摘要：本文簡要介紹了業(yè)務(wù)連續(xù)性管理體系的起源、國際標準和我國國家標準的制修訂情況。由此可以看出，這一嶄新的管理體系與風(fēng)險管理、危機管理、公共關(guān)系、信息技術(shù)乃至信息安全等領(lǐng)域有著密切相關(guān)的聯(lián)系。

近年來，自然災(zāi)害和人為事故頻繁發(fā)生，組織環(huán)境的不確定性和風(fēng)險大幅度增加，加強組織業(yè)務(wù)連續(xù)性管理成為打造最佳應(yīng)急預(yù)案的必然選擇。為了滿足組織對統(tǒng)一的業(yè)務(wù)連續(xù)性管理國際標準的需求，ISO公共安全技術(shù)委員會ISO/TC223著手組織制定業(yè)務(wù)連續(xù)性管理國際標準，2006年ISO在意大利佛羅倫薩召開了應(yīng)急響應(yīng)研討會，ISO 22301標準制定工作就此啟動，并與2012年5月正式發(fā)布。

ISO22301:2012致力于使公共或私有部門的組織更具有適應(yīng)性，其管理體系框架能夠幫助企業(yè)制定一套一體化的管理流程計劃，使企業(yè)對潛在的災(zāi)難加以辨別分析，幫助其確定可能發(fā)生的沖擊對企業(yè)的運作造成的威脅，并提供一個有效的管理機制來阻止或抵消這些威脅，減少災(zāi)難事件給企業(yè)帶來的損失。

一、業(yè)務(wù)連續(xù)性管理體系的定義

目前，業(yè)務(wù)連續(xù)性管理已經(jīng)引起全球的關(guān)注，無論是公共或私有部門的組織都必須了解如何準備和應(yīng)對意外的破壞性的事故發(fā)生。ISO 22301標準為業(yè)務(wù)連續(xù)性管理體系(BCMS)的策劃、建立、實施、運行、監(jiān)視、評審、保持和持續(xù)改進提供了框架。當破壞性的事故發(fā)生時，該標準將有助于組織的防護、準備、響應(yīng)和恢復(fù)。

國家推薦標準GB/T 30146《公共安全 業(yè)務(wù)連續(xù)性管理體系 要求》中對業(yè)務(wù)連續(xù)性管理的定義為：識別對組織的潛在威脅以及這些威脅一旦發(fā)生可能對業(yè)務(wù)運行帶來的影響的一整套管理過程。該過程為組織建立有效應(yīng)對威脅的自我恢復(fù)能力提供了框架，以保護關(guān)鍵相關(guān)方的利益、聲譽、品牌和創(chuàng)造價值的活動。國家推薦標準GB/T 30146中對業(yè)務(wù)連續(xù)性管理體系（BCMS）的定義為：用于建立、實施、運行、監(jiān)視、評審、保持和改進業(yè)務(wù)連續(xù)性，是一個組織整個管理體系的一部分。

簡要來說，組織建立業(yè)務(wù)連續(xù)性管理體系目的在于通過實施和運行控制措施來管理組織應(yīng)對中斷事件的整體能力從而保障當組織的核心業(yè)務(wù)發(fā)生中斷后（例如銀行業(yè)ATM機故障導(dǎo)致所有ATM機無法存取款），在規(guī)定的時間內(nèi)（例如我國銀監(jiān)會規(guī)定重要業(yè)務(wù)恢復(fù)事件不得多于4小時）將核心業(yè)務(wù)從中斷事件中進行恢復(fù)，并通過控制措施保障組織在進行業(yè)務(wù)恢復(fù)過程中和業(yè)務(wù)恢復(fù)后能夠與媒體、組織自身員工進行良好的溝通交流。

在任何時候事故都能使組織的業(yè)務(wù)中斷，采用ISO22301標準將保證組織能夠應(yīng)對事故并保證其業(yè)務(wù)的持續(xù)運行。事故發(fā)生有多種類型，從嚴重的自然災(zāi)害和恐怖主義活動到與技術(shù)相關(guān)的事故和環(huán)境事故。然而，許多事故雖然小，但能產(chǎn)生嚴重的影響，這在任何時候都與業(yè)務(wù)連續(xù)性管理緊密相關(guān)。

二、 業(yè)務(wù)連續(xù)性管理體系的起源

業(yè)務(wù)連續(xù)性管理的發(fā)展與計算機技術(shù)的發(fā)展密不可分。隨著人類生產(chǎn)生活對計算機的依賴性越來越強，信息系統(tǒng)的安全要求也隨之增長。在20世紀60年代末，計算機系統(tǒng)在解決系統(tǒng)持續(xù)運行的問題時，率先對單點故障采用了冗余措施。業(yè)務(wù)連續(xù)性管理起源于上世紀70年代的容災(zāi)和恢復(fù)計劃。在那個時代，金融組織，如銀行和保險公司大都建設(shè)了另外的備份站點，備份磁帶存儲在遠離主中心的地點?；謴?fù)活動經(jīng)常是針對由火災(zāi)、水災(zāi)、風(fēng)暴或其他原因造成的物理破壞。

20世紀70年代末至80年代初，由于大量計算機系統(tǒng)應(yīng)用于不同的企業(yè)業(yè)務(wù)流程，同時在政府機構(gòu)中也有較多應(yīng)用。在這種情況下，業(yè)務(wù)部門對信息系統(tǒng)的持續(xù)運行提出了更高的要求，一些重大的系統(tǒng)宕機事故所導(dǎo)致的業(yè)務(wù)中斷，給業(yè)務(wù)部門造成了重大的損失。在這樣的背景下，專業(yè)的災(zāi)難恢復(fù)服務(wù)商應(yīng)運而生并逐漸增多。他們?yōu)槠髽I(yè)提供計算機運行中斷后的災(zāi)難恢復(fù)專業(yè)外包服務(wù)，并且逐漸形成了以信息系統(tǒng)災(zāi)難備份與恢復(fù)為主業(yè)的外包服務(wù)領(lǐng)域。

無論什么樣，什么類型的組織，在其業(yè)務(wù)活動正常開展時，都會存在著一些可能使組織業(yè)務(wù)活動產(chǎn)生中斷的潛在威脅，而這些威脅一旦發(fā)生了，如何使這些發(fā)生業(yè)務(wù)中斷的組織很快的能夠?qū)@些中斷事件進行響應(yīng)、恢復(fù)、重新開始和還原到預(yù)先確定的業(yè)務(wù)運行水平。其核心是以信息技術(shù)為基礎(chǔ)，保障企業(yè)業(yè)務(wù)持續(xù)運行，跨越了風(fēng)險管理、災(zāi)難恢復(fù)、緊急時間管理、安全管理、知識管理、危機通信和公共關(guān)系等多個學(xué)科。

三、業(yè)務(wù)連續(xù)性管理體系國際標準發(fā)展概況

早在ISO正式發(fā)布其國際標準前，已有多個國家發(fā)布了本國的業(yè)務(wù)連續(xù)性管理體系國家標準，例如：2006年，英國BSI頒布了用于指導(dǎo)組織實施業(yè)務(wù)連續(xù)性管理體系的國家標準BS 25999-1:2006《業(yè)務(wù)連續(xù)性管理-實施規(guī)程》， 2007年BSI又頒布了可用于認證的BS 25999-2:2007 《業(yè)務(wù)連續(xù)性管理-規(guī)范》。美國也在2007年批準了NFPA 1600（2007版）作為本國的業(yè)務(wù)連續(xù)性管理標準。在亞洲地區(qū)，新加坡于2008年頒布了本國的業(yè)務(wù)連續(xù)性管理體系標準SS 540:2008。日本、以色列等國家也在ISO發(fā)布前，發(fā)布了適用于本國的業(yè)務(wù)連續(xù)性管理標準。

“9.11”事件之后，歐美各國及新加坡等國家加快了業(yè)務(wù)連續(xù)管理的理論研究和實踐活動，日本政府開始高度重視業(yè)務(wù)連續(xù)在本國的發(fā)展，投入了大量的人力物力制定了一系列的危機管理和業(yè)務(wù)連續(xù)的標準指南，其目的在于為企業(yè)經(jīng)營者建立一個共識和準則，以便于企業(yè)參照執(zhí)行，從而加強企業(yè)抵御災(zāi)難的能力。從日本BCM標準指南的發(fā)展過程，可以看出日本政府對BCM發(fā)展的指導(dǎo)是BCM得到快速發(fā)展的重要因素之一。

立足于全球視角來看，以英國、美國、新加坡、日本等國為代表的發(fā)達國家成為業(yè)務(wù)連續(xù)性管理的主要推動力，這種推動力主要體現(xiàn)在國家層面的法律法規(guī)、行業(yè)層面的規(guī)范以及企業(yè)層面的實施幾方面。這些國家均已制定業(yè)務(wù)連續(xù)性管理方面的國家標準，指導(dǎo)和規(guī)范各自國家的業(yè)務(wù)連續(xù)性管理發(fā)展。

國際標準化組織在美國NFPA1600、英國BS25999、新加坡SS540及日本等國標準的基礎(chǔ)上，結(jié)合各國的最佳實踐經(jīng)驗而于2012年5月發(fā)布了業(yè)務(wù)連續(xù)管理體系的認證標準ISO 22301 ‘Social security-Business continuity management systems-Requirements’，并于同年12月發(fā)布了ISO 22313“業(yè)務(wù)連續(xù)性管理體系實施指南”。

四、我國業(yè)務(wù)連續(xù)性管理標準發(fā)展概況

中國業(yè)務(wù)連續(xù)性管理起步較晚，從“9.11”之后，國內(nèi)才開始這方面的工作，經(jīng)歷了從探索到實踐的過程，目前雖仍處于初級階段，但發(fā)展勢頭迅猛。

近幾年，我國的一些行業(yè)主管部門從關(guān)系國計民生、社會穩(wěn)定方面出發(fā)，也制定了一些適用于本部門或本行業(yè)的業(yè)務(wù)連續(xù)性管理指引規(guī)范。具有代表性的標準及要求如下：

1、國家標準《信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》GB/T 20988-2007

2、銀監(jiān)會《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》

3、銀監(jiān)會《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》

4、銀監(jiān)會《商業(yè)銀行信息科技風(fēng)險管理指引》

5、證券行業(yè)協(xié)會《證券公司證券營業(yè)部信息技術(shù)指引》

6、保監(jiān)會《保險業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指引》

7、電監(jiān)會《國家處置電網(wǎng)大面積停電事件應(yīng)急預(yù)案》

8、民航業(yè)《民用航空重要信息系統(tǒng)災(zāi)難備份與恢復(fù)管理規(guī)范》

9、電信業(yè)《電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實施指南》

其中，銀監(jiān)會于2011年發(fā)布的《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》對于金融領(lǐng)域的業(yè)務(wù)連續(xù)性管理提出明確的監(jiān)管要求。

2014年1月，國家標準GB/T 30146《公共安全 業(yè)務(wù)連續(xù)性管理體系 要求》正式發(fā)布，并于2014年5月正式實施，這為各類組織如何策劃、建立、實施、運行、監(jiān)視、評審、維護和改進一個文件化的業(yè)務(wù)連續(xù)性管理體系指明了方向。

隨著國家標準的發(fā)布、中國認證認可行業(yè)的蓬勃發(fā)展以及日益增長的認證需求，業(yè)務(wù)連續(xù)性管理體系認證將成為一個嶄新的認證領(lǐng)域；與之相關(guān)的咨詢、培訓(xùn)服務(wù)也正在形成一個不斷成長的技術(shù)服務(wù)市場，在為組織帶來價值的同時，為降低組織風(fēng)險、保障組織的業(yè)務(wù)的連續(xù)性都有著積極的影響和深遠的意義