1 范圍

      本標準給出了理解和擴展GB/T 30146和GB/T 31595中供應商關系管理的BCM原則的方法。

      本標準是通用的且適用于所有類型、規模和業務性質的組織（或組織內的部分），適用于組織內外部產品和服務的供應。本標準應用程度取決于組織的運營環境和復雜性。

      供應鏈管理針對向組織供應產品或者服務相關的各項活動。本標準重點關注組織為維持業務活動或者流程而面對的產品和服務連續供應問題，以及供應鏈中供應商用于降低中斷影響的連續性策略，即供應鏈連續性管理（SCCM）。

      GB/T 30146和GB/T 31595給出了制定業務連續性計劃和建立業務連續性管理體系的相關指導。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      ISO 22300 公共安全 術語（Societal security-Terminology）

      ISO 22301 公共安全 業務連續性管理體系 要求（Societal security-Business continuitymanagement systems-Requirements)

3 術語和定義

      下列術語和定義適用于本文件。

3.1

      業務連續性 business continuity

      組織在中斷性意外事件之后仍可以接受的預定義水平繼續提供產品或者服務的能力。

      ［ISO 22300：2012，定義2.1.10］

3.2

      業務影響分析 business impact analysis BIA

      ysis:BI

      分析活動和業務中斷可能帶來的影響的過程。

      ［ISO 22300：2012，定義2.2.6］

3.3

      事態 event

      特定情況集合的發生或變化。

      注1：事態可以是一次或多次發生的，可能有多個原因。

      注2：事態可以包括不是正在發生的事情。

      注3：事態有時可發展為“事件”或“事故”。

      注4：未造成后果的事態也可能被稱為“未遂”“接近發生”或“緊急”。

      ［ISO 22300：2012，定義2.1.8］

3.4

      演練 exercise

      在組織中訓練、評估、實踐和提高績效的過程。

      注1：演練可以用于驗證方針、計劃、程序、培訓、設備和組織間的協議；明確和培訓人員的角色和職責；改善組織間的協調和溝通：識別資源上的差距；提升個人績能；識別改進機會；把握機會提升應變能力。

      注2：測試是演練的一種特殊類型，它包含了對正在計劃的演練目標或目的中成功或失敗因素的預期。

      ［ISO 22300：2012，定義2.4.8］

3.5

      事件 incident

      可能或將導致中斷、損失、緊急狀況或危機的情況。

      ［ISO 22300：2012，定義2.1.15］

3.6

      風險 risk

      對于目標的不確定性影響。

      注1：該影響是偏離預期目標的，包括正面的或負面的。

      注2：目標可以有不同的方面（例如財政、健康和安全以及環境），也可以應用于不同的層次（例如戰略、組織范圍、項目、產品和過程），目標可以用其他方式來表示，例如作為預期結果、意圖、運行準則、業務連續性目標或用其他意思相近的詞來表達（例如目的或宗旨）。

      注3：風險常被描述為潛在事態和后果，或它們的組合。

      注4：風險通常被表述為事態的后果（包括環境的變化）和發生的可能性。

      注5：不確定性是部分或完全缺少與事態的后果和可能性相關信息的狀態。

      ［ISO 22300：2012，定義 2.1.5］

3.7

      最高管理者 top management

      在最高層指揮和控制組織的一個人或一組人。

      注1：最高管理者有權力在組織內進行授權，并提供資源。

      注2：如果管理體系的范圍只涵蓋了組織的一部分，那么最高管理者指那些直接指導和操控該部分組織的人。

      ［ISO 22300：2012，定義2.2.4］

3.8

      活動 activity

      由組織（或其代表）為生產或支持一個或者多個產品和服務而執行的過程或者一組過程。

      示例：此類過程包括賬務、呼叫中心服務、信息技術、生產和配送。

      ［ISO 22301：2012，定義3.1］

3.9

      業務連續性管理 business continuity management；BCM

      識別對組織的潛在威脅以及這些威脅一旦發生可能對業務運行帶來的影響的一整套管理過程。該過程為組織建立有效應對威脅的自我恢復能力提供了框架，以保護關鍵相關方的利益、聲譽、品牌和創造價值的活動。

      ［ISO 22301：2012，定義3.4］

3.10

      業務連續性管理體系 business continuity management system：BCMS

      用于建立、實施、運行、監視、評審、保持和改進業務連續性，是一個組織整個管理體系的一部分。      注：管理體系包括組織結構、方針、規劃活動、職責、程序、過程和資源。

      ［ISO 22301：2012，定義3.5］

3.11

      業務連續性計劃 business continuity plan

      用于指導組織在業務中斷時進行響應、恢復、重新開始和還原到預先確定的業務運行水平的形成文件的程序。

      注：業務連續性計劃通常包括確保關鍵業務功能的連續性所需的資源、服務和活動。

      ［ISO 22301：2012，定義3.6］

3.12

      相關方 interested party

      對決策或活動產生影響，受到影響，認為被影響的個人或組織。

      注：可以是與組織的任何決策或活動有利益關系的個人或團體。

      ［ISO 22301：2012，定義3.21］

3.13

      最小業務連續性目標 minimum business continuity objective;MBCO

      在中斷中組織為達到其業務連續性目標可以接受的最低標準的服務和（或）產品。

      ［ISO 22301：2012，定義3.28］

3.14

      組織 organization

      為了實現目標形成的具有自身職能，按照一系列職責、權限和相互關系安排的個人或一組人員。

      注1：組織的概念包括但不限于個體商戶、公司、集團、企事業單位、研究機構、合伙企業、慈善機構，或是上述單位的結合體，無論其是否為法人團體，公營還是私營。

      注2：對于擁有一個以上運營單位的組織，可以把每一個單獨運營的單位視為一個組織。

      ［ISO 22301：2012，定義3.33］

3.15

      外包 outsource

      把組織的部分職能或過程安排給外部組織。

      注：雖然外包的職能和過程屬于管理體系的范圍，但外部組織則在此范圍之外。

      ［ISO 22301：2012，定義3.34］

3.16

      產品和服務 products and services

      組織提供給顧客、服務對象和相關方的有益成果，例如制成品、汽車保險和社區護理。

      ［ISO 22301：2012，定義3.41］

3.17

      恢復時間目標 recovery time objective;RTO

      事件發生后到下列活動完成之間的時間段：

      ——產品或者服務必須恢復；

      ——活動應恢復；

      ——資源應復原。

      注：對于產品、服務和活動，恢復時間目標應小于組織不能接受的導致產品/服務停止供應、活動無法執行等負面影響所需的時間。

      ［ISO 22301：2012，定義3.45］

3.18

      資源 resources

      為了運行和實現目標，組織在需要時可供使用的所有資產、人員、技能、信息、技術（包括工廠和設備）、場地、物資和信息（無論是否為電子格式）。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。