第三章 贯彻实施
3.1 普遍的计划需求
计划应保证员工健康和安全,且应独立或集成到一个单一的计划文档,或两者的组合。其应识别并记录以下内容:
在规划过程中所做的假设
功能、内部和外部实体的责任
权限
授权过程
实体连接到外部实体
物流支持和资源要求
3.2 预防
机构应当制定一项战略,以防止威胁生命、财产、设施、通信以及环境。预防策略应通过信息采集与智能技术,并应根据危险源辨识、风险评价、分析影响流程的限制、总结运营经验和成本效益分析来建立。应监控已识别的风险和调整预防措施与风险水平相适应。
3.3 缓解
单位应当制定和实施缓解策略,包括采取措施限制或控制后果和严重程度,应根据危险源辨识和风险评价的结果,分析受影响的流程、操作经验及成本效益,并应包括中期和长期的行动减少薄弱环节。
3.4 危机传播与公共信息
机构应当制定计划和流程来传播信息和响应请求,主要包括:内部的观众,包括员工;外部受众,包括媒体访问和功能需求的人群;其他利益相关者。
机构应建立并保持一个危机公关或公共信息的能力,包括以下内容:
中央接触设备或通信集线器;物理或虚拟信息中心;系统地收集、监测、传播信息;开发和交付协调信息的流程;明确对相关信息协议。
3.5 警告、通知和通信
机构应当确定其警告、通知和通信需求,这些必须可靠、避免冗余和互操作性,并结合流程开发、测试和用于可能或即将发生的事件的风险来警示相关利益者。
如果法律要求和规定信息或模板的公告,应该通过授权机构发出通告;信息应当用过媒体传播,或是由该单位确定的最有效的其他方法来传播。
3.6 操作流程
机构应制定和实施操作流程来协调和保证流程正常运行。该流程应为生命安全、财产、业务连续性和稳定性以及本单位管辖内的环境保护提供保障,应包括以下内容:
1) 获得受事件影响地区的控制权
2) 人员从事在事件活动的认证
3) 人员参与会计事物
4) 动员和分发资源
3.7 事件管理
机构应当制定事故管理体系用于协调响应、保证工作连续性和恢复操作。
急救操作中心(EOCs):机构应当建立相关的管理能力以延续管理和恢复操作。急救操作中心可以是实体的,也可以是虚拟的。急救操作中心、通信中心和协调部门能共同合作应对事故需求和应急响应。
事件管理系统应能描述针对每件事故的专属负责机构、名称及其责任,机构也应建立预防、缓解、准备、响应、保证连续性和恢复活动的流程和政策。该流程应包括现状分析、损失评估和需求评估以及确定资源保障。
急救操作/响应由事故的行动计划或目标管理为导向,应包括下列任务:
建立描述、清点、要求和跟踪资源的过程
资源类型或分类的大小、能力和技能
按照既定的IMS动员和复员资源
进行资源不足的应急计划
3.8 紧急行动/响应计划
应明确具体实施的行动和急救的责任,以保护残疾人、授权其他访问和功能需求的信息、属性、操作、环境和实体。
3.9 连续和恢复
连续计划应包括关键点和关键时间。连续计划应识别并记录以下内容:
(1)需要通知利益相关者
(2)过程必须保持
(3)实施连续性策略的个人角色和职责
(4)启动计划的流程,包括计划的激活权限
(5)关键点和关键时间的技术、应用系统和信息
(6)信息安全
(7)其他工作地点
(8)工作流程
(9)重要记录
(10)联系人列表
(11)所需的人员
(12)供应商持续供应
(13)持续经营资源
(14)互助或合作协议
(15)活动返回的关键点和关键时间
连续性计划的设计应满足恢复关键时间RTO和关键点RPO;也必须解决供应链中断问题。
恢复计划应提供恢复的过程、技术、信息、服务、资源、设施、流程和基础设施,具体如下:
损伤评估
协调的恢复、重建,并更换设备、设施、材料、设备、工具、供应商
供应链的恢复
与利益相关者沟通的延续
临界时间敏感的过程,技术,系统,应用流程和信息的恢复
实施补救策略的个体的角色和责任
内部和外部(供应商)的人员可以支持实施恢复策略和合同的需要
有足够的控制以防止在REC腐败或非法存取机构的数据
在恢复过程中成为适用性
预事件维护控制
单位应当建立员工援助和支持,包括以下策略:(1)通信流程(2)联系信息,包括急救与预期危险区外(3)受灾人员的影响(4)临时、短期或长期居住的人员分类(5)心理健康和身体健康(6)事前和事后意识。
