業(yè)務(wù)連續(xù)性管理體系(BusinessContinuityManagement，簡稱：BCM)國際最新標(biāo)準(zhǔn)ISO22301由國際標(biāo)準(zhǔn)化組織(ISO)于2012年5月15日全新發(fā)布。作為它的前身，國際公認(rèn)的由BSI發(fā)布的BCM標(biāo)準(zhǔn)BS25999將于2012年9月正式被ISO22301取代。

隨著企業(yè)信息化的發(fā)展和企業(yè)數(shù)據(jù)大集中的實施，企業(yè)IT系統(tǒng)和業(yè)務(wù)的連續(xù)性受到越來越多的關(guān)注，尤其是對于，銀行、保險、證券、電力、能源、交通等領(lǐng)域關(guān)系國計民生的關(guān)鍵信息系統(tǒng)，如果沒有進行災(zāi)難備份或業(yè)務(wù)連續(xù)性管理（BCM）體系建設(shè)，在遭受突發(fā)災(zāi)難時后果不堪設(shè)想。業(yè)務(wù)連續(xù)性管理正是一個整體的管理過程，它能鑒別威脅組織潛在的影響，并且提供構(gòu)建彈性機制的管理架構(gòu)，以及確保有效反應(yīng)的能力，以保護它的關(guān)鍵利益相關(guān)方的利益、聲譽、品牌以及創(chuàng)造價值的活動”。

1.建立業(yè)務(wù)連續(xù)性管理體系的必要性

ISO22301:2012《公共安全一業(yè)務(wù)連續(xù)性管理體系-要求》將幫助所有的組織，無論其規(guī)模大小、地域或開展的活動如何，在處理任何類型的風(fēng)險時能更好地應(yīng)對并更具信心。

在任何時候事故都能使組織的業(yè)務(wù)中斷，采用ISO22301標(biāo)準(zhǔn)將保證組織能夠應(yīng)對事故并保證其業(yè)務(wù)的持續(xù)運行。事故發(fā)生有多種類型，從嚴(yán)重的自然災(zāi)害和恐怖主義活動到與技術(shù)相關(guān)的事故和環(huán)境事故。然而，許多事故雖然小，但能產(chǎn)生嚴(yán)重的影響,這在任何時候都與業(yè)務(wù)連續(xù)性管理緊密相關(guān)。

目前，業(yè)務(wù)連續(xù)性管理已經(jīng)引起全球的關(guān)注,無論是公共或私有部門的組織都必須了解如何準(zhǔn)備和應(yīng)對意外的破壞性的事故發(fā)生。ISO22301標(biāo)準(zhǔn)為業(yè)務(wù)連續(xù)性管理體系(BCMS)的策劃、建立、實施、運行、監(jiān)視、評審、保持和持續(xù)改進提供了框架。當(dāng)破壞性的事故發(fā)生時，該標(biāo)準(zhǔn)將有助于組織的防護、準(zhǔn)備、響應(yīng)和恢復(fù)。

實施ISO22301標(biāo)準(zhǔn)的組織將能夠向立法部門、執(zhí)法部門、消費者和潛在消費者以及其他的利益相關(guān)方證明，他們滿足了BCM良好規(guī)范的要求。同時,該新標(biāo)準(zhǔn)也可用于組織內(nèi)部按照良好規(guī)范進行內(nèi)部檢查，并通過內(nèi)審員出具管理報告。

ISO22301將幫助組織在設(shè)計BCMS時適宜地滿足自身的要求和滿足其利益相關(guān)方的要求，這些要求涉及：法律法規(guī)、組織和行業(yè)因素、組織的產(chǎn)品和服務(wù)、組織的規(guī)模和結(jié)構(gòu)、組織的過程和其利益相關(guān)方。為了使組織更好地運行，ISO22301標(biāo)準(zhǔn)要求組織應(yīng)完全理解其要求，而不僅僅是一個項目或制定"一項計劃"。BCM是一個連續(xù)的管理過程，需要有能力的人員來運作，當(dāng)需要時,應(yīng)提供適當(dāng)?shù)闹С帧?/span>

企業(yè)如果沒有建立與運行BCMS，面對災(zāi)難性的事件時將會措手不及。沒有建立與運行業(yè)務(wù)連續(xù)性管理體系的企業(yè)在遭受災(zāi)難性的事件時，將會面臨以下（但不限于）嚴(yán)重的后果：

客戶流失；

聲譽受損；

資金損失；

可能倒閉。

2. ISO22301：2012的主要特點有：

1) 標(biāo)準(zhǔn)規(guī)定了業(yè)務(wù)連續(xù)性管理體系（BCMS）要求。BCMS的采用和取得對標(biāo)準(zhǔn)實施的認(rèn)證，證明企業(yè)已做好準(zhǔn)備，可以應(yīng)對災(zāi)難性??事件的發(fā)生并且應(yīng)該能夠持續(xù)保持現(xiàn)狀；

2) 標(biāo)準(zhǔn)中規(guī)定的要求具有廣泛的適用性，可以適用于任何類型或規(guī)模的企業(yè)，無論其位置在哪里；

3) 可以將危機和災(zāi)難性事件造成的財務(wù)影響最小化。

ISO22301管理體系框架能夠幫助企業(yè)制定一套一體化的管理流程計劃，使企業(yè)對潛在的災(zāi)難加以辨別分析，幫助其確定可能發(fā)生的沖擊對企業(yè)的運作造成的威脅，并提供一個有效的管理機制來阻止或抵消這些威脅，減少災(zāi)難事件給企業(yè)帶來損失。

ISO22301擁有很高的國際認(rèn)可度，它強調(diào)制定目標(biāo)、監(jiān)測表現(xiàn)和指標(biāo)、對企業(yè)的管理層提出了更加清晰的期望值，對業(yè)務(wù)連續(xù)性計劃的制定提出了更高的要求。

在當(dāng)今經(jīng)濟全球化的背景下，面對巨大的商業(yè)和社會變化，以及各種不確定因素的挑戰(zhàn)，業(yè)務(wù)連續(xù)性管理（BCM）的目的和價值需要不斷地被反復(fù)評估，以幫助人們應(yīng)對這些挑戰(zhàn)。幸運的是，很多以前并未重視BCM的企業(yè)已經(jīng)開始將BCM納入他們的視野之中，并且將BCM作為一個切實可靠的策略，用以保護企業(yè)的利益相關(guān)方的權(quán)益，同時將危機和災(zāi)難性事件造成的負(fù)面影響降低至最小。

為了更好地向企業(yè)闡釋BCM的重要性，BSI發(fā)布了有助于企業(yè)應(yīng)對重大業(yè)務(wù)中斷的五點建議，以確保其準(zhǔn)備好應(yīng)對任何可能的社會、政治和經(jīng)濟事件的威脅。這些建議包括：

1）確保高管層不間斷地參與和投入業(yè)務(wù)連續(xù)性管理工作。高管層對企業(yè)的觀察最為全面，他們的支持將確保業(yè)務(wù)連續(xù)性在整個企業(yè)內(nèi)引起重視。

2）不要忽視演練和測試，在未發(fā)生實際事件的情況下，這將是找出計劃漏洞的******方式，使您的客戶不會通過媒體/社交網(wǎng)絡(luò)獲知這些消息!

3）開展徹底的風(fēng)險評估和業(yè)務(wù)影響分析，包括分析所有外部和內(nèi)部的依存關(guān)系，尤其是深入分析企業(yè)的供應(yīng)鏈。

4）實施系統(tǒng)化的業(yè)務(wù)連續(xù)性方案，確保BCM的優(yōu)勢。

5）遵循國際良好實踐—BCM良好實踐方案由數(shù)百位專家?guī)椭贫?，其效用已在全球范圍?nèi)獲得了驗證和認(rèn)可，可為企業(yè)節(jié)省從頭開始制定方案的時間和精力。

ISO22301是符合新的ISO管理體系標(biāo)準(zhǔn)編寫格式的第一個標(biāo)準(zhǔn)。這將有助于對標(biāo)準(zhǔn)內(nèi)容的理解,并保證與其他管理體系，如ISO9001(質(zhì)量管理體系)、ISO14001(環(huán)境管理體系)和ISO/IEC27001(信息安全管理體系）的一致性。ISO22301是用于BCM的管理體系標(biāo)準(zhǔn)，適用于所有規(guī)模和類型的組織第三方認(rèn)證以及自我評價。這些組織將能夠獲得符合該標(biāo)準(zhǔn)要求的全球承認(rèn)的證書，從而向立法部門、執(zhí)法部門、顧客、潛在顧客和其他利益相關(guān)方證明，他們滿足了BCM良好規(guī)范要求。ISO22301標(biāo)準(zhǔn)也能使業(yè)務(wù)連續(xù)性經(jīng)理向最高管理者表明，已經(jīng)滿足了國際標(biāo)準(zhǔn)要求。為了幫助用戶更好地理解標(biāo)準(zhǔn)，該新標(biāo)準(zhǔn)對BCM關(guān)鍵要素作了簡要介紹。

在每一個企業(yè)，業(yè)務(wù)的連續(xù)性都有重要的作用,ISO22301標(biāo)準(zhǔn)在全世界有具大的潛力。目前許多國家已經(jīng)開始采用ISO22301標(biāo)準(zhǔn)，如新加坡和英國,他們用ISO22301替代了現(xiàn)行的國家標(biāo)準(zhǔn)。這表明該標(biāo)準(zhǔn)用戶基礎(chǔ)潛力巨大并可取得預(yù)期收益。ISO22301是ISO/TC223公共安全技術(shù)委員會所制定的系列標(biāo)準(zhǔn)之一,例如：稱之為ISO22313的補充文件正在制定，這個ISO22313標(biāo)準(zhǔn)包括實施ISO22301標(biāo)準(zhǔn)的指南，以對ISO22301的每一個要求提供更為詳細(xì)的指導(dǎo)。

企業(yè)業(yè)務(wù)連續(xù)性管理體系建設(shè)與運行的常見問題

一、人員意識和認(rèn)識方面

總體上人們對于小概率大影響的事件偏向于過分樂觀。尤其是華人的社會文化特點是比較忌諱談?wù)摗疤鞛?zāi)人禍”這些我們不太認(rèn)為可能發(fā)生在自己身上的事件。這種意識反映在認(rèn)識方面就是要么認(rèn)為風(fēng)險絕對不可能發(fā)生，要么設(shè)定業(yè)務(wù)絕對不可以中斷(MTPD=0和RPO=0)的不合理或不現(xiàn)實持續(xù)目標(biāo)。

二、實施驅(qū)動力方面

我國的主要經(jīng)濟實體是國有企業(yè)，而國有企業(yè)的最大特點就是國家負(fù)責(zé)一切(老外語：Thestatelooksaftereverything)。這樣企業(yè)實施BCM的動力并不大。政府不得不加大重點行業(yè)(金融、電信、電力、民航、鐵路、海關(guān)、稅務(wù)等)在BCM方面的立法強度，強調(diào)企業(yè)的經(jīng)濟行為和社會責(zé)任雙重角色。否則最后的結(jié)果就是政府承擔(dān)責(zé)任并買單。

三、實施策略方面

許多人認(rèn)為業(yè)務(wù)持續(xù)管理(BCM)就是容災(zāi)(DRP)。而且許多單位容易忽略本地設(shè)施的保護和管理來進一步提高IT服務(wù)的可用性和可靠性。最后業(yè)務(wù)持續(xù)管理就變成了建立同城異地災(zāi)備中心的代名詞。這種從資源(IT基礎(chǔ)設(shè)施)投入到業(yè)務(wù)需求的反向而非整體性規(guī)劃的最終結(jié)果往往是投入巨大但效果很差。

四、維護運行方面

“重建設(shè)，輕運維”這是大家對業(yè)務(wù)持續(xù)管理現(xiàn)狀的共識。殊不知業(yè)務(wù)持續(xù)管理很重要的工作就是通過日常的持續(xù)維護和不斷演練，才能實現(xiàn)“有備無患”而不是“有備無換”。

中標(biāo)聯(lián)認(rèn)為，作為企業(yè)風(fēng)險管理最后一道防線的BCM國際標(biāo)準(zhǔn)，ISO22301管理體系框架能夠幫助企業(yè)制定一套一體化的管理流程計劃，使企業(yè)對潛在的災(zāi)難加以辨別分析，幫助其確定可能發(fā)生的沖擊對企業(yè)運作造成的威脅，并提供一個有效的管理機制來阻止或抵消這些威脅，減少災(zāi)難事件給企業(yè)帶來損失。與BS25999相比，ISO22301擁有更高的國際認(rèn)可度，它強調(diào)制定目標(biāo)、監(jiān)測表現(xiàn)和指標(biāo)、對企業(yè)管理層提出了更加清晰的期望值，對業(yè)務(wù)連續(xù)性計劃的制定提出了更高的要求。

總的來說，BCM涵蓋了危機管理、風(fēng)險管理、災(zāi)難恢復(fù)、設(shè)施管理、供應(yīng)鏈管理、質(zhì)量管理、安全管理、知識管理、應(yīng)急管理、溝通和公關(guān)、人力資源管理、環(huán)境管理等內(nèi)容。值得注意的是，BCM不是一項單一的技術(shù)，而是由業(yè)務(wù)自身驅(qū)動的綜合技術(shù)、管理的系統(tǒng)工程。

中標(biāo)聯(lián)業(yè)務(wù)連續(xù)性管理優(yōu)勢：

?  擁有中國CBCP專家領(lǐng)軍的專業(yè)咨詢團隊

?  擁有在各行業(yè)積累了多年經(jīng)驗和對行業(yè)有深入理解的專家隊伍

?  引入國際業(yè)務(wù)連續(xù)管理的******方法和理論，結(jié)合國內(nèi)的成功實踐，形成成熟的服務(wù)體系和規(guī)范

?  專注于業(yè)務(wù)連續(xù)管理領(lǐng)域的專業(yè)咨詢與災(zāi)難恢復(fù)外包服務(wù)，為企業(yè)提供中立的、高質(zhì)量的服務(wù)

某社保機構(gòu)金保工程業(yè)務(wù)連續(xù)性管理項目

項目概況

金保工程是利用先進的信息技術(shù)，以中央、省、市三級網(wǎng)絡(luò)為依托，涵蓋縣、鄉(xiāng)等基層機構(gòu)，支持勞動和社會保障業(yè)務(wù)經(jīng)辦、公共服務(wù)、基金監(jiān)管和宏觀決策等核心應(yīng)用，覆蓋全國的統(tǒng)一的勞動和社會保障電子政務(wù)工程，因此關(guān)鍵業(yè)務(wù)系統(tǒng)運行的持續(xù)性、穩(wěn)定性，業(yè)務(wù)數(shù)據(jù)的完整性非常重要。

中標(biāo)聯(lián)解決方案

2  通過對企業(yè)的現(xiàn)狀進行梳理，及時發(fā)現(xiàn)影響業(yè)務(wù)中斷的潛在問題

2  對比分析各種災(zāi)備技術(shù)方案，為企業(yè)量身定制******方案

2  幫助企業(yè)建立健全流程化的業(yè)務(wù)連續(xù)性體系

2  使企業(yè)人員熟悉業(yè)務(wù)連續(xù)性方法論和******實踐，提高災(zāi)備意識，在面臨突發(fā)災(zāi)難時，使企業(yè)快速、有效恢復(fù)業(yè)務(wù)的運行。

2  采用SybaseMirrorActivator作為其13個業(yè)務(wù)系統(tǒng)的容災(zāi)方案。

BCM體系的建設(shè)內(nèi)容大致可以包含六個方面