GB/T 43046-2023
基本信息
标准号: GB/T 43046-2023
中文名称:信息技术服务 应对突发公共安全事件的信息技术应急风险管理
标准类别:国家标准(GB)
英文名称:Information technology service—Information technology emergency risk management in public security emergency response
标准状态:现行
发布日期:2023-09-07
实施日期:2024-04-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:10215345
标准分类号
标准ICS号:信息技术、办公机械设备>>35.080软件开发和系统文件
中标分类号:电子元器件与信息技术>>信息处理技术>>L77软件工程
关联标准
出版信息
出版社:中国标准出版社
页数:44页
标准价格:70.0
相关单位信息
起草人:俞文平、张凤玲、郭鑫伟、宋俊典、冯骏、吴恩平、赵勇祥、郑阳、邵庆祥、徐雨清、薛质、方健、郑晨光、肖筱华、栗卓越、马烈、韩飞、张蕾、徐刚、张玮、薛冰玢、聂兴凯、杨烨、王珊珊、谢美程、张建成、王文俊、熊健淞、莊敏、张勇、俞志东、张在丰、石竹玉、赵建华、黄建文
起草单位:上海谷航信息科技发展有限公司、中国电子技术标准化研究院、上海计算机软件技术开发中心、北京国家会计学院、上海市卫生健康委员会、上海市网络与信息安全应急管理事务中心、北京太极华保科技股份有限公司、北京同创永益科技发展有限公司、北京赛迪认证中心有限公司等
归口单位:全国信息技术标准化技术委员会(SAC/TC 28)
提出单位:全国信息技术标准化技术委员会(SAC/TC 28)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件确立了突发公共安全事件情况下IT应急风险管理的总则、框架,并规定了相关的顶层设计、环境、体系、要素及实施等要求。
本文件适用于:
a)决策层或最高管理者实施相关的IT应急风险管理顶层设计职能;
b)建立或完善组织相关的IT应急风险管理体系;
c)明确组织相关IT应急风险管理流程的要求;
d)规范组织相关IT应急风险管理的实施;
e)第三方或其他机构开展相关IT应急风险管理咨询业务。
标准图片预览
标准内容
ICS35.080
CCS L 77
中华人民共和国国家标准
GB/T43046—2023
信息技术服务
应对突发公共安全事件的
信息技术应急风险管理
Information technology serviceInformation technology emergency riskmanagement in publie security emergency response2023-09-07发布
国家市场监督管理总局
国家标准化管理委员会
2024-04-01实施
规范性引用文件
术语和定义
缩略语
IT应急风险管理与IT应急管理的关系风险管理原则
风险管理文化
风险管理策略
风险管理技术
风险管理对象
风险管理框架
顶层设计
战略规划
组织构建
架构设计
风险管理环境
内外部环境
促成因素
风险管理体系
风险管理要素
专业团队与人员
风险类型
风险管理流程
信息系统
风险管理实施
统筹和规划
构建和运行
监控和评价
GB/T43046—2023
GB/T43046—2023
改进和优化
附录A(资料性)IT应急管理总体风险附录B(资料性)IT应急管理专项风险附录C(资料性)IT应急风险管理组织架构与管理体系附录D(资料性)突发公共安全事件情况下的整体应用场景附录E(资料性)突发公共安全事件情况下的具体应用场景参考文献
起草。
GB/T43046—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息技术标准化技术委员会(SAC/TC28)提出并归口,本文件起草单位:上海谷航信息科技发展有限公司、中国电子技术标准化研究院、上海计算机软件技术开发中心、北京国家会计学院、上海市卫生健康委员会、上海市网络与信息安全应急管理事务中心、北京太极华保科技股份有限公司、北京同创永益科技发展有限公司、北京赛迪认证中心有限公司、万达信息股份有限公司、神州数码融信云技术服务有限公司、国家工业信息安全发展研究中心、苏州市软件评测中心有限公司、上海交通大学、中科软科技股份有限公司、中福彩科技发展(北京)有限公司、浙江经济职业技术学院、天津天大康博科技有限公司、金税信息技术服务股份有限公司、上海软件产业促进中心、山东止中信息技术股份有限公司、成都市工业互联网发展中心、陕西省信息化工程研究院、中远海运科技股份有限公司、建信金融科技有限责任公司、国网区块链科技(北京)有限公司、太极计算机股份有限公司、上海安言信息技术有限公司、北京德信永道信息技术服务有限公司、嘉兴嘉赛信息技术有限公司、上海软中信息系统咨询有限公司、上海新炬网络信息技术股份有限公司、广州物联网研究院、威海神舟信息技术研究院有限公司、南京云信达科技有限公司、上海云济信息科技有限公司、上海霞安信息科技有限公司、工业互联网创新中心(上海)有限公司,北京赛博昆仑科技有限公司、上海翰纬信息科技有限公司、武汉速云星博信息技术有限公司、帝杰曼科技股份有限公司、湖南创博龙智信息科技股份有限公司、杭州数列网络科技有限责任公司、北京中百信信息技术股份有限公司、黑龙江科技大学、健康云(上海)数字科技有限公司、上海市新能源汽车公共数据采集与监测研究中心、武汉网信安全技术股份有限公司、上海申康医院发展中心、深圳市通商宝科技有限公司、浙江海瑞网络科技有限公司、深圳融昕医疗科技有限公司、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、北京明易达科技股份有限公司、河北微保物流科技有限公司、建标教育科技河北有限公司、河北沃瑞斯供应链管理有限公司、河北标质质检技术服务中心,广东润联信息技术有限公司、武汉东湖大数据交易中心股份有限公司、河北鸿宇通信器材有限公司、河北鹏博通信设备有限公司,本文件主要起草人:俞文平、张风玲、郭鑫伟、宋俊典、冯骏、吴恩平、赵勇样、郑阳、部庆祥、徐雨清、薛质、方健、郑晨光、肖筱华、栗卓越、马烈、韩飞、张蕾、徐刚、张玮、薛冰琦、聂兴凯、杨烨、王珊珊、谢美程、张建成、王文俊、熊健淞、莊敏、张勇、俞志东、张在丰、石竹玉、赵建华、黄建文、陈申捷、施勇、方轶博、赵丹丹、高敏、郭磊、钱伟峰、杨泉、张晓娟、张明英、梁铭图、陈鲁鑫、郭辉、李帆、赵小敏、王慧芬、潘钢、朱柯、孙诚、王守选、杨德华、卢学哲、赵秋多、潘铮、王成名、俞丽平、吕千干、陈昌杰、门美龄、孙明雷、王萌、李光亚、安特、侯鹏飞、刘敏、丁海元、安淑获、金开立、鹿全礼、付华茂、赵晓荣、陈振东、何煜翔、李庆、董刚华、付宇、阙志兴、程永新、胡良霖、毛慧丽、黄海峰、柴磊、米登科、徐萍、左有良、赵丹风、金燕芳、唐泽诚、高金、王承琨、曹川鞋、钟鸣荟、朱武振、黄泽锋、陈晗、祝荣荣、赵亮、王猛、蔡未锋、白瑞英、孟繁哲、曹嘉恒、王慧颖、姚敏森、杜乐、同航飞、高占良、李凯。T43046—2023
为有效控制突发公共安全事件情况下组织面临的IT应急风险,提高相应的IT应急风险管理能力,促进IT对组织业务的安全、可靠、有效支持,提出应对突发公共安全事件下的IT应急风险管理规范,实现责任落实、风险可控和价值实现的目标。实施主体可根据应对突发公共安全事件的IT应急风险管理规范要求,明确组织应对突发公共安全事件的IT应急风险管理顶层设计、管理体系等,结合实施环境,规范相应的IT应急风险管理实施过程,明确统筹和规划、构建和运行、监督和评估、改进和优化的目标和基本任务。IN
1范围
信息技术服务,应对突发公共安全事件的信息技术应急风险管理
GB/T43046—2023
本文件确立了突发公共安全事件情况下T应急风险管理的总则、框架,并规定了相关的顶层设计、环境、体系、要素及实施等要求。本文件适用于:
a)决策层或最高管理者实施相关的IT应急风险管理顶层设计职能;b)建立或完善组织相关的IT应急风险管理体系;c)
明确组织相关IT应急风险管理流程的要求;d)规范组织相关IT应急风险管理的实施;第三方或其他机构开展相关T应急风险管理咨询业务:e)
2规范性引用文件
本文件没有规范性引用文件。
3术语和定义
下列术语和定义适用于本文件,3.1
组织organization
为实现目标,由职责、权限和相互关系构成自身功能的一个人或一组人。注:组织的概念包括,但不限于代理商、公司、集团、商行、企事业单位、行政机构、合营公司、协会、蓝善机构或研究机构,或上述组织的部分或组合,无论是否为法人组织,公有的或私有的。[来源:GB/T19000—2016,3.2.1]3.2
decision-makinglevel
决策层
负责确定组织(3.1)的目标、纲领和实施方案,进行宏观控制的最高权力机构3.3
最高管理者top management
在最高层指挥和控制组织(3.1)的一个人或一组人。注:最高管理者在组织内有授权和提供资源的权力。[来源:GB/T19000—2016,3.1.1]3.4
突发公共安全事件publie securityemergeney突然发生,造成或者可能造成重大人员伤亡、财产损失、生态环境破坏和严重社会危害,危及公共安全的紧急事件。
GB/T43046—2023
注:根据突发公共安全事件的发生过程、性质和机理,主要分为以下四类:自然灾害、事故灾难、公共卫生事件和社会安全事件。
IT应急管理informationtechnology emergencymanagement组织为应对突发公共安全事件开展的信息技术领域的应急管理。3.6
IT应急风险管理information technologyemergencyriskmanagement在突发公共安全事件情况下,组织为控制信息技术应急管理中的风险而进行的一系列管控活动。注:简称“风险管理”。
4缩略语
下列缩略语适用于本文件。
BCMS;业务连续性管理体系(BusinessContinuityManagementSystem)IT:信息技术(InformationTechnology)RPO:恢复点目标(RecoveryPointObjective)RTO:恢复时间目标(RecoveryTimeObjective)SWOT分析法:企业竞争态势[优势(Strength)、劣势(Weakness)、机会(Opportunity)、威胁(Threat))分析方法
5总则
5.1IT应急风险管理与IT应急管理的关系与一般的IT应急管理不同,突发公共安全事件情况下的IT应急管理,旨在为应对突发公共安全事件开展的IT领域的应急管理。管理主体的IT相关应急管理职责不仅仅局限于组织内部,还涉及组织与外部的联防、联动等。
突发公共安全事件情况下的IT应急风险管理旨在相关IT应急管理基础上,进一步强调与应对突发公共安全事件相关IT应急控制措施的合理性和有效性。管理主体的IT应急风险管理职责不仅仅局限于组织内部,也涉及组织与外部的联防、联动等。应对突发公共安全事件情况下的IT应急风险管理,有利于各级各类组织树立IT应急风险管理意识,完善IT应急管理机制,提高应对突发公共安全事件的IT应急处理能力,并达到如下效果:a)遇到突发公共安全事件时,在政府的统筹领导下,加强与外部的联防、联动,沉着应对各种IT应急风险,提升组织IT应急相关资源的统筹与调配能力,避免无序和失控情况的发生:在日常的IT管理中,将IT应急风险管理意识贯穿于价值、制度、机制和能力等方面,建立和b)
完善应对突发公共安全事件的IT应急风险管理体系,提高组织的预期管理能力,并增强社会责任意识;
c)突发公共安全事件情况下的IT应急风险管理属于组织风险管理体系一部分,通过加强对相关IT应急管理合理性、有效性的监督和评价,促进IT应急管理能力的持续提升,确保组织业务的持续运营。
5.2风险管理原则
IT应急风险管理原则包括如下内容。2
GB/T43046—2023
整体性原则。在突发公共安全事件情况下,作为整体的有机组成部分,组织充分配合国家、地方、行业或领域等开展IT应急风险管理,履行社会责任,并建立与外部的联防、联动机制。b)全面性原则。IT应急风险管理覆盖IT应急应用领域的各个方面,贯穿决策、执行和监督全部管理环节。
标准化原则。通过实施标准化的IT应急风险管理,提供更稳定、更可靠的IT应急风险管控服务。
前瞻性原则。组织建立IT应急风险管理机制,确保IT应急风险管理目标与组织战略发展目标一致性,并具有超前意识,预判潜在的IT应急风险,提前进行干预和制定对策。e)预防性原则。坚持预防为主,建立预防、预警与演练机制,将日常管理与应急处置有效结合。可执行性原则。组织开展的IT应急风险管理切实符合当前能力,确保IT应急风险管理的可f)
执行性。
适应性原则。IT应急风险管理机制与IT应急风险状况、信息化或数字化程度等相适应,并根据应急环境变化、内外部要求进行调整。h)人性化原则。坚持以人为本,重点保障人员安全与健康,并需考虑无障碍服务。5.3风险管理文化
组织建立应对突发公共安全事件的IT应急风险管理文化,包括但不限于:加强与国家、地方、行业或领域等的协同与沟通,提升社会责任意识;a)
b)与组织文化建设相结合,使其成为组织日常运营管理的有机组成部分;提升全员的IT应急风险管理意识,遵守公共安全秩序;形成与组织相适应的价值准则、职业操守;d)
建立IT应急风险管理文化培调与传达机制;e
建立IT应急风险管理文化的评价、考核、监督及奖惩机制。5.4风脸管理策略
组织将应对突发公共安全事件的IT应急风险管理纳入IT总体风险管理体系,并根据内外部环境等情况,围绕组织IT发展战略,明确相关的IT应急风险管理策略,包括如下内容。总体策略。应对突发公共安全事件的IT应急风险管理是组织IT总体风险管理体系有机组a
成部分,并与国家、地方、行业或领域等的IT应急风险管理体系相协调。b)具体策略。内容包括但不限于:●组织对IT应急风险进行分类分级管理,为各类突发公共安全事件制定相应的IT应急风险管理策略;
根据突发公共安全事件的IT应急风险特点,采用风险规避、风险转移、风险减轻以及风险接受等措施;
●采用应对措施时,需要考虑的事项包括关注成本、承担的责任(含社会责任等)和义务、自愿承诺和利益相关方的观点;根据组织的日标、风险准则和可用资源进行分析;结合价值观、认知和潜在涉及的利益相关方,以及与他们沟通和咨询的最佳方式进行分析;效果相同的方案,因利益相关方偏好不同而采用结果不同。5.5风脸管理技术
IT应急风险管理技术包括但不限于下述内容。GB/T43046—2023
风险识别技术。识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查a
表法,SWOT分析法及图解技术等。风险分析技术。对风险影响和后果进行评价和估量,包括定性分析和定量分析。b)
风险评价技术。在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分,以揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价。风险应对技术。IT技术体系中为特定风险制定的应对技术方案,包括云计算、余链路、亢余d)
资源、系统弹性伸缩、两地三中心灾备、业务熔断限流、数据备份和副本数据管理等。风险监测技术。监测应急风险演化为事件的特定触发条件、发展过程,包括IT基础设备监控、e)
日志分析、物联网技术、实时数据分析、舆情分析等。f)
风险预警技术。对应急风险的产生与发展进行提前预测和预警方面的技术,包括人工智能、大数据分析、趋势预测、容量管理、渗透性测试、入侵检测系统等。5.6风险管理对象
突发公共安全事件情况下的IT应急风险为IT应急风险管理对象。IT应急风险类型包括IT应急管理总体风险与IT应急管理专项风险(见10.2、附录A、附录B)。6风脸管理框架
IT应急风险管理框架是组织IT总体风险管理框架的有机组成部分,是组织应对突发公共安全事件的IT应急风险管理框架,主要包括顶层设计、风险管理环境、风险管理体系、风险管理要素和风险管理实施五部分,见图1。
应对突发公共安全事件的信息技术应急管理两灭释《百感实齐、承故水难,公共下至事样和社会安杂件)统要合理,管理领域包括组织内部及与国家、地方、行业成领域等的联动和配合算层设计
战略规划
风险管理环址
内外部
组织构建
风险管理体系
实瓶用日
案程品最最整员称格及建料
架构设计
风险管理要素
风险管理实施
改进和优化
缆筹称短到
监控和评价www.bzxz.net
图1风险管理框架
构建和运行
GB/T43046—2023
在T应急管理过程中引入T应急风险管理机制(见第7章~第11章)。当突发公共安全事件时,可有效管控IT应急管理的相关风险(见附录A、附录B),提升组织内部以及与国家、地方、行业或领域等的联防、联动T应急管理能力,避免无序和失控情况的发生,确保相关IT应急管理工作的成效。
顶层设计包含应对突发公共安全事件的IT应急风险管理战略规划、组织构建和架构设计,决策层或最高管理者通过评估、指导和监督对相关的IT应急风险管理层进行管控。管理环境包含内外部环境和促成因素,其中促成因素是应对突发公共安全事件的IT应急风险管理实施的保障。
管理体系包含应对突发公共安全事件的总体风险管理、执行风险管理、保障风险管理及审计管理。管理要素包含应对突发公共安全事件的专业团队与人员、风险类型、风险管理流程、信息系统、数据等。管理体系与管理要素是相关IT应急风险管理实施的核心。风险管理实施包含应对突发公共安全事件的统筹和规划、构建和运行、监控和评价、改进和优化,是相关IT应急风险管理的实际应用并促进相关IT应急管理提升的过程。7顶层设计
7.1战略规划
组织应结合突发公共安全事件情况下的风险特点,根据内外部环境及促成因素制定独立的IT应急风险管理战略规划,明确IT应急风险管理战略规划实施的策略。IT应急风险管理规划属于组织战略规划的一部分,应与组织战略规划中的业务应急管理规划、业务风险管理规划保持一致,包括但不
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCS L 77
中华人民共和国国家标准
GB/T43046—2023
信息技术服务
应对突发公共安全事件的
信息技术应急风险管理
Information technology serviceInformation technology emergency riskmanagement in publie security emergency response2023-09-07发布
国家市场监督管理总局
国家标准化管理委员会
2024-04-01实施
规范性引用文件
术语和定义
缩略语
IT应急风险管理与IT应急管理的关系风险管理原则
风险管理文化
风险管理策略
风险管理技术
风险管理对象
风险管理框架
顶层设计
战略规划
组织构建
架构设计
风险管理环境
内外部环境
促成因素
风险管理体系
风险管理要素
专业团队与人员
风险类型
风险管理流程
信息系统
风险管理实施
统筹和规划
构建和运行
监控和评价
GB/T43046—2023
GB/T43046—2023
改进和优化
附录A(资料性)IT应急管理总体风险附录B(资料性)IT应急管理专项风险附录C(资料性)IT应急风险管理组织架构与管理体系附录D(资料性)突发公共安全事件情况下的整体应用场景附录E(资料性)突发公共安全事件情况下的具体应用场景参考文献
起草。
GB/T43046—2023
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息技术标准化技术委员会(SAC/TC28)提出并归口,本文件起草单位:上海谷航信息科技发展有限公司、中国电子技术标准化研究院、上海计算机软件技术开发中心、北京国家会计学院、上海市卫生健康委员会、上海市网络与信息安全应急管理事务中心、北京太极华保科技股份有限公司、北京同创永益科技发展有限公司、北京赛迪认证中心有限公司、万达信息股份有限公司、神州数码融信云技术服务有限公司、国家工业信息安全发展研究中心、苏州市软件评测中心有限公司、上海交通大学、中科软科技股份有限公司、中福彩科技发展(北京)有限公司、浙江经济职业技术学院、天津天大康博科技有限公司、金税信息技术服务股份有限公司、上海软件产业促进中心、山东止中信息技术股份有限公司、成都市工业互联网发展中心、陕西省信息化工程研究院、中远海运科技股份有限公司、建信金融科技有限责任公司、国网区块链科技(北京)有限公司、太极计算机股份有限公司、上海安言信息技术有限公司、北京德信永道信息技术服务有限公司、嘉兴嘉赛信息技术有限公司、上海软中信息系统咨询有限公司、上海新炬网络信息技术股份有限公司、广州物联网研究院、威海神舟信息技术研究院有限公司、南京云信达科技有限公司、上海云济信息科技有限公司、上海霞安信息科技有限公司、工业互联网创新中心(上海)有限公司,北京赛博昆仑科技有限公司、上海翰纬信息科技有限公司、武汉速云星博信息技术有限公司、帝杰曼科技股份有限公司、湖南创博龙智信息科技股份有限公司、杭州数列网络科技有限责任公司、北京中百信信息技术股份有限公司、黑龙江科技大学、健康云(上海)数字科技有限公司、上海市新能源汽车公共数据采集与监测研究中心、武汉网信安全技术股份有限公司、上海申康医院发展中心、深圳市通商宝科技有限公司、浙江海瑞网络科技有限公司、深圳融昕医疗科技有限公司、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、北京明易达科技股份有限公司、河北微保物流科技有限公司、建标教育科技河北有限公司、河北沃瑞斯供应链管理有限公司、河北标质质检技术服务中心,广东润联信息技术有限公司、武汉东湖大数据交易中心股份有限公司、河北鸿宇通信器材有限公司、河北鹏博通信设备有限公司,本文件主要起草人:俞文平、张风玲、郭鑫伟、宋俊典、冯骏、吴恩平、赵勇样、郑阳、部庆祥、徐雨清、薛质、方健、郑晨光、肖筱华、栗卓越、马烈、韩飞、张蕾、徐刚、张玮、薛冰琦、聂兴凯、杨烨、王珊珊、谢美程、张建成、王文俊、熊健淞、莊敏、张勇、俞志东、张在丰、石竹玉、赵建华、黄建文、陈申捷、施勇、方轶博、赵丹丹、高敏、郭磊、钱伟峰、杨泉、张晓娟、张明英、梁铭图、陈鲁鑫、郭辉、李帆、赵小敏、王慧芬、潘钢、朱柯、孙诚、王守选、杨德华、卢学哲、赵秋多、潘铮、王成名、俞丽平、吕千干、陈昌杰、门美龄、孙明雷、王萌、李光亚、安特、侯鹏飞、刘敏、丁海元、安淑获、金开立、鹿全礼、付华茂、赵晓荣、陈振东、何煜翔、李庆、董刚华、付宇、阙志兴、程永新、胡良霖、毛慧丽、黄海峰、柴磊、米登科、徐萍、左有良、赵丹风、金燕芳、唐泽诚、高金、王承琨、曹川鞋、钟鸣荟、朱武振、黄泽锋、陈晗、祝荣荣、赵亮、王猛、蔡未锋、白瑞英、孟繁哲、曹嘉恒、王慧颖、姚敏森、杜乐、同航飞、高占良、李凯。T43046—2023
为有效控制突发公共安全事件情况下组织面临的IT应急风险,提高相应的IT应急风险管理能力,促进IT对组织业务的安全、可靠、有效支持,提出应对突发公共安全事件下的IT应急风险管理规范,实现责任落实、风险可控和价值实现的目标。实施主体可根据应对突发公共安全事件的IT应急风险管理规范要求,明确组织应对突发公共安全事件的IT应急风险管理顶层设计、管理体系等,结合实施环境,规范相应的IT应急风险管理实施过程,明确统筹和规划、构建和运行、监督和评估、改进和优化的目标和基本任务。IN
1范围
信息技术服务,应对突发公共安全事件的信息技术应急风险管理
GB/T43046—2023
本文件确立了突发公共安全事件情况下T应急风险管理的总则、框架,并规定了相关的顶层设计、环境、体系、要素及实施等要求。本文件适用于:
a)决策层或最高管理者实施相关的IT应急风险管理顶层设计职能;b)建立或完善组织相关的IT应急风险管理体系;c)
明确组织相关IT应急风险管理流程的要求;d)规范组织相关IT应急风险管理的实施;第三方或其他机构开展相关T应急风险管理咨询业务:e)
2规范性引用文件
本文件没有规范性引用文件。
3术语和定义
下列术语和定义适用于本文件,3.1
组织organization
为实现目标,由职责、权限和相互关系构成自身功能的一个人或一组人。注:组织的概念包括,但不限于代理商、公司、集团、商行、企事业单位、行政机构、合营公司、协会、蓝善机构或研究机构,或上述组织的部分或组合,无论是否为法人组织,公有的或私有的。[来源:GB/T19000—2016,3.2.1]3.2
decision-makinglevel
决策层
负责确定组织(3.1)的目标、纲领和实施方案,进行宏观控制的最高权力机构3.3
最高管理者top management
在最高层指挥和控制组织(3.1)的一个人或一组人。注:最高管理者在组织内有授权和提供资源的权力。[来源:GB/T19000—2016,3.1.1]3.4
突发公共安全事件publie securityemergeney突然发生,造成或者可能造成重大人员伤亡、财产损失、生态环境破坏和严重社会危害,危及公共安全的紧急事件。
GB/T43046—2023
注:根据突发公共安全事件的发生过程、性质和机理,主要分为以下四类:自然灾害、事故灾难、公共卫生事件和社会安全事件。
IT应急管理informationtechnology emergencymanagement组织为应对突发公共安全事件开展的信息技术领域的应急管理。3.6
IT应急风险管理information technologyemergencyriskmanagement在突发公共安全事件情况下,组织为控制信息技术应急管理中的风险而进行的一系列管控活动。注:简称“风险管理”。
4缩略语
下列缩略语适用于本文件。
BCMS;业务连续性管理体系(BusinessContinuityManagementSystem)IT:信息技术(InformationTechnology)RPO:恢复点目标(RecoveryPointObjective)RTO:恢复时间目标(RecoveryTimeObjective)SWOT分析法:企业竞争态势[优势(Strength)、劣势(Weakness)、机会(Opportunity)、威胁(Threat))分析方法
5总则
5.1IT应急风险管理与IT应急管理的关系与一般的IT应急管理不同,突发公共安全事件情况下的IT应急管理,旨在为应对突发公共安全事件开展的IT领域的应急管理。管理主体的IT相关应急管理职责不仅仅局限于组织内部,还涉及组织与外部的联防、联动等。
突发公共安全事件情况下的IT应急风险管理旨在相关IT应急管理基础上,进一步强调与应对突发公共安全事件相关IT应急控制措施的合理性和有效性。管理主体的IT应急风险管理职责不仅仅局限于组织内部,也涉及组织与外部的联防、联动等。应对突发公共安全事件情况下的IT应急风险管理,有利于各级各类组织树立IT应急风险管理意识,完善IT应急管理机制,提高应对突发公共安全事件的IT应急处理能力,并达到如下效果:a)遇到突发公共安全事件时,在政府的统筹领导下,加强与外部的联防、联动,沉着应对各种IT应急风险,提升组织IT应急相关资源的统筹与调配能力,避免无序和失控情况的发生:在日常的IT管理中,将IT应急风险管理意识贯穿于价值、制度、机制和能力等方面,建立和b)
完善应对突发公共安全事件的IT应急风险管理体系,提高组织的预期管理能力,并增强社会责任意识;
c)突发公共安全事件情况下的IT应急风险管理属于组织风险管理体系一部分,通过加强对相关IT应急管理合理性、有效性的监督和评价,促进IT应急管理能力的持续提升,确保组织业务的持续运营。
5.2风险管理原则
IT应急风险管理原则包括如下内容。2
GB/T43046—2023
整体性原则。在突发公共安全事件情况下,作为整体的有机组成部分,组织充分配合国家、地方、行业或领域等开展IT应急风险管理,履行社会责任,并建立与外部的联防、联动机制。b)全面性原则。IT应急风险管理覆盖IT应急应用领域的各个方面,贯穿决策、执行和监督全部管理环节。
标准化原则。通过实施标准化的IT应急风险管理,提供更稳定、更可靠的IT应急风险管控服务。
前瞻性原则。组织建立IT应急风险管理机制,确保IT应急风险管理目标与组织战略发展目标一致性,并具有超前意识,预判潜在的IT应急风险,提前进行干预和制定对策。e)预防性原则。坚持预防为主,建立预防、预警与演练机制,将日常管理与应急处置有效结合。可执行性原则。组织开展的IT应急风险管理切实符合当前能力,确保IT应急风险管理的可f)
执行性。
适应性原则。IT应急风险管理机制与IT应急风险状况、信息化或数字化程度等相适应,并根据应急环境变化、内外部要求进行调整。h)人性化原则。坚持以人为本,重点保障人员安全与健康,并需考虑无障碍服务。5.3风险管理文化
组织建立应对突发公共安全事件的IT应急风险管理文化,包括但不限于:加强与国家、地方、行业或领域等的协同与沟通,提升社会责任意识;a)
b)与组织文化建设相结合,使其成为组织日常运营管理的有机组成部分;提升全员的IT应急风险管理意识,遵守公共安全秩序;形成与组织相适应的价值准则、职业操守;d)
建立IT应急风险管理文化培调与传达机制;e
建立IT应急风险管理文化的评价、考核、监督及奖惩机制。5.4风脸管理策略
组织将应对突发公共安全事件的IT应急风险管理纳入IT总体风险管理体系,并根据内外部环境等情况,围绕组织IT发展战略,明确相关的IT应急风险管理策略,包括如下内容。总体策略。应对突发公共安全事件的IT应急风险管理是组织IT总体风险管理体系有机组a
成部分,并与国家、地方、行业或领域等的IT应急风险管理体系相协调。b)具体策略。内容包括但不限于:●组织对IT应急风险进行分类分级管理,为各类突发公共安全事件制定相应的IT应急风险管理策略;
根据突发公共安全事件的IT应急风险特点,采用风险规避、风险转移、风险减轻以及风险接受等措施;
●采用应对措施时,需要考虑的事项包括关注成本、承担的责任(含社会责任等)和义务、自愿承诺和利益相关方的观点;根据组织的日标、风险准则和可用资源进行分析;结合价值观、认知和潜在涉及的利益相关方,以及与他们沟通和咨询的最佳方式进行分析;效果相同的方案,因利益相关方偏好不同而采用结果不同。5.5风脸管理技术
IT应急风险管理技术包括但不限于下述内容。GB/T43046—2023
风险识别技术。识别可能影响一个或多个目标的不确定性,包括德尔菲法、头脑风暴法、检查a
表法,SWOT分析法及图解技术等。风险分析技术。对风险影响和后果进行评价和估量,包括定性分析和定量分析。b)
风险评价技术。在风险分析的基础上,通过相应的指标体系和评价标准,对风险程度进行划分,以揭示影响成败的关键风险因素,包括单因素风险评价和总体风险评价。风险应对技术。IT技术体系中为特定风险制定的应对技术方案,包括云计算、余链路、亢余d)
资源、系统弹性伸缩、两地三中心灾备、业务熔断限流、数据备份和副本数据管理等。风险监测技术。监测应急风险演化为事件的特定触发条件、发展过程,包括IT基础设备监控、e)
日志分析、物联网技术、实时数据分析、舆情分析等。f)
风险预警技术。对应急风险的产生与发展进行提前预测和预警方面的技术,包括人工智能、大数据分析、趋势预测、容量管理、渗透性测试、入侵检测系统等。5.6风险管理对象
突发公共安全事件情况下的IT应急风险为IT应急风险管理对象。IT应急风险类型包括IT应急管理总体风险与IT应急管理专项风险(见10.2、附录A、附录B)。6风脸管理框架
IT应急风险管理框架是组织IT总体风险管理框架的有机组成部分,是组织应对突发公共安全事件的IT应急风险管理框架,主要包括顶层设计、风险管理环境、风险管理体系、风险管理要素和风险管理实施五部分,见图1。
应对突发公共安全事件的信息技术应急管理两灭释《百感实齐、承故水难,公共下至事样和社会安杂件)统要合理,管理领域包括组织内部及与国家、地方、行业成领域等的联动和配合算层设计
战略规划
风险管理环址
内外部
组织构建
风险管理体系
实瓶用日
案程品最最整员称格及建料
架构设计
风险管理要素
风险管理实施
改进和优化
缆筹称短到
监控和评价www.bzxz.net
图1风险管理框架
构建和运行
GB/T43046—2023
在T应急管理过程中引入T应急风险管理机制(见第7章~第11章)。当突发公共安全事件时,可有效管控IT应急管理的相关风险(见附录A、附录B),提升组织内部以及与国家、地方、行业或领域等的联防、联动T应急管理能力,避免无序和失控情况的发生,确保相关IT应急管理工作的成效。
顶层设计包含应对突发公共安全事件的IT应急风险管理战略规划、组织构建和架构设计,决策层或最高管理者通过评估、指导和监督对相关的IT应急风险管理层进行管控。管理环境包含内外部环境和促成因素,其中促成因素是应对突发公共安全事件的IT应急风险管理实施的保障。
管理体系包含应对突发公共安全事件的总体风险管理、执行风险管理、保障风险管理及审计管理。管理要素包含应对突发公共安全事件的专业团队与人员、风险类型、风险管理流程、信息系统、数据等。管理体系与管理要素是相关IT应急风险管理实施的核心。风险管理实施包含应对突发公共安全事件的统筹和规划、构建和运行、监控和评价、改进和优化,是相关IT应急风险管理的实际应用并促进相关IT应急管理提升的过程。7顶层设计
7.1战略规划
组织应结合突发公共安全事件情况下的风险特点,根据内外部环境及促成因素制定独立的IT应急风险管理战略规划,明确IT应急风险管理战略规划实施的策略。IT应急风险管理规划属于组织战略规划的一部分,应与组织战略规划中的业务应急管理规划、业务风险管理规划保持一致,包括但不
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。