第一章 流程管理
1.1 领导层级与委员会
上级领导应兑现对该计划的承诺,以防止灾害、减少影响、准备以及响应事故,并保持工作的连续性,并从事故中恢复。
上级需实现承诺应包括以下内容:
(1)支持发展、实施和维护流程
(2)提供必要的资源支持项目
(3)确保流程进行审查和评估,以确保计划的有效性
(4)支持纠正行动以解决方案的不足
整体机构应落实政策、坚决执行计划,并按照预定的流程来支持该计划。
1.2 项目协调员
项目协调员由上级领导任命,并授权开发、实施、管理、评估和维护项目。
1.3 流程委员会
流程委员会应通过根据实体结合政策成立,并应提供输入或协助协调计划的编制、开发、实施、评估和维护。流程委员会中包括项目协调人和其他人都应各有专长,其知识和能力应包括所有关键功能区并识别不同的资源,以适应不同的情况。
1.4 流程管理
整体机构应有一个文件化的流程,包括以下几个方面:
(1)执行政策,包括愿景、使命、角色和责任
(2)*项目范围、目标、绩效、目标和计划的评价指标
(3)*适用机关、立法、法规和实践行业代码
(4)项目预算和时间表,包括里程碑
(5)计划和流程,包括以下内容:预期成本、优先级别、所需的资源
(6)档案管理措施
(7)变革管理
流程要求应适用于前期准备,包括评估规划、实施、预防以及流程维护的缓解、响应、连续性和恢复。
1.5 法律和政府方面
流程应符合适用的法律、政策、监管要求和指令,并应当建立、维护文件的流程,遵守适用的法律、政策、监管要求。整体机构应建立一个寻址,以修改立法和所需战略的法规、指令、政策和行业规范。
1.6 财务管理
在流程开始之前、过程中以及之后,应发展金融和落实行政流程,对财务和行政管理框架,应符合以下要求:
(1)符合本单位的计划要求;
(2)是唯一连接响应、连续性和恢复操作的;
(3)提供了最大的灵活性,以迅速的要求、接收、管理和运用资金,在并日常环境中急救的情况下,保证及时提供援助。
流程应建立和保持财政决定以加快建立授权级别、建立规则、治理要求与财政政策。财务管理的流程如下:
确定金融机构的责任,包括与项目协调员的关系
采购流程
工资
会计系统来跟踪和记录的成本
管理外部资金
危机管理流程,协调授权级别和适当的控制措施
记录由于事故和编制未来成本回收索赔的财务费用支出
识别和访问的其他资金来源
预算和专门拨出的资金管理
1.7 记录管理
整体机构应开发、实施和管理记录管理流程,以确保记录可提供给机构。流程应包括以下内容:
鉴定记录(硬盘拷贝或电子拷贝)对实体经营至关重要
对符合项目目标的记录备份
对记录备份的完整性验证
执行流程存储、检索和恢复记录现场或异地保护
保护记录
记录审核过程的实施
协调相关记录访问权限
第二章 计划组织
2.1 计划和设计流程
流程应遵循的规划过程、发展策略、计划和所需的能力来执行流程。战略规划应当定义实体的愿景、使命、目标和流程。风险评估和业务影响分析(BIA)应制定信息准备预防和缓解策略,并准备急救操作响应、危机沟通、连续性和恢复计划。
应急管理计划应解决的一个事件或一系列事件,该事件严重影响或有可能严重影响主体的经营、信誉、市场份额、业务能力或关键利益相关者。
2.2 风险评估
机构应对灾害进行识别,并监控那些随着时间,灾害发生的可能性和带来影响的严重程度。评估灾害应包括以下内容:
地质:地震、滑坡、泥石流、塌方、火山喷发、海啸
气象:干旱、极端天气、洪水、饥荒、潮汐
生物:食源性疾病、流行性疾病、感染
意外人为造成的:建筑/结构塌方、包封、燃料爆炸/火灾/资源短缺、有害物质泄漏/释放、设备故障、核反应堆事故、放射事故、交通事故、员工事故、停水事故
故意人为造成的:人为纵火、炸弹威胁、骚乱/防爆/起义、歧视/骚扰、造谣、绑架和劫持、战争、失踪、网络安全、产品缺陷或污染、抢劫/盗窃/诈骗、罢工或劳动纠纷、恐怖主义、破坏、单位/学校的暴力
技术:硬件/软件和网络连接中断、公用事业中断
对于人、财产、经营、环境、实体和供应链的运作方面的薄弱点,应当予以识别、评估和监控,分析事故影响和薄弱点应设计以下几点:
受影响地区人员的安全与健康
健康和安全人员应对事件
信息安全
业务连续性
政府工作的连续性
财产、设施、资产和关键基础设施
实体服务的发货
供应链
环境
经济和金融状况
立法、监管和合同规定的义务
实体机构的信誉或信任
工作安排
以上的风险评估应包括对随着时间的推移影响升级的分析,还应对区域、国家或国际事件的潜在影响进行评价,并应评估现有的预防和缓解战略是否准备充分。
2.3 业务影响分析
业务影响分析包括评估的中断可能会影响实体的运营、声誉和市场份额、能力,或与关键利益相关者的关系,并确定可能需要管理的中断的资源和能力。该分析包含以下过程:员工、设施、基础建设、技术、通信、供应链。评估主要包括:从属物、来源供应商、单点故障、中断的资源中潜在的定性和定量的影响。
该分析在受中断影响致使业务瘫痪时及时确定关键点(RTO),并确定可接受量的物理记录和电子记录,以恢复关键项目(RPO),最终在及时恢复(RTO)和恢复关键点(RPO)之间取得平衡。
业务影响分析(BIA)应使用持续的或可恢复的计划和策略来取得进展,也应识别关键的供应链,包括那些在国内和国际上存在的风险以及一定期限内成为实体关键部分的操作。
2.4 资源需求评估
机构应该就事故建立一个资源需求评估,具体可参照5.2和5.3节,需包括以下部分:
(1)在时间框架内的他们所需的包括人力资源、设备、培训、设施、资金、专家知识、材料、技术、信息、情报等;
(2)数量、响应时间、能力、限制、成本和负债
单位应当建立流程来定位、获取、存储、分发、维护、测试、客户服务、人力资源、设备和材料采购或捐赠支持项目。设备能够支持响应、保证工作连续性和恢复操作。需要相互援助、协助或做出协议的,应当确定;如果需要的话,协议应建立并记录在案。
2.5 绩效目标
绩效目标应当考虑对危险源辨识、风险评价的结果以及进行业务影响分析,且应当由实体的开发来解决短期和长期的需要。
第三章 贯彻实施
3.1 普遍的计划需求
计划应保证员工健康和安全,且应独立或集成到一个单一的计划文档,或两者的组合。其应识别并记录以下内容:
在规划过程中所做的假设
功能、内部和外部实体的责任
权限
授权过程
实体连接到外部实体
物流支持和资源要求
3.2 预防
机构应当制定一项战略,以防止威胁生命、财产、设施、通信以及环境。预防策略应通过信息采集与智能技术,并应根据危险源辨识、风险评价、分析影响流程的限制、总结运营经验和成本效益分析来建立。应监控已识别的风险和调整预防措施与风险水平相适应。
3.3 缓解
单位应当制定和实施缓解策略,包括采取措施限制或控制后果和严重程度,应根据危险源辨识和风险评价的结果,分析受影响的流程、操作经验及成本效益,并应包括中期和长期的行动减少薄弱环节。
3.4 危机传播与公共信息
机构应当制定计划和流程来传播信息和响应请求,主要包括:内部的观众,包括员工;外部受众,包括媒体访问和功能需求的人群;其他利益相关者。
机构应建立并保持一个危机公关或公共信息的能力,包括以下内容:
中央接触设备或通信集线器;物理或虚拟信息中心;系统地收集、监测、传播信息;开发和交付协调信息的流程;明确对相关信息协议。
3.5 警告、通知和通信
机构应当确定其警告、通知和通信需求,这些必须可靠、避免冗余和互操作性,并结合流程开发、测试和用于可能或即将发生的事件的风险来警示相关利益者。
如果法律要求和规定信息或模板的公告,应该通过授权机构发出通告;信息应当用过媒体传播,或是由该单位确定的最有效的其他方法来传播。
3.6 操作流程
机构应制定和实施操作流程来协调和保证流程正常运行。该流程应为生命安全、财产、业务连续性和稳定性以及本单位管辖内的环境保护提供保障,应包括以下内容:
1) 获得受事件影响地区的控制权
2) 人员从事在事件活动的认证
3) 人员参与会计事物
4) 动员和分发资源
3.7 事件管理
机构应当制定事故管理体系用于协调响应、保证工作连续性和恢复操作。
急救操作中心(EOCs):机构应当建立相关的管理能力以延续管理和恢复操作。急救操作中心可以是实体的,也可以是虚拟的。急救操作中心、通信中心和协调部门能共同合作应对事故需求和应急响应。
事件管理系统应能描述针对每件事故的专属负责机构、名称及其责任,机构也应建立预防、缓解、准备、响应、保证连续性和恢复活动的流程和政策。该流程应包括现状分析、损失评估和需求评估以及确定资源保障。
急救操作/响应由事故的行动计划或目标管理为导向,应包括下列任务:
建立描述、清点、要求和跟踪资源的过程
资源类型或分类的大小、能力和技能
按照既定的IMS动员和复员资源
进行资源不足的应急计划
3.8 紧急行动/响应计划
应明确具体实施的行动和急救的责任,以保护残疾人、授权其他访问和功能需求的信息、属性、操作、环境和实体。
3.9 连续和恢复
连续计划应包括关键点和关键时间。连续计划应识别并记录以下内容:
(1)需要通知利益相关者
(2)过程必须保持
(3)实施连续性策略的个人角色和职责
(4)启动计划的流程,包括计划的激活权限
(5)关键点和关键时间的技术、应用系统和信息
(6)信息安全
(7)其他工作地点
(8)工作流程
(9)重要记录
(10)联系人列表
(11)所需的人员
(12)供应商持续供应
(13)持续经营资源
(14)互助或合作协议
(15)活动返回的关键点和关键时间
连续性计划的设计应满足恢复关键时间RTO和关键点RPO;也必须解决供应链中断问题。
恢复计划应提供恢复的过程、技术、信息、服务、资源、设施、流程和基础设施,具体如下:
损伤评估
协调的恢复、重建,并更换设备、设施、材料、设备、工具、供应商
供应链的恢复
与利益相关者沟通的延续
临界时间敏感的过程,技术,系统,应用流程和信息的恢复
实施补救策略的个体的角色和责任
内部和外部(供应商)的人员可以支持实施恢复策略和合同的需要
有足够的控制以防止在REC腐败或非法存取机构的数据
在恢复过程中成为适用性
预事件维护控制
单位应当建立员工援助和支持,包括以下策略:(1)通信流程(2)联系信息,包括急救与预期危险区外(3)受灾人员的影响(4)临时、短期或长期居住的人员分类(5)心理健康和身体健康(6)事前和事后意识。
热点:2017一级消防真题答案解析(全科)|消防工程师试题库
2018年一级消防工程师考试告别盲目备考,讲师解密3科核心考点,送三合一班+规范班+实操班,助力一次过3科,点击查看>>