GB/T 38299-2019 公共安全 业务连续性管理体系 供应链连续性指南

ICS13.200

A90

中华人民共和国国家标准

/—/:

GBT382992019ISO223182015

公共安全业务连续性管理体系

供应链连续性指南

——

SocietalsecuritBusinesscontinuitmanaementsstems

yygy

Guidelinesforsulchaincontinuit

ppyy

(:,)

ISO223182015IDT

2019-12-10发布2020-06-01实施

国家市场监督管理总局

发布

国家标准化管理委员会

/—/:

GBT382992019ISO223182015

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4供应链连续性的重要性…………………4

4.1总则…………………4

4.2供应链描述…………………………4

4.3供应链的动力………………………6

4.4SCCM的基本要素…………………7

4.5有效的SCCM的效益………………7

4.6实施有效的SCCM所面临的挑战…………………8

4.7保持供应链连续性的重要性………………………8

5供应链分析………………9

5.1总则…………………9

5.2分析供应链的注意事项……………9

5.3方法定义……………9

5.4分析的结构…………………………9

5.5开展分析……………10

5.6分析的输出…………………………11

5.7供应链分析关键点…………………11

6SCCM策略……………11

6.1总则…………………11

6.2连续性策略选择……………………12

6.3供应合同包含SCCM能力………………………12

6.4SCCM所有权………………………13

6.5连续性策略选择关键点……………13

7供应链中断的管理………………………13

7.1总则…………………13

7.2事件发生之前………………………13

7.3事件的发现与通报…………………14

7.4事件中………………14

7.5业务恢复常态………………………14

Ⅰ

/—/:

GBT382992019ISO223182015

7.6管理供应链中断的关键点…………14

8绩效评价…………………15

8.1总则…………………15

8.2与供应商深度合作…………………15

8.3实施SCCM绩效评价程序………………………15

8.4持续分析……………15

8.5绩效评价的输出……………………16

8.6绩效管理的关键点…………………16

参考文献……………………17

Ⅱ

/—/:

GBT382992019ISO223182015

前言

本标准按照/—给出的规则起草。

GBT1.12009

本标准使用翻译法等同采用:《公共安全业务连续性管理体系供应链连续性指

ISO223182015

南》。

与本标准中规范性引用的国际文件有一致性对应关系的我国文件如下:

———/—公共安全业务连续性管理体系要求(:,)

GBT301462013ISO223012012IDT

本标准由全国公共安全基础标准化技术委员会(/)提出并归口。

SACTC351

:、、、

本标准起草单位中国标准化研究院南京卫岗乳业有限公司中国信息安全认证中心咸亨国际科

、、、

技股份有限公司国网山东省电力公司北京城市系统工程研究中心广发银行股份有限公司信用卡中

、、、()

心北京市劳动保护科学研究所南方电网科学研究院有限责任公司英标认证技术培训北京有限

公司。

:、、、、、、、、、、

本标准主要起草人秦挺鑫白元龙尤其翟季青夏剑剑王晶晶杨正科汪彤周育忠邢立强

、、、、、、、、。

龚浩孙宏志孙世军李俊超朱伟张桂明代宝乾陆维斌赵连河

Ⅲ

/—/:

GBT382992019ISO223182015

引言

//,

和为组织如何保持供应链连续性提供了业务连续性指导本标准对其进

GBT30146GBT31595

。(),

行了深入拓展本标准假设开展供应链连续性管理SCCM的组织已了解业务连续性管理的原则并

()。,

已建立或准备实施符合相关标准的业务连续性管理体系BCMS此外本标准涉及未对产品或者服

务供应商连续性管理对组织的影响。

、,

本标准供负责采购管理组织必需产品或者服务的人员使用并有助于人员按照既定标准实施良好

的BCM实践。

。,

组织依赖供应商按时交付达成约定质量及标准的产品或者服务对于组织来说识别供应链中断

,。

对活动的潜在影响非常重要这也是业务连续性管理的重要环节供应商未按时交付达到约定质量和

。,(

成本的产品或者服务可引发业务中断事件对于相互冲突的目标可通过降低供应链成本如减少周期

)(、)。

时间和缓冲库存和管理供应链连续性风险如单一来源依赖按时供应两种方式解决

、,

本标准适用于同一组织有连续供应关系的外部内部供应商所提供的产品和服务和未按时交付造

成组织额外的一次采购安排。

,

依据其产品或者服务供应中断对组织的影响程度对供应商进行分级供应商级别用于确定供应商

。,。

与组织的关系级供应商与组织有直接的合同关系级供应商则向级供应商提供产品和服务同

121

。,

样的供应链连续性关注事项适用于各级供应商1级供应商需要确保其供应链关系并使客户了解1

,。

级以外的供应链具有足够的韧性以及级以外供应商的社会责任等因素

1

,

本标准给出的指导有助于供应商满足客户的业务连续性期望并可分析依赖单一客户产生的脆

弱性。

。

本标准推荐供应商也遵守ISO28000系列标准中关于供应链安全管理的规定遵守这些标准将有

,。

助于组织提高供应链韧性降低购买产品和服务时的中断风险

。。

业务连续性管理的要素见图本标准与业务连续性管理的要素的对应关系见表

11

图业务连续性管理()的要素

1BCM

Ⅳ

/—/:

GBT382992019ISO223182015

表1业务连续性管理要素与本标准章节的对应

BCMS要素本标准

实施的策划和控制第章

4

业务影响分析和风险评估第章

5

业务连续性策略第章

6

建立和实施业务连续性程序第章

7

演练和测试第章

8

Ⅴ

/—/:

GBT382992019ISO223182015

公共安全业务连续性管理体系

供应链连续性指南

1范围

本标准给出了理解和扩展/和/中供应商关系管理的原则的方法。

GBT30146GBT31595BCM

、(),

本标准是通用的且适用于所有类型规模和业务性质的组织或组织内的部分适用于组织内外部

。。

产品和服务的供应本标准应用程度取决于组织的运营环境和复杂性

。

供应链管理针对向组织供应产品或者服务相关的各项活动本标准重点关注组织为维持业务活动

,,

或者流程而面对的产品和服务连续供应问题以及供应链中供应商用于降低中断影响的连续性策略即

供应链连续性管理()。

SCCM

/和/给出了制定业务连续性计划和建立业务连续性管理体系的相关指导。

GBT30146GBT31595

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

公共安全术语(—)

ISO22300SocietalsecuritTerminolo

ygy

公共安全业务连续性管理体系要求(—

ISO22301SocietalsecuritBusinesscontinuit

yy

—)

manaementsstemsReuirements

gyq

3术语和定义

下列术语和定义适用于本文件。

3.1

业务连续性businesscontinuit

y

组织在中断性意外事件之后仍可以接受的预定义水平继续提供产品或者服务的能力。

[:,定义]

ISO2230020122.1.10

3.2

业务影响分析;

businessimactanalsisBIA

py

分析活动和业务中断可能带来的影响的过程。

[:,定义]

ISO2230020122.2.6

3.3

事态event

特定情况集合的发生或变化。

:,。

注事态可以是一次或多次发生的可能有多个原因

1

:。

注事态可以包括不是正在发生的事情

2

:“”“”。

注事态有时可发展为事件或事故

3

:“”“”“”。

注未造成后果的事态也可能被称为未遂接近发生或紧急

4

[:,定义]

ISO2230020122.1.8

1

/—/:

GBT382992019ISO223182015

3.4

演练exercise

、、。

在组织中训练评估实践和提高绩效的过程

:、、、、;;

注演练可以用于验证方针计划程序培训设备和组织间的协议明确和培训人员的角色和职责改善组织间

1

;;;;。

的协调和沟通识别资源上的差距提升个人绩能识别改进机会把握机会提升应变能力

:,。

注测试是演练的一种特殊类型它包含了对正在计划的演练目标或目的中成功或失败因素的预期

2

[:,定义]

ISO2230020122.4.8

3.5

事件incident

、、。

可能或将导致中断损失紧急状况或危机的情况

[:,定义]

ISO2230020122.1.15

3.6

风险risk

对于目标的不确定性影响。

:,。

注该影响是偏离预期目标的包括正面的或负面的

1

:(、),(、、

注目标可以有不同的方面例如财政健康和安全以及环境也可以应用于不同的层次例如战略组织范围项

2

、)。,、、、

目产品和过程目标可以用其他方式来表示例如作为预期结果意图运行准则业务连续性目标或用其

()。

他意思相近的词来表达例如目的或宗旨

:,。

注风险常被描述为潜在事态和后果或它们的组合

3

:()。

注风险通常被表述为事态的后果包括环境的变化和发生的可能性

4

:。

注不确定性是部分或完全缺少与事态的后果和可能性相关信息的状态

5

[:,定义]

ISO2230020122.1.5

3.7

最高管理者tomanaement

pg

在最高层指挥和控制组织的一个人或一组人。

:,。

注最高管理者有权力在组织内进行授权并提供资源

1

:,。

注如果管理体系的范围只涵盖了组织的一部分那么最高管理者指那些直接指导和操控该部分组织的人

2

[:,定义]

ISO2230020122.2.4

3.8

活动activit

y

()。

由组织或其代表为生产或支持一个或者多个产品和服务而执行的过程或者一组过程

:、、、。

示例此类过程包括账务呼叫中心服务信息技术生产和配送

[:,定义]

ISO2230120123.1

3.9

业务连续性管理;

businesscontinuitmanaementBCM

yg

。

识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程该

,、、

过程为组织建立有效应对威胁的自我恢复能力提供了框架以保护关键相关方的利益声誉品牌和创

造价值的活动。

[:,定义]

ISO2230120123.4

3.10

业务连续性管理体系;

businesscontinuitmanaementsstemBCMS

ygy

、、、、、,。

用于建立实施运行监视评审保持和改进业务连续性是一个组织整个管理体系的一部分

:、、、、、。

注管理体系包括组织结构方针规划活动职责程序过程和资源

[:,定义]

ISO2230120123.5

2

/—/:

GBT382992019ISO223182015

3.11

业务连续性计划businesscontinuitlan

yp

、、

用于指导组织在业务中断时进行响应恢复重新开始和还原到预先确定的业务运行水平的形成文

件的程序。

:、。

注业务连续性计划通常包括确保关键业务功能的连续性所需的资源服务和活动

[:,定义]

ISO2230120123.6

3.12

相关方interestedart

py

,,。

对决策或活动产生影响受到影响认为被影响的个人或组织

:。

注可以是与组织的任何决策或活动有利益关系的个人或团体

[:,定义]

ISO2230120123.21

3.13

最小业务连续性目标;

minimumbusinesscontinuitobectiveMBCO

yj

()。

在中断中组织为达到其业务连续性目标可以接受的最低标准的服务和或产品

[:,定义]

ISO2230120123.28

3.14

组织oranization

g

,、。

为了实现目标形成的具有自身职能按照一系列职责权限和相互关系安排的个人或一组人员

:、、、、、、,

注组织的概念包括但不限于个体商户公司集团企事业单位研究机构合伙企业慈善机构或是上述单位的

1

,,。

结合体无论其是否为法人团体公营还是私营