摘要：本文簡(jiǎn)要介紹了業(yè)務(wù)連續(xù)性管理體系的起源、國際標(biāo)準(zhǔn)和我國國家標(biāo)準(zhǔn)的制修訂情況。由此可以看出，這一嶄新的管理體系與風(fēng)險(xiǎn)管理、危機(jī)管理、公共關(guān)系、信息技術(shù)乃至信息安全等領(lǐng)域有著密切相關(guān)的聯(lián)系。

近年來，自然災(zāi)害和人為事故頻繁發(fā)生，組織環(huán)境的不確定性和風(fēng)險(xiǎn)大幅度增加，加強(qiáng)組織業(yè)務(wù)連續(xù)性管理成為打造最佳應(yīng)急預(yù)案的必然選擇。為了滿足組織對(duì)統(tǒng)一的業(yè)務(wù)連續(xù)性管理國際標(biāo)準(zhǔn)的需求，ISO公共安全技術(shù)委員會(huì)ISO/TC223著手組織制定業(yè)務(wù)連續(xù)性管理國際標(biāo)準(zhǔn)，2006年ISO在意大利佛羅倫薩召開了應(yīng)急響應(yīng)研討會(huì)，ISO 22301標(biāo)準(zhǔn)制定工作就此啟動(dòng)，并與2012年5月正式發(fā)布。

ISO22301:2012致力于使公共或私有部門的組織更具有適應(yīng)性，其管理體系框架能夠幫助企業(yè)制定一套一體化的管理流程計(jì)劃，使企業(yè)對(duì)潛在的災(zāi)難加以辨別分析，幫助其確定可能發(fā)生的沖擊對(duì)企業(yè)的運(yùn)作造成的威脅，并提供一個(gè)有效的管理機(jī)制來阻止或抵消這些威脅，減少災(zāi)難事件給企業(yè)帶來的損失。

一、業(yè)務(wù)連續(xù)性管理體系的定義

目前，業(yè)務(wù)連續(xù)性管理已經(jīng)引起全球的關(guān)注，無論是公共或私有部門的組織都必須了解如何準(zhǔn)備和應(yīng)對(duì)意外的破壞性的事故發(fā)生。ISO 22301標(biāo)準(zhǔn)為業(yè)務(wù)連續(xù)性管理體系(BCMS)的策劃、建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和持續(xù)改進(jìn)提供了框架。當(dāng)破壞性的事故發(fā)生時(shí)，該標(biāo)準(zhǔn)將有助于組織的防護(hù)、準(zhǔn)備、響應(yīng)和恢復(fù)。

國家推薦標(biāo)準(zhǔn)GB/T 30146《公共安全 業(yè)務(wù)連續(xù)性管理體系 要求》中對(duì)業(yè)務(wù)連續(xù)性管理的定義為：識(shí)別對(duì)組織的潛在威脅以及這些威脅一旦發(fā)生可能對(duì)業(yè)務(wù)運(yùn)行帶來的影響的一整套管理過程。該過程為組織建立有效應(yīng)對(duì)威脅的自我恢復(fù)能力提供了框架，以保護(hù)關(guān)鍵相關(guān)方的利益、聲譽(yù)、品牌和創(chuàng)造價(jià)值的活動(dòng)。國家推薦標(biāo)準(zhǔn)GB/T 30146中對(duì)業(yè)務(wù)連續(xù)性管理體系（BCMS）的定義為：用于建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)業(yè)務(wù)連續(xù)性，是一個(gè)組織整個(gè)管理體系的一部分。

簡(jiǎn)要來說，組織建立業(yè)務(wù)連續(xù)性管理體系目的在于通過實(shí)施和運(yùn)行控制措施來管理組織應(yīng)對(duì)中斷事件的整體能力從而保障當(dāng)組織的核心業(yè)務(wù)發(fā)生中斷后（例如銀行業(yè)ATM機(jī)故障導(dǎo)致所有ATM機(jī)無法存取款），在規(guī)定的時(shí)間內(nèi)（例如我國銀監(jiān)會(huì)規(guī)定重要業(yè)務(wù)恢復(fù)事件不得多于4小時(shí)）將核心業(yè)務(wù)從中斷事件中進(jìn)行恢復(fù)，并通過控制措施保障組織在進(jìn)行業(yè)務(wù)恢復(fù)過程中和業(yè)務(wù)恢復(fù)后能夠與媒體、組織自身員工進(jìn)行良好的溝通交流。

在任何時(shí)候事故都能使組織的業(yè)務(wù)中斷，采用ISO22301標(biāo)準(zhǔn)將保證組織能夠應(yīng)對(duì)事故并保證其業(yè)務(wù)的持續(xù)運(yùn)行。事故發(fā)生有多種類型，從嚴(yán)重的自然災(zāi)害和恐怖主義活動(dòng)到與技術(shù)相關(guān)的事故和環(huán)境事故。然而，許多事故雖然小，但能產(chǎn)生嚴(yán)重的影響，這在任何時(shí)候都與業(yè)務(wù)連續(xù)性管理緊密相關(guān)。

二、 業(yè)務(wù)連續(xù)性管理體系的起源

業(yè)務(wù)連續(xù)性管理的發(fā)展與計(jì)算機(jī)技術(shù)的發(fā)展密不可分。隨著人類生產(chǎn)生活對(duì)計(jì)算機(jī)的依賴性越來越強(qiáng)，信息系統(tǒng)的安全要求也隨之增長。在20世紀(jì)60年代末，計(jì)算機(jī)系統(tǒng)在解決系統(tǒng)持續(xù)運(yùn)行的問題時(shí)，率先對(duì)單點(diǎn)故障采用了冗余措施。業(yè)務(wù)連續(xù)性管理起源于上世紀(jì)70年代的容災(zāi)和恢復(fù)計(jì)劃。在那個(gè)時(shí)代，金融組織，如銀行和保險(xiǎn)公司大都建設(shè)了另外的備份站點(diǎn)，備份磁帶存儲(chǔ)在遠(yuǎn)離主中心的地點(diǎn)。恢復(fù)活動(dòng)經(jīng)常是針對(duì)由火災(zāi)、水災(zāi)、風(fēng)暴或其他原因造成的物理破壞。

20世紀(jì)70年代末至80年代初，由于大量計(jì)算機(jī)系統(tǒng)應(yīng)用于不同的企業(yè)業(yè)務(wù)流程，同時(shí)在政府機(jī)構(gòu)中也有較多應(yīng)用。在這種情況下，業(yè)務(wù)部門對(duì)信息系統(tǒng)的持續(xù)運(yùn)行提出了更高的要求，一些重大的系統(tǒng)宕機(jī)事故所導(dǎo)致的業(yè)務(wù)中斷，給業(yè)務(wù)部門造成了重大的損失。在這樣的背景下，專業(yè)的災(zāi)難恢復(fù)服務(wù)商應(yīng)運(yùn)而生并逐漸增多。他們?yōu)槠髽I(yè)提供計(jì)算機(jī)運(yùn)行中斷后的災(zāi)難恢復(fù)專業(yè)外包服務(wù)，并且逐漸形成了以信息系統(tǒng)災(zāi)難備份與恢復(fù)為主業(yè)的外包服務(wù)領(lǐng)域。

無論什么樣，什么類型的組織，在其業(yè)務(wù)活動(dòng)正常開展時(shí)，都會(huì)存在著一些可能使組織業(yè)務(wù)活動(dòng)產(chǎn)生中斷的潛在威脅，而這些威脅一旦發(fā)生了，如何使這些發(fā)生業(yè)務(wù)中斷的組織很快的能夠?qū)@些中斷事件進(jìn)行響應(yīng)、恢復(fù)、重新開始和還原到預(yù)先確定的業(yè)務(wù)運(yùn)行水平。其核心是以信息技術(shù)為基礎(chǔ)，保障企業(yè)業(yè)務(wù)持續(xù)運(yùn)行，跨越了風(fēng)險(xiǎn)管理、災(zāi)難恢復(fù)、緊急時(shí)間管理、安全管理、知識(shí)管理、危機(jī)通信和公共關(guān)系等多個(gè)學(xué)科。

三、業(yè)務(wù)連續(xù)性管理體系國際標(biāo)準(zhǔn)發(fā)展概況

早在ISO正式發(fā)布其國際標(biāo)準(zhǔn)前，已有多個(gè)國家發(fā)布了本國的業(yè)務(wù)連續(xù)性管理體系國家標(biāo)準(zhǔn)，例如：2006年，英國BSI頒布了用于指導(dǎo)組織實(shí)施業(yè)務(wù)連續(xù)性管理體系的國家標(biāo)準(zhǔn)BS 25999-1:2006《業(yè)務(wù)連續(xù)性管理-實(shí)施規(guī)程》， 2007年BSI又頒布了可用于認(rèn)證的BS 25999-2:2007 《業(yè)務(wù)連續(xù)性管理-規(guī)范》。美國也在2007年批準(zhǔn)了NFPA 1600（2007版）作為本國的業(yè)務(wù)連續(xù)性管理標(biāo)準(zhǔn)。在亞洲地區(qū)，新加坡于2008年頒布了本國的業(yè)務(wù)連續(xù)性管理體系標(biāo)準(zhǔn)SS 540:2008。日本、以色列等國家也在ISO發(fā)布前，發(fā)布了適用于本國的業(yè)務(wù)連續(xù)性管理標(biāo)準(zhǔn)。

“9.11”事件之后，歐美各國及新加坡等國家加快了業(yè)務(wù)連續(xù)管理的理論研究和實(shí)踐活動(dòng)，日本政府開始高度重視業(yè)務(wù)連續(xù)在本國的發(fā)展，投入了大量的人力物力制定了一系列的危機(jī)管理和業(yè)務(wù)連續(xù)的標(biāo)準(zhǔn)指南，其目的在于為企業(yè)經(jīng)營者建立一個(gè)共識(shí)和準(zhǔn)則，以便于企業(yè)參照?qǐng)?zhí)行，從而加強(qiáng)企業(yè)抵御災(zāi)難的能力。從日本BCM標(biāo)準(zhǔn)指南的發(fā)展過程，可以看出日本政府對(duì)BCM發(fā)展的指導(dǎo)是BCM得到快速發(fā)展的重要因素之一。

立足于全球視角來看，以英國、美國、新加坡、日本等國為代表的發(fā)達(dá)國家成為業(yè)務(wù)連續(xù)性管理的主要推動(dòng)力，這種推動(dòng)力主要體現(xiàn)在國家層面的法律法規(guī)、行業(yè)層面的規(guī)范以及企業(yè)層面的實(shí)施幾方面。這些國家均已制定業(yè)務(wù)連續(xù)性管理方面的國家標(biāo)準(zhǔn)，指導(dǎo)和規(guī)范各自國家的業(yè)務(wù)連續(xù)性管理發(fā)展。

國際標(biāo)準(zhǔn)化組織在美國NFPA1600、英國BS25999、新加坡SS540及日本等國標(biāo)準(zhǔn)的基礎(chǔ)上，結(jié)合各國的最佳實(shí)踐經(jīng)驗(yàn)而于2012年5月發(fā)布了業(yè)務(wù)連續(xù)管理體系的認(rèn)證標(biāo)準(zhǔn)ISO 22301 ‘Social security-Business continuity management systems-Requirements’，并于同年12月發(fā)布了ISO 22313“業(yè)務(wù)連續(xù)性管理體系實(shí)施指南”。

四、我國業(yè)務(wù)連續(xù)性管理標(biāo)準(zhǔn)發(fā)展概況

中國業(yè)務(wù)連續(xù)性管理起步較晚，從“9.11”之后，國內(nèi)才開始這方面的工作，經(jīng)歷了從探索到實(shí)踐的過程，目前雖仍處于初級(jí)階段，但發(fā)展勢(shì)頭迅猛。

近幾年，我國的一些行業(yè)主管部門從關(guān)系國計(jì)民生、社會(huì)穩(wěn)定方面出發(fā)，也制定了一些適用于本部門或本行業(yè)的業(yè)務(wù)連續(xù)性管理指引規(guī)范。具有代表性的標(biāo)準(zhǔn)及要求如下：

1、國家標(biāo)準(zhǔn)《信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》GB/T 20988-2007

2、銀監(jiān)會(huì)《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》

3、銀監(jiān)會(huì)《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》

4、銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》

5、證券行業(yè)協(xié)會(huì)《證券公司證券營業(yè)部信息技術(shù)指引》

6、保監(jiān)會(huì)《保險(xiǎn)業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指引》

7、電監(jiān)會(huì)《國家處置電網(wǎng)大面積停電事件應(yīng)急預(yù)案》

8、民航業(yè)《民用航空重要信息系統(tǒng)災(zāi)難備份與恢復(fù)管理規(guī)范》

9、電信業(yè)《電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實(shí)施指南》

其中，銀監(jiān)會(huì)于2011年發(fā)布的《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》對(duì)于金融領(lǐng)域的業(yè)務(wù)連續(xù)性管理提出明確的監(jiān)管要求。

2014年1月，國家標(biāo)準(zhǔn)GB/T 30146《公共安全 業(yè)務(wù)連續(xù)性管理體系 要求》正式發(fā)布，并于2014年5月正式實(shí)施，這為各類組織如何策劃、建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、維護(hù)和改進(jìn)一個(gè)文件化的業(yè)務(wù)連續(xù)性管理體系指明了方向。

隨著國家標(biāo)準(zhǔn)的發(fā)布、中國認(rèn)證認(rèn)可行業(yè)的蓬勃發(fā)展以及日益增長的認(rèn)證需求，業(yè)務(wù)連續(xù)性管理體系認(rèn)證將成為一個(gè)嶄新的認(rèn)證領(lǐng)域；與之相關(guān)的咨詢、培訓(xùn)服務(wù)也正在形成一個(gè)不斷成長的技術(shù)服務(wù)市場(chǎng)，在為組織帶來價(jià)值的同時(shí)，為降低組織風(fēng)險(xiǎn)、保障組織的業(yè)務(wù)的連續(xù)性都有著積極的影響和深遠(yuǎn)的意義