TCCAATB 0028-2022 运输机场业务连续性评估指南

ICS03.220.50CCSV51T/CCAATB中国民用机场协会团体标准T/CCAATB0028—2022运输机场业务连续性评估指南TransportAirportBusinessContinuityAssessmentGuidelines2022-04-24发布2022-05-24实施中国民用机场协会  发布T/CCAATB0028—2022I目次前言..................................................................................II引言.................................................................................III1范围.................................................................................12规范性引用文件.......................................................................13术语和定义...........................................................................14业务连续性等级模型...................................................................25评估指标设置.........................................................................35.1业务连续性评估指标体系...........................................................35.2业务连续性评估规则...............................................................46评估实施流程.........................................................................46.1确定评估方案.....................................................................46.2提供评估证据.....................................................................56.3评定等级.........................................................................56.4评估结果分析及改进...............................................................56.5评估程序的改进与优化.............................................................57评估报告.............................................................................5附录A（规范性附录）运输机场业务连续性指标评分规则....................................6附录B（资料性附录）相关方的理解与确定................................................9附录C（资料性附录）业务连续性管理概述...............................................10参考文献..............................................................................12T/CCAATB0028—2022II前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。本文件由中国民航管理干部学院提出。本文件由中国民用机场协会归口。本文件起草单位：中国民航管理干部学院本文件主要起草人：吴倩、吕忠、唐历华、林陟峰、陈丽茜、罗玮诣、姜阳奇、杨元圆、丁凡、董鹏。本文件主要审查人：杜伟、霍达、张洁、杨文远、宋亚胜、张天旺、吴成凯、尉超、黄骄飞、秦庭鑫、赵连河、张莉、潘英。T/CCAATB0028—2022III引言民用运输机场（以下简称运输机场）是交通运输行业的重要组成部分，为航空旅客运输、航空货邮运输及其他飞行运行提供了必要保障。近年来，随着经济社会与航空技术的快速发展，运输机场的规模与业务范围不断拓宽，与其他组织之间的联结更为频繁和紧密，运输机场与其他组织间业务的相互依赖性显著增强。但与此同时，自然灾害、事故灾难、突发公共卫生事件、社会安全事件等突发事件的发生频次也在不断增加，造成的运输机场业务中断事件的发生也呈现出增长趋势，业务中断后如何快速恢复成为其亟待解决的问题之一。业务连续性管理作为各类组织有效应对突发事件，使其业务在重大突发事件中得以连续或迅速恢复的有效方法，已经在全球范围内得到越来越多的共识并付诸于实践。并且，随着世界各国对业务连续性管理的关注和重视程度不断提高，业务连续性管理已经成为企业不可或缺的管理手段之一。本文件立足于评估运输机场在应对各类突发事件中快速恢复与持续运行的能力，通过业务连续性评估，有效识别并分析导致业务中断的各类资源现状。业务连续性评估结果，将帮助运输机场制定风险防范、中断应对以及快速恢复等一系列的有效措施，对应对各类中断事件、保持运行持续、提升服务水平具有重要的实际价值。在本文中使用如下助动词：——“应”表示要求；——“宜”表示建议；——“可”表示允许；——“能力”表示可能或能够。“注”的内容是理解和说明有关要求的指南。T/CCAATB0028—20221民用运输机场业务连续性评估指南1范围本文件建立了运输机场业务连续性等级模型，规定了运输机场业务连续性评价指标体系，并给出了评估实施程序。本文件适用于各类运输机场，包括但不限于如下类型机场：a）枢纽机场；b）中小机场；c）军民合用运输机场民用部分。其他类型民用机场可参考本文件开展业务连续性评估。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ISO22300:2021Securityandresilience-VocabularyISO22301:2019Securityandresilience-Businesscontinuitymanagementsystems-requirementsISO31000:2018Riskmanagement-Guidelines3术语和定义下列术语和定义适用于本文件。3.1活动activity具有明确输出的一个或多个任务的集合。[来源：ISO22300:2021,3.1.2]3.2业务连续性businesscontinuity在中断期间，组织在可接受的时间表内以预先确定的容量连续交付产品或服务的能力。[来源：ISO22300:2021,3.1.19]3.3业务连续性管理businesscontinuitymanagement实施和保持业务连续性的过程，英文缩写为BCM。注：该过程为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键利益相关方的利益、声誉、品牌、和创造价值的活动。[来源：ISO22300:2021,3.1.20]3.4业务连续性计划businesscontinuityplan用于指导组织应对中断，并重新开始、恢复、还原产品和服务的交付，以符合其业务连续性目标的成文信息的程序。[来源：ISO22300:2021,3.1.22]3.5业务影响分析businessimpactanalysis分析中断随时间推移对组织的影响的过程。[来源：ISO22300:2021,3.1.24]3.6中断disruption事件，无论是预期的还是非预期的事件，根据组织的目标，导致产品和服务（3.2）的预期交付出现计划外的负偏差。[来源：ISO22300:2021,3.1.75]3.7相关方interestedpartyT/CCAATB0028—20222可影响决策或活动（3.1），受决策或活动所影响，或自认为受决策或活动影响的个人或组织。注：例如，顾客、所有者、员工、供应商、银行、监管机构、工会、合作方、供应商或社区，还可能包括竞争对手或对立群体。[来源：ISO22300:2021,3.1.132]3.8资源resource为了运行和实现目标，组织在需要时可供使用的所有资产（包括工厂和设备）、人员、技能、技术、场地、物资和信息（无论是否为电子格式）。[来源：ISO22300:2021,3.1.207]3.9运行资源operationresource保障组织正常开展业务所需要的各类资源的总和。3.10风险risk对目标的不确定性影响。注1：该影响是偏离预期目标的—正面的或负面的。注2：不确定性是指完全或部分缺乏有关某项事态的了解或认识（包括其后果和发生可能性）信息的状态。注3：风险常被描述为潜在事态和后果，或它们的组合。注4：风险通常被表述为事态的后果（包括环境的变化）和发生的可能性。注5：这是ISO管理体系标准高阶架构的通用术语和核心定义之一。[来源：ISO31000:2018,3.1]3.11威胁threat可能导致对人员、资产、系统、组织、环境或社区产生负面影响的非预期事件。[来源：ISO22300:2021,3.1.277]4业务连续性等级模型本文件将运输机场的业务连续性水平划分为5个等级，如图1所示。业务连续性等级由低至高依次为初始级（1级）、发展级（2级）、稳健级（3级）、优秀级（4级）和卓越级（5级），每个等级表明当前运输机场业务连续性所达到的能力水平。数字越大，等级越高，且较高的等级涵盖了低于其等级的全部要求。图1运输机场业务连续性等级a）初始级（1级）：完全没有概念，也没有任何措施。该等级情况下，组织缺乏对业务环境的基本理解，且对威胁组织的各类中断事件缺乏了解，没有预先制定的响应与恢复业务的策略方案。组织在受到中断事件冲击时，对于自身运营的维持或恢复，主要取决于组织恰好拥有的资源和手段，以及相关人员的个人能力。T/CCAATB0028—20223b）发展级（2级）：没有理论基础，但有一定的措施安排。该等级情况下，组织对业务环境和中断事件有一定的了解，预先制定了应对中断事件的简单策略方案。组织为应对可能发生的中断事件，在机制、资源、手段及人员能力方面开展了预先准备，但这些准备工作在充分性、完备性和受控性方面存在明显的不足。c）稳健级（3级）：有考虑业务持续问题，并系统性做出了安排。该等级情况下，组织预先系统性制定了应对中断事件的各项管理措施，并且有意识的通过书面化等手段确保相关工作受控执行，管理措施包括：组织全面梳理业务环境并达成统一明确的业务优先级，全面梳理中断事件且开展了风险影响评估，针对关键资源制定了保护方案，针对中断事件制定了业务连续性计划等。组织为应对可能发生的中断事件，在机制、资源、手段及人员能力方面都开展了比较充分且完备的准备。d）优秀级（4级）：有系统性的管理措施，并通过了测试与检验。该等级情况下，组织除了满足上述3级条件，且通过桌面演练或实操演练，对中断事件应对的业务连续性计划进行了测试，以验证其有效性。组织为应对可能发生的中断事件，在机制、资源、手段及人员能力方面开展了相当充分且完备