业务连续性管理应对突发性事件管理的新理念

■ 王金玉

业务连续性管理应对突发性事件管理的新理念

■ 王金玉

“业务连续性管理”的理念即是为了解决突发事件对组织业务造成影响以至中断的问题。业务连续性管理是识别对组织的潜在威胁以及威胁一旦发生可能对业务运行带来的影响一整套管理过程，该过程为组织建立有效应对威胁和自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动。

“9·11”事件发生后，人们更加意识到仅仅恢复数据中心是远远不够的。如2005年美国“卡特里娜”飓风、2008年我国南方冰雪灾害等，均对组织机构的运转，以及水、电、热、气等城市基础设施的正常运行等，造成了不同程度的冲击以至形成业务中断。在公共安全应急领域，业务连续性管理能够在突发事件发生后，减小突发事件对组织的影响程度，缩短业务恢复所需的时间。由于业务连续性管理在公共安全应急管理及组织业务的连续性保障方面的重要作用，国外对业务连续性管理给予了充分关注，并大力推动相关标准化工作。

国外业务连续性管理的发展

立足于全球视角来看，以英国、美国、日本、新加坡等国为代表的发达国家成为业务连续性管理的主要推动力。这些国家均已制定业务连续性管理方面的国家标准，指导和规范各自国家的业务连续性管理发展。

为了满足组织对统一的业务连续性管理国际标准的需求，ISO公共安全技术委员会ISO/ TC223着手组织制定业务连续性管理国际标准，2006年ISO在意大利佛罗伦萨召开了应急响应研讨会，ISO 22301标准制定工作就此启动。

国家治理论苑

2012年5月15日ISO正 式 颁 布 了ISO 22301:2012 《公共安全 业务连续性管理体系 要求》。ISO 22301:2012致力于提高组织弹性，其管理体系框架能够帮助组织制定一套一体化的管理流程计划，使企业对潜在的灾难加以辨识，帮助其确定可能发生的冲击及对企业运作造成的威胁，并提供一个有效的管理机制来阻止或抵消这些威胁，减少灾难事件带来的损失。

2012年12月，ISO发布了ISO 22313：2012《公共安全 业务连续性管理体系 指南》，说明了企业为满足ISO 22301国际标准的要求所需采取的行动步骤，作为ISO 22301的补充标准，ISO 22313提供了额外的信息和案例，以帮助组织更好地理解BCM的好处，以及如何在组织内部实施ISO 22301。

ISO 22301作为业务连续性管理领域第一个国际标准，为全球范围内的各类组织提供了业务连续性管理的规范依据，是业务连续性管理领域的巨大进步。

我国业务连续性管理体系标准进展

我国业务连续性管理起步较晚，从“9.11”事件之后，国内才开始这方面的工作，经历了从探索到实践的过程，目前仍处于初级阶段，但发展势头迅猛。

（一）从灾难备份到业务连续性管理

在我国，银行业报灾难备份是业务连续性管理的雏形，银行业在业务连续性管理方面也处于较领先地位。银行业较早开展了数据灾难备份工作，相关标准逐渐完善。2007年第一个灾难备份的国家标准，《GB20988-2007 信息系统灾难

恢复规范-T》出台，随后2008年人民银行出台了《JR0044-2008 银行业信息系统灾难恢复管理规范》标志着信息系统灾备的国家规范和行业规范逐渐完善。目前在金融行业，所有的全国性银行已经建立起了基本的信息系统灾备体系，完成了同城或者异地至少一个灾备中心的建设。

然而，数据恢复仅是保障业务连续性的一个组成部分，数据灾难备份并不能满足业务性的要求。业务连续性除灾难恢复外，还包括风险管理、紧急时间管理、安全管理、知识管理、危机通信和公共关系等多个内容。因此，我国的银行业的业务连续性保障工作，从单一的数据灾难备份，走向了综合性的业务连续性管理。

2011年，中国银监会下发《商业银行业务连续性管理指引》及2013年，《公共安全-业务连续性管理体系要求》是这一领域又一个关键里程碑，标志着国内业务连续性管理已从传统信息系统灾备这一局部领域上升到管理层面，丰富了国内相关标准体系。

（二）我国的“公共安全业务连续性”系列标准及相关组织

我国的“公共安全 业务连续性”系列标准的研制工作启动于2007年，由国家标准化委员会委托“SAC/TC351 全国公共安全基础标准化技术委员会”负责，该技术委员会设在中国标准化研究院。

《公共安全 业务连续性管理体系 要求》国家标准的制定经过了四个阶段：

（1）2007年，中国标准化研究院向国家标准化管理委员会提出制定《业务连续性管理》国家标准计划并得到批准（编号：20070189-T-469）；

（2）为保持与国际接轨、遵循国际统一规则，等同采用ISO 22301《公共安全 业务连续性管理体系 要求》；

（3）广泛征求了来自应急办、民政部、认监委、清华大学等单位以及英国国际业务持续协会（BCI）和国际灾难协会（DRII）等组织相关专家的意见；

（4）2013年3月1日，召开《公共安全 业务连续性管理体系 要求》国家标准审查会，形成标准报批稿。与会专家一致认为，该标准有利于提高我国公共安全管理水平，应尽快推动该标准成为认证标准，并于2014年5月1日开始实施。

此外，为加强公共安全业务连续性管理，我国于2004年成立了公共安全业务持续管理专委会（China BCM）。该专委会是集标准研制、培训咨询、认证审计等为一体的社团组织机构，设秘书处负责日常事务处理，秘书处下设标准推进部、培训咨询部、会员服务部、智慧城市推进部、国际交流中心等，积极推动相关工作。

（三）《公共安全业务连续性管理体系要求》的主要内容

《GB/T 30146-2013公共安全业务连续性管理体系 要求》是我国第一个业务连续性管理标准。它以“为策划、建立、实施、运行、监视、评审、保持和持续改进一个文件化的业务连续性管理体系”为目标，用以实施保护、减少中断事件发生的可能性，并更好地实施准备、响应并恢复。

该标准提出了“业务连续性”“业务连续性管理”“业务连续性管理体系”“业务连续性管理计划”“业务影响分析”等55个术语和定义。包括了“组织环境”“领导力”“策划”“支持”“实施”“绩效评估”“改进”等主要内容，对业务连续性管理整体流程的关键环节进行了明确表述和技术规范，重点阐述了“事前如何减少风险，做些什么准备”“事中如何减少损失，做些什么响应”“事后如何恢复，

采取什么措施”等关键问题，为推动我国组织业务连续性管理体系的建立与国际接轨，为我国组织业务连续性管理体系获得国际广泛认可提供保障。

（四）“业务连续性管理”的下一步工作计划

为提高我国各类组织应对突发事件的能力，同时适应供应链全球化对我国企业提出的保持业务连续性要求，研制适应我国国情的业务连续性管理体系成套标准并推广实施已迫在眉睫。为了推动业务连续性管理标准在我国的实施，提升组织业务连续性管理意识，全国公共安全基础标准化技术委员会将开展以下工作：

（1）在SAC/TC351下组建业务连续性管理标准化工作组，专门推进业务连续性管理标准化工作；

（2）完善业务连续性管理体系相关标准，努力将其做成成套标准加以推广实施；

（3）针对《公共安全-业务连续性管理体系-要求》国家标准编制宣贯教材，对标准进行宣贯和推广。

制定业务连续性管理国家标准的重要意义

国家对公共安全和应急管理等工作给予了高度的重视，业务连续性管理作为组织应对突发事件的一种有效手段在我国面临着极大的发展机遇。业务连续性管理系列标准的研制和实施，将对我国提高政府的应急管理水平、提高网络的安全保障水平、提高企业的业务连续水平有着重要意义。

（一）提高政府的应急管理水平。按《突发事件应对法》的规定，突发事件应对活动包括 “预防与应急准备”“监测与预警”“应急处置与救援”“事后恢复与重建”等四个阶段。我国政府要求应急管理工作要逐步实现“关口前移”，加强“预防与应急准备”工作。这不仅要求加强物资方面的预防与准备，更需要从理念和技术准备上，加强对突发事件、承灾载体和应急管理三者的特点及相互联系的分析。

业务连续性管理系列标准，能够在突发事件应急管理的“预防与应急准备”环节提供科学、明确的技术指导：对突发事件的特点分析、影响在什么时候开始、多少损失能够承受、可以选择的恢复途径、怎样重建业务功能、复原计划的成本、需要多少资源等关键技术问题给出分析方法的指导，从而为提高我国政府的应急管理水平提供了标准化的技术支撑。

（二）提高网络的安全保障水平。业务连续性管理标准，使网络安全保障的核心理念，从单一的“数据备份”提高到综合性的“业务连续性管理”水平。业务连续性是一种预防性机制。它明确一个机构的关键职能以及可能对这些职能构成的威胁，并据此采取相应的技术手段，制订计划和流程，确保这些关键职能在任何环境下都能持续发挥作用。在网络安全保障方面，业务连续性包含三个领域：业务状态数据的备份和复制、业务处理能力的冗余和切换、外部接口冗余和切换。相比之下，灾难备份只是一种尽可能减少宕机损失的工具或者策略。从单一的“数据备份”到综合性的“业务连续性管理”，这一理念的飞跃和技术标准的规范，为提高网络的安全保障水平提供了标准化的技术支持。

（三）提高企业的业务连续性水平。近年来的自然灾害对企业业务连续性造成了巨大冲击。2006年台风引起的广东水灾造成了沿海部分银行的歇业，2006年底的海底光缆中断事件除了对Internet造成重大影响外，给部分外资企业的远程网络应用造成了致命影响，依赖于远程ERP应用的企业不得不停产，而2008年初的郴州暴风雪更是导致全地区停电停水，银行停业，给社会和企业造成了巨大的财产损失。这些迫使企业必须要建立应急预案体系和灾备体系，将企业业务连续性风险降低在最小程度。2008年汶川地震和2013年的雅安地震更是给国内各行业和全体国民深刻的印象，其造成的灾难使得很多企业、机构蒙受了巨大的损失。另一方面，这些灾难性事件也加深了企业对业务连续性管理的重视程度。

业务连续性管理系列标准最重要的实施主体企业，由于近年来公共安全事件频发，面对的导致企业业务中断事件越来越多，给企业带来的影响越来越大。业务连续性是覆盖整个企业的技术以及操作方式的集合，其目的是保证企业业务在任何时候以及任何需要的状况下都能保持连续运行。通过业务连续性管理标准的实施和宣贯，企业能够梳理核心业务面临的潜在冲击、冲击可能造成的影响、可以采取的减小影响的准备措施等关键问题，有针对性地做好预防准备和应急处理工作。业务连续性管理系列标准在企业层面的宣贯和实施，将有效提高企业的业务连续性保障水平。

（作者单位：中国标准化研究院）