1.策划

1.1 应对风险和机会的措施

1.1.1 确定风险和机会

当进行 BCMS 策划时，组织应考量的要求，并确定需要应对的风险和机会以：

a) 确保 BCMS 能实现其预期结果；

b) 防止或减少不良影响；

c) 实现持续改进。

1.1.2 应对风险和机会

组织应策划：

a) 应对这些风险和机会的措施；

b) 如何：

1) 将这些措施在 BCMS 的过程中进行整合和实施;

2) 评 估 措 施 的 有 效 性 。

注：风险和机会与管理体系的有效性相关。与业务中断有关的风险讨论。

1.2业务连续性目标及其实现的策划

1.2.1 建立业务连续性目标

组织应针对相关职能、层次建立业务连续性目标。

业务连续性目标应：

a) 与业务连续性方针保持一致；

b) 可测量(如可行);

c) 考虑适用的要求;

d) 予以监视；

e) 予以沟通；

f) 适时更新。

组织应保留业务连续性目标相关的成文信息。

2.2.2 确定业务连续性目标

策划如何实现业务连续性目标时，组织应确定：

a) 要做什么；

b) 所需资源；

c) 由谁负责；

d) 何时完成；

e) 如何评价结果。

2.3 业务连续性管理体系变更的策划

当组织确定需要对 BCMS 进行变更时(包括第 10 章中确定的变更),应对变更进行策划。

组织应考量：

a) 变更目的及其潜在结果；

b) BCMS 的完整性；

c) 资源的可获得性；

d) 职责和权限的分配或再分配。

2.支持

2.1  资源

组织应确定并提供建立、实施、保持和持续改进 BCMS 所需的资源。

2.2 能力

组织应：

a)根据对业务连续性绩效的影响，确定其管理下的工作人员应具备的必要能力；

b) 确保人员在适当的教育、培训或实践经验的基础上能够胜任；

c) 适当时，采取措施以获得必要的能力，并评价措施的有效性；

d) 保留适当的成文信息，作为人员能力的证据。

注：适用措施可能包括对在职人员进行培训、辅导或重新分配工作，或聘用、外包胜任的人员。

2.3 意识

组织应确保在其控制下的工作人员了解：

a) 业务连续性方针；

b) 他们对 BCMS 有效性的贡献，包括改进业务连续性绩效的益处；

c) 不符合 BCMS 要求的后果；

d) 他们在中断发生之前、期间和之后的角色和职责。

2.4 沟通

组织应确定与 BCMS 相关的内部和外部沟通，包括：

a) 沟通的内容；

b) 沟通的时间；

c) 沟通的对象；

d) 沟通的方式；

e) 沟通的执行人员。

2.5成文信息

2.5.1 总则

组织的 BCMS 应包括：

a) 本文件要求的成文信息；

b) 由组织确定的为实现 BCMS绩效而必需的成文信息。

注：对于不同组织，BCMS 成文信息的范围可以不同，取决于：

——组织的规模，活动、过程、产品和服务的类型，以及资源；

——过程及其相互作用的复杂程度；

——人员的能力。

2.5.2 创建和更新

在创建和更新成文信息时，组织应确保适当的：

a) 标识和说明(如标题、日期、作者或索引编号);

b) 形式(如语言、软件版本、图表)和载体(如纸质的、电子的);

c) 评审和批准，以保持适宜性和充分性。

2.5.3 成文信息的控制

2.5.3.1 应控制 BCMS 和本文件所要求的成文信息，以确保：

a) 在需要的场合和时机，均可获得并适用；

b) 予以妥善保护(如防止泄密、不当使用或缺失)。

2.5.3.2 为控制成文信息，适用时，组织应关注下列活动：

a) 分发、访问、检索和使用；

b) 存储和防护，包括保持可读性；

c) 更改控制(如版本控制);

d) 保留和处置，

对于组织确定的策划和运行BCMS 所必需的来自外部的成文信息，组织应进行适当识别，并予以控制。

注：对成文信息的访问可能意味着仅允许查阅，或允许查阅并授权修改。