第二章 计划组织
2.1 计划和设计流程
流程应遵循的规划过程、发展策略、计划和所需的能力来执行流程。战略规划应当定义实体的愿景、使命、目标和流程。风险评估和业务影响分析(BIA)应制定信息准备预防和缓解策略,并准备急救操作响应、危机沟通、连续性和恢复计划。
应急管理计划应解决的一个事件或一系列事件,该事件严重影响或有可能严重影响主体的经营、信誉、市场份额、业务能力或关键利益相关者。
2.2 风险评估
机构应对灾害进行识别,并监控那些随着时间,灾害发生的可能性和带来影响的严重程度。评估灾害应包括以下内容:
地质:地震、滑坡、泥石流、塌方、火山喷发、海啸
气象:干旱、极端天气、洪水、饥荒、潮汐
生物:食源性疾病、流行性疾病、感染
意外人为造成的:建筑/结构塌方、包封、燃料爆炸/火灾/资源短缺、有害物质泄漏/释放、设备故障、核反应堆事故、放射事故、交通事故、员工事故、停水事故
故意人为造成的:人为纵火、炸弹威胁、骚乱/防爆/起义、歧视/骚扰、造谣、绑架和劫持、战争、失踪、网络安全、产品缺陷或污染、抢劫/盗窃/诈骗、罢工或劳动纠纷、恐怖主义、破坏、单位/学校的暴力
技术:硬件/软件和网络连接中断、公用事业中断
对于人、财产、经营、环境、实体和供应链的运作方面的薄弱点,应当予以识别、评估和监控,分析事故影响和薄弱点应设计以下几点:
受影响地区人员的安全与健康
健康和安全人员应对事件
信息安全
业务连续性
政府工作的连续性
财产、设施、资产和关键基础设施
实体服务的发货
供应链
环境
经济和金融状况
立法、监管和合同规定的义务
实体机构的信誉或信任
工作安排
以上的风险评估应包括对随着时间的推移影响升级的分析,还应对区域、国家或国际事件的潜在影响进行评价,并应评估现有的预防和缓解战略是否准备充分。
2.3 业务影响分析
业务影响分析包括评估的中断可能会影响实体的运营、声誉和市场份额、能力,或与关键利益相关者的关系,并确定可能需要管理的中断的资源和能力。该分析包含以下过程:员工、设施、基础建设、技术、通信、供应链。评估主要包括:从属物、来源供应商、单点故障、中断的资源中潜在的定性和定量的影响。
该分析在受中断影响致使业务瘫痪时及时确定关键点(RTO),并确定可接受量的物理记录和电子记录,以恢复关键项目(RPO),最终在及时恢复(RTO)和恢复关键点(RPO)之间取得平衡。
业务影响分析(BIA)应使用持续的或可恢复的计划和策略来取得进展,也应识别关键的供应链,包括那些在国内和国际上存在的风险以及一定期限内成为实体关键部分的操作。
2.4 资源需求评估
机构应该就事故建立一个资源需求评估,具体可参照5.2和5.3节,需包括以下部分:
(1)在时间框架内的他们所需的包括人力资源、设备、培训、设施、资金、专家知识、材料、技术、信息、情报等;
(2)数量、响应时间、能力、限制、成本和负债
单位应当建立流程来定位、获取、存储、分发、维护、测试、客户服务、人力资源、设备和材料采购或捐赠支持项目。设备能够支持响应、保证工作连续性和恢复操作。需要相互援助、协助或做出协议的,应当确定;如果需要的话,协议应建立并记录在案。
2.5 绩效目标
绩效目标应当考虑对危险源辨识、风险评价的结果以及进行业务影响分析,且应当由实体的开发来解决短期和长期的需要。