標準解讀 業務連續性管理體系（BCMS）相關標準介紹

張旭剛 韓少偉 謝宗曉

1 概述

隨著自然災害和人為事故的頻繁發生，企業的業務連續性管理（Business Continuity Management，BCM）越來越受到重視，尤其是銀行業，一旦發生核心業務中斷，且在規定時間內1）未完成恢復，不僅會給銀行的聲譽和利益帶來嚴重影響和損失，而且會影響社會穩定。鑒于此，2011年12月，銀保監會2）發布了《商業銀行業務連續性監管指引》（銀監發〔2011〕104號），正式對商業銀行業務連續性建設提出了全面的、體系化的監管要求。2017年6月1日，《中華人民共和國網絡安全法》正式實施。其中第三十三條規定，“建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能，并保證安全技術措施同步規劃、同步建設、同步使用”。進一步又明確了重要系統的業務連續性在我國的法律地位。

通常容易將業務連續性管理（BCM）與災難恢復（Disaster Recovery，DR）混淆。在ISO 22301：2012《公共安全 業務持續性管理體系 要求》中，業務連續性管理（BCM）定義為“識別對組織的潛在威脅以及這些威脅一旦發生可能對業務運行帶來的影響的一整套管理過程。該過程為組織建立有效應對威脅的自我恢復能力提供了框架，以保護關鍵相關方的利益、聲譽、品牌和創造價值的活動。” 災難恢復在GB/T 20988—2007《信息安全技術 信息系統災難恢復規范》中定義為“為了將信息系統從災難造成的故障或癱瘓狀態恢復到可正常運行狀態，并將其支持的業務功能從災難造成的不正常狀態恢復到可接受狀態，而設計的活動和流程?！彼裕瑖栏竦卣f，災難恢復是恢復數據的能力，解決信息系統災難恢復的問題。而業務連續性強調的是組織業務不間斷的能力，范圍更大。一般而言，業務連續性包含災難恢復。

本文主要對有關國內外業務連續性管理體系（Business Continuty Management System， BCMS）的標準進行綜述。

2 相關國際標準的研發情況

國際標準化組織中，開發業務連續性管理體系的機構為ISO/TC 223，公共安全（Societal security）技術委員會和ISO/TC 292，安全和恢復力（Security and resilience）技術委員會。ISO/TC 223成立時間為2007年11月，2012年5月發布了ISO 22301：2012取代了國際公認的由英國BSI發布的BS 25999，2012年12月又發布了ISO 22313：2012《公共安全 業務持續性管理體系 指南》，對ISO 22301：2012的每個要求提出了更詳細的描述。2015年1月，ISO/TC 292成立，從此替代了ISO/TC 223。到目前為止，ISO/TC 292發布業務連續性管理體系方面的標準7項，在研標準3項3）。

（1）ISO 22300：2018《安全和恢復力 詞匯》

該標準定義了安全和恢復力標準中使用的術語。

（2）ISO 22301：2012《公共安全 業務連續性管理體系 要求》

該標準為策劃、建立、實施、運行、監視、評審、保持和持續改進一個文件化的業務連續性管理體系規定了要求，用以實施保護，減少中斷事件發生的可能性，以及當中斷事件發生時準備、響應并恢復。

（3）ISO 22313：2012《公共安全 業務連續性管理體系 指南》

該標準是在ISO 22301：2012的基礎上，詳細提出了業務連續性管理的實施方法和建議。

（4）ISO/TS 22317：2015《公共安全 業務連續性管理體系 業務影響分析指南（BIA）》

該標準為組織建立、實施和維護正式和文檔化的業務影響分析（BIA）過程提供指導。沒有規定執行BIA的統一流程，但將幫助組織設計適合其需求的BIA流程。

（5）ISO/TS 22318：2015《公共安全 業務連續性管理體系 供應鏈連續性指南》

該標準補充了ISO 22301和ISO 22313，并在連續性管理的這一重要方面提供了額外的信息，為評估和管理貨物和服務的外部供應鏈以及公司內部服務安排提供了良好的實踐。

（6）ISO/TS 22330：2018《安全和恢復力 業務連續性管理體系 業務連續性人員方面指南》

該標準著重強調可能參與或受破壞性事件影響的人員的需求。它為在這種情況下負責與業務操作相關的人力資源的任何人提供指導。它不是管理事件的明確指南，而是對需要考慮的人員問題和改進總體反映這些方面的可能戰略的審查。

（7）ISO/TS 22331：2018《安全和恢復力 業務連續性管理體系 業務連續性戰略指南》

該標準為業務連續性戰略的確定和選擇提供了詳細的指南，符合ISO 22301的要求。它適用于任何業務連續性戰略確定和選擇工作的執行，無論是業務連續性管理體系的一部分還是業務連續性計劃（Business Continuity Plan，BCP）4）。

3 相關國家標準的介紹

國內業務連續性管理體系（BCMS）的標準起步較晚，負責該標準的研發機構為全國公共安全基礎標準化技術委員會（TC 351），在上述描述的國際標準中，截至2019年7月，已有3項國際標準被等同采用為國家標準。

（1）GB/T 30146—2013《公共安全 業務連續性管理體系 要求》

該標準等同采用ISO 22301：2012，是業務連續性管理體系的基礎標準，應用廣泛，主要明確了業務連續性管理的要求，這些要求由法律、法規、標準、產品和服務、工作流程、組織的規模和結構以及相關方的要求等方面構成。

（2）GB/T 31595—2015《公共安全 業務連續性管理體系 指南》

該標準等同采用ISO 22313：2012，為業務連續性管理體系的策劃、建立、實施、運行、監視、評審、保持和持續改進文件化的管理體系提供指南。

（3）GB/T 35625—2017《公共安全 業務連續性管理體系 業務影響分析指南（BIA）》

該標準等同采用ISO/TS 22317：2015，為組織建立、實施業務影響分析（BIA）提供了良好的操作建議。

此外，截至2019年7月，全國信息安全標準化技術委員會（SAC/TC 260）也發布了4項信息安全方面的業務連續性標準，具體如下：

（1）GB/T 20988—2007《信息安全技術 信息系統災難恢復規范》

該標準規定了信息系統災難恢復應遵循的基本要求，介紹了災難恢復的概述、災難恢復需求的確定、災難恢復策略的制定、災難恢復策略的實現、災難恢復能力等級劃分、災難恢復預案框架等要求。

（2）GB/T 30285—2013《信息安全技術 災難恢復中心建設與運維管理規范》

該標準適用于開展信息系統災難恢復及業務連續性活動的機構或提供信息系統災難恢復及業務連續性服務的服務機構。該標準為災難恢復中心管理組織機構、災難恢復中心基礎設施、災難恢復中心信息系統及配套資源和災難恢復中心運行維護管理體系的建設與管理等方面的建設提供了參考。

（3）GB/T 37046—2018《信息安全技術 災難恢復服務能力評估準則》

該標準內容是在GB/T 30271—2013《信息安全技術 信息安全服務能力評估準則》的框架下對信息系統災難恢復服務能力評估的具體細化，是針對信息系統災難恢復組織的服務能力進行的評估框架。主要是闡述災難恢復服務組織的災難恢復服務能力的評估方法與模型，以及對災難恢復服務組織服務能力評估分級的方法及特征描述。

（4）GB/T 36957—2018《信息安全技術 災難恢復服務要求》

該標準提出了災難恢復服務資源配置、災難恢復服務過程和災難恢復服務項目管理三個方面的災難恢復服務要求。

4 其他標準/報告介紹

2004年，澳大利亞標準化組織發布了HB 221：2004《業務連續性管理手冊》（Business Continuity Management，Handbook），該標準為全面的業務連續性管理過程給出了一個完整框架和關鍵流程。之后該組織在2006年又發布了HB 292：2006《業務連續性管理從業者指南》（A Practitioners Guide to Continuity Management，Handbook）和HB 293：2006《業務連續性管理高管層指南》（Executive Guide to Continuity Management，Handbook）分別為從業者和高級管理層在業務連續性管理中提供了指導要求。

英國BSI于2006年發布了BS 25999-1：2006《業務連續性管理 第1部分：實用規則》，提供了以業務連續性管理的最佳實踐為基礎的管理體系;一年后，BSI又發布了BS 25999-2：2007《業務連續性管理 第2部分：規范》，提供了業務連續性管理體系建立、實施、運行、監視、訓練與文檔化的具體要求。

2007年，美國消防協會（NFPA）發布了NFPA 1600：2007《關于災難/應急管理與業務連續性規劃的標準》（Standard on Disaster/Emergency Management and Business Continuity Programs），該標準是關于全面規劃災難恢復、應急管理和業務連續性的基本標準。

2008年，新加坡BCM技術委員會發布了 SS 540：2008 《新加坡業務連續性管理標準》（Singapore Standard for Business Continuity Management），該標

準的前身是TR 19：2005《業務連續性管理技術參考》 （Technical Reference for Business Continuity Management）5）。

5 小結

如上文所述，業務連續性管理體系國家標準的采標情況如表1所示。

參考文獻

[1] 張春林，陳小峰. 商業銀行業務連續性管理[M]. 北京：機

械工業出版社，2015.