张旭刚 韩少伟 谢宗晓

1 概述

随着自然灾害和人为事故的频繁发生，企业的业务连续性管理（Business Continuity Management，BCM）越来越受到重视，尤其是银行业，一旦发生核心业务中断，且在规定时间内1）未完成恢复，不仅会给银行的声誉和利益带来严重影响和损失，而且会影响社会稳定。鉴于此，2011年12月，银保监会2）发布了《商业银行业务连续性监管指引》（银监发〔2011〕104号），正式对商业银行业务连续性建设提出了全面的、体系化的监管要求。2017年6月1日，《中华人民共和国网络安全法》正式实施。其中第三十三条规定，“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用”。进一步又明确了重要系统的业务连续性在我国的法律地位。

通常容易将业务连续性管理（BCM）与灾难恢复（Disaster Recovery，DR）混淆。在ISO 22301：2012《公共安全 业务持续性管理体系 要求》中，业务连续性管理（BCM）定义为“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动。” 灾难恢复在GB/T 20988—2007《信息安全技术 信息系统灾难恢复规范》中定义为“为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。”所以，严格地说，灾难恢复是恢复数据的能力，解决信息系统灾难恢复的问题。而业务连续性强调的是组织业务不间断的能力，范围更大。一般而言，业务连续性包含灾难恢复。

本文主要对有关国内外业务连续性管理体系（Business Continuty Management System， BCMS）的标准进行综述。

2 相关国际标准的研发情况

国际标准化组织中，开发业务连续性管理体系的机构为ISO/TC 223，公共安全（Societal security）技术委员会和ISO/TC 292，安全和恢复力（Security and resilience）技术委员会。ISO/TC 223成立时间为2007年11月，2012年5月发布了ISO 22301：2012取代了国际公认的由英国BSI发布的BS 25999，2012年12月又发布了ISO 22313：2012《公共安全 业务持续性管理体系 指南》，对ISO 22301：2012的每个要求提出了更详细的描述。2015年1月，ISO/TC 292成立，从此替代了ISO/TC 223。到目前为止，ISO/TC 292发布业务连续性管理体系方面的标准7项，在研标准3项3）。

（1）ISO 22300：2018《安全和恢复力 词汇》

该标准定义了安全和恢复力标准中使用的术语。

（2）ISO 22301：2012《公共安全 业务连续性管理体系 要求》

该标准为策划、建立、实施、运行、监视、评审、保持和持续改进一个文件化的业务连续性管理体系规定了要求，用以实施保护，减少中断事件发生的可能性，以及当中断事件发生时准备、响应并恢复。

（3）ISO 22313：2012《公共安全 业务连续性管理体系 指南》

该标准是在ISO 22301：2012的基础上，详细提出了业务连续性管理的实施方法和建议。

（4）ISO/TS 22317：2015《公共安全 业务连续性管理体系 业务影响分析指南（BIA）》

该标准为组织建立、实施和维护正式和文档化的业务影响分析（BIA）过程提供指导。没有规定执行BIA的统一流程，但将帮助组织设计适合其需求的BIA流程。

（5）ISO/TS 22318：2015《公共安全 业务连续性管理体系 供应链连续性指南》

该标准补充了ISO 22301和ISO 22313，并在连续性管理的这一重要方面提供了额外的信息，为评估和管理货物和服务的外部供应链以及公司内部服务安排提供了良好的实践。

（6）ISO/TS 22330：2018《安全和恢复力 业务连续性管理体系 业务连续性人员方面指南》

该标准着重强调可能参与或受破坏性事件影响的人员的需求。它为在这种情况下负责与业务操作相关的人力资源的任何人提供指导。它不是管理事件的明确指南，而是对需要考虑的人员问题和改进总体反映这些方面的可能战略的审查。

（7）ISO/TS 22331：2018《安全和恢復力 业务连续性管理体系 业务连续性战略指南》

该标准为业务连续性战略的确定和选择提供了详细的指南，符合ISO 22301的要求。它适用于任何业务连续性战略确定和选择工作的执行，无论是业务连续性管理体系的一部分还是业务连续性计划（Business Continuity Plan，BCP）4）。

3 相关国家标准的介绍

国内业务连续性管理体系（BCMS）的标准起步较晚，负责该标准的研发机构为全国公共安全基础标准化技术委员会（TC 351），在上述描述的国际标准中，截至2019年7月，已有3项国际标准被等同采用为国家标准。

（1）GB/T 30146—2013《公共安全 业务连续性管理体系 要求》

该标准等同采用ISO 22301：2012，是业务连续性管理体系的基础标准，应用广泛，主要明确了业务连续性管理的要求，这些要求由法律、法规、标准、产品和服务、工作流程、组织的规模和结构以及相关方的要求等方面构成。

（2）GB/T 31595—2015《公共安全 业务连续性管理体系 指南》

该标准等同采用ISO 22313：2012，为业务连续性管理体系的策划、建立、实施、运行、监视、评审、保持和持续改进文件化的管理体系提供指南。

（3）GB/T 35625—2017《公共安全 业务连续性管理体系 业务影响分析指南（BIA）》

该标准等同采用ISO/TS 22317：2015，为组织建立、实施业务影响分析（BIA）提供了良好的操作建议。

此外，截至2019年7月，全国信息安全标准化技术委员会（SAC/TC 260）也发布了4项信息安全方面的业务连续性标准，具体如下：

（1）GB/T 20988—2007《信息安全技术 信息系统灾难恢复规范》

该标准规定了信息系统灾难恢复应遵循的基本要求，介绍了灾难恢复的概述、灾难恢复需求的确定、灾难恢复策略的制定、灾难恢复策略的实现、灾难恢复能力等级划分、灾难恢复预案框架等要求。

（2）GB/T 30285—2013《信息安全技术 灾难恢复中心建设与运维管理规范》

该标准适用于开展信息系统灾难恢复及业务连续性活动的机构或提供信息系统灾难恢复及业务连续性服务的服务机构。该标准为灾难恢复中心管理组织机构、灾难恢复中心基础设施、灾难恢复中心信息系统及配套资源和灾难恢复中心运行维护管理体系的建设与管理等方面的建设提供了参考。

（3）GB/T 37046—2018《信息安全技术 灾难恢复服务能力评估准则》

该标准内容是在GB/T 30271—2013《信息安全技术 信息安全服务能力评估准则》的框架下对信息系统灾难恢复服务能力评估的具体细化，是针对信息系统灾难恢复组织的服务能力进行的评估框架。主要是阐述灾难恢复服务组织的灾难恢复服务能力的评估方法与模型，以及对灾难恢复服务组织服务能力评估分级的方法及特征描述。

（4）GB/T 36957—2018《信息安全技术 灾难恢复服务要求》

该标准提出了灾难恢复服务资源配置、灾难恢复服务过程和灾难恢复服务项目管理三个方面的灾难恢复服务要求。

4 其他标准/报告介绍

2004年，澳大利亚标准化组织发布了HB 221：2004《业务连续性管理手册》（Business Continuity Management，Handbook），该标准为全面的业务连续性管理过程给出了一个完整框架和关键流程。之后该组织在2006年又发布了HB 292：2006《业务连续性管理从业者指南》（A Practitioners Guide to Continuity Management，Handbook）和HB 293：2006《业务连续性管理高管层指南》（Executive Guide to Continuity Management，Handbook）分别为从业者和高级管理层在业务连续性管理中提供了指导要求。

英国BSI于2006年发布了BS 25999-1：2006《业务连续性管理 第1部分：实用规则》，提供了以业务连续性管理的最佳实践为基础的管理体系;一年后，BSI又发布了BS 25999-2：2007《业务连续性管理 第2部分：规范》，提供了业务连续性管理体系建立、实施、运行、监视、训练与文档化的具体要求。

2007年，美国消防协会（NFPA）发布了NFPA 1600：2007《关于灾难/应急管理与业务连续性规划的标准》（Standard on Disaster/Emergency Management and Business Continuity Programs），該标准是关于全面规划灾难恢复、应急管理和业务连续性的基本标准。

2008年，新加坡BCM技术委员会发布了 SS 540：2008 《新加坡业务连续性管理标准》（Singapore Standard for Business Continuity Management），该标

准的前身是TR 19：2005《业务连续性管理技术参考》 （Technical Reference for Business Continuity Management）5）。

5 小结

如上文所述，业务连续性管理体系国家标准的采标情况如表1所示。

参考文献

[1] 张春林，陈小峰. 商业银行业务连续性管理[M]. 北京：机

械工业出版社，2015.