TCCFAGS 020-2020 连锁经营企业突发事件应急及业务连续性管理指南.pdf

ICS 03.100.01 A10 团团 体体 标标 准准 T/CCFAGS 020-2020 连锁经营企业连锁经营企业突发事件应急及突发事件应急及 业务连续性管理指南业务连续性管理指南 Guidelines for Emergency Response and Business Continuity Management of Chain Enterprises 2020-11-19 发布 2020-11-19 实施 中国连锁经营协会 发布 T/CCFAGS 020-2020 目 次 前 言.I 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 组织架构及职责.2 5 业务连续性计划.6 6 突发事件监测与预警、准备.10 7 应急处置.11 8 业务恢复.12 9 培训与演练.13 附 录（资料性）连锁经营企业典型场景应急处置预案要点见表.16 参考文献.22 I 前前 言言 本标准按照 GB/T 1.12020 给出的规则起草。本标准由中国连锁经营协会提出并归口。本标准起草单位：中国连锁经营协会、普华永道商务咨询（上海）有限公司、深圳纷来电子商务有限公司、沃尔玛中国投资有限公司、深圳美西西餐餐饮管理有限公司、星巴克企业管理（中国）有限公司、蕾碧裳品牌管理（上海）有限公司、苏宁易购家乐福公司、北京便利蜂连锁商业有限公司、联华超市股份有限公司。本标准主要起草人：张静、彭建真、姚皓轩、程堂根、臧游、王英、王凌俊、刘江红、李炯、徐颖、陈忠俊、曲强、徐晓一、刘洋、林森。1 连锁经营企业突发事件应急及业务连续性管理指南 1 范围 本标准规定了连锁经营企业事件应急及业务连续性的组织架构及职责、业务连续性计划、突发事件监测与预警和准备、应急处置、业务恢复、培训与演练。本标准适用于连锁经营企业（以下简称：企业）为有效应对自然灾害、事故灾难、公共卫生事件、社会安全事件以及企业运营中断等突发事件的应急及业务连续性管理。2 规范性引用文件 以下文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 30146 公共安全-业务连续性管理体系要求 GB/T 20988 信息安全技术 信息系统灾难恢复规范 SB/T 10806 零售店铺应急处理指南 3 术语和定义 下列术语和定义适用于本文件 3.1 突发事件 emergency 突然发生，没有预警且发生时间短。该事件在现有的业务流程中没有相关现行办法支持商业决策，已造成或者可能造成严重危害，需要在短时间内做出决策采取应急处理措施以应对的事件。3.2 业务连续管理 business continuity management 识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程对组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、剩余、品牌和创造价值的活动。来源：GB/T 30146-2013 定义 3.4 3.3 业务连续性管理体系 business continuity management system 用于建立、实施、运行、监视、评审、保持和改进业务连续性，是一个组织整个管理体系的一部分。注：管理体系包括组织结构、方针、规划活动、职责、程序、过程和资源。来源：GB/T 30146-2013 定义 3.5 3.4 业务连续性计划 business continuity plan 2 用于指导组织在业务中断时进行响应、恢复、重新开始和还原到预先确定的业务运行水平得形成文件的程序。注：业务连续性计划通常包括确保关键业务功能的连续性所需的资源、服务和活动。来源：GB/T 30146-2013 定义 3.6 3.5 风险评估 risk assessment 风险识别、风险分析和风险评价的整个过程。来源：GB/T 30146-2013 定义 3.50 3.6 业务影响分析 business impact analysis 分析业务中断可能给组织带来影响的过程。条目注释 1:结果是对业务连续性要求的陈述和证明。来源：GB/T 30146-2013 定义 3.8 3.7 恢复时间目标 recovery time objective 事件发生后到下列活动完成之间的时间段。-产品或服务必须恢复，-或活动必须恢复，-或资源必须复原。来源：GB/T 30146-2013 定义 3.45 3.8 恢复点目标 recovery point objective 为使活动能够恢复进行，而必须将该活动所用的信息恢复到某时间点。来源：GB/T 30146-2013 定义 3.44 3.9 灾备中心 backup center for disaster recovery 备用站点 alternate site 用于灾难发生后接替主系统进行数据处理和支持关键业务功能关键业务功能（3 3.6.6）运作的场所，可提供灾难备份系统灾难备份系统（3 3.3.3）、备用的基础设施和专业技术支持及运行维护管理能力，此场所内或周边可提供备用的生活设施。来源：GB/T 209882007 定义 3.1 3.10 灾难恢复 disaster recovery 为了将信息系统从灾难(3.8)造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。来源：GB/T 209882007 定义 3.9 4 组织架构及职责 4.1 日常管理组织架构 3 企业应在制定业务连续性管理制度，明确业务连续性日常管理的组织构架及职责，并绘制组织架构图，于工作场所显著位置公示。日常管理组织架构应由法定代表人或主要负责人、高级管理层、业务运营部门、信息技术部门、支持保障部门和分支机构组成。4.2 日常管理组织架构职责 法定代表人或主要负责人是业务连续性管理工作的责任人，对业务连续性管理工作承担最终责任，其主要职责包括：a)负责业务连续性管理战略、政策和程序审核和批准；b)负责高级管理层业务连续性管理职责的审批，定期听取高级管理层关于业务连续性管理工作的报告，并对其履职情况进行监督、评价；c)负责业务连续性管理工作相关审计报告审批；d)对经费预算进行审核并批准。高级管理层负责执行经法定代表人或主要负责人批准的灾难恢复管理政策，其主要职责包括：a)负责业务连续性管理总体战略、政策和程序的组织制定、定期审查及监督执行；b)对业务连续性管理策略进行审阅并批准；c)负责明确各部门职责、报告路线及报告时效，监督业务连续性管理策略的执行情况，督促各部门履职，确保业务连续性管理体系正常运行；d)确保配置充足资源保障业务连续性管理体系实施。企业应设立业务连续性管理主管部门具体负责组织协调业务连续性管理事宜。其主要职责包括：a)负责执行灾难恢复管理总体战略、政策和程序；b)针对风险评估组织开展并进行审核；c)协助业务连续性管理主管部门开展业务影响分析；d)组织制定灾难恢复策略，并提交高级管理层审批；e)组织制定并审核灾难恢复预案，协调各部门制定并审核专项预案；f)负责演练计划制定，并组织相关部门执行演练；g)组织开展并审核灾难恢复工作评估与改进；h)组织开展业务连续性管理文化建设及相关培训；i)完成职责范围内其它与业务连续性管理相关的工作。业务运营部门、信息科技部门、支持保障部门，在业务连续性主管部门的统一组织协调下，负责日常管理工作，其主要职责如下：业务运营部门：a)负责对本部门归口管理业务进行业务影响分析和风险评估；b)在新业务上线前，针对新业务开展业务影响分析工作，对于重要业务应按照相关要求确定恢复目标和恢复策略；c)确定重要业务恢复策略，负责开发信息系统中断场景下的业务专项应急预案；4 d)配合制定演练方案，参与演练实施与总结，对本部门归口管理的重要业务开展灾难恢复演练、评估与改进工作；e)负责本部门业务连续性管理文化建设及相关培训；f)完成本部门职责范围内其它与业务连续性管理相关的工作。信息科技部门：a)负责分析业务影响分析结论，并结合信息系统现状与规划，确定信息系统恢复目标；b)负责信息系统资源风险评估，保障信息系统资源有效性和可用性；c)根据信息系统恢复目标，制定灾难备份中心及系统建设策略与方案，明确信息系统恢复策略；并在灾难恢复预案的框架下，制定并完善信息系统专项应急预案和操作手册；d)负责进行业务连续性管理资源建设、管理和维护；e)负责信息科技范畴内的灾难恢复演练、评估与改进工作，并在日常工作和演练中关注与业务运营部门、支持保障部门和分支机构应急预案的有效衔接；f)负责本部门业务连续性管理文化建设及相关培训；g)完成本部门职责范围内其它与业务连续性管理相关的工作。支持保障部门：负责业务连续性管理工作的相关保障，为日常管理和应急管理提供人力、物力、财力等资源保障及安全保障、媒体公关、法律诉讼等工作。支持保障部门包括办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门等。4.3 应急管理组织架构 灾难恢复应急管理组织架构，应包括应急决策层、应急指挥层、应急执行层。应急决策层由高层管理者组成，负责重大业务运营中断事件应急预案的启动、应急处置过程中重大事项决策，例如批准灾难恢复方案、批准向上级部门和监管部门的报告、对外通报等。4.4 应急管理组织架构职责 应急指挥层由企业各相关部门负责人组成，主要职责如下：a)负责指挥和组织协调应急处置工作，督导应急处置措施的具体实施；b)处置过程中向应急决策层报告处置进展情况，处置结束后向高级管理层报送总结报告；c)其他处置过程中需领导和指挥的事项。应急执行层由业务运营部门、信息科技部门、支持保障部门和分支机构工作人员组成，其主要职责如下：业务运营部门：a)按照业务专项应急预案，开展业务应急处置工作，尽量降低业务运营的负面影响；b)组织一线或分支机构业务人员做好客户安抚和解释工作，防范和消除客户负面情绪和过激行为；c)向应急指挥层报告业务应急处置进展情况和事态发展情况；5 d)其他需执行小组参与处置的事项；e)预估事件的影响时间，以及所产生的额外费用。信息科技部门：a)负责开展信息系统中断问题排查、抢修和调整等具体处置工作；b)负责执行信息系统灾难恢复预案；c)向应急指挥层报告信息系统应急处置进展情况和事态发展情况；d)收集分析突发事件处置过程中的数据信息和日志；e)其他需执行小组参与处置的事项。支持保障部门：a)提供突发事件处置过程中所需人力、物力、财力等资源保障；b)及时、准确向监管机构、股东、客户、媒体、社会公众等报告或披露事件信息；c)配合业务运营部门、一线及分支机构对受影响客户进行解释和安抚工作；d)做好秩序维护、安全保障、法律咨询和支援等工作；e)其他为降低突发事件负面影响或损失提供的支持保障等。分支机构：a)根据应急指挥层的要求及应急预案处置流程，开展突发事件的应急处置工作；b)做好客户安抚和解释工作，防范和消除客户负面情绪和过激行为；c)向主管部门报告应急处置进展情况和事态发展情况；d)记录突发事件处置过程中的数据信息和日志；e)其他需参与处置的事项。4.5 组织架构优化 4.5.1 评估和更新 企业建立业务连续性管理体系后，应每年定期进行评估和更新，对体系中各环节进行持续改进。4.5.2 临时变更 当企业内、外部环境发生变化时，应根据变化及时更新业务连续性管理体系。可能引起业务连续性管理制度临时变更的情景包括但不限于：a)上游供应链监管制度发生变化，并可能影响供应链稳健性，或可能导致与供应商合作关系发生变化；b)监管制度或行业质量控制文件发生变化，可能影响业务开展模式；c)外部突发事件出现，且在短时间内无法消除，对业务开展造成影响并预计短时间内无法消除。4.5.3 组织架构变更 6 企业应在组织构架发生变更时，应及时更新业务连续性管理体系组织构架，以保持业务连续性管理体系与整体管理的兼容。5 业务连续性计划 5.1 需求分析 5.1.1 总则 企业宜建立