1.组织环境

1.1 理解组织和组织环境

组织应确定与其意图相关且影响其达到业务连续性管理体系(BCMS)预期结果能力的外部和内部情况。

注：这些情况受组织总体目标、产品和服务以及可能承担或不承担的风险的数量和类型的影响。

1.2理解相关方的需求和期望

1.2.1 总则

在建立 BCMS 时，组织应确定：

a) 与 BCMS 有关的相关方；

b) 相关方的要求。

1.2.2 法律和法规要求

组织应：

a) 实施并保持一个过程，用以识别、获取和评估与其产品和服务、活动和资源的连续性相关的、适用的法律和法规要求；

b) 确保在实施和保持其 BCMS时考虑这些适用的法律、法规以及经组织认同的其他要求；

c) 将这些信息形成文件并保持更新。

1.3确定业务连续性管理体系的范围

1.3.1 总则

组织应通过确定 BCMS 的边界和适用性来建立其范围。

组织在确定范围时应考虑：

a) 涉及的外部和内部情况；

b) 涉及的要求；

c) 其使命、目标以及内外部责任。

该范围应为可获得的成文信息。

1.3.2 业务连续性管理体系的范围

组织应：

a) 在考虑组织的地点、规模、性质和复杂性的情况下，确定组织中 BCMS 覆盖的部分；

b) 识别包含在 BCMS 范围内的产品和服务。

在定义范围时，组织应记录并解释删减情况，任何删减应不影响根据业务影响分析或风险评估以及适用的法律或法规要求而确定的组织的业务连续性能力和责任。

1.4 业务连续性管理体系

组织应根据本文件的要求，建立、实施、保持并持续改进BCMS, 包括所需的过程以及过程间的相互作用。

2.领导力

2.1 领导力和承诺

最高管理者应通过以下方面证实其对 BCMS 的领导力和承诺：

a) 确保建立业务连续性方针和目标，并与组织的战略方向相一致；

b) 确保将 BCMS 要求融入组织的业务过程；

c) 确保 BCMS 所需的资源是可获得的；

d) 就业务连续性的有效性和符合 BCMS 要求的重要性进行沟通；

e) 确保 BCMS 实现其预期结果；

f) 指 导 和 支 持 人 员 为 BCMS的有效性做出贡献；

g) 推动持续改进；

h) 支持其他相关管理角色展示其在职责领域内的领导力和承诺。

注：本文件中的“业务”可能被广义地理解为对组织存在的目的至关重要的活动。

2.2方针

2.2.1 建立业务连续性方针最高管理者应建立业务连续性方针，该方针应：

a) 符合组织的宗旨；

b) 为业务连续性目标的设置提供框架；

c) 包括满足适用要求的承诺；

d) 包括持续改进 BCMS 的承诺。

2.2.2 沟通业务连续性方针

业务连续性方针应：

a) 为可获得的成文信息；

b) 在组织内进行传达；

c) 适当时，使相关方能够获得。

2.3 角色、职责和权限

最高管理者应确保组织相关角色的职责、权限得到分配、沟通。

最高管理者应分配职责和权限以：

a) 确保 BCMS 符合本文件的要求；

b) 向 最 高 管 理 者 报 告 BCMS的绩效。