GB/T 31595-2025 安全与韧性 业务连续性管理体系 GB/T 30146使用指南

ICS0310001

CCSA.90.

中华人民共和国国家标准

GB/T31595—2025/ISO223132020

:

代替GB/T31595—2015

安全与韧性业务连续性管理体系

GB/T30146使用指南

Securityandresilience—Businesscontinuitymanagementsystems—

GuidanceontheuseofGB/T30146

ISO223132020Securitandresilience—Businesscontinuitmanaement

(:,yyg

sstems—GuidanceontheuseofISO22301IDT

y,)

2025-10-05发布2026-02-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T31595—2025/ISO223132020

:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

组织环境

4…………………1

领导力

5……………………5

策划

6………………………7

支持

7………………………9

运行

8………………………13

绩效评价

9…………………37

改进

10……………………39

参考文献

……………………41

Ⅰ

GB/T31595—2025/ISO223132020

:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替公共安全业务连续性管理体系指南与

GB/T31595—2015《》,GB/T31595—2015

相比除结构调整和编辑性改动外主要技术变化如下

,,:

更改了范围见第章年版的第章

———(1,20151);

删除了管理承诺见年版的

———“”(20155.2);

增加了业务连续性管理体系变更的策划见

———“”(6.3);

更改了沟通的相关内容见年版的

———“”(7.4,20157.4);

将存档信息改为成文信息见年版的

———“”“”(7.5,20157.5);

将实施改为运行见第章年版的第章

———“”“”(8,20158);

更改了业务影响分析的相关内容见年版的

———“”(8.2.2,20158.2.2);

更改了业务连续性策略的相关内容见年版的

———“”(8.3,20158.3);

将演练和测试改为演练方案见年版的

———“”“”(8.5,20158.5);

增加了业务连续性文件和能力评价见

———“”(8.6);

将绩效评估改为绩效评价见第章年版的第章

———“”“”(9,20159);

更改了监控测量分析和评价的相关内容见年版的

———“、、”(9.1,20159.1.1);

删除了业务连续性程序的评价见年版的

———“”(20159.1.2);

增加了审核方案见

———“”(9.2.2);

更改了管理评审的相关内容见年版的

———“”(9.3,20159.3);

更改了持续改进的相关内容见年版的

———“”(10.2,201510.2)。

本文件使等同采用安全与韧性业务连续性管理体系使用指南

ISO22313:2020《ISO22301》。

本文件做了下列最小限度的编辑性改动

:

为与现有标准协调将标准名称改为安全与韧性业务连续性管理体系使用

———,《GB/T30146

指南

》。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国公共安全基础标准化技术委员会提出并归口

(SAC/TC351)。

本文件起草单位北京市科学技术研究院中国标准化研究院中国科学技术大学国家市场监督管

:、、、

理总局认证认可技术研究中心北京科技大学厦门民航凯亚有限公司

、、。

本文件主要起草人王晶晶孟祥程王亚飞王皖朱伟周倩潘英徐凤娇秦挺鑫王春凯庞磊

:、、、、、、、、、、、

王健肖丽妮

、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2015GB/T31595—2015;

本次为第一次修订

———。

Ⅲ

GB/T31595—2025/ISO223132020

:

引言

01总则

.

本文件旨在为中规定的要求提供指南而非为业务连续性的所有方面提供通用指南

GB/T30146,。

本文件虽然和包括相同的条款标题但不会重述其要求以及相关术语和定义

GB/T30146,。

本文件旨在解释并阐明中要求的含义和目的并帮助理解本文件中引

GB/T30146,GB/T30146。

用并提供补充指导的国际标准和国家标准包括

GB/T35625、GB/T38299、GB/T40054、ISO22330、

及这些文件的范围可能超出的要求因此组织宜始终参考

ISO22331GB/T38209。GB/T30146。,

来验证所要满足的要求

GB/T30146。

本文件使用的图示是为了进一步阐明和解释要点这些图示仅用于说明性目的相关内容优先参

。,

考本文件正文

。

业务连续性管理体系强调以下方面的重要性

:

建立与组织目标一致的业务连续性方针和目标

a);

运行并保持过程能力与响应机制确保组织能经受住冲扰

b)、,;

监控和评审业务连续性管理体系绩效和有效性

c);

基于定性和定量测量的持续改进

d)。

业务连续性管理体系与其他管理体系类似包括以下组成部分

,。

方针

a)。

具备相应能力且职责明确的人员

b)。

涉及以下内容的管理过程

c):

方针

1);

策划

2);

实施和运行

3);

绩效评估

4);

管理评审

5);

持续改进

6)。

支持运行控制和绩效评价的成文信息

d)。

业务连续性通常是针对某一组织而言的然而其实施可能会对更广泛的群体及第三方产生深远影

,

响组织很可能依赖于一些外部组织同时也会有其他组织依赖于它因此有效的业务连续性有助于

。,。,

构建更具韧性的社会

。

02业务连续性管理体系的效益

.

业务连续性管理体系提高了组织在冲扰期间持续运行的准备水平还可改进对组织内外部关系的

,

理解更好地与相关方沟通创造持续改进的环境按照本文件中的建议和的要求实施

,,。GB/T30146,

业务连续性管理体系可带来许多其他的效益

。

按照第章组织环境组织

a)4(“”),:

评审其战略目标以确保业务连续性管理体系支持这些目标

1),;

重新考虑相关方的需求期望和要求

2)、;

了解适用的法律法规和其他义务

3)。

按照第章领导力组织

b)5(“”),:

Ⅳ

GB/T31595—2025/ISO223132020

:

重新考虑管理的角色和职责

1);

推动建设持续改进文化

2);

分配绩效监控和报告的职责

3)。

按照第章策划组织

c)6(“”),:

重新审视其风险和机会并找到应对和利用措施

1),;

建立有效的变更管理

2)。

按照第章支持组织

d)7(“”),:

建立对业务连续性管理体系资源的有效管理包括能力管理

1),;

提高员工对管理重要事项的认识

2);

具有有效的内部和外部沟通机制

3);

有效管理文件

4)。

按照第章运行组织需考虑

e)8(“”),:

变化的意外后果

1);

业务连续性优先级和要求

2);

依赖关系

3);

从影响角度看待脆弱性

4);

冲扰风险并确定最佳应对方法

5),;

在资源有限的情况下业务运行的替代方案

6);

处理冲扰的有效结构和程序

7);

对社会和其他相关方的职责

8)。

按照第章绩效评价组织

f)9(“”),:

具有有效的监控测量和绩效评价机制

1)、;

管理者参与监控业务连续性管理体系的绩效并对其有效性作出贡献

2)。

按照第章改进组织

g)10(“”),:

具有监控绩效和提高有效性的程序

1);

受益于管理体系的持续改进

2)。

因此实施业务连续性管理体系能

,:

保护生命资产和环境

a)、;

保护和提高组织的声誉与信誉

b);

使其在冲扰期间运行有助于提高组织竞争优势

c),;

减少因冲扰产生的成本并提高组织在冲扰期间保持有效的能力

d),;

有助于组织的整体韧性建设

e);

有助于相关方对组织的成功更有信心

f);

减少组织的法律和财务风险

g);

证明组织管理风险和解决运行脆弱性的能力

h)。

03策划—实施—检查—改进PDCA循环

.()

本文件应用策划实施检查改进循环从而策划建立实施运行监控审查保持

———(PDCA),、、、、、、

和持续改进组织业务连续性管理体系的有效性循环的说明见表

。PDCA1。

图说明了业务连续性管理体系把相关方的业务连续性管理要求作为输入并通过必要的措施和

1,

过程产生满足这些要求的业务连续性成果即受控的业务连续性

,()。

Ⅴ

GB/T31595—2025/ISO223132020

:

表1PDCA循环说明

策划建立与改进业务连续性相关的业务连续性方针目标过程和程序并与组织的总方针和目标

、、,

建立一致

()

实施

实施和运行业务连续性的方针过程和程序

执行和运行、

()

检查根据业务连续性方针和目标对绩效进行监控和评审并将结果报告管理者以供评审确定并

,,

监控和评审授权采取补救和改进措施

()

改进根据管理评审的结果和对业务连续性管理体系范围业务连续性方针和目标的重新评估采

、,

保持和改进取纠正措施保持和持续改进业务连续性管理体系

(),

图1应用于业务连续性管理体系过程的PDCA循环

04本文件中PDCA的组成

.

本文件中各章节和图内容间对应关系如表所示

12。

表2PDCA循环与第4章~第10章的对应关系

组成部分与组成部分对应的章节

PDCAPDCA

第章组织环境组织如何满足业务连续性管理体系要求并考虑所有相关的内外部因

4(“”),,

素包括

,:

相关方的需求和期望

———;

法律法规义务

策划———;

业务连续性管理体系要求的范围

建立———

()

第章领导力管理者在证明承诺确定方针分配角色和职责方面的关键作用

5(“”),、、

第章策划为实施业务连续性管理体系建立战略目标和指导原则的措施

6(“”),

第章支持支持业务连续性管理体系所需的要素即资源能力意识沟通和成文信息

7(“”),,、、、

实施

第章运行建立和保持业务连续性的过程

实施和运行8(“”),

()

检查

第章绩效评价通过绩效测量和评价为改进业务连续性管理体系提供基础

监控和评审9(“”),,

()

改进

第章改进解决通过绩效评价识别的不符合的纠正措施

保持和改进10(“”),

()

Ⅵ

GB/T31595—2025/ISO223132020

:

05本文件的内容

.

本文件的目的不是要建立统一的业务连续性管理体系结构而是为组织设计适合其自身需求并满

,

足相关方要求的业务连续性管理体系这些需求由法律法规组织和行业要求产品和服务所采用的

。、、、、

过程运行环境组织的规模和结构以及相关方的要求等构成

、,。

本文件不可用于评估组织的能力是否满足其业务连续性要求也不能用于评估是否满足其客户法

,、

律法规的要求有此需求的组织可使用

。GB/T30146。

第章第章阐述了范围规范性引用文件以及适用于本文件使用的术语和定义第章

1~3、。4~

第章包含对中要求的使用指南

10GB/T30146。

本文件运用了下列助动词

:

宜表示建议

a)“”;

可表示许可

b)“”;

能表示一种可能性或能力

c)“”。

06业务连续性

.

业务连续性是在冲扰发生后组织在预先定义的可接受的水平上连续交付产品或提供服务的能力

,。

业务连续性管理是实施和保持业务连续性的过程见和图以预防减轻和管理损失并为冲扰

(8.1.25),、,

做好准备

。

建立业务连续性管理体系使组织能控制评价和持续改进其业务连续性

、。

本文件中业务一词泛指组织为实现其目标目的或使命而开展的运营和服务适用于大型中

,“”、,、

型小型的工业商业公共和非营利组织

、、、。

冲扰有可能中断组织的整个运营及其交付产品和服务的能力但是在冲扰发生前实施业务连续

。,

性管理体系而不是在突发事件发生后以非计划的方式进行响应将使组织能够在所受影响尚未严重到

,,

不可接受之前恢复运营

。

业务连续性管理包括

:

识别组织的产品和服务以及交付这些产品和服务的活动

a),;

分析不恢复相关活动所造成的影响以及活动所依赖的资源

b),;

了解冲扰的风险

c);

确定恢复产品和服务交付的