1 范圍

      本標準給出了理解和擴展GB/T 30146和GB/T 31595中供應商關系管理的BCM原則的方法。

      本標準是通用的且適用于所有類型、規(guī)模和業(yè)務性質(zhì)的組織（或組織內(nèi)的部分），適用于組織內(nèi)外部產(chǎn)品和服務的供應。本標準應用程度取決于組織的運營環(huán)境和復雜性。

      供應鏈管理針對向組織供應產(chǎn)品或者服務相關的各項活動。本標準重點關注組織為維持業(yè)務活動或者流程而面對的產(chǎn)品和服務連續(xù)供應問題，以及供應鏈中供應商用于降低中斷影響的連續(xù)性策略，即供應鏈連續(xù)性管理（SCCM）。

      GB/T 30146和GB/T 31595給出了制定業(yè)務連續(xù)性計劃和建立業(yè)務連續(xù)性管理體系的相關指導。

2 規(guī)范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      ISO 22300 公共安全 術語（Societal security-Terminology）

      ISO 22301 公共安全 業(yè)務連續(xù)性管理體系 要求（Societal security-Business continuitymanagement systems-Requirements)

3 術語和定義

      下列術語和定義適用于本文件。

3.1

      業(yè)務連續(xù)性 business continuity

      組織在中斷性意外事件之后仍可以接受的預定義水平繼續(xù)提供產(chǎn)品或者服務的能力。

      ［ISO 22300：2012，定義2.1.10］

3.2

      業(yè)務影響分析 business impact analysis BIA

      ysis:BI

      分析活動和業(yè)務中斷可能帶來的影響的過程。

      ［ISO 22300：2012，定義2.2.6］

3.3

      事態(tài) event

      特定情況集合的發(fā)生或變化。

      注1：事態(tài)可以是一次或多次發(fā)生的，可能有多個原因。

      注2：事態(tài)可以包括不是正在發(fā)生的事情。

      注3：事態(tài)有時可發(fā)展為“事件”或“事故”。

      注4：未造成后果的事態(tài)也可能被稱為“未遂”“接近發(fā)生”或“緊急”。

      ［ISO 22300：2012，定義2.1.8］

3.4

      演練 exercise

      在組織中訓練、評估、實踐和提高績效的過程。

      注1：演練可以用于驗證方針、計劃、程序、培訓、設備和組織間的協(xié)議；明確和培訓人員的角色和職責；改善組織間的協(xié)調(diào)和溝通：識別資源上的差距；提升個人績能；識別改進機會；把握機會提升應變能力。

      注2：測試是演練的一種特殊類型，它包含了對正在計劃的演練目標或目的中成功或失敗因素的預期。

      ［ISO 22300：2012，定義2.4.8］

3.5

      事件 incident

      可能或?qū)е轮袛?、損失、緊急狀況或危機的情況。

      ［ISO 22300：2012，定義2.1.15］

3.6

      風險 risk

      對于目標的不確定性影響。

      注1：該影響是偏離預期目標的，包括正面的或負面的。

      注2：目標可以有不同的方面（例如財政、健康和安全以及環(huán)境），也可以應用于不同的層次（例如戰(zhàn)略、組織范圍、項目、產(chǎn)品和過程），目標可以用其他方式來表示，例如作為預期結(jié)果、意圖、運行準則、業(yè)務連續(xù)性目標或用其他意思相近的詞來表達（例如目的或宗旨）。

      注3：風險常被描述為潛在事態(tài)和后果，或它們的組合。

      注4：風險通常被表述為事態(tài)的后果（包括環(huán)境的變化）和發(fā)生的可能性。

      注5：不確定性是部分或完全缺少與事態(tài)的后果和可能性相關信息的狀態(tài)。

      ［ISO 22300：2012，定義 2.1.5］

3.7

      最高管理者 top management

      在最高層指揮和控制組織的一個人或一組人。

      注1：最高管理者有權力在組織內(nèi)進行授權，并提供資源。

      注2：如果管理體系的范圍只涵蓋了組織的一部分，那么最高管理者指那些直接指導和操控該部分組織的人。

      ［ISO 22300：2012，定義2.2.4］

3.8

      活動 activity

      由組織（或其代表）為生產(chǎn)或支持一個或者多個產(chǎn)品和服務而執(zhí)行的過程或者一組過程。

      示例：此類過程包括賬務、呼叫中心服務、信息技術、生產(chǎn)和配送。

      ［ISO 22301：2012，定義3.1］

3.9

      業(yè)務連續(xù)性管理 business continuity management；BCM

      識別對組織的潛在威脅以及這些威脅一旦發(fā)生可能對業(yè)務運行帶來的影響的一整套管理過程。該過程為組織建立有效應對威脅的自我恢復能力提供了框架，以保護關鍵相關方的利益、聲譽、品牌和創(chuàng)造價值的活動。

      ［ISO 22301：2012，定義3.4］

3.10

      業(yè)務連續(xù)性管理體系 business continuity management system：BCMS

      用于建立、實施、運行、監(jiān)視、評審、保持和改進業(yè)務連續(xù)性，是一個組織整個管理體系的一部分。      注：管理體系包括組織結(jié)構、方針、規(guī)劃活動、職責、程序、過程和資源。

      ［ISO 22301：2012，定義3.5］

3.11

      業(yè)務連續(xù)性計劃 business continuity plan

      用于指導組織在業(yè)務中斷時進行響應、恢復、重新開始和還原到預先確定的業(yè)務運行水平的形成文件的程序。

      注：業(yè)務連續(xù)性計劃通常包括確保關鍵業(yè)務功能的連續(xù)性所需的資源、服務和活動。

      ［ISO 22301：2012，定義3.6］

3.12

      相關方 interested party

      對決策或活動產(chǎn)生影響，受到影響，認為被影響的個人或組織。

      注：可以是與組織的任何決策或活動有利益關系的個人或團體。

      ［ISO 22301：2012，定義3.21］

3.13

      最小業(yè)務連續(xù)性目標 minimum business continuity objective;MBCO

      在中斷中組織為達到其業(yè)務連續(xù)性目標可以接受的最低標準的服務和（或）產(chǎn)品。

      ［ISO 22301：2012，定義3.28］

3.14

      組織 organization

      為了實現(xiàn)目標形成的具有自身職能，按照一系列職責、權限和相互關系安排的個人或一組人員。

      注1：組織的概念包括但不限于個體商戶、公司、集團、企事業(yè)單位、研究機構、合伙企業(yè)、慈善機構，或是上述單位的結(jié)合體，無論其是否為法人團體，公營還是私營。

      注2：對于擁有一個以上運營單位的組織，可以把每一個單獨運營的單位視為一個組織。

      ［ISO 22301：2012，定義3.33］

3.15

      外包 outsource

      把組織的部分職能或過程安排給外部組織。

      注：雖然外包的職能和過程屬于管理體系的范圍，但外部組織則在此范圍之外。

      ［ISO 22301：2012，定義3.34］

3.16

      產(chǎn)品和服務 products and services

      組織提供給顧客、服務對象和相關方的有益成果，例如制成品、汽車保險和社區(qū)護理。

      ［ISO 22301：2012，定義3.41］

3.17

      恢復時間目標 recovery time objective;RTO

      事件發(fā)生后到下列活動完成之間的時間段：

      ——產(chǎn)品或者服務必須恢復；

      ——活動應恢復；

      ——資源應復原。

      注：對于產(chǎn)品、服務和活動，恢復時間目標應小于組織不能接受的導致產(chǎn)品/服務停止供應、活動無法執(zhí)行等負面影響所需的時間。

      ［ISO 22301：2012，定義3.45］

3.18

      資源 resources

      為了運行和實現(xiàn)目標，組織在需要時可供使用的所有資產(chǎn)、人員、技能、信息、技術（包括工廠和設備）、場地、物資和信息（無論是否為電子格式）。

以上為標準部分內(nèi)容，如需看標準全文，請到相關授權網(wǎng)站購買標準正版。