GB_T 43632-2024 供应链安全管理体系 供应链韧性的开发 要求及使用指南.docx

ICS03.100.01CCS10GB中华人民共和国国家标准GB/T436322024/ISO28002：2011供应链安全管理体系供应链韧性的开发要求及使用指南SecuritymanagementsystemsforthesupplyChain-DevelopmentofresilienceinIhesupplychainRequirementswithguidanceforuse(IS028002：2011,IDT)2024-03-15发布2024-07-01实施国家市场监督管理总局*广国家标准化管理委员会发布目次弓IV1范国-.-.-12 弓Ijj牛.-.«.-.«.-.13 314 包3与&9¾XSI9IMXQ4.2iMiii(ieiii(tiiii(ieiii(tiii104.3H4.4性已理方针的货源供Z1145.«.*a.*-.1146Ma*aMaM*MaNMaa*MaMeMaM*MaNMaaMMa11附录A(资料性)关于将本文件纳入管理标准的参考指南13酎录B(资料性)有关本文件使用的参考指南.”-“-.”.24附录D(资码性)术语惯例.-.-43本文件按照GB/T1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草.本文件等同采用ISO28002:2011供应谈安全管理体系供应链韧性的开发要求及使用指南.本文件做了下列最小限度的城妈性改动：a）增加了第4注出现的图4的引出语；b）删除了4.3中与正文无关的"（见4.4）*;C）调涣了资料性附录C和资料性附录D的顺序.清注意本文件的某些内容可能涉及专利.本文件的发布机构不承殂识别专利的责任.本文件由全国公共安全基础标准化技术委员会（SAC/TC351）提出并归.本文件起草单位：中国标准化研究院、江苏省质量和标准化研究院.云南硅投物流有限公司.诺力智能装备股份有限公司、中信或卡股份有限公司、关的集团股份有限公司、新港维吾尔自治区标准化研究院'浪潮工创（山东）供应链科技有限公司、麦州习酒投资控股集团有限女任公司.中国港湾工程有限去任公司.漳州片仔病药业股份有限公司、南京医药股份有限公司.中武（福建）跨境电子商务有限贡任公司、南方电网大数据服务有限公司.河北邯郸丛台酒业股份有限公司、诚天国际供应摄（深圳）有限公司.本文件主要起草人礴JS.管旭淑、刘任、李军、孔肖语.王院.许歆宜.蒋兴祥、钟锁铭、去祥程.陈林.王少华.m.球.杜镌喜、黄金.新强.周倩.何灿、白垠战.何俊彪、洪绯、马云涛、张金花.W.赵永国、辐克、冯凌炬.图1供应链中的韧性管理方针(资料来源:国际供应曾协会(SCe)2007年)0.3过程方法省理体系方法鼓励组织进行组织需求和利益相关方需求分析并确定有助于成功的各类过程.管理体系提供了持续改进框架，以提高在加强安全性、准备、响应性、连续性和韧性方面的可能性.同时,曾理体系还为组织及其客户提供了信心，即组织锢够提供满足组织和利益相关方要求的安全、可敬的环境.本文件采用过程方法,用于建立、执行、运行、监视.评审.保持和改进蛆织对供应隹中断的韧性.蛆织需要对许妥活动加以确认和管理,以确保有效运作,任何包含资源利用并进行苣理，并将流入转化为饰出的活动都可视为一个过程.通常，一个过程的输出会百接成为下一过程的输入.组织内一套过程的应用，以及这些过程的识别和相互作用及其符理可以称为“过程方法”.图2描述了本文件中提出的供应链初性管理过程方法，鼓励使用者强调下列各方面的重要住：a)bc)de)了解组织的风睑、安全性、准备、响应、连续性和恢复要求，制定风险管理方针和目标；执行控制措施，以便在组织目标背景下对姐织风睑进行管理；监视并评审初性管理方针的绩效和有效性；根据目标测评持埃改进.图2供应链韧性管理过程方法0.3.1制定供应链韧性方案并应用费源：一将供应摄风险管理视为重中之重；一确保最高管理者支持供应链初性方案；一确保方案执行所需的资调到位.0.3.2确立供应毡和韧性目标：一确立供应链应围井映射到供应链；一m立主题供应链中的风脸管理目标.0.3.3识别供应链风睑：-全面评审供应链以识别风治；-尽可能记录已识别的风险.0.3.4风险量化和区分优先级：一根据发生的可能性和潜在影响量化每个风险；一根据确定的目标使用风险量化来区分风睑优先级.0.3.5执行风险应对方案：一根据每个风陂的优先级制定风陂管理措施；一根据降低Kl除发生的可镶性和影响来定义每项措施的价俏;一针对确定的措地制定并执行计划.0.3.6监视供应链环境，以识别风魄：一持续监视供应展环境，以识别风谕事件或前兆；一当阈值被触发时，执行适用的减缓措施；一记录采取措施后的滓审和方案结果.0.4策划一实施一检查一处置"(PDCA)模式本文件旨在纳入使用策划一实施一检直一处置”(PDCA)模式的管理体系，该模式反过来又将指导初性管理方针流程的实施和整合.图3说明了管理体系中如何纳入韧性管理方针；该方针能够接收相关方的要求和期里，开通过必要的行动和流程产生符合这些要求和期型的风睑管理结果.图3还说VlB.8.3沟通与警报内部沟通对确保有效执行初住管理体系具有田要意义.内部沟通方法可包括定期的工作组会议、业务通信、公告板和内部网站.组织直识别负责涉及风险评价中识别出潜在中断的情报.瞥报、预防、响应和恢短工作的公共部门机关、组织和官员，井与之建立联系.在正常和异常情况下，都宜做出内部和外部沟通和鳌报的安排.组织宜执行来自供应链、利益相关方和其他相关方的有关沟通的接收.记录和响应程序,这一程序可包括与利益相关方进行对话及对其相关碉项加以考虑.在一些情况下，对相关方的事项作出响应可能包括与组织功能和业务有关的风险和影响的相关信息这些程序还宜解决与政府当局就制订应急计划及其他相关问!S进行必要的沟通.组织可能希望在设计沟通内容时，考虑对相关目标群体作出的决策.适当的信息和主跳以及方式选择.在考虑对外沟通危险、威胁.风险、影峋和控制程序等问魅时,姐织官考虑到所有利益相关方的观点和信息需求.如果组织决定对外沟通危的.威胁.风附.影响和控制程序等问遨,则宜制定相应的程序.此程序可根据一些因素而改变，包括将要沟通的信息类烈.目标群体及组织的个别情况.外部沟通的方法可包括年度报告、业务通信.网站.警报和社区会议.有效沟通是管理中断或危机的最重要环节.为了更好地传达警报、警告、危机和组织响应信息,直识别所有的内外利益相关方.为了向各个群体提供最好的沟通和适当的信息，可适当地对受众进行分区管理,采用这一方法，可向单个团体发布专门定制的信息.预规划是进行沟通的关键.对于风睑评价中识别出的各种威纳，可设计相应的信息模板、脚本和声明.宜建立能够确保在应时间内发布通知信息的程序,尤其是使用内部网.互联网站点和免费热线电话等资源.组织宜指定一位壬要发言人（以及指定备选人），负责管理和向媒体和其他人发布应急通知.此发言人宜在危机之前接受媒体方面的培训.宜通过源头统一过/所有信息，确保发布信息的一致性.宜强调需要迅速告知所有工作人员关于在何处食询来自媒体的电话，并且只有经授权的公司发言人才能向媒体发言.在一些情况下，也可掂需要妊过适当培训的现场发言人.B.8.4文件文件的详细程度宜足以说明韧性管理方针及各部门如何合作以及告知可从何处获取关于韧住管理方针具体执行工作的更详细信息.这些文件可与姐织执行的其他管理体系的文件综合使用.文件不必局限于手册的形式.不同组织的韧性管理方针文件具有不同的范国，原因如下：a）姐织的规模和类热及其活动、产品或服务；b）流程仪杂性及其相互作用；c）工作人员的的力.文件示例包括：a)b。de)c-方针、目标和目的声明；有关里大风险的信息；程序：过程信息；姐织结构图；内部和外部标准；g）现场响应计划、减缓计划、应急计划和危机计划；h）记录资料.关于文件程序的任何决定直基于下列因素.a）没有这样做的后果（包括对人员'物质奥源和环境造成的后果）.b）需要证明逆守法律要求和组织认可的其他要求.c）需要确保活动持续进行.d）这样做的好处，其中包括：D更容易执行沟通和培训；2）更容易保持和修订；3）疑低歧义和偏差的风睑；4）论证可能性和可见性.e）本文件的要求.针对韧性管理方针之外的其他目的而创建的初始文杵，也可用作本方针的一部分，而且需要在本方针中加以引用（如使用）.8.8.5 文件管璟本条的目的是嫡保组织创建和保存文件的方式足够执行韧性首建体系.然而，组织的主要焦点直集中在有效执行初性管理体系及安全、预备、响应、连续性和恢复工作上,而非复杂的文件管理体系.组织宜确保文件的完整性，包括防止文件圾意改、安全备份、只有授权人员才能使用、防止损坏、JS损或丢失.8.8.6 运作管理相关组织宜对已识别的田大风险相关的运作迸行评怙，确保其运作方式旎控制或降低相关风险及不良后果发生的可能性，以满足韧性管理方针的要求,符合其目标和目的.评估宜包含相关运作的所有环节，包括供应推和维修活动等，韧性管理方针的本部分内容针对如何将系统要求运用于日常运作提供指导：要求通过文件化程序进行管理，庭免因抵乏文件化程序而导致偏离韧性管理方针、目标和目的.为了尽量降低发生中断性事件的可能性，运作管理程序宜包括对设智或仪器的相关风睑项目进行设计、安装、操作、翻新和修改管理.当修改现有计划或采用新计划可能对运作及活动造成影响时,组织直在计划执行之前将相关威胁和风陵降至最低.B.8.7事故Tfi防.准备和响应B.8.7.1概述每个组织都有贡任制定适合自身特殊需要的事故预防、准备.减缓、晌应和恢京程序.在制定这些程序时，组织宜考虑以下方面.a）宜识别、理解和应对潜在的中断性事件，以及为了避免或预防中所住事件需要采取的措施.风吃评价可用于识别潜在中断性密件的详细情况，包括所有预兆和警报信号.b）风险笆理直为建立在正式风险评价基础上的一个系统化和整体化的过程,通过识别.测量、量化和评估风险，从而提供最佳的研决方案.c）风险应对方案可包括规避.消除.降低.分散.转移和接受等方针,规避和消除风险可避免能缓产生风险的活动或消灭风睑源.隧低风险可减少风险或损失程度.分散风陶是指分摊资产大限制.事故预防、检测和制止方针可能考虑以下内容：a）建筑方面：天然或人造障碍，Si新设计或田新部署基础设施；b）运营方面：笆理程序，消除危睑物质，重新设计系统和限作，安全人员的后续令令,雇员意识方案,避免反监视和反情报活动.王新郃奢系统.掇作、基础设施和人员；c）技术方面:替代材料和程序、可互操作的通信和信息网络、入侵检测、访问控制、记录监视.包惠和行李筛有，以及系统控制.实体安全规划包括保护周边区域、建筑物周边、内部空间防护，以及保护资产和财产.从外部边界开始进行防护.a）实体安全规划宜包括检测、制止、砥迟和我应等功的.b）宜设计实体安全措施，以使尽可能从目标开始检测.砥迟设计成更接近目标.c）安全系统设计宜通过评价和响应连接外部或内郃洽测.d）实体安全措施可能包括：通过环境设计预防犯罪、物理屏障和场地硬化、物理进入和访问控制、警戒照明、入侵检测系统和警报、闭路电视、保安人员以及安全方计和安全程序.宜果用成本效益减发方针预防或减轻潜在危机的影响.a）减缓方针宜考虑立即行动、中期行动和长期行动.b）宜确定有助于减媛过程的各种资源.宜桁这些资源（包括重要人员及其作用与责任,设施、技术和设备）记录在计划当中并成为“一切照旧”的一部分.c）按照减遥方针的要求，官持续监视各类系统和资源.这类监视也可视为简单的库存管理.d）还直持续监视可支持组织减缓危机的资源，以确保它们在中断性事件和危机期间能够使用目按计划执行.这类系统和资源的示例包括但不限于:应急设备、火灾报警器和灭火系统、本地资源和供应商.备用工作场所、地图和平面图、系疣备份和异地存储.B.8.7.4事故响应直囹绕实际最坏情况"制定准备与响应计划，前娓是响应范国恰好与实际危睑相匹配.所有预备和响应计划均宜以人为本.组织人力资源的管理方式将影响到破坏性事故管理是否成功.a）宜设计一个能够在危机发生后迅速通知所有人员的系统.这个系统可使用简单的物形电话网络，或者使用精心制作的外郃供应商的电话节目网站.宜保存所有人员的有效和灌确的联系信息.宜考虑与本蛆织的差旅管理部门联系，帮助定位出差的工作人员.b）在出现人员受伤或死亡的情况下，宜安排通知相关人员的家闻.如果可他的话，宜由最高管理者成员亲自进行通知.宜提供适当的培训.c）如果出现产亚伤亡事故，组织宜执行家庭代表计划,进行通知的人员和家庭代表不能是同一个人.家庭代表直作为伤亡人员家庭与组织之间的主要联系人.家庭代表必须经过全面培训.d）宜根据需要安排既机咨询.在很多情况下，危机咨询超出了姐织的工作人员援助计划（如有）的能力和经验范困.在发生危机情况之前，官哨定反他可靠的咨询来源.e）危机可能对组织、其工作人员及其家属，以及其他利益相关方产生影响深远的经济负担;这些经济负担宜被视为准笛和响应计划的重要组成郃分.经济负担可能包括为受害者的家整提供经济支持.另外,还可能出现税务问寇，这些何敏官预先考虑和澄清.f）危机期间宜保持工资险理体系的正常运转.提前制定后劲决策将影响能否成功执行良好的准备与响应计划.后勤决策包括下列因素.a）宜娓前确定一个第一危机险理中心.这是危机省理团队和应急响应工作组用于指挥和鉴瞥各项JS机管理活动的初始场地.此场地宜配备不间断电源、必要的计算机，通信设备、照通空调系统以及其他保陷系统.除此之外,危机首理中心还宜配备紧急备用电源.b）如果不箜提供专用场地，宜保证为管理团队提供指定场地用于指挥和监督危机管理活动.官执行出入管理措施，保证所有管理团队的成员可Iffi时出入.c）如果第一危机岂理中心受到危机事件影响，还宜确定第二危机停理中心.d）组织宜考虑成立虚拟指挥中心，实现分布式存取信息，以及联系分散或远距离的利益相关方.危机管理团队启动之后，宜开始评价损失情况.可由危机管理团队亲自进行损失评价，也可由指定的损失评价小组进行.宜指定专人负去记录事故所有慵况下及响应行动（包括财务支出）.a）对于涉及公司财产实际狠失的情况，危机管理团队或其指定的损失评价小组宜亲自到场进行评价.在获得公共安全管理部门的批准之后，评价团队可进入现场，然后对损坏程度和设施可能无法使用的持续时间进行初步评价.b）菜味中断类型不会对公司的工作场所或设能造成声接的实际损失.这些危机类型可能包括业务危机、人员危机.信息技术危机和社会危机.对于这些危机,评价小组将随若中断性事件的发展逐步评价各件损失或影响.在适当的情况下，宜检直现有投费和保险方针，并宜斓定和获得额外的费金和保险金额.a）宜提前制定方针等数，包括保险提供商预先批准的相关晌应的所有供应商.在切实可行的情况下，宜在规划过程中统定保证连续运作的费金总额.b）宜将所有现金存放在一个容易进入的地点,确保在危机期间可以动用这些现金；在周末和下捱时间，宜可以动用部分现金和存款.c）在响应和依爱阶段，直记录与中断性密件和危机有关所有开支.d）在晌应阶段，尤其是在广泛存在危机的情况下，宜尽早联系保险提供商，此类资源的竞争可的非常激烈.宜及时向危机管理团队提供所有保险单和联系人信息，并在适当时候进行异地备份或存储.中断性事件或危机期间的运输问IS将是一大挑战.如果可行，直堤前安排各件物资.运输紧张的领域包括但不限于：a）人员撤盟（包括从被破坏的工作场所或从另一个地区或国家的附属设施中撤座）；b）运箱至备用工作场所；c）工作场所或智用场所的供应物资；d）运输到工作场所的重要资料；e）运输急需的工作人员.B.8.7.5事故连续性与恢复计划组织直根据卷理部门批准的恢麦目标制定文件化程序，详细说明组织将如何首理中断性密件，如何恢复或维持其活动处于预先设定的水平.a）宜根据具体情况制定供应链、主要供应商或服务提供商协议，且将相关的联系人信息保存作为准备计划、响应计划、连续性和恢更讨划的一部分.如果需要联系不熟忌这一流程的人员，联系人信息可包括电话号码、联系人姓名、账号、电码（S当保护）及其他信息.b）为了避免供应链的中断，可适当地请求和浑审供应链合作伙伴和主要供应商的准备、响应、连续性和恢匿计划，以便评估他们在雷大危扒情况下继续提供必要的供应品和服务的能力.至少直在危机之前讨论供应械、供应商或服务提供商的作用及服务水平协议.c）t三lS有备用工作场所用于田新开始和恢坦业务.如果没有反他可用和/或适用的公司设施，可使用通过适当供应商安排的留用工作场地.关于备用工作场所的识别和可用性规划，直在准备和响应计划过程中尽早进行.备用工作场所应提供将业务恢红到危睑程度、后果和影响分析的规定水平所需的足够资源.d）异地存楮数据和资产，这是实现快速的危机响应及重新开始/恢复业务的一项重要减援方针.界地存储位置宜与主要设施保持足够远的距离，确保基本上不会受到同一事件的相同影响.需要考虑的异地存储项目包括对于业务运作至关重要和宝贵的资料（文件和其他媒体资料）.宜将存砧程序列入计划中，以确保异地存铭的所有亶要项目能够及时交付到危机管理中心或备用工作场所.e）在供应琏中断期间，可与其他组织共享或借用的互助例议识别货源.以及与其他组织共享的相互支持.这些协议宜是合法、完整.合适的文件,各方都清楚地理的，井代表了可靠的资源和合作承港.f）通过战略联盟寻找合作伙伴，与其他组织建立相互合作关系，共同生产和供应产品与服务及分担风跄.g）在了解损失程度之后，宜优先考虑流程恢算的需求，同时宜制定和记录一份长短计划.宜优先考虑供应燧流程的主要临界点和其他因素，包括供应摄义务的关系.其他程序.关键时间表，以及在危险程度.后果和影响分析中所确定的法规要求.关于流程优先次序的决策宜进行记录和存档,包括决策的日期.时间和正当理由.h）如果优先考虑恢供应链流程，可按照优先次序计划表开始流程恢红工作.根据危机的具体情况,可选择在当前工作场所或备用工作场所完成这些流程的恢复工作.在流程恢复之后，直保存各种文件.i）在恢治关威流程之后，也可解决剁余流程的恢京工作.在可行的情况下，宣提前全面记录关于这些流程的优先次序的决策，以及记录实际恢复的时间.j）组织宜设法使自己.恢爱正常”.如果不可能回到危机前的“正常状态"，直确定一个“新常态”.这个“新常态”可以理好为：虽然工作场所可能发生变化和改组,但是组织将逐步恢麦正常生产工作.宜仔细记录这一过程的每个步骤和所有决策.k）通常妣时可正式宣布"度过"危机.宜记录这一而要决策.为了揖津工作人员和客户的信心，可召开新闻发布会和通知大众媒体.B.9检查和纠正措施8.9.1 监视通过分析监视收集的故据，可识别各种模式和获取信息.从这些信息中获取的知识可用于落实纠正和预防措题.宜制定用于衡量切性管理方针是否成功的衡量标准.关我特住是组织需要考虑用于晚定自身如何修埋出大风睑、实现目标和目的，以及改善安全.江备.响应、逐续性和恢麦工作.如果必须保证结果的有效慢，宜根据可追溯至国际或国家标准的测量标准，按照规定的时间间隔.或在使用前对测猿设备进行校准或桧杳.若无此类标准，则需记录校准依据.8.9.2 合规性与系统性能评估8.9.3 .1合规性评估组织宜能够证明自身已经过评价并符合相关法律要求，包括适用的许可证或许可文件.组织宜能够证明自身经过评价符合其认可的其他要求.B.9.2.2演练与测试测试方案宜利用风险评价识别的碉件进行设计.通过测试可让应急响应团队和工作人员有效典行月飘贡、明确自己的任务，以及发现韧性管理体系需要纲正的不足之处,参与测试适合于确保韧性管理方针的可施性和权威慢.测试的第一步宜为设立目标与预期值.主要目标是确定是否可以改进某个中断响应过程的工程及如何改进.只他目标示例包括：a）能力测试（如呼入和呼出电话系统性能）；b）减少完成整个过程所需的时间（如通过反左练习缩短响应时间）；c）将普通员工群体的意识和知识纳入初性管理体系.从以前的测试和实际经历事故吸取的经验载训，均直综合到韧性首理方针循环退试当中.直分配韧性管理方针的测试去任.大型组织可考虑成立一个测试小组.在适当的情况下，可利用外部贵源（咨询组织、地方应急组织等）的专业知识.官制定测试计划及其测试内容的测试进度和时间安排.测试的困宜设计成的若时间的推移而发展,测试初期宜相对比较简单，然后的着测试过程的发展变得越来越复杂.早期测试可包括检鸵表.简单演练以及韧性管理方针的细小单元.随耕测试进度的发展，测试应变得越来腹复杂，m到全部激活繁个韧性管理方针，包括公共安全人员和紧急响应人员的外部参与，测试参与人员可扮演几种不同的角色.所有参与者宜了解自己在演练中的角色，而演练宜包括所有尊与者.组织内郃团体和公共部门团体均可叁加演练.在演练过程中，顿与者可相互合作、讨论问应和经验载训.宜在完成演练和测试之后进行关键性评价.评价内容宜包括：评估测试目的和目标的实现程度.参与效率，以及韧性管理体系本身是否能够在真正危机中发挥预期的功能.宜根据测试结果对未来测试和韧住笆理体系本身进行必要的修改.直根据需要对测试和演练的设计进行评估和修改.考虑到韧性管理体系的变更、人员变动、实际事故和以前演练结果，宣进行动态演媒和测试.宜记录演练和测试结果.8.9.4 不合格、纠正措施和预防措施根据不合格的性质，在制定处理这些要求的程序期间，各个蛆织可能采用Ie少的正式规划，或者可能采用一项更为麦杂的长期活动来完成制定工作.所有文件宜适用于纠正措施水平.8.9.5 记录管璟省理体系记录可包括：a）合规性记录；b）培训记录；c）过程监视记录；d）检查、保持及校准记录；e）有关承包商和供应商的记录；f）事故报告；9）事故与应急淮备测试记录；h）审核结果；i） 省理评审结果；j） 外部沟通决策；k）可适用法律要求的记录；I）田大凤除的记录；m）韧性管理方针会双的记录；）安全.灌备、响应、连续性和恢复性旎信息；o）法律合规性记录；P）利益相关方及其他相关方的通知.宜对机密资料进行妥善处理.组织宜确保文件的完整性,包括防止文件校徽改、安全备份、只有搜权人员才能使用、防止损坏、JS损或丢失.蛆织官与内部法律部门进行适当协商，确定文件应保期的适当时间，并对此建立.执行和推持有效的程序.注：记录并不是证明本文件合格要求的5证据来诙.8.9.6 内部由核初性管理方针的内部审核可由本妲织内部工作人员或本姐织选择代表其工作的外部人员执行.但不论在哪种情况下，负责审核的人员宜有能力完成审核工作，并能够做到公正客观.对于小蹙组织，审核人员对将要迸行的审核活动不承担任何去任，由此证明审核人员的独立性.注：如JR一个组供用也将初性管理方针中极与安全性或环境中核相结合,宜明施划定各中核目的和彷用.8. 10管理评审显然不需要立刻对知性管理方针的所有要素进行评审，但管理评审仍宜涵盍初住管理方针的整个落IB,并且曜个评审程序可能会需要一段时向.直定期进行韧性首建方针评审和评估.宜按照预定计划进行评审，并在必要时宜保留评审文件.下列因素可引发评审，并宜在安排评审之后再次检空.一风院评价：组织每次完成风险评估后都宜对韧性首理方针进行评审.风险评估结果可用于确定韧性省理方针是否依然足以应对组织面愉的各项风险.一部门/行业趋势：主要部门/行业行前宜启动物性管理方的评审.可将部门/行业及业务/运言连续性规划技术的球体趋为作为参考.-法规要求：断的法规要求可能需要进行韧性笆理方针评审.一磔故经蛉：宜在中断性事件之后进行初性管理方针洋审.一测试与演练结果：根Jg测试与演练结果，宜在必要时对韧性管理方针进行修改.持续改迸和韧性管理方针保持宜反映出可以影响韧性管理体系的组织风险.活动.功能和运作的变化.以下是可能影用韧性首理方针的程序、系统或流程示例：a）方针变化；b）危险与威胁变化；c）组织及其业务流程变化；d）供应ta的流程、节点和职责变化；e）风检评估的假设条件变化；f）人员变化（员工和承包商）；g）供应商和供应变化；h）工艺和技术变化；i）系统和应用软件变化；j）从测试吸取的亶要教训；k）在危机期间实际执行初性告理方计过程中发现的问题；D外部环境变化（所在区域的新企业、新道路或现有交通模式变化等）；m）方案评审与鉴定期间及风吃评估期间记录的耳他项目.附录C（资料性）使用限制通过系筑化方法采用和执行一套韧性管理方法，有助于为所有利益相关方和各相关方取得谶理想的结果，但是仅仅采用本文件无法保证能够获得展理想的初住结果.为了取得最理想的结果，在将切住管理方牡纳入管理体系时，宜在适当.经济上可行的情况下纳入可用的最佳做法、方法和技术,并宜充分考虑这些做法、方法和技术的成本效法.对于超出组织方针约定范围的韧性性能，本文件不做绝对要求：a）避守适用法律要求及其他妲织同意避守的要求；b）支持田大风险预防并将其最小化；c）促进持续改迸.本文件正文仅包含一些通用准剜，可88作为客观审核的对象.韧性管理方法指南均列明于本文件的其他附录.本文件和其他标准一样，不是用来制造非关税贸易壁垒，也不增加或改变一个组织的法律责任.实际上，遵守标准要求并未表示免除其法律贡任.按照组织的要求，可通过外部或内部审核工序检验其韧性险理方针是否符合本文件要求.检验时可由合格的第一方、第二方或第三方组织执行.检验无需第三方认证.认证仅适用于采用本文件（韧性方针）的笆理体系标准.本文件并未包括质量、职业健康与安全、金融风险管理及其他管理方针的具体要求.韧性管理方针的细节层次和短杂度.文杵范围以及投入资源受到很多因疾的影响,如:系统范围、组妲规模.组织活动性质.产品、服务和供应链.本文件规定了安全'准笛、危机,应急、连续性、事故和恢复首理计划的通用准则.本文件采用的术语主要强谓概念的通用性，但是也承认不同专业使用的术语存在细微差别.为了与ISO310002009保持一致,风除评价流程分为风睑识别、风险分析和风险评估（其中包括危跪.威胁、Pties.脆弱住、危险程度、后果和影响分析）.附录D（资料性）术语惯例表C,1的术语惯例符合ISO/1EC导购第2部分（2004）附录H"条款表述所用的助动词”的要求.表D.1条款表述所用的助动词助劭河用法（1SOIEC导则第2SJ分：国际标准货均及弱月规则）S1.文件的可审核要求一“用来表示符合以准需要溺足的严格要求.并且不允济出现任何偏差.”S律议一“用于表示在几种可能性中海荐特别i三用的一脚，不祥及也不排除具他可观性；或表示反个行动步舞是首选的，但未必是所要求的；或（以否定形式）*示不肋成但也不禁止某种可兼性或行动步骤.可以,允许允讦一用于表示在标源的界JS内允许的行劭抄JI”徙,可能逢、可s”用于阵述由于材H.生理或某种原因导致的可能性和旎力.除非另有说明，上表列出的助韵词不宜被解释为详尽无遗.也不宜将列表的顺序视为规定其,顿序或优先级，泳非表中有明确规定.本文件的通用性允许某一组织添加补充坊，根据其特定的操作条件和情况制定顺序或优先欣序.叁考文献1 GB,T236942013风睑管理术语2 ISO9000：2005QualitymanagementsystemsFundamentalsandvocabulary3 ISO9001：2000QualitymanagementsystemsRequirements4 ISO14001:2004EnvironmentalmanagementsystemsRequirementswithguidanceforuse5 ISO19011：2002ISO19011：2002Guidelinesforqualityand*orenvironmentaJmanagerriGntsysIemsauditing6 ISO31000:2009RiskmanagementPrinciplesandguidelines7 ISOGuide73:2002RiskmanagementVocabularyGuideiinesforuseinstandards8 ISOGuide73:2009RiskmanagementVocabulary9 SOIEC27001:2005InformationIechnology-SecuritytechniquesInformationsecuritymanagementsystemsRequirements10 ISO/IECTR18044:2004InformationtechnologySecuritytechniquesInformationsecurityincidentmanagement11 ISO>,PAS22399：2007SocietalsecurityGuidelineIorincidentpreparednessandopera-Iionalcontinuitymanagement12 ANS1.,ASIS.SPC.1：2009OrganizationalResilience：Security.PreparednessandContinuityManagementSystems-RequirGmentswithGuidancoforUse