作为一种整体的管理流程，业务连续性管理能够及早确定可能发生的冲击及对组织运行造成的威胁，能够提供合理的架构有效组织或抵消不确定事件造成的威胁，保证组织日常业务运行的平稳有序。业务连续性管理不仅用于应对灾难等低概率影响大的事件，而且逐渐成为组织提升业务恢复能力、保护组织价值的管理过程，成为组织管理的一部分。在我国开展业务连续性管理初期，主要集中在信息系统灾备方面，但随着社会的发展，业务连续性管理已经进入公共安全领域。而标准在业务连续性管理的应用和推广过程中具有重要的基础支撑作用，是各类组织建立实施业务连续性管理体系的重要抓手和突破口。近年来，国际标准化组织高度重视业务连续性管理标准化，而我国在该领域的标准化工作相对落后，因此，需要加强我国业务连续性管理标准的制定工作。为推进此项工作，首先需要顶层设计，构建科学合理的标准体系，明确我国业务连续性管理标准的发展方向和下一步工作的重点^[1-5]。因此，研究建立我国业务连续性管理标准体系具有重大的理论和实践意义。

2.1 业务连续性管理的由来

随着计算机的应用和普及，商业模式发生了巨大变化。人们的工作方式发生根本性改变，通过运用计算机大大提升了工作效率并且节省了大量的人力和物力。人类生产生活对计算机的依赖性越来越强，信息系统的安全性要求也逐渐增长。在上世纪60年代末，计算机系统在解决系统持续运行的问题时，率先对单点故障采用了冗余措施，这是最早体现业务连续性管理（Business Continuity Management，以下简称BCM）思想的方法。虽然当时并没有出现业务连续的清晰概念，但部件冗余、容错等方法的采用，为增强计算机应用系统持续运行的能力，提供了重要的保障^[6]。然而一旦灾难发生，我们需要恢复的是业务，数据只是其中的一部分，尤其是“9·11”等事件发生后，人们更加意识到仅仅恢复数据中心是远远不够的。因此，站在组织整体层面，确保组织业务连续运行的BCM受到了广泛的重视并被付诸实践，取得了长足的发展。

2.2 业务连续性管理的定义和范围

ISO22301《公共安全 业务连续性管理体系 要求》中明确将BCM定义为是识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动。BCM对于组织增强它对于业务中断、损失恢复力的方法提供了战略和操作层面的框架^[7]。

BCM不单单是灾难恢复、危机管理、风险控制或者技术恢复，它不是一个专门的学科，而是由业务自身驱动的综合学科。其中设施管理、供应链管理、质量管理、健康和人身安全都是人们比较熟悉的传统企业管理的重要方面，单独来看每一个学科都是独立的，但从全面的、整体的企业业务连续过程来看，它们都是必不可少的元素和组成部分。BCM所涉及的范围不仅仅限于上面所列出的，而且还有风险管理、灾难恢复、紧急时间管理、安全管理、知识管理、危机通信和公共关系等学科，其核心是保障企业业务连续运行。任何与此有关的领域都可以成为其组成部分，因此，BCM是一个开放的架构。

3.1 主要发达国家业务连续性管理标准概况

立足于全球视角来看，以英国、美国、新加坡、日本等为代表的发达国家成为业务连续性管理的主要实践者。这些国家均已制定业务连续性管理方面的国家标准，指导和规范各自国家的业务连续性管理发展。

（1）英国

在英国业务连续协会（BCI）的《业务连续性管理：最佳惯例指南》基础上，2003年由英国标准协会（BSI）发布了《PAS56：20 03业务连续性管理指南》。PAS56详细说明了业务连续性管理的术语、原则和过程，描述了确定业务连续性管理过程中的活动和结果，并提供了一系列关于最佳业务连续性管理的建议、事件预期、事件反应、评估技术。2006年底基于PAS56形成了英国国家标准BS 25999-1《第一部分：BCM实践指南 指引文件》。2007年11月正式发布了BS 25999-2《第二部分：BCM规范》，对标准第一部分所要求的认证过程做出规范。BS 25999在100多个国家得到实践，随着ISO 22301《公共安全 业务连续性管理体系 要求》的发布，BS25999于2012年9 月正式被ISO 22301取代^[8]。

（2）美国

美国NFPA标准委员会于1991年成立了“应急管理技术委员会”来制定应对灾难的预案、响应和恢复指南。该委员会于1995年发表了NFPA1600第一版，称为《用于灾害管理的推荐惯例》，该版本仅针对地方政府机构在灾难管理领域应该做些什么给出了一个正式的说明。1996年，国际灾难恢复协会和业务连续协会被邀请参与了该标准的制定过程。在2000年后，开始将BCM的内容引入进来，并将这一推荐惯例修改为NFPA1600《应急管理与业务连续规划》。NFPA1600于2006年12月20日被正式批准为美国国家标准。到2007版的NFPA1600标准，已对其中的术语和内容作了很大的改进，在以前版本的减小、准备、响应及恢复四个方面内容的基础上将预防作为一个独立的内容增加进来，从而使BCM的指导思想充分地融合到这一应急管理标准中。

（3）新加坡

发布于2008年的新加坡BCM标准SS540是由BCM技术委员会按照管理体系标准委员会的规范而制定的正式标准。SS540适用于所有规模的组织，所有组织都会关注其所面临的生存威胁，该标准主要强调组织的连续性管理及关键业务运行的恢复。同时，新加坡采取国家补贴的方式积极鼓励推进企业积极建立业务连续性管理体系。

（4）日本

“9·11”事件之后，欧美各国及新加坡等国家加快了BCM的理论研究和实践活动，日本政府开始高度重视BCM在本国的发展，投入了大量的人力物力制定了一系列的危机管理和业务连续性管理的标准指南，其目的在于为企业经营者建立一个共识和准则，以便于企业参照执行，从而加强企业抵御灾难的能力。2004年10月23日，日本新潟发生6.8级强烈地震，造成了重大生命财产损失。灾后调查表明，预先准备好了BCM的企业所受到的损失明显小于没有BCM的企业，充分说明了BCM的重要性。因此，从2004年起，日本从中央政府到企业对BCM的重视程度发生了质变。日本对BCM的实际应用也进入了一个快速发展的新阶段。2005年7月，日本政府对《防灾基本计划》进行了修订，明确写进了“制定BCM是企业防灾工作的关键环节”。

3.2 ISO业务连续性管理标准概况

近年来，自然灾害和人为事故频繁发生，组织环境的不确定性和风险大幅度增加，加强组织业务连续性管理成为打造最佳应急预案的必然选择。为了满足组织对统一的业务连续性管理国际标准的需求，2006年ISO/ TC223（公共安全标准化技术委员会）开始着手组织制定业务连续性管理相关的一系列国际标准。

ISO于20 06年成立ISO/TC 223开展公共安全领域基础、通用标准的研制工作，其中业务连续性管理相关标准的制定一直是该技术委员会的核心工作内容之一。2014年ISO以TC223为基础整合ISO/TC 247（欺诈的对策和控制）和ISO/PC284（私人安保公司的质量管理体系-操作指南）等技术委员会， 成立新的安全与韧性标准化技术委员会（ISO/TC 292）。ISO/TC 292下设6个工作组，分别是术语工作组（WG1），连续性与韧性工作组（WG2），应急管理工作组（WG3），欺诈对策与控制工作组（WG4），公共与社区韧性工作组（WG5），安全工作组（WG6）。

业务连续性管理相关标准的制定工作均在WG2中开展。业务连续性管理系列标准作为一整套管理体系标准，与其他的管理体系一样，遵循了传统的PDCA模型，PDCA模型的采用在一定程度上保证了与其他管理体系标准如GB/T19001质量管理体系、GB/T24001环境管理体系等的一致性，从而支持与相关管理体系整合后的实施与运行。2012年5月ISO正式颁布了ISO22301:2012《公共安全 业务连续性管理体系 要求》。ISO22301:2012致力于提高组织韧性，其管理体系框架能够帮助组织制定一套一体化的管理流程计划，使组织对潜在的威胁加以辨识，帮助其确定可能发生的冲击对组织的运营造成的威胁，并提供一个有效的管理机制来阻止或消除这些威胁，减少灾难事件给组织带来的损失^[9]。继5月份正式发布ISO22301标准后，2012年12月ISO发布了ISO22313：2012《公共安全 业务连续性管理体系 指南》，说明了组织为满足ISO22301国际标准的要求所需采取的行动步骤，作为ISO22301的补充标准，ISO22313提供了额外的信息和案例，以帮助组织更好地理解BCM的好处，以及如何在组织内部实施ISO22301。2014年12月发布了ISO/IEC TS17021-6《合格评定 业务连续性管理体系审核与认证能力要求》，为ISO22301的认证打下基础。2015年ISO相继发布了ISO/TS 22317《公共安全 业务连续性管理体系 业务影响分析》和ISO/TS 22318《公共安全 业务连续性管理体系 供应链连续性指南》两项技术规范，这两项技术规范为组织建立业务连续性管理体系提供了关键技术支撑。此外，目前正在制定的标准有ISO/AWI TS22330《安全和韧性 业务连续性管理 业务连续性方面人员指南》和ISO/AWI TS22331《安全和韧性 业务连续性管理 业务连续性策略指南》^[10]。

4.1 我国业务连续性管理标准概况

我国的业务连续性管理标准化工作主要是由全国公共安全基础标准化技术委员会（SAC/ TC 351）（以下简称TC351）组织开展的。国标委于2008年批准成立了TC351，对口ISO/TC 292（安全与韧性标准化技术委员会），负责全国公共安全领域基础、通用以及应急标准的制修订工作，秘书处设在中国标准化研究院。TC351基于ISO/TC 292的标准体系框架，结合目前国内公共安全标准体系的实际情况，在充分调查研究和广泛征求意见的基础上，建立了所负责技术领域内的国家标准体系框架，如图1所示。

图1 公共安全基础标准体系框架

目前标准体系框架由以下7个部分组成。

（1）通用标准。本部分包括公共安全术语、分类编码以及图形标识等内容。

（2）连续性标准。本部分包括组织机构的业务连续性管理体系相关标准等内容。

（3）应急管理标准。本部分包括预防与应急准备、监测与预警、应急处置与救援和事后恢复与重建过程中的管理标准内容。

（4）欺诈对策与控制标准。本部分包括反欺诈相关标准。

（5）韧性标准。本部分主要包括城市、城市单元社区以及关键基础设施的韧性标准。

（6）安全保障基础标准。本部分主要包括安全保障中应急装备保障以及供应链安全保障相关的技术标准等。

（7）民营安保服务标准。本部分主要是针对民营安保服务相关的技术标准。

针对7个部分，技术委员会分别设立了7个工作组，其中WG2（连续性标准化工作组）主要负责业务连续性管理相关标准的制修订工作，并在2013年12月发布了GB/T 30146《公共安全 业务连续性管理体系 要求》，2015年5月发布了GB/T 31595《公共安全 业务连续性管理体系 指南》。该两项标准的发布实施推动了我国业务连续性管理体系认证工作的开展，目前经过国家认监委批准，已有多家机构获准在我国开展业务连续性管理体系的认证业务。2016年新立项了三项业务连续性管理国家标准，分别是《公共安全 业务连续性管理体系 业务影响分析》《公共安全 业务连续性管理体系 供应链连续性指南》和《公共安全 业务连续性管理体系 业务连续性管理能力评估》，该3项标准的发布实施将对组织机构建立和评价业务连续性管理体系提供关键技术支撑。

4.2 业务连续性管理标准体系框架构建

根据BCM的概念和范畴，结合ISO制定业务连续性管理标准的思路，建立我国业务连续性管理标准体系框架。整个标准体系统一采用PDCA模型，图2说明了BCM体系如何将相关方的业务连续性要求作为输入，通过必要的措施和过程建立实施BCM体系，并保持持续改进。

根据上图PDCA的过程，BCM标准体系框架第一层分别由《公共安全 业务连续性管理体系 要求》（做什么）、《公共安全 业务连续性管理体系 指南》（如何做）、《公共安全 业务连续性管理体系 业务连续性管理能力评估》（做得如何）以及《合格评定 业务连续性管理体系审核与认证能力要求》（第三方认证）4个方面组成，如图3所示。

对不同行业的组织来说，建立业务连续性管理体系的要求是一致的，但是如何建立和评价适应各自行业有效的业务连续性管理体系，各行业需制定适应自身特点的指南和评价标准。因此，标准体系框架的第二层主要是针对各行业的业务连续性管理体系建设指南和评价标准。

图2 应用于BCM体系过程的PDCA

图3 业务连续性管理标准体系框架

对于一个组织而言，业务连续性管理体系的建立是一项系统工程，其中的每一个环节都有大量的技术工作需要完成，从ISO的经验来看，需要针对每个技术环节制定技术规范来指导和规范具体的业务连续性管理体系建设过程。因此，诸如业务影响分析、业务连续性计划制定、演练等具体的方法标准构成了标准体系的第三层。

随着业务连续性管理理念在我国的深入推 广，制定切实可行的标准迫在眉睫。为了更有效地发挥业务连续性管理标准体系的引领作用，建议推进以下工作。

（1）构建标准体系、制定标准是一个逐渐完善和发展的过程，应在业务连续性管理工作中及时修订完善业务连续性管理标准体系和标准。

（2）我国已发布的两项和正在制定的3项业务连续性管理标准远远不能满足业务连续性管理工作的需求，急需在具体方法上制定相应的技术标准指导组织业务连续性管理体系的建立。

（3）各行业根据自身特点在建立实施业务连续性管理工作的侧重点有所不同，针对目前业务连续性管理较为成熟的金融、制造等行业，逐步建立具有行业特色的业务连续性管理体系实施指南等行业标准。

本文受国家科技支撑计划课题（课题编号：2015BAK10B01）资助。

秦挺鑫，博士，副研究员，主要研究方向为公共安全标准化。