GB/T 40755-2021 公共安全 业务连续性管理体系 业务连续性管理能力评估指南

　　ICS 13 . 200 CCS A 90

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 40755—2021

　　公共安全 业务连续性管理体系业务连续性管理能力评估指南

　　Societalsecurity—Businesscontinuitymanagementsystems—

　　Guidanceonbusinesscontinuitymanagementcapabilityassessment

　　2021-1 1-26 发布 2022-05-01 实施

　　国家市场监督管理总局国家标准化管理委员会

　　发

　　布

　　GB/T 40755—202 1

　　GB/T 40755—202 1

　　前 言

　　本文件按照 GB/T 1 . 1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规定起草。

　　请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别专利的责任。

　　本文件由全国公共安全基础标准化技术委员会(SAC/TC 351)提出并归口 。

　　本文件起草单位：中国标准化研究院、中国网络安全审查技术与认证中心、北京安创信达科技有限公司、广东省珠海市质量技术监督标准与编码所、阿里云计算有限公司、国网山东省电力公司、北京城市系统工程研究中心。

　　本文件主要起草人：秦挺鑫、魏军、祁小华、董晓媛、王皖、刘仁寰、孙世军、李津、尤其、朱坤双、徐凤娇、王晶晶、张超、王亚飞、张卓、周倩、沈乘黄。

　　GB/T 40755—202 1

　　公共安全 业务连续性管理体系

　　业务连续性管理能力评估指南

　　1 范围

　　本文件提出了业务连续性管理能力模型，以及基于该模型的业务连续性管理能力评估方法。

　　本文件适用于：

　　a) 各种规模和类型的组织对自身业务连续性管理能力进行自我评估;

　　b) 外部机构对上述组织的业务连续性管理能力进行评估。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中，注 日期的引用文件，仅该日期对应的版本适用于本文件;不注 日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 30146 公共安全 业务连续性管理体系 要求

　　3 术语和定义

　　GB/T 30146 界定的术语和定义适用于本文件。

　　3.1

　　业务连续性管理能力 businesscontinuitymanagementcapability

　　在中断事件发生之前、期间以及之后开展预防、准备、响应及恢复业务的管理能力。

　　3.2

　　能力构造 capabilitystructure

　　构成业务连续性能力并存在相互联系的各要素的集合。

　　3.3

　　能力指标 capabilityindex

　　用于度量组织业务连续性管理某一局部能力的要素。

　　注：本文件中能力指标均隶属于某一能力构造并用于测度该能力构造。

　　4 业务连续性管理能力模型

　　4 . 1 业务连续性管理能力等级

　　业务连续性管理能力划分为 5 个等级，见图 1 。管理能力等级自低向高依次为起始级(1 级)、发展级(2 级)、稳健级(3 级)、优秀级(4 级)和卓越级(5 级)，每个能力等级表明当前组织业务连续性管理能力所达到的水平。 数字越大，能力等级越高，且较高的能力等级涵盖了低于其等级的全部要求。

　　GB/T 40755—202 1

　　图 1 业务连续性管理能力等级

　　对于一个组织，业务连续性管理能力的提升一般是通过渐进的方式来实现的。 除了起始级(1 级)以外，每个能力等级都表明，组织已经有意识地开展了与该等级相匹配的业务连续性管理活动。 在此基础上，组织可以选择一个更高的能力等级并加以改进。 上述过程为组织持续提升 自身的业务连续性管理能力提供了路线图。

　　不同能力等级对应了不同的业务连续性管理水平：

　　a) 起始级(1 级)：该等级情况下，组织缺乏开展业务连续性管理工作的意识。组织在中断事件发生时的准备、响应和恢复，主要取决于组织当时拥有的资源和措施，以及相关人员的个人能力。

　　b) 发展级(2 级)：该等级情况下，组织的业务连续性管理工作是经过简单策划的。组织为应对中断事件在机制、资源、措施及人员能力方面开展了预先准备，但这些准备工作在充分性和有效性方面存在明显的不足。

　　c) 稳健级(3 级)：该等级情况下，组织的业务连续性管理工作是经过系统策划的，并且有措施确保相关工作受控执行。 组织为应对中断事件，在机制、资源、措施及人员能力方面都有较充分和有效的准备。

　　d) 优秀级(4 级)：该等级情况下，组织的业务连续性管理工作是体系化的，并且注重通过各种措施确保相关工作得到严格执行。 组织为应对可能发生的冲击在机制、资源、措施及人员能力方面开展了相当充分且有效的准备。 此外，组织在重大经营活动中量化并监测其绩效，并予以持续改进。

　　e) 卓越级(5 级)：该等级情况下，组织的业务连续性管理工作是严格体系化的，并且强调通过各种措施确保相关工作严格执行。 组织为应对中断事件在机制、资源、措施及人员能力方面开展了充分的、有效的准备。 组织在其经营活动中量化并监测其绩效，予以持续改进以追求更佳绩效。

　　4 . 2 能力构造

　　组织的业务连续性管理能力可分解为组织与领导力，业务影响分析和风险评估，业务连续性策略、解决方案和计划，培训与宣贯，资源建设与维护，演练、监视、测量和改进 6 个方面，即 6 个能力域;每个

　　GB/T 40755—202 1

　　能力域又由若干能力子域构成;每个能力子域又包括若干能力项。

　　各层级能力构造见附录 A。

　　4 . 3 能力评价

　　能力指标评分规则见附录 B。

　　能力指标权重可采用平权的方法，组织也可根据自身情况确定各指标权重。

　　能力评分由其能力域评分聚合得到，即

　　犐= Σ 犇 × w …………………………( 1 )

　　式中：

　　犐 — 业务连续性管理能力;

　　犇 — 能力域评分;

　　w — 权重。

　　能力域评分由其能力子域评分聚合得到，即

　　犇= Σ 犉 × w …………………………( 2 )

　　式中：

　　犇 — 能力域评分;

　　犉 — 能力子域评分;

　　w — 权重。

　　能力子域评分由其能力项评分聚合得到，即

　　犉=Σ(犘× 2 + 1) × w …………………………( 3 )

　　式中：

　　犉 — 能力子域评分;

　　犘 — 能力项评分;

　　w — 权重。

　　5 评估方法

　　5 . 1 静态评估

　　采用文件评审、现场勘查等方法对相关指标进行评估。

　　5 . 2 动态评估

　　通过访谈、演练等方式对相关指标进行评估。

　　6 能力定级

　　根据 4.3 业务连续性管理能力评分 Ⅰ 对业务连续性管理能力进行定级：

　　a ) 得分在(0,1],起始级;

　　b ) 得分在(1,2 .5],发展级;

　　c ) 得分在(2 .5,3 .5],稳健级;

　　d ) 得分在(3 .5,4 .5],优秀级;

　　e) 得分在(4.5,5],卓越级。

　　GB/T 40755—202 1

　　附 录 A

　　(资料性)能 力 构 造

　　业务连续性管理能力模型由能力构造和能力指标组成，其中能力构造包括：能力、能力域、能力子域和能力项。 如表 A. 1 所示：

　　表 A.1 能力构造

　　GB/T 40755—202 1

　　表 A.1 能力构造(续)

　　GB/T 40755—202 1

　　附 录 B

　　(资料性)

　　能力指标评分规则

　　能力指标评分规则见表 B. 1 。

　　表 B.1 能力指标评分规则

　　GB/T 40755—202 1

　　表 B.1 能力指标评分规则(续)

　　GB/T 40755—202 1

　　表 B.1 能力指标评分规则(续)

　　GB/T 40755—202 1

　　表 B.1 能力指标评分规则(续)

　　GB/T 40755—202 1

　　表 B.1 能力指标评分规则(续)

　　GB/T 40755—202 1

　　表 B.1 能力指标评分规则(续)