標(biāo)準(zhǔn)解讀 業(yè)務(wù)連續(xù)性管理體系（BCMS）相關(guān)標(biāo)準(zhǔn)介紹

張旭剛 韓少偉 謝宗曉

1 概述

隨著自然災(zāi)害和人為事故的頻繁發(fā)生，企業(yè)的業(yè)務(wù)連續(xù)性管理（Business Continuity Management，BCM）越來越受到重視，尤其是銀行業(yè)，一旦發(fā)生核心業(yè)務(wù)中斷，且在規(guī)定時(shí)間內(nèi)1）未完成恢復(fù)，不僅會(huì)給銀行的聲譽(yù)和利益帶來嚴(yán)重影響和損失，而且會(huì)影響社會(huì)穩(wěn)定。鑒于此，2011年12月，銀保監(jiān)會(huì)2）發(fā)布了《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》（銀監(jiān)發(fā)〔2011〕104號(hào)），正式對(duì)商業(yè)銀行業(yè)務(wù)連續(xù)性建設(shè)提出了全面的、體系化的監(jiān)管要求。2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施。其中第三十三條規(guī)定，“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用”。進(jìn)一步又明確了重要系統(tǒng)的業(yè)務(wù)連續(xù)性在我國(guó)的法律地位。

通常容易將業(yè)務(wù)連續(xù)性管理（BCM）與災(zāi)難恢復(fù)（Disaster Recovery，DR）混淆。在ISO 22301：2012《公共安全 業(yè)務(wù)持續(xù)性管理體系 要求》中，業(yè)務(wù)連續(xù)性管理（BCM）定義為“識(shí)別對(duì)組織的潛在威脅以及這些威脅一旦發(fā)生可能對(duì)業(yè)務(wù)運(yùn)行帶來的影響的一整套管理過程。該過程為組織建立有效應(yīng)對(duì)威脅的自我恢復(fù)能力提供了框架，以保護(hù)關(guān)鍵相關(guān)方的利益、聲譽(yù)、品牌和創(chuàng)造價(jià)值的活動(dòng)?！?災(zāi)難恢復(fù)在GB/T 20988—2007《信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》中定義為“為了將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)，并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)，而設(shè)計(jì)的活動(dòng)和流程?！彼?，嚴(yán)格地說，災(zāi)難恢復(fù)是恢復(fù)數(shù)據(jù)的能力，解決信息系統(tǒng)災(zāi)難恢復(fù)的問題。而業(yè)務(wù)連續(xù)性強(qiáng)調(diào)的是組織業(yè)務(wù)不間斷的能力，范圍更大。一般而言，業(yè)務(wù)連續(xù)性包含災(zāi)難恢復(fù)。

本文主要對(duì)有關(guān)國(guó)內(nèi)外業(yè)務(wù)連續(xù)性管理體系（Business Continuty Management System， BCMS）的標(biāo)準(zhǔn)進(jìn)行綜述。

2 相關(guān)國(guó)際標(biāo)準(zhǔn)的研發(fā)情況

國(guó)際標(biāo)準(zhǔn)化組織中，開發(fā)業(yè)務(wù)連續(xù)性管理體系的機(jī)構(gòu)為ISO/TC 223，公共安全（Societal security）技術(shù)委員會(huì)和ISO/TC 292，安全和恢復(fù)力（Security and resilience）技術(shù)委員會(huì)。ISO/TC 223成立時(shí)間為2007年11月，2012年5月發(fā)布了ISO 22301：2012取代了國(guó)際公認(rèn)的由英國(guó)BSI發(fā)布的BS 25999，2012年12月又發(fā)布了ISO 22313：2012《公共安全 業(yè)務(wù)持續(xù)性管理體系 指南》，對(duì)ISO 22301：2012的每個(gè)要求提出了更詳細(xì)的描述。2015年1月，ISO/TC 292成立，從此替代了ISO/TC 223。到目前為止，ISO/TC 292發(fā)布業(yè)務(wù)連續(xù)性管理體系方面的標(biāo)準(zhǔn)7項(xiàng)，在研標(biāo)準(zhǔn)3項(xiàng)3）。

（1）ISO 22300：2018《安全和恢復(fù)力 詞匯》

該標(biāo)準(zhǔn)定義了安全和恢復(fù)力標(biāo)準(zhǔn)中使用的術(shù)語。

（2）ISO 22301：2012《公共安全 業(yè)務(wù)連續(xù)性管理體系 要求》

該標(biāo)準(zhǔn)為策劃、建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和持續(xù)改進(jìn)一個(gè)文件化的業(yè)務(wù)連續(xù)性管理體系規(guī)定了要求，用以實(shí)施保護(hù)，減少中斷事件發(fā)生的可能性，以及當(dāng)中斷事件發(fā)生時(shí)準(zhǔn)備、響應(yīng)并恢復(fù)。

（3）ISO 22313：2012《公共安全 業(yè)務(wù)連續(xù)性管理體系 指南》

該標(biāo)準(zhǔn)是在ISO 22301：2012的基礎(chǔ)上，詳細(xì)提出了業(yè)務(wù)連續(xù)性管理的實(shí)施方法和建議。

（4）ISO/TS 22317：2015《公共安全 業(yè)務(wù)連續(xù)性管理體系 業(yè)務(wù)影響分析指南（BIA）》

該標(biāo)準(zhǔn)為組織建立、實(shí)施和維護(hù)正式和文檔化的業(yè)務(wù)影響分析（BIA）過程提供指導(dǎo)。沒有規(guī)定執(zhí)行BIA的統(tǒng)一流程，但將幫助組織設(shè)計(jì)適合其需求的BIA流程。

（5）ISO/TS 22318：2015《公共安全 業(yè)務(wù)連續(xù)性管理體系 供應(yīng)鏈連續(xù)性指南》

該標(biāo)準(zhǔn)補(bǔ)充了ISO 22301和ISO 22313，并在連續(xù)性管理的這一重要方面提供了額外的信息，為評(píng)估和管理貨物和服務(wù)的外部供應(yīng)鏈以及公司內(nèi)部服務(wù)安排提供了良好的實(shí)踐。

（6）ISO/TS 22330：2018《安全和恢復(fù)力 業(yè)務(wù)連續(xù)性管理體系 業(yè)務(wù)連續(xù)性人員方面指南》

該標(biāo)準(zhǔn)著重強(qiáng)調(diào)可能參與或受破壞性事件影響的人員的需求。它為在這種情況下負(fù)責(zé)與業(yè)務(wù)操作相關(guān)的人力資源的任何人提供指導(dǎo)。它不是管理事件的明確指南，而是對(duì)需要考慮的人員問題和改進(jìn)總體反映這些方面的可能戰(zhàn)略的審查。

（7）ISO/TS 22331：2018《安全和恢復(fù)力 業(yè)務(wù)連續(xù)性管理體系 業(yè)務(wù)連續(xù)性戰(zhàn)略指南》

該標(biāo)準(zhǔn)為業(yè)務(wù)連續(xù)性戰(zhàn)略的確定和選擇提供了詳細(xì)的指南，符合ISO 22301的要求。它適用于任何業(yè)務(wù)連續(xù)性戰(zhàn)略確定和選擇工作的執(zhí)行，無論是業(yè)務(wù)連續(xù)性管理體系的一部分還是業(yè)務(wù)連續(xù)性計(jì)劃（Business Continuity Plan，BCP）4）。

3 相關(guān)國(guó)家標(biāo)準(zhǔn)的介紹

國(guó)內(nèi)業(yè)務(wù)連續(xù)性管理體系（BCMS）的標(biāo)準(zhǔn)起步較晚，負(fù)責(zé)該標(biāo)準(zhǔn)的研發(fā)機(jī)構(gòu)為全國(guó)公共安全基礎(chǔ)標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC 351），在上述描述的國(guó)際標(biāo)準(zhǔn)中，截至2019年7月，已有3項(xiàng)國(guó)際標(biāo)準(zhǔn)被等同采用為國(guó)家標(biāo)準(zhǔn)。

（1）GB/T 30146—2013《公共安全 業(yè)務(wù)連續(xù)性管理體系 要求》

該標(biāo)準(zhǔn)等同采用ISO 22301：2012，是業(yè)務(wù)連續(xù)性管理體系的基礎(chǔ)標(biāo)準(zhǔn)，應(yīng)用廣泛，主要明確了業(yè)務(wù)連續(xù)性管理的要求，這些要求由法律、法規(guī)、標(biāo)準(zhǔn)、產(chǎn)品和服務(wù)、工作流程、組織的規(guī)模和結(jié)構(gòu)以及相關(guān)方的要求等方面構(gòu)成。

（2）GB/T 31595—2015《公共安全 業(yè)務(wù)連續(xù)性管理體系 指南》

該標(biāo)準(zhǔn)等同采用ISO 22313：2012，為業(yè)務(wù)連續(xù)性管理體系的策劃、建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和持續(xù)改進(jìn)文件化的管理體系提供指南。

（3）GB/T 35625—2017《公共安全 業(yè)務(wù)連續(xù)性管理體系 業(yè)務(wù)影響分析指南（BIA）》

該標(biāo)準(zhǔn)等同采用ISO/TS 22317：2015，為組織建立、實(shí)施業(yè)務(wù)影響分析（BIA）提供了良好的操作建議。

此外，截至2019年7月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC 260）也發(fā)布了4項(xiàng)信息安全方面的業(yè)務(wù)連續(xù)性標(biāo)準(zhǔn)，具體如下：

（1）GB/T 20988—2007《信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》

該標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)災(zāi)難恢復(fù)應(yīng)遵循的基本要求，介紹了災(zāi)難恢復(fù)的概述、災(zāi)難恢復(fù)需求的確定、災(zāi)難恢復(fù)策略的制定、災(zāi)難恢復(fù)策略的實(shí)現(xiàn)、災(zāi)難恢復(fù)能力等級(jí)劃分、災(zāi)難恢復(fù)預(yù)案框架等要求。

（2）GB/T 30285—2013《信息安全技術(shù) 災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理規(guī)范》

該標(biāo)準(zhǔn)適用于開展信息系統(tǒng)災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)性活動(dòng)的機(jī)構(gòu)或提供信息系統(tǒng)災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)性服務(wù)的服務(wù)機(jī)構(gòu)。該標(biāo)準(zhǔn)為災(zāi)難恢復(fù)中心管理組織機(jī)構(gòu)、災(zāi)難恢復(fù)中心基礎(chǔ)設(shè)施、災(zāi)難恢復(fù)中心信息系統(tǒng)及配套資源和災(zāi)難恢復(fù)中心運(yùn)行維護(hù)管理體系的建設(shè)與管理等方面的建設(shè)提供了參考。

（3）GB/T 37046—2018《信息安全技術(shù) 災(zāi)難恢復(fù)服務(wù)能力評(píng)估準(zhǔn)則》

該標(biāo)準(zhǔn)內(nèi)容是在GB/T 30271—2013《信息安全技術(shù) 信息安全服務(wù)能力評(píng)估準(zhǔn)則》的框架下對(duì)信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)能力評(píng)估的具體細(xì)化，是針對(duì)信息系統(tǒng)災(zāi)難恢復(fù)組織的服務(wù)能力進(jìn)行的評(píng)估框架。主要是闡述災(zāi)難恢復(fù)服務(wù)組織的災(zāi)難恢復(fù)服務(wù)能力的評(píng)估方法與模型，以及對(duì)災(zāi)難恢復(fù)服務(wù)組織服務(wù)能力評(píng)估分級(jí)的方法及特征描述。

（4）GB/T 36957—2018《信息安全技術(shù) 災(zāi)難恢復(fù)服務(wù)要求》

該標(biāo)準(zhǔn)提出了災(zāi)難恢復(fù)服務(wù)資源配置、災(zāi)難恢復(fù)服務(wù)過程和災(zāi)難恢復(fù)服務(wù)項(xiàng)目管理三個(gè)方面的災(zāi)難恢復(fù)服務(wù)要求。

4 其他標(biāo)準(zhǔn)/報(bào)告介紹

2004年，澳大利亞標(biāo)準(zhǔn)化組織發(fā)布了HB 221：2004《業(yè)務(wù)連續(xù)性管理手冊(cè)》（Business Continuity Management，Handbook），該標(biāo)準(zhǔn)為全面的業(yè)務(wù)連續(xù)性管理過程給出了一個(gè)完整框架和關(guān)鍵流程。之后該組織在2006年又發(fā)布了HB 292：2006《業(yè)務(wù)連續(xù)性管理從業(yè)者指南》（A Practitioners Guide to Continuity Management，Handbook）和HB 293：2006《業(yè)務(wù)連續(xù)性管理高管層指南》（Executive Guide to Continuity Management，Handbook）分別為從業(yè)者和高級(jí)管理層在業(yè)務(wù)連續(xù)性管理中提供了指導(dǎo)要求。

英國(guó)BSI于2006年發(fā)布了BS 25999-1：2006《業(yè)務(wù)連續(xù)性管理 第1部分：實(shí)用規(guī)則》，提供了以業(yè)務(wù)連續(xù)性管理的最佳實(shí)踐為基礎(chǔ)的管理體系;一年后，BSI又發(fā)布了BS 25999-2：2007《業(yè)務(wù)連續(xù)性管理 第2部分：規(guī)范》，提供了業(yè)務(wù)連續(xù)性管理體系建立、實(shí)施、運(yùn)行、監(jiān)視、訓(xùn)練與文檔化的具體要求。

2007年，美國(guó)消防協(xié)會(huì)（NFPA）發(fā)布了NFPA 1600：2007《關(guān)于災(zāi)難/應(yīng)急管理與業(yè)務(wù)連續(xù)性規(guī)劃的標(biāo)準(zhǔn)》（Standard on Disaster/Emergency Management and Business Continuity Programs），該標(biāo)準(zhǔn)是關(guān)于全面規(guī)劃災(zāi)難恢復(fù)、應(yīng)急管理和業(yè)務(wù)連續(xù)性的基本標(biāo)準(zhǔn)。

2008年，新加坡BCM技術(shù)委員會(huì)發(fā)布了 SS 540：2008 《新加坡業(yè)務(wù)連續(xù)性管理標(biāo)準(zhǔn)》（Singapore Standard for Business Continuity Management），該標(biāo)

準(zhǔn)的前身是TR 19：2005《業(yè)務(wù)連續(xù)性管理技術(shù)參考》 （Technical Reference for Business Continuity Management）5）。

5 小結(jié)

如上文所述，業(yè)務(wù)連續(xù)性管理體系國(guó)家標(biāo)準(zhǔn)的采標(biāo)情況如表1所示。

參考文獻(xiàn)

[1] 張春林，陳小峰. 商業(yè)銀行業(yè)務(wù)連續(xù)性管理[M]. 北京：機(jī)

械工業(yè)出版社，2015.