一、业务连续性管理领域相关标准

依据信息科技应急管理的工作定位，其作为业务连续性管理知识领域的重要子集，相关标准和实践经验仍需参照和借鉴业务连续性领域的相关标准和实践。

业务连续性管理(Business Continuity Management, 简称“BCM”)，是组织根据对自身潜在风险的评估分析，确定其可能造成的威胁，为防止或减少灾难事件给组织带来损失而建立的一套完善的管理机制。BCM的目标是提高组织的风险防范能力，有效地减少业务破坏，并降低不良影响，保障单位的业务得以持续运行。

业务连续性管理的是从上个世纪70与80年代逐步发展起来的，由于IT系统和数据重要性随着集中化进程日益增长，业务连续性管理关注的重点是数据中心瘫痪后的灾难恢复。到上个世纪90年代，因应灾难所涉及范围的扩展，业务连续性管理关注的重点从对数据和信息系统的恢复扩展为场地瘫痪（数据中心与办公场地）后的业务恢复。至本世纪初，恐怖主义与各种威胁的加剧，组织面临着更加复杂的外部环境；随着国际化协作和分工的发展，组织供应链管理也面临这更大的挑战，业务连续性管理关注的重点演进为针对关键业务供应链流程中各个环节的运营风险。业务连续性发展趋势见下图。

当前在业务连续性管理领域国内外主要参照的知识标准主要包括：ISO22301业务连续性管理国际标准，国际业务持续协会（BCI）的业务连续性良好实践指南、以及国际灾难恢复协会（DRII）的业务连续性管理最佳实践标准；中华人民共和国国家标准中的《公共安全-业务连续性管理体系-要求》-GB/T 30146：2013与ISO22301业务连续性管理国际标准内容基本相同和一致，仅做过编辑性修订。

1.1.1. 业务连续性管理国际标准

2007年，英国BSI（British Standard Institution）出台了首个关于业务连续性管理 (BCM) 的标准—BS 25999，该标准的目的是在最棘手和意外的情况下保证企业的业务连续运行，从而保护企业的员工、维护企业的声誉并提供持续运营的能力。

2012年，ISO出台第一个业务连续性管理的国际标准——ISO22301，该标准在BS25999基础上进行了整合，并于2012年9月正式取代BS25999，成为在国际范围内对组织进行业务连续性管理进行审核和认证的标准体系。

业务连续性管理标准，建立了业务持续管理的相应过程、原则和术语体系，提供了在企业内贯彻业务持续性理念、发展和贯彻业务持续管理体系的基础。该标准中将业务连续性管理的生命周期定义为四个阶段(见下图)。

 
图表 业务连续性管理的生命周期示意图（ISO22301）

1.了解您的业务

每个组织应对其所处环境进行分析，应从可引起业务过程中断的事件开始．如设备故障．水灾和火灾．可采用风险评鉴（Risk Assessment）及业务影响分析(Business Impact Analysis ，BIA)方法．确定这些中断情形的冲击(根据破坏程度和复原时间)，这两项活动都应让业务资源和操作的拥有者完全参与。重点在了解组织所面临风险的发生可能性和冲击影响，并鉴别出重要业务过程及排定优先级。

2.确定业务连续性策略

组织了解了可能的灾难及风险后．应针对风险优先级决定将采取的策略。决定策略并不容易．须仔细考虑组织业务目标、资源、文化、流程及投入成本。一般来说，处理风险的策略有避免风险、降低风险，转移风险和接受风险四种。

3.开发和实施BCM应对措施

组织应发展计划以维护业务操作，以备在关键业务过程中断或故障后在必要的时间内恢复业务。业务连续性管理计划一般包括分配职责权限、紧急程序、备援程序、重置程序、维护时间表、业务连续性管理计划以及针对议定的紧急程序及过程进行适当的员工训练等七项内容。

4.BCM的测试、维护及重新审核

业务连续计划在测试阶段时会面临失败的可能性。通常是由于假设错误、疏忽、或设备、人员的变动。因此，应定期测试，确保符合最新状况及有效性。建议经常对计划各部分进行测试，应采用各种技术确保计划能在实际状况中运作。这些技术包括针对各种情况进行沙盘推演、状况模拟、切换测试等。测试灾难恢复、测试供货商的设施和服务、完整演练等。在计划的维护和重新评鉴方面，应通过定期审查和更新方式来维护业务连续计划，确保其持续有效。应在组织的变更管理计划中加入计划的维护程序，以确保业务连续计划的主要项目得到适当处理。各个业务连续计划的定期审查应分配责任；若发现业务连续计划尚未反应业务操作的变更时．应对计划作适当的更新，正式的变更管制应确保所公布的计划都是最新版本．并且利用对整体计划的定期审查来确保处于最新状况。

5.BCM文化的建立与深化

仅建立计划或程序是不够的，必须通过长期有计划的教育训练及倡导活动，让参与者了解业务连续过程．确保过程持续有效．使组织建立BCM文化，使危机风险意识深入人心。

1.1.2. 业务持续管理良好实践指南（BCI）

国际业务持续协会（BCI）根据业务持续方面全球良好实践的经验总结，形成了《良好实践指南》，《良好实践指南》完整定义了业务持续管理的生命周期，生命周期显示了一个组织向改善组织弹性的总体目标前进和重复的过程中所经历的各活动阶段。

1.管理实践

1) 方针和方案管理（专业实践一）是业务持续管理（BCM）生命周期的第一步。这项专业实践定义了与业务持续（BC）相关的组织方针，以及通过业务持续管理方案实施、控制或验证方针。

2) 业务持续的植入（专业实践二）这一专业实践将不懈地把业务持续整合到日常业务活动和组织文化中。

2.技术实践

1) 分析（专业实践三）是业务持续管理生命周期中的专业实践，它将根据组织的目标评审和评估一个组织，及其运作情况，以及它运营所处环境所带来的局限性。

2) 设计（专业实践四）是业务持续管理生命周期中的专业实践，它识别和选择适当的策略和战术来确定将如何实现持续，以及如何从中断情况中恢复。

3) 实施（专业实践五）是业务持续管理（BCM）生命周期中的专业实践，它通过制定业务持续方案（BCP）的流程来执行组织认可的策略和战术。

4) 验证（专业实践六）是业务持续管理生命周期中的专业实践，它确认业务持续管理方案达到了业务持续方针所设定的目标，以及确认组织的业务持续方案符合宗旨。

 
图表 业务持续管理的生命周期示意图（BCI）

1.1.3. 业务连续性管理最佳实践（DRII）

国际灾难恢复协会（DRII）参照灾难恢复行业的近30年发展，制定了业务连续管理最佳实践的十个领域，这些知识领域是贯彻在整个业务连续性建设项目过程中的；以下是业务持续管理（BCM）国际专业操作步骤。

1.项目启动和管理

确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

2.风险评估和控制

确定可能造成机构及其设施中断和灾难、具有负面影响的事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。

3.业务影响分析

确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相关性以便确定恢复时间目标。

4.制定业务连续性策略

确定和指导备用业务恢复运行策略的选择，以便在恢复时间目标范围内恢复业务和信息技术，并维持机构的关键功能

5.应急响应和运作

制定和实施用于事件响应以及稳定事件所引起状况的规程，包括建立和管理紧急事件运作中心，该中心用于在紧急事件中发布命令。

6.制定和实施业务连续性计划

设计、制定和实施业务连续性计划以便在恢复时间目标范围内完成恢复。

7.意识培养和培训项目

准备建立对机构人员进行意识培养和技能培训的项目，以便业务连续性计划能够得到制定、实施、维护和执行。

8.维护和演练业务连续性计划

对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果。制定维持连续性能力和BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证BCP的效率，并使用简明的语言报告验证的结果。

9.公共关系和危机通信

制定、协调、评价和演练在危机情况下与媒体交流的计划。制定、协调、评价和演练与员工及其家庭、主要客户、关键供应商、业主／股东以及机构管理层进行沟通和在必要情况下提供心理辅导的计划。确保所有利益群体能够得到所需的信息。

10.与公共当局的协调

建立适用的规程和策略用于同地方当局协调响应、连续性和恢复活动以确保符合现行的法令和法规。

 
图表 业务持续管理（BCM）国际专业操作步骤（DRII）

二、业务连续性管理的发展趋势

1.2.1. 业务连续性管理知识领域的发展

业务连续性知识领域的发展过程，是伴随着企业信息化过程而发展起来的。经过几十年的发展，通过灾难备份来实现业务连续性管理，已经成为企业提高风险防范能力，有效应对非计划的业务破坏，并降低不良影响的重要举措。近年来，业务连续性管理越来越强调建立从业务主导并贯穿企业运营全过程的规划、管理、实施、改进过程。

2012年5月，在BS25999基础上，综合各国在业务连续性管理上的实践，由ISO组织正式颁布首部业务连续性国际标准ISO 22301。与BS 25999相比，ISO 22301强调制定目标、监测表现和绩效指标、对企业管理层提出了更加清晰的期望值，对业务连续性计划的制定也提出了更高的要求。该标准提升了BCM的系统性和专业性，重点强调了以下四个方面（见下图）：

 
图表 业务连续性国际标准的关注要素示意图

1.着重沟通（Communication）机制的设计

强调必须清楚定义沟通对象、时机和内容，要求在事件发生时可保障通信沟通的有效。

2.增加了业务连续性策略的资源考虑和供应商要求

在业务连续性策略的制定过程中，除了考虑场地、人员、IT系统、数据等资源的保障之外，还强调需考虑财务、后勤等事件处理时的资源要项。同时，对于上下游供应链的持续运营能力，也需要纳入到业务连续性管理范畴内进行统一考虑。

3.细化应急管理和业务重续运行

对于应急管理，强调预警和及时沟通。不仅仅着眼于事故的恢复，而是从事件的侦测、响应、诊断阶段开始，细化相应的管理流程。而在业务恢复之后，如何有效的进行重续运行，也是保障业务持续运行的重要组成部分。

4.明确持续管理绩效评估要求

要求组织设置管理指标，用以衡量业务连续性管理系统实施的绩效和有效性。可采用有效的监控和衡量手段，并设计监控、衡量、分析与评估的方法，保障业务连续规划持续发挥其最大效益。

以上四个方面也是企业在业务连续性管理领域中，从最初的建设到后续的组织、流程、信息系统的持续运营管理的改进过程中，需要面对和重点关注的内容。2013年12月发布、2014年5月执行的中华人民共和国国家标准中的《公共安全业务连续性管理体系要求》-GB/T 30146：2013，基本是使用翻译法等同采用ISO22301业务连续性管理国际标准，仅做过编辑性修订。

结合近十年国内外企业、特别是金融行业在业务连续性领域的尝试和成功实践，目前业务连续性管理领域的发展趋势是趋于“一体化”、“标准化”和“专业化”。