建立突发公共安全事件情况下支撑 IT应急风险管理战略的组织机制,明确相关的实施原则和策略 ;

　　c) 明确突发公共安全事件情况下的 IT应急风险管理决策 、实施及监督机构,建立相应的 IT 应急风险管理组织架构(见附录 C),明确管理者和成员角色,确保责权利一致 ;

　　d) 建立突发公共安全事件情况下的 IT应急风险管理决策 、授权和沟通机制,保证利益相关方理解 、接受相应的职责和权利 ;

　　e) 实现突发公共安全事件情况下的 IT应急风险管理决策 、执行 、控制和监督等职能,评估运行成效并持续改进和优化。

　　7 . 3 架构设计

　　在设计组织层面的 IT应急风险管理架构时,应关注突发公共安全事件下的业务架构 、应用架构 、数据架构 、技术架构和架构管理体系等风险,通过持续的评估 、改进,不断完善 IT 应急管理架构,包括但不限于 :

　　a) 建立与突发公共安全事件情况下 IT应急风险管理战略 、业务战略及组织战略一致的 IT应急风险管理架构,针对突发公共安全事件情况下 IT应急管理架构的风险(如技术方向 、管理策略和支撑体系等风险)提出管控要求 ;

　　b) IT应急风险管理架构宜考虑与外部 IT应急风险管理架构的联动与控制 、技术能力及资源等 ;

　　c) 监控和评价组织级突发公共安全事件情况下 IT 应急管理架构的设计风险, 以及组织级相应IT应急管理架构实施 、应用的成效,确保 IT应急管理架构的持续改进和优化 ;

　　d) 监控和评价组织级突发公共安全事件情况下的 IT应急管理架构机制运行风险,确保相关管理工作的持续改进和优化。

　　8 风险管理环境

　　8 . 1 内外部环境

　　组织应分析内外部环境要求,明确突发公共安全事件情况下 IT 应急风险管理实施的策略。 内外

　　6

　　GB/T 43046—2023

　　部环境要求包括但不限于 :

　　a) 国家 、地区 、行业及领域等应急管理规范 ;

　　b) 内外部审计 、监督及评估等 ;

　　c) 组织战略和业务战略的变化 ;

　　d) 疫情 、地缘冲突 、战争及灾难等变化 ;

　　e) 新技术变革和 IT应用创新发展趋势 。

　　8 . 2 促成因素

　　组织应识别突发公共安全事件情况下 IT应急风险管理的促成因素,保障风险管理的实施,包括但不限于 :

　　a) 与外部的联防 、联动机制 ;

　　b) 决策层或最高管理者的授权和支持 ;

　　c) IT应急风险管理文化 ;

　　d) IT应急风险的分类分级管理 ;

　　e) IT应急所需的各类资源保障 。

　　9 风险管理体系

　　实施全面风险管理的组织应建立突发公共安全事件情况下的 IT应急风险管理体系,并将 IT应急风险管理纳入全面风险管理体系 。IT应急风险管理体系(见附录 C)包括但不限于以下内容 。

　　a) 总体风险管理 。 明确应对突发公共安全事件的 IT应急总体风险管理主管部门(如风险管理部门或其他综合管理部门) 、职责 、权限 、人员配备 、安全与健康 、持续监控并开展风险评估等 。

　　b) 执行风险管理 。 明确应对突发公共安全事件的 IT 应急执行风险管理主体(包括业务部门和IT部门) 、职责 、人员配备 、安全与健康 、政策和程序的执行 、自评估及持续改进等 。

　　c) 保障风险管理 。 明确应对突发公共安全事件的 IT应急保障风险管理主体(如办公室 、人力资源部门 、财务部门 、法律合规部门 、公共关系部门 、后勤部门等) 、职责 、权限 、人员配备 、安全与健康 、政策和程序的执行 、自评估及持续改进等 。

　　d) 审计管理 。 明确应对突发公共安全事件的 IT 应急风险管理审计主体(如内部审计部门) 、职责 、权限 、人员配备 、安全与健康 、制度和流程的制定及审计活动的开展等 。

　　注 : 其他未实施全面风险管理的组织依据上述要求并考虑所处行业和 自身实际,建立本组织应对突发公共安全事

　　件的 IT应急风险管理体系(见附录 D)或将 IT应急风险管理理念融入具体的 IT应急管理领域(见附录 E) 。

　　10 风险管理要素

　　10 . 1 专业团队与人员

　　突发公共安全事件情况下,组织的 IT应急风险管理专业团队与人员应满足下列要求 :

　　a) IT应急风险管理专业团队,包括但不限于团队内部协同能力 、与外部的协同能力 、综合救援风险管控能力 、人力资源储备与部署能力等 ;

　　b) IT应急风险管理专业人员,包括但不限于社会责任 、职业道德 、知识 、技能 、资质和经验 、专业胜任能力 、人员安全与健康等 。

　　注 : 人力资源储备与部署能力,包括明确领导与决策人员 、应急团队 、备份人员;特殊情况下的人员备份考虑(如疫

　　7

　　GB/T 43046—2023

　　情可能对同一场所或区域人员的不利影响等);建立关键岗位的应急储备,两套班子互为备份,部署在不同区域(如常规场所 、应急备用场所) 。

　　10 . 2 风险类型

　　突发公共安全事件情况下的 IT 应急风险类型包括 IT 应急管理总体风险与 IT 应急管理专项风险 。IT应急管理总体风险是突发公共安全事件情况下,影响组织 IT应急管理总体目标实现的综合性风险(见附录 A);IT应急管理专项风险是突发公共安全事件情况下,组织未满足外部要求及内部特殊需要面临的风险 。对 IT应急管理专项风险的管控可作为独立项目实施,或作为 IT应急管理总体风险管控项目的组成部分实施(见附录 B) :

　　a) IT应急管理总体风险包括 IT应急战略风险 、IT应急组织风险 、IT应急架构风险 、IT应急运行体系风险 、业务影响分析和风险评估实施风险 、应急信息系统风险及 IT应急全过程控制风险等 ;

　　b) IT应急管理专项风险包括人员类风险 、资源类风险 、技术应用类风险 、过程类风险及管理类风险等 。

　　10 . 3 风险管理流程

　　IT应急风险管理流程是组织针对突发公共安全事件,开展 IT应急风险管理活动所采取的系列行动和步骤,包括如下内容 。

　　a) 准备工作 。协助利益相关方理解 IT应急风险,明确作出决策的依据,需采取特定行动的原因及需要承担的社会责任等,针对性地设置突发公共安全事件情况下 IT应急风险管理流程,实现有效的 IT应急风险评估和恰当的风险应对 。

　　b) 风险评估 。针对突发公共安全事件开展 IT应急风险评估,及时发现 IT应急管理中存在的风险隐患和管理漏洞,持续提高 IT应急管理的有效性 。风险评估包括 :

　　● 风险识别,发现 、识别和描述可能有助于或妨碍组织实现突发公共安全事件情况下 IT 应急目标的风险 ;

　　● 风险分析,理解包括突发公共安全事件情况下 IT应急风险水平在内的风险性质和特征 ;

　　● 风险评价,将突发公共安全事件情况下 IT应急风险分析的结果与既定的风险准则进行比较,以确定需要采取何种应对措施 。

　　c) 风险应对 。选择和实施应对突发公共安全事件情况下 IT应急风险的方式 。

　　d) 监督和检查 。保证和提升突发公共安全事件情况下的流程设计 、实施与结果的质量和有效性 。

　　e) 记录和报告 。需在组织内传达应对突发公共安全事件的 IT应急风险管理活动和成果,为决策提供信息 、改进相关的 IT应急风险管理活动,以及协助与利益相关方的互动等 。

　　10 . 4 信息系统

　　突发公共安全事件情况下的应急风险管理信息系统用于支持决策层或最高管理者 、应急风险管理相关部门(或机构)及咨询机构人员完成相关工作,该信息系统需与内外部应急管理系统实现联动,包括但不限于 :

　　a) 建立应对突发公共安全事件的应急风险管理信息系统,并实现与应急管理系统(如远程办公系统 、远程运营系统 、应急全过程控制系统等)的联动与控制 ;

　　b) 与外部应急管理系统资源进行整合 、实现信息共享 ;

　　c) 建立应对突发公共安全事件的应急风险管理信息系统管理制度和流程 ;

　　d) 明确应对突发公共安全事件的网络与信息安全管理要求 ;

　　8

　　GB/T 43046—2023

　　e) 明确应对突发公共安全事件的 IT远程研发支撑要求 ;

　　f) 建立应对突发公共安全事件的应急风险管理信息系统的应急预案,并对演练组织管理和实施过程进行控制及监督 ;

　　g) 对应对突发公共安全事件的应急风险管理信息系统生存周期进行管控,包括信息系统的建设 、运维 、使用及下线等。

　　10 . 5 数据

　　组织应对突发公共安全事件情况下 IT应急风险管理过程中使用和形成的数据进行管理,包括但不限于 :

　　a) 明确相关的 IT应急风险数据管理范围,包括内部数据及与外部共享的数据等 ;

　　b) 明确相关的 IT应急风险数据管理目标和策略 ;

　　c) 明确相关的 IT应急风险数据组织管理,包括组织架构 、责任人 、角色 、职责和权限等 ;

　　d) 制定相关的 IT应急风险数据管理制度和流程,包括一般应急数据和共享数据的管理 ;

　　e) 建立相关的 IT应急风险数据安全管理机制 ;

　　f) 建立相关的个人信息保护管理机制 ;

　　g) 开展相关的 IT应急风险数据生存周期管控,包括数据的收集 、存储 、使用 、加工 、传输 、提供 、公开等。

　　10 . 6 其他

　　对于本文件未明确的其他要素(如无形资产 、实物资产等),组织在提出应对突发公共安全事件的IT应急风险管理要求时,宜依据相应的标准规范进行确定。

　　1 1 风险管理实施

　　1 1 . 1 统筹和规划

　　组织进行应对突发公共安全事件的 IT应急风险管理实施时,宜充分考虑此情况下 IT应急管理的状况,在决策层或最高管理者的领导下,充分发挥 IT应急风险管理的作用,包括但不限于 :

　　a) 充分配合国家 、地方 、行业或领域等突发公共安全事件下的 IT应急风险管理工作,履行社会责任,并实施与外部的联防 、联动 ;

　　b) 明确组织应对突发公共安全事件的 IT应急风险管理目标和任务,营造必要的 IT应急风险管理环境,做好 IT应急风险管理与 IT应急管理有效对接的准备 ;

　　c) 评估应对突发公共安全事件的 IT应急风险管理资源 、环境和人员能力等现状,分析现状与法律法规 、行业监管 、业务发展以及利益相关方等要求的差距,为相应 IT应急风险管理方案的制定提供依据 ;

　　d) 指导应对突发公共安全事件的 IT应急风险管理方案制定,包括组织机构和责权利的规划 、管理范围和任务的明确以及实施策略和流程的设计;制定 IT应急风险管理方案时,宜充分考虑应对突发公共安全事件下 IT应急管理的实际情况及与外部的协同 ;

　　e) 监督应对突发公共安全事件的 IT应急风险管理统筹和规划过程,保证现状评估的客观性 、组织机构设计的合理性及 IT应急风险管理方案的可行性等。

　　1 1 . 2 构建和运行

　　结合应对突发公共安全事件的 IT 应急管理实施,构建相应的 IT 应急风险管理实施机制和路

　　9

　　GB/T 43046—2023

　　径,确保 IT应急风险管理实施的有序运行和成效,包括但不限于 :

　　a) 评估应对突发公共安全事件的 IT应急风险管理方案与现有资源 、环境和能力的匹配程度,为应对突发公共安全事件情况下 IT应急风险管理与 IT应急管理的有效对接提供指导 ;

　　b) 制定应对突发公共安全事件的 IT应急风险管理实施方案,包括组织机构和团队的构建 、职责与分工的明确 、内外部实施路线图的制定 、实施方法的选择以及管理制度的建立和执行等 ;

　　c) 监督应对突发公共安全事件的 IT应急风险管理构建和运行过程,确保相应 IT应急风险管理实施过程与方案的符合 、管理资源的可用和管理活动的可持续等。

　　1 1 . 3 监控和评价

　　监控应对突发公共安全事件的 IT应急风险管理实施过程以及与 IT应急管理的对接情况,评价相关工作的合规与成效,保障 IT应急风险管理目标的实现,包括但不限于 :

　　a) 构建必要的应对突发公共安全事件 IT应急评估体系 、内控体系或审计体系,制定相应的评价机制 、制度和流程 ;

　　b) 评估应对突发公共安全事件的 IT应急风险管理相关工作成效与目标符合性,为应对突发公共安全事件的 IT应急风险管理方案改进和优化提供参考,必要时可聘请外部机构进行评估 ;

　　c) 定期监控和评价突发公共安全事件情况下 IT 应急风险管理相关工作实施的有效性 、合规性,确保相关工作符合法律法规和行业监督要求。

　　1 1 . 4 改进和优化

　　持续改进应对突发公共安全事件的 IT应急风险管理实施过程以及与 IT应急管理的对接工作,包括但不限于 :

　　a) 持续评估应对突发公共安全事件的 IT应急风险管理相关资源 、环境 、能力 、实施和绩效等, 以支撑应对突发公共安全事件的 IT应急风险管理体系建设 ;

　　b) 指导应对突发公共安全事件的 IT应急风险管理方案改进,优化相应 IT应急风险管理的实施策略 、方法 、制度和流程,促进相应 IT应急风险管理体系 、资源和基础工作的完善 ;

　　c) 监督应对突发公共安全事件的 IT应急风险管理相关工作改进和优化过程,为 IT应急风险管控和 IT应急管理价值的实现提供保障。

　　10

　　GB/T 43046—2023

　　附 录 A

　　(资料性)

　　IT应急管理总体风险

　　A. 1 IT应急战略风险

　　组织应开展突发公共安全事件情况下 IT应急战略风险的管控,风险类型包括但不限于 :

　　a) 与外部(国家 、地方 、行业或领域等)协同的相关 IT应急战略风险 ;

　　b) 决策层或最高管理者对相关 IT应急战略评估 、指导和监督的风险 ;

　　c) 相关 IT应急战略目标管理风险,包括未能根据组织业务发展的总体目标 、经营规模以及风险控制的基本策略和风险偏好,确定适当的 IT应急战略;未确定重要业务及其恢复目标等 ;

　　d) 相关 IT应急战略预算管理的风险 ;

　　e) 相关 IT应急战略管理体系建设和运行风险 ;

　　f) 相关 IT应急战略规划制定 、实施 、监控和改进风险 ;

　　g) 相关 IT应急战略与业务战略一致性风险 ;

　　h) 相关 IT应急战略技术选择风险,与业务需求匹配的风险 ;

　　i) 相关 IT资源保障的风险 。

　　A. 2 IT应急组织风险

　　组织应开展突发公共安全事件情况下 IT应急组织风险的管控,风险类型包括但不限于 :

　　a) 组织环境分析风险,包括未对内外部环境进行全面分析 、未充分识别相关方与法律法规要求 、未明确管理体系的范围等 ;

　　b) 内外部联动机制风险,包括未能有效配合国家 、地方 、行业或领域等的 IT应急管理工作 、未能有效统筹组织内的 IT应急管理工作等 ;

　　c) 应急领导力风险,包括组织的各级管理者未能证明其在实现相关IT应急管理方针和目标方面的承诺和领导力 、决策层或最高管理者未能证明其在相关 IT应急管理体系方面的承诺 、决策层或最高管理者对相关 IT应急管理方针的管理不规范及相关 IT应急管理组织的角色 、职责和权力方面存在问题等 ;

　　d) 组织分工和工作流程的风险 ;

　　e) IT应急团队人员安全与健康风险,包括各级各类人员因隔离 、死亡 、异动,无法参与 IT应急管理等 ;

　　f) 相关合作伙伴 、供应商 、外包商等响应能力及人员安全与健康的风险 。

　　A. 3 IT应急架构风险

　　组织应开展突发公共安全事件情况下 IT应急架构风险的管控,风险类型包括但不限于 :

　　a) IT应急架构与外部应对突发公共安全事件的 IT应急管理架构协同联动的风险 ;

　　b) 决策层或高级管理层对相关 IT应急架构评估 、指导和监督的风险 ;

　　c) IT应急架构与相关 IT应急管理战略一致性的风险 ;

　　d) IT应急架构规划 、设计 、实施 、服务等过程控制的风险 ;