■ 王金玉

業(yè)務連續(xù)性管理應對突發(fā)性事件管理的新理念

■ 王金玉

“業(yè)務連續(xù)性管理”的理念即是為了解決突發(fā)事件對組織業(yè)務造成影響以至中斷的問題。業(yè)務連續(xù)性管理是識別對組織的潛在威脅以及威脅一旦發(fā)生可能對業(yè)務運行帶來的影響一整套管理過程，該過程為組織建立有效應對威脅和自我恢復能力提供了框架，以保護關鍵相關方的利益、聲譽、品牌和創(chuàng)造價值的活動。

“9·11”事件發(fā)生后，人們更加意識到僅僅恢復數(shù)據(jù)中心是遠遠不夠的。如2005年美國“卡特里娜”颶風、2008年我國南方冰雪災害等，均對組織機構的運轉，以及水、電、熱、氣等城市基礎設施的正常運行等，造成了不同程度的沖擊以至形成業(yè)務中斷。在公共安全應急領域，業(yè)務連續(xù)性管理能夠在突發(fā)事件發(fā)生后，減小突發(fā)事件對組織的影響程度，縮短業(yè)務恢復所需的時間。由于業(yè)務連續(xù)性管理在公共安全應急管理及組織業(yè)務的連續(xù)性保障方面的重要作用，國外對業(yè)務連續(xù)性管理給予了充分關注，并大力推動相關標準化工作。

國外業(yè)務連續(xù)性管理的發(fā)展

立足于全球視角來看，以英國、美國、日本、新加坡等國為代表的發(fā)達國家成為業(yè)務連續(xù)性管理的主要推動力。這些國家均已制定業(yè)務連續(xù)性管理方面的國家標準，指導和規(guī)范各自國家的業(yè)務連續(xù)性管理發(fā)展。

為了滿足組織對統(tǒng)一的業(yè)務連續(xù)性管理國際標準的需求，ISO公共安全技術委員會ISO/ TC223著手組織制定業(yè)務連續(xù)性管理國際標準，2006年ISO在意大利佛羅倫薩召開了應急響應研討會，ISO 22301標準制定工作就此啟動。

國家治理論苑

2012年5月15日ISO正 式 頒 布 了ISO 22301:2012 《公共安全 業(yè)務連續(xù)性管理體系 要求》。ISO 22301:2012致力于提高組織彈性，其管理體系框架能夠幫助組織制定一套一體化的管理流程計劃，使企業(yè)對潛在的災難加以辨識，幫助其確定可能發(fā)生的沖擊及對企業(yè)運作造成的威脅，并提供一個有效的管理機制來阻止或抵消這些威脅，減少災難事件帶來的損失。

2012年12月，ISO發(fā)布了ISO 22313：2012《公共安全 業(yè)務連續(xù)性管理體系 指南》，說明了企業(yè)為滿足ISO 22301國際標準的要求所需采取的行動步驟，作為ISO 22301的補充標準，ISO 22313提供了額外的信息和案例，以幫助組織更好地理解BCM的好處，以及如何在組織內(nèi)部實施ISO 22301。

ISO 22301作為業(yè)務連續(xù)性管理領域第一個國際標準，為全球范圍內(nèi)的各類組織提供了業(yè)務連續(xù)性管理的規(guī)范依據(jù)，是業(yè)務連續(xù)性管理領域的巨大進步。

我國業(yè)務連續(xù)性管理體系標準進展

我國業(yè)務連續(xù)性管理起步較晚，從“9.11”事件之后，國內(nèi)才開始這方面的工作，經(jīng)歷了從探索到實踐的過程，目前仍處于初級階段，但發(fā)展勢頭迅猛。

（一）從災難備份到業(yè)務連續(xù)性管理

在我國，銀行業(yè)報災難備份是業(yè)務連續(xù)性管理的雛形，銀行業(yè)在業(yè)務連續(xù)性管理方面也處于較領先地位。銀行業(yè)較早開展了數(shù)據(jù)災難備份工作，相關標準逐漸完善。2007年第一個災難備份的國家標準，《GB20988-2007 信息系統(tǒng)災難

恢復規(guī)范-T》出臺，隨后2008年人民銀行出臺了《JR0044-2008 銀行業(yè)信息系統(tǒng)災難恢復管理規(guī)范》標志著信息系統(tǒng)災備的國家規(guī)范和行業(yè)規(guī)范逐漸完善。目前在金融行業(yè)，所有的全國性銀行已經(jīng)建立起了基本的信息系統(tǒng)災備體系，完成了同城或者異地至少一個災備中心的建設。

然而，數(shù)據(jù)恢復僅是保障業(yè)務連續(xù)性的一個組成部分，數(shù)據(jù)災難備份并不能滿足業(yè)務性的要求。業(yè)務連續(xù)性除災難恢復外，還包括風險管理、緊急時間管理、安全管理、知識管理、危機通信和公共關系等多個內(nèi)容。因此，我國的銀行業(yè)的業(yè)務連續(xù)性保障工作，從單一的數(shù)據(jù)災難備份，走向了綜合性的業(yè)務連續(xù)性管理。

2011年，中國銀監(jiān)會下發(fā)《商業(yè)銀行業(yè)務連續(xù)性管理指引》及2013年，《公共安全-業(yè)務連續(xù)性管理體系要求》是這一領域又一個關鍵里程碑，標志著國內(nèi)業(yè)務連續(xù)性管理已從傳統(tǒng)信息系統(tǒng)災備這一局部領域上升到管理層面，豐富了國內(nèi)相關標準體系。

（二）我國的“公共安全業(yè)務連續(xù)性”系列標準及相關組織

我國的“公共安全 業(yè)務連續(xù)性”系列標準的研制工作啟動于2007年，由國家標準化委員會委托“SAC/TC351 全國公共安全基礎標準化技術委員會”負責，該技術委員會設在中國標準化研究院。

《公共安全 業(yè)務連續(xù)性管理體系 要求》國家標準的制定經(jīng)過了四個階段：

（1）2007年，中國標準化研究院向國家標準化管理委員會提出制定《業(yè)務連續(xù)性管理》國家標準計劃并得到批準（編號：20070189-T-469）；

（2）為保持與國際接軌、遵循國際統(tǒng)一規(guī)則，等同采用ISO 22301《公共安全 業(yè)務連續(xù)性管理體系 要求》；

（3）廣泛征求了來自應急辦、民政部、認監(jiān)委、清華大學等單位以及英國國際業(yè)務持續(xù)協(xié)會（BCI）和國際災難協(xié)會（DRII）等組織相關專家的意見；

（4）2013年3月1日，召開《公共安全 業(yè)務連續(xù)性管理體系 要求》國家標準審查會，形成標準報批稿。與會專家一致認為，該標準有利于提高我國公共安全管理水平，應盡快推動該標準成為認證標準，并于2014年5月1日開始實施。

此外，為加強公共安全業(yè)務連續(xù)性管理，我國于2004年成立了公共安全業(yè)務持續(xù)管理專委會（China BCM）。該專委會是集標準研制、培訓咨詢、認證審計等為一體的社團組織機構，設秘書處負責日常事務處理，秘書處下設標準推進部、培訓咨詢部、會員服務部、智慧城市推進部、國際交流中心等，積極推動相關工作。

（三）《公共安全業(yè)務連續(xù)性管理體系要求》的主要內(nèi)容

《GB/T 30146-2013公共安全業(yè)務連續(xù)性管理體系 要求》是我國第一個業(yè)務連續(xù)性管理標準。它以“為策劃、建立、實施、運行、監(jiān)視、評審、保持和持續(xù)改進一個文件化的業(yè)務連續(xù)性管理體系”為目標，用以實施保護、減少中斷事件發(fā)生的可能性，并更好地實施準備、響應并恢復。

該標準提出了“業(yè)務連續(xù)性”“業(yè)務連續(xù)性管理”“業(yè)務連續(xù)性管理體系”“業(yè)務連續(xù)性管理計劃”“業(yè)務影響分析”等55個術語和定義。包括了“組織環(huán)境”“領導力”“策劃”“支持”“實施”“績效評估”“改進”等主要內(nèi)容，對業(yè)務連續(xù)性管理整體流程的關鍵環(huán)節(jié)進行了明確表述和技術規(guī)范，重點闡述了“事前如何減少風險，做些什么準備”“事中如何減少損失，做些什么響應”“事后如何恢復，

采取什么措施”等關鍵問題，為推動我國組織業(yè)務連續(xù)性管理體系的建立與國際接軌，為我國組織業(yè)務連續(xù)性管理體系獲得國際廣泛認可提供保障。

（四）“業(yè)務連續(xù)性管理”的下一步工作計劃

為提高我國各類組織應對突發(fā)事件的能力，同時適應供應鏈全球化對我國企業(yè)提出的保持業(yè)務連續(xù)性要求，研制適應我國國情的業(yè)務連續(xù)性管理體系成套標準并推廣實施已迫在眉睫。為了推動業(yè)務連續(xù)性管理標準在我國的實施，提升組織業(yè)務連續(xù)性管理意識，全國公共安全基礎標準化技術委員會將開展以下工作：

（1）在SAC/TC351下組建業(yè)務連續(xù)性管理標準化工作組，專門推進業(yè)務連續(xù)性管理標準化工作；

（2）完善業(yè)務連續(xù)性管理體系相關標準，努力將其做成成套標準加以推廣實施；

（3）針對《公共安全-業(yè)務連續(xù)性管理體系-要求》國家標準編制宣貫教材，對標準進行宣貫和推廣。

制定業(yè)務連續(xù)性管理國家標準的重要意義

國家對公共安全和應急管理等工作給予了高度的重視，業(yè)務連續(xù)性管理作為組織應對突發(fā)事件的一種有效手段在我國面臨著極大的發(fā)展機遇。業(yè)務連續(xù)性管理系列標準的研制和實施，將對我國提高政府的應急管理水平、提高網(wǎng)絡的安全保障水平、提高企業(yè)的業(yè)務連續(xù)水平有著重要意義。

（一）提高政府的應急管理水平。按《突發(fā)事件應對法》的規(guī)定，突發(fā)事件應對活動包括 “預防與應急準備”“監(jiān)測與預警”“應急處置與救援”“事后恢復與重建”等四個階段。我國政府要求應急管理工作要逐步實現(xiàn)“關口前移”，加強“預防與應急準備”工作。這不僅要求加強物資方面的預防與準備，更需要從理念和技術準備上，加強對突發(fā)事件、承災載體和應急管理三者的特點及相互聯(lián)系的分析。

業(yè)務連續(xù)性管理系列標準，能夠在突發(fā)事件應急管理的“預防與應急準備”環(huán)節(jié)提供科學、明確的技術指導：對突發(fā)事件的特點分析、影響在什么時候開始、多少損失能夠承受、可以選擇的恢復途徑、怎樣重建業(yè)務功能、復原計劃的成本、需要多少資源等關鍵技術問題給出分析方法的指導，從而為提高我國政府的應急管理水平提供了標準化的技術支撐。

（二）提高網(wǎng)絡的安全保障水平。業(yè)務連續(xù)性管理標準，使網(wǎng)絡安全保障的核心理念，從單一的“數(shù)據(jù)備份”提高到綜合性的“業(yè)務連續(xù)性管理”水平。業(yè)務連續(xù)性是一種預防性機制。它明確一個機構的關鍵職能以及可能對這些職能構成的威脅，并據(jù)此采取相應的技術手段，制訂計劃和流程，確保這些關鍵職能在任何環(huán)境下都能持續(xù)發(fā)揮作用。在網(wǎng)絡安全保障方面，業(yè)務連續(xù)性包含三個領域：業(yè)務狀態(tài)數(shù)據(jù)的備份和復制、業(yè)務處理能力的冗余和切換、外部接口冗余和切換。相比之下，災難備份只是一種盡可能減少宕機損失的工具或者策略。從單一的“數(shù)據(jù)備份”到綜合性的“業(yè)務連續(xù)性管理”，這一理念的飛躍和技術標準的規(guī)范，為提高網(wǎng)絡的安全保障水平提供了標準化的技術支持。

（三）提高企業(yè)的業(yè)務連續(xù)性水平。近年來的自然災害對企業(yè)業(yè)務連續(xù)性造成了巨大沖擊。2006年臺風引起的廣東水災造成了沿海部分銀行的歇業(yè)，2006年底的海底光纜中斷事件除了對Internet造成重大影響外，給部分外資企業(yè)的遠程網(wǎng)絡應用造成了致命影響，依賴于遠程ERP應用的企業(yè)不得不停產(chǎn)，而2008年初的郴州暴風雪更是導致全地區(qū)停電停水，銀行停業(yè)，給社會和企業(yè)造成了巨大的財產(chǎn)損失。這些迫使企業(yè)必須要建立應急預案體系和災備體系，將企業(yè)業(yè)務連續(xù)性風險降低在最小程度。2008年汶川地震和2013年的雅安地震更是給國內(nèi)各行業(yè)和全體國民深刻的印象，其造成的災難使得很多企業(yè)、機構蒙受了巨大的損失。另一方面，這些災難性事件也加深了企業(yè)對業(yè)務連續(xù)性管理的重視程度。

業(yè)務連續(xù)性管理系列標準最重要的實施主體企業(yè)，由于近年來公共安全事件頻發(fā)，面對的導致企業(yè)業(yè)務中斷事件越來越多，給企業(yè)帶來的影響越來越大。業(yè)務連續(xù)性是覆蓋整個企業(yè)的技術以及操作方式的集合，其目的是保證企業(yè)業(yè)務在任何時候以及任何需要的狀況下都能保持連續(xù)運行。通過業(yè)務連續(xù)性管理標準的實施和宣貫，企業(yè)能夠梳理核心業(yè)務面臨的潛在沖擊、沖擊可能造成的影響、可以采取的減小影響的準備措施等關鍵問題，有針對性地做好預防準備和應急處理工作。業(yè)務連續(xù)性管理系列標準在企業(yè)層面的宣貫和實施，將有效提高企業(yè)的業(yè)務連續(xù)性保障水平。

（作者單位：中國標準化研究院）