ICS 03.100.01 GB CCS A 90 中华人民共和国国家标准 GB/T31595—2025/IS022313:2020 代替GB/T31595—2015 安全与韧性 业务连续性管理体系 GB/T30146使用指南 Security and resilience-Business continuity management systems- Guidance on the use of GB/T 30146 (ISO 22313:2020,Security and resilience—Business continuity management systems—Guidance on the use of ISO 22301,IDT) 2025-10-05发布 2026-02-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T31595—2025/ISO22313:2020 目 次 前言 引言 范围 规范性引用文件 2 3 术语和定义 组织环境 4 5 领导力 6 策划 支持 8 运行 13 9 绩效评价： 37 10 改进 39 参考文献 GB/T31595—2025/ISO22313:2020 前言 本文件按照GB/T1.1一2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T31595—2015《公共安全 业务连续性管理体系 指南》，与GB/T31595—2015 相比，除结构调整和编辑性改动外，主要技术变化如下： 更改了范围（见第1章，2015年版的第1章）； 删除了“管理承诺”（见2015年版的5.2）； 增加了"业务连续性管理体系变更的策划”（见6.3)； 更改了“沟通”的相关内容（见7.4，2015年版的7.4）； 将“存档信息”改为“成文信息”（见7.5，2015年版的7.5）； 将“实施”改为“运行”（见第8章，2015年版的第8章）； 务影响分析”的相关内容（见8.2.2，2015年版的8.2.2）； 更改了 更改 续性策略”的相关内容（见8.3，2015年版的8.3）； 改为“演练方案”（见8.5，2015年版的8.5）； 将“演练和测试” 续性文件和能力评价”（见8.6）； 增加了 将“绩效评 绩效评价”（见第9章，2015年版的第9章）； 更改了 分析和评价"的相关内容（见9.1，2015年版的9.1.1）； 连续性程序的评价”（见2015年版的9.1.2）； 删除丁 增加了： （见9.2.2）； 更改了 管理评审的相关内容（见9.3，2015年版的9.3）； 更改了“持续改进”的相关内容（见10.2,2015年版的10.2）。 本文件使等同采用ISO22313:2020《安全与韧性 业务连续性管理体系 ISO22301使用指南》。 本文件做了下列最小限度的编辑性改动： 为与现有标准协调，将标准名称改为《安全与韧性 业务连续性管理体系 GB/T30146使用 指南》。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国公共安全基础标准化技术委员会（SAC/TC351)提出并归口。 本文件起草单位：北京市科学技术研究院、中国标准化研究院、中国科学技术大学、国家市场监督管 理总局认证认可技术研究中心、北京科技大学、厦门民航凯亚有限公司。 本文件主要起草人：王晶晶、孟祥程、王亚飞、王皖、朱伟、周倩、潘英、徐凤娇、秦挺鑫、王春凯、庞磊、 王健、肖丽妮。 本文件及其所代替文件的历次版本发布情况为： -2015年首次发布为GB/T31595—2015； 一本次为第一次修订。 GB/T31595—2025/ISO22313:2020 引言 0.1总则 本文件旨在为GB/T30146中规定的要求提供指南，而非为业务连续性的所有方面提供通用指南， 本文件虽然和GB/T30146包括相同的条款标题，但不会重述其要求以及相关术语和定义。 本文件旨在解释并阐明GB/T30146中要求的含义和目的，并帮助理解GB/T30146。本文件中引 ISO22331及GB/T38209。这些文件的范围可能超出GB/T30146的要求。因此，组织宜始终参考 GB/T30146来验证所要满足的要求。 本文件使用的图示是为了进一步阐明和解释要点。这些图示仅用于说明性目的，相关内容优先参 考本文件正文。 业务连续性管理体系强调以下方面的重要性： a） 建立与组织目标一致的业务连续性方针和目标； b) 运行并保持过程、能力与响应机制，确保组织能经受住冲扰； c) 监控和评审业务连续性管理体系绩效和有效性； d) 基于定性和定量测量的持续改进。 a) 方针。 b) 具备相应能力且职责明确的人员。 c) 涉及以下内容的管理过程： 1）方针； 2）策划； 实施和运行； 4）绩效评估； 5）管理评审： 6）持续改进。 d）支持运行控制和绩效评价的成文信息。 业务连续性通常是针对某一组织而言的，然而其实施可能会对更广泛的群体及第三方产生深远影 响。组织很可能依赖于一些外部组织，同时也会有其他组织依赖于它。因此，有效的业务连续性有助于 构建更具韧性的社会。 0.2业务连续性管理体系的效益 业务连续性管理体系提高了组织在冲扰期间持续运行的准备水平，还可改进对组织内外部关系的 理解，更好地与相关方沟通，创造持续改进的环境。按照本文件中的建议和GB/T30146的要求，实施 业务连续性管理体系可带来许多其他的效益。 a）按照第4章（"组织环境"），组织： 1）评审其战略目标，以确保业务连续性管理体系支持这些目标； 2）重新考虑相关方的需求、期望和要求； 3）了解适用的法律法规和其他义务。 b) 按照第5章（"领导力”），组织： IV GB/T31595—2025/ISO22313:2020 1) 重新考虑管理的角色和职责； 推动建设持续改进文化； 2) 3) 分配绩效监控和报告的职责。 按照第6章（“策划"），组织： c) 1) 重新审视其风险和机会，并找到应对和利用措施； 2） 建立有效的变更管理。 d) 按照第7章（“支持”），组织： 1) 建立对业务连续性管理体系资源的有效管理，包括能力管理； 2) 提高员工对管理重要事项的认识； 3) 具有有效的内部和外部沟通机制； 4) 有效管理文件。 e) 按照第8章（“运行”），组织需考虑： 1) 变化的意外后果； 2) 业务连续性优先级和要求； 3) 依赖关系； 4) 从影响角度看待脆弱性； 5) 冲扰风险，并确定最佳应对方法； 6) 在资源有限的情况下业务运行的替代方案； 7) 处理冲扰的有效结构和程序； 8) 对社会和其他相关方的职责。 f) 按照第9章（"绩效评价”），组织： 1) 具有有效的监控、测量和绩效评价机制； 管理者参与监控业务连续性管理体系的绩效并对其有效性作出贡献。 2) 按照第10章（“改进"），组织： g) 1) 具有监控绩效和提高有效性的程序； 2）受益于管理体系的持续改进。 因此，实施业务连续性管理体系能： 保护生命、资产和环境； a) 保护和提高组织的声誉与信誉； c) 使其在冲扰期间运行，有助于提高组织竞争优势 d) 减少因冲扰产生的成本，并提高组织在冲扰期间保持有效的能力； e) 有助于组织的整体韧性建设； 有助于相关方对组织的成功更有信心； g) 减少组织的法律和财务风险； 证明组织管理风险和解决运行脆弱性的能力。 0.3 策划一实施一检查一改进(PDCA)循环 本文件应用策划一实施一检查一改进(PDCA)循环，从而策划、建立、实施、运行、监控、审查、保持 和持续改进组织业务连续性管理体系的有效性。PDCA循环的说明见表1。 图1说明了业务连续性管理体系把相关方的业务连续性管理要求作为输人，并通过必要的措施和 过程，产生满足这些要求的业务连续性成果（即受控的业务连续性）。 V