业务连续性管理(中文版)

【业务连续性管理(中文版)】业务连续性管理办法近期发生的多起灾难性事件更加坚定了亚太地区领导者在推动制定业务连续性措施的决心，这不仅是落实在书面上，还要付诸实践。

对灾难性事件的反思2011年第1季度发生在亚太地区的重大灾难性事件显示出人类面对自然灾害等严峻挑战的恢复能力。

澳大利亚昆士兰和维多利亚的洪水灾害、昆士兰州北部的雅思飓风、中国汶川八级强烈地震、新西兰基督城的地震以及日本有史以来最大地震及其引发的毁灭性海啸使数千人面临非常现实的灾后重建挑战。

这些灾难造成的生命代价和经济损失令人惊愕。

灾难能够将社会各界力量凝聚在一起应对极端挑战，而勇敢、慷慨和无私合作的行为在企业和团体组织中渐趋常态化。

另外，应对危机时如果能够发挥个人和组织的才能与智谋效果还会更佳。

灾难发生后能否快速、积极地应对既是对应急预案的考验，也是对我们角色的考验。

毋庸置疑的是，企业、团体和个人都拥有生存和重建的决心，但事实证明，只有做好充分应对准备才能最快地在灾后恢复。

重新重视治理问题业务连续性管理（BCM）目前再次受到企业和团体领导者的关注，他们越来越重视检验所在组织在制定应急预案和应对灾难方面的能力。

监管合规和企业董事会是驱动落实业务连续性管理的主要动因。

对于受监管的行业，例如银行业需要满足中国银监会颁布的《商业银行业务连续性监管指引》对业务连续性组织架构、计划制定、资源建设、演练改进等方面的监管要求。

近期灾难性事件导致亚太地区的监管机构和董事会比以往任何时候都更加重视业务连续性管理，他们认为业务连续性管理不仅仅是“合规”问题，更应该包括周密的规划、严格测试和积极保持恢复能力。

近期灾难性事件的发生加强了亚太地区领导者在制定业务连续性措施的决心，这不仅是落实在纸面上，还要付诸实践。

通过对强健、明晰的分布式领导力、差异化的响应和灾难恢复措施，以及新型通信模式要求的反思，企业可以实现更好的业务连续性管理，并且更加稳妥地履行其对监管机构、董事会和股东的承诺。

业务连续性管理业务连续性管理（Business Continuity Management，简称BCM），是一项综合管理流程，它使企业认识到潜在的危机和相关影响，制订响应、业务和连续性的恢复计划，其总体目标是为了提高企业的风险防范能力，以有效地响应非计划的业务破坏并降低不良影响。

中文名: 业务连续性管理外文名: Business Continuity Management简称: BCM起源于: 上世纪70年代美国的“灾难恢复”目录1.1 基本原则2.2 管理系统基本原则确保当事机构的主要业务操作在任何时候都能够持续运转。

业务连续性管理系统（BCMS）是经常进行的活动的集合，业务连续性管理支持企业业务连续性管理活动，也支持技术灾难恢复活动。

这些可以包括项目规划和管理、人员配备、计划、预测、预算编制、研究和开发、资源管理、通信、会议、教育活动、宣传和促销活动、活动网站、绩效评估活动、按天进行处理查询和许多其他活动。

业务连续性管理也有利于多种项目性的活动，业务连续性管理执行业务影响分析和风险分析、进行评估、制定并记录BC/ DR计划、规划和执行BC/ DR演练、准备和进行应急队伍培训、准备记录事件响应计划，并设计BC/ DR策略。

管理系统一个业务连续性管理系统关注：理解连续性、准备需求和建立业务连续性管理系统策略和目标的重要性。

为管理组织的总体连续性风险进行实施和运行控制及措施。

监控和检查业务连续性管理系统的性能和有效性。

根据客观标准持续改进。

具备业务连续性管理系统功能的管理系统结构组件：一个策略。

指定角色和职责的人。

与策略、计划、实施、运维、性能评估、管理检查和提升关联的管理流程。

提供可审查证据的文档。

组织相关的业务连续性管理流程。

根据上述标准所述的业务连续性管理系统的一个前提是BCMS的设计要能反映组织和股东的需求。

这个标准不会强制统一业务连续性系统的结构。

组织开发一个新BCM计划时可以将BCMS框架作为一个有效的起点。

标准咨询CHINA QUALITY AND STANDARDS REVIEW业务连续性管理体系（BCMS）相关标准介绍张旭刚（中国金融认证中心）韩少伟（内蒙古自治区公安厅）谢宗晓（中国金融认证中心）标 准 解 读1　概述随着自然灾害和人为事故的频繁发生，企业的业务连续性管理（Business Continuity Management，BCM）越来越受到重视，尤其是银行业，一旦发生核心业务中断，且在规定时间内１）未完成恢复，不仅会给银行的声誉和利益带来严重影响和损失，而且会影响社会稳定。

鉴于此，2011年12月，银保监会２）发布了《商业银行业务连续性监管指引》（银监发〔2011〕104号），正式对商业银行业务连续性建设提出了全面的、体系化的监管要求。

2017年6月1日，《中华人民共和国网络安全法》正式实施。

其中第三十三条规定，“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用”。

进一步又明确了重要系统的业务连续性在我国的法律地位。

通常容易将业务连续性管理（BCM）与灾难恢复（Disaster Recovery，DR）混淆。

在ISO 22301:2012《公共安全　业务持续性管理体系　要求》中，业务连续性管理（BCM）定义为“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。

该过程为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动。

” 灾难恢复在GB/T 20988—2007《信息安全技术　信息系统灾难恢复规范》中定义为“为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。

”所以，严格地说，灾难恢复是恢复数据的能力，解决信息系统灾难恢复的问题。

而业务连续性强调的是组织业务不间断的能力，范围更大。

业务连续性管理规定第一章总则第一条为规范科技发展部业务连续性管理，并依此建立业务连续性管理计划，将预防和恢复控制相结合，积极防范并且处理突发信息安全事件，防止业务活动中断，将突发信息安全事件对科技发展部的影响控制在能够承受的范围之内，保证关键性业务流程的连续性运营，构建“健全机制、集中领导、明确职责、预防为主、反应灵敏、处置高效”的业务连续性管理体系，根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》、《银行业重要信息系统突发事件应急管理规范》以及相关法律法规、业界规范标准，特制定本规定。

第二条本规定文件适用于科技发展部范围内的所有业务连续性相关的管理工作。

第二章组织与职责第三条科技发展部信息安全指挥小组负责根据业务发展方向规划业务连续性总体战略，确定科技发展部业务连续性管理的策略、目标和范围，为科技发展部业务连续性管理工作的计划、落实提供资源和管理保证，并对执行情况进行监督。

第四条科技发展部风险管理组负责制定科技发展部的业务连续性管理办法，对科技发展部的业务连续性管理落实情况进行监督审核。

第五条各部门安全组负责本部门的业务连续性管理落实情况的监督和检查。

第六条各部门负责人负责确定本部门业务连续性管理策略，确定本部门业务连续性管理的目标和范围，审批本部门业务连续性计划，为相关管理活动提供资源和管理保证。

第七条各部门负责制定本部门的业务连续性计划、突发事件应急预案和灾难恢复预案，提交本部门负责人或信息安全指挥小组审批。

第三章业务连续性管理规定第八条各部门负责人或信息安全指挥小组根据业务的发展规划，确定本部门业务连续性管理策略，主要为：（一）确定业务连续性管理的目标和范围。

（二）确定业务连续性管理的组织结构和职责。

（三）确定业务连续性管理的外部协作关系，各部门应与相关管理部门、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作，以确保在突发信息安全事件发生时能及时通报准确情况和获得适当支持。

IS022301-2019业务连续性管理体系中英文对照版4组织环境4 Context of the organization4.1了解组织及其环境4. 1 Understanding the organization and its context组织应确定与其宗旨及影响其达成BCMS预期结果的能力有关的内外部问题。

注：这些问题会受到组织的总体目标、产品和服务以及能承受或不能承受的风险的类型和数量的影响。

The organization shall det ermi刀e external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome (s) of its BCMS.NOTE These issues will be influenced by the organization ' s overall objectives, its products and services and the amount and type of risk that it may or may not take.4.2了解相关方的需要和期望4. 2 Understanding the needs and expectations of interested parties4.2.1总则在建立BCMS时，组织应确定：a）与BCMS有关的相关方；b）这些相关方的有关要求。

4. 2. 1 GeneralWhen establishing its BCMS, theorganization shall determine:a）the interested parties that are relevant to the BCMS;b）the relevant requirements of these interested parties・4.2.2法律和法规要求组织应：a）实现和保持一个过程，以识别、获取和评估与其产品和服务、活动和资源连续性有关的适用法律和法规要求；b）确保这些适用的法律、法规和其它要求在实现和保持BCMS时得到考虑；C）记录这些信息并保持更新。

业务连续性管理讲义1. 什么是业务连续性管理业务连续性管理（Business Continuity Management，简称BCM）指的是一种组织的策略和能力，以确保其业务活动在面临各种内部和外部的干扰和灾难时，能够持续运行并最小化恢复时间和损失。

BCM 主要关注组织的关键业务活动，并采取一系列的预防措施和响应措施来确保业务的连续性和恢复能力。

业务连续性管理的主要目标包括： - 保护组织的关键业务活动，防止中断和损失； - 确保组织在灾难发生时能够及时恢复业务的运营； - 最小化灾难对组织声誉和财务状况的影响； - 提高组织对应急事件的应对能力。

2. 业务连续性管理的基本原则在进行业务连续性管理时，需要遵循以下基本原则：2.1 组织承诺组织的最高管理层应对业务连续性管理提供明确的承诺和支持，并确保资源的充分投入。

组织应制定相关的策略、目标和目标，并明确授权相应的责任和权限。

2.2 风险管理业务连续性管理需要建立有效的风险管理体系，包括风险识别、评估和控制。

通过分析业务流程和环境，识别潜在的灾难性风险，并采取适当的措施进行预防和减轻。

2.3 组织的可持续性业务连续性管理应注重组织的可持续发展，不仅仅是对灾难的响应和恢复，还应考虑组织的长期稳定发展。

在实施 BCM 过程中，组织应加强内部管理，建立和完善业务规程和流程。

2.4 持续改进业务连续性管理是一个不断进步的过程。

组织应不断评估和改进 BCM 系统的有效性和适应性，以应对不断变化的风险和业务环境。

3. 业务连续性管理的步骤和框架业务连续性管理通常包括以下几个主要步骤：3.1 业务连续性策划业务连续性策划是业务连续性管理的核心步骤。

在策划阶段，组织需要识别和评估关键业务活动，确定恢复时间目标和业务可接受的中断时间，并制定相应的业务连续性计划。

3.2 风险评估在进行业务连续性管理时，组织需要进行全面的风险评估，包括对内部和外部的风险进行识别和评估。

业务连续性管理方案业务连续性管理（Business Continuity Management，BCM）是一种综合性的管理方法，旨在帮助企业组织建立一套灵活且可持续的措施，以应对各类潜在威胁和紧急情况，确保企业在面对风险和干扰时能够维持正常的运营。

在全球经济不断发展和不确定性增加的背景下，企业越来越意识到业务连续性管理的重要性，要建立一个有效的BCM方案，以下是一些关键步骤和建议。

1. 风险评估和业务影响分析（Risk Assessment and Business Impact Analysis）风险评估是一个系统性的过程，旨在识别潜在风险和威胁，包括自然灾害、技术故障、供应链中断等，然后对这些风险进行评估和分类。

业务影响分析是一个关键的步骤，用于评估各类风险对企业运营的潜在影响，包括财务损失、声誉受损、客户流失等。

2. 制定业务连续性策略（Business Continuity Strategies）根据风险评估和业务影响分析的结果，制定一套适合企业的业务连续性策略。

这些策略可能包括备份和恢复、冗余系统、灾备中心、供应链多元化等。

策略的制定应确保企业能够在紧急情况下继续提供关键产品和服务。

3. 制定实施计划（Implementation Plan）根据业务连续性策略，制定详细的实施计划。

计划中应确定责任人和时间表，并确保所有关键的业务部门以及供应商和合作伙伴都了解并能够执行这些计划。

实施计划还应包括培训和演练，以确保员工和相关方能够熟悉应急程序并能够应对紧急情况。

4. 业务连续性计划的测试和复盘（Testing and Review）定期测试业务连续性计划的有效性是非常重要的。

通过模拟各种紧急情况来测试计划的实际可行性，并根据测试结果对计划进行调整和改进。

同时，对过去的事件进行复盘和总结，以了解不足之处，并采取措施进行改进。

5. 持续监测和更新（Continuous Monitoring and Updating）业务连续性管理不仅仅是一次性的任务，它应该被视为一个持续的过程。

业务连续性管理制度业务连续性管理办法总则为了提高公司的风险防范能力，有效地应对各种非计划的业务破坏、降低影响，确保公司各项业务的连续性，保障公司、商户、合作伙伴等相关单位的利益，特制订本办法。

第一章流程规范一、公司建立业务连续性管理部门及应急领导小组，根据安全级别，实行分级管理，保证在发生重大事故导致业务中断时，所有成员能够识别其角色与职责。

二、制订危机管理和灾难恢复等业务连续性管理流程，确保在系统发生故障等导致业务中断之时，能在最短时间内、保证数据零丢失的情况下进行快速恢复。

三、在与合作商（服务商）签订书面合同时要充分考虑业务的连续性，明确双方的权利、义务，并制定在意外情况下能顺利实现合作商（服务商）变更，保证合作商（服务商）不间断的应急预案。

第二章业务中断分析一、业务中断成因可分为自然灾害、人为灾害、一般灾害1、自然灾害主要有：地震、火灾、水灾、台风等，此种灾害无法预判，灾害发生时无法防护，发生频率最低，当灾害发生时，业务一般也只能切换到灾备机房，一旦切换到灾备机房，业务正常运行肯定收到影响。

2、人为灾害主要有：恐怖攻击、黑客攻击（网络攻击、病毒攻击等），此灾害同样无法预判，发生不高，但其中黑客攻击可从网络安全、主机安全、系统安全等方面进行防护，加大黑客攻击难度，从而达到黑客攻击防护的目的。

3、一般灾害主要有：网络故障、服务器软硬件故障、应用程序故障等，此灾害可防护，但发生频率最高，应对网络、服务器、应用程序进行相应监控，并建立相应的监控巡检系统，自动监控自动报警，及时发现和处理故障。

另核心业务系统应建设主备高可用架构或负载均衡高可用架构，避免单点故障。

二、业务中断的企业影响1、企业收入：企业直接损失、商户赔偿金、企业未来收入损失；2、生产效率：参与人员人数和人员处理时间；3、声誉损失：影响企业声誉，降低了商户和合作伙伴对企业的信任，影响到后期的企业市场发展和业务合作，扩大了竞争对手优势4、财务业绩：影响到企业的信用、现金流甚至违规罚款等第三章技术保障一、建立业务连续性管理制度，目标是尽可能快地恢复服务至服务级别协议规定的水准，尽量减少事故对业务运营的不利影响，以确保最好的服务质量和可用性级别。

《学院业务连续性管理办法》（1）总则第一条为了保护学院的关键业务功能免受灾难事件的影响而中断，并确保其能够快速恢复运行，最小化由灾难事件导致的影响，特制定本文件。

第二条业务连续性管理是一个全面的管理流程，通过识别影响组织的潜在灾难事件，提供增强业务恢复能力和有效反应能力的框架,保护组织关键利益相关者的利益、机构的声誉、品牌和价值。

业务连续性从业务的视角出发，分析支撑业务连续运作的资源所面临的威胁，这些资源包括业务部门人员与流程、办公环境、信息系统等。

本文件所提及的业务连续性管理特指信息系统的连续性管理(信息系统的连续性管理专业术语称之为灾难恢复管理），如无特殊说明以下均称之为灾难恢复管理。

第三条本文件对灾难恢复管理所涉及的组织职责、灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实施、灾难恢复计划制定与维护、灾难恢复演练等工作做出规定。

（2）组织职责第四条学院灾难恢复管理的组织机构由三个部分组成，网络与信息安全工作领导小组中指定的负责灾难恢复的人员，以下简称“灾难恢复领导小组”，信息安全管理部门中指定的负责灾难恢复的人员，以下简称“灾难恢复管理小组”，教育信息化推进处中指定的负责灾难恢复的人员，以下简称“灾难恢复工作小组”。

第五条灾难恢复领导小组由学院主管信息安全工作、关键业务部门主管风险的负责人、教育信息化推进处安全负责人组成，是灾难恢复管理工作的最高决策者，对学院灾难恢复工作进行总体指导和控制。

主要职责包括：(一）审核批准灾难恢复策略；(二）审核批准灾难恢复预算；(三）审核批准灾难备份设施建设；(四）审核批准灾难恢复计划；(五）批准启动灾难恢复计划；(六）领导和指挥灾难恢复过程；(七）审核批准对外情况通报和信息发布；(八）批准核心业务系统的重建与回退；(九）决策灾难恢复重大事宜。

第六条灾难恢复管理小组由信息科负责人、运维、网络、系统、应用、安全等负责人，以及人力资源管理部门、风险管理部门、应急管理部门指定负责人员和灾难恢复服务商指定负责人组成，在灾难恢复领导小组领导下开展工作，负责管理和协调灾难恢复工作，主要职责如下：(一）组织制定灾难恢复策略；(二）编制灾难恢复经费预算；(三）组织灾难备份中心建设；(四）管理灾难备份中心日常工作；(五）组织制定灾难恢复计划；(六）协调内外部灾难恢复资源；(七）指挥和协调核心业务系统重建与回退工作;(八）负责内部信息通报和沟通；(九) 组织和管理媒体公关工作；(十）监督、检查和总结灾难恢复工作。

业务连续性管理规定第一章总则第一条为规范科技发展部业务连续性管理，并依此建立业务连续性管理计划,将预防和恢复控制相结合,积极防范并且处理突发信息安全事件，防止业务活动中断，将突发信息安全事件对科技发展部的影响控制在能够承受的范围之内，保证关键性业务流程的连续性运营，构建"健全机制、集中领导、明确职责、预防为主、反应灵敏、处置高效"的业务连续性管理体系，根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》、《银行业重要信息系统突发事件应急管理规范》以及相关法律法规、业界规范标准，特制定本规定。

第二条本规定文件适用于科技发展部范围内的所有业务连续性相关的管理工作。

第二章组织与职责第三条科技发展部信息安全指挥小组负责根据业务发展方向规划业务连续性总体战略，确定科技发展部业务连续性管理的策略、目标和范围,为科技发展部业务连续性管理工作的计划、落实提供资源和管理保证,并对执行情况进行监督。

第四条科技发展部风险管理组负责制定科技发展部的业务连续性管理办法，对科技发展部的业务连续性管理落实情况进行监督审核。

第五条各部门安全组负责本部门的业务连续性管理落实情况的监督和检查。

第六条各部门负责人负责确定本部门业务连续性管理策略，确定本部门业务连续性管理的目标和范围”审批本部门业务连续性计划, 为相关管理活动提供资源和管理保证。

第七条各部门负责制定本部门的业务连续性计划、突发事件应急预案和灾难恢复预案，提交本部门负责人或信息安全指挥小组审批。

第三章业务连续性管理规走第八条各部门负责人或信息安全指挥小组根据业务的发展规划，确定本部门业务连续性管理策略，主要为：（—）确定业务连续性管理的目标和范围。

（二）确定业务连续性管理的组织结构和职责。

（三）确定业务连续性管理的外部协作关系，各部门应与相关管理部门、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作,以确保在突发信息安全事件发生时能及时通报准确情况和获得适当支持。

1. 目的为了保证在有可能出现地震、台风、洪水、泥石流、火灾、化学品灾害、公用事业的供应中断、劳动力短缺，关键设备故障、售后退货和IT系统损坏等特别事件的情况下满足客户的交付需求。

2. 范围适用于在出现地震、台风、洪水、泥石流、火灾、化学品灾害、公用事业的供应中断、劳动力短缺，关键设备故障、售后退货和IT系统损坏、等特别事件的情况。

3. 引用文件3.1 《人力资源管理程序》4. 定义特别事件：地震、台风、洪水、泥石流、火灾、化学品灾害、公用事业的供应中断、劳动力短缺，关键设备故障、售后退货和IT系统损坏等其它突发性事件。

5. 职责和权限5.1 企管部：负责制订和修改本应急计划，并对灾害风险进行评估；5.2 总经理：负责组织及实施应急计划。

5.3 工厂负责人：负责协调、组织及实施应急计划，当总经理不在时，行使总经理职权。

5.4 生产部：负责突发性事件发生后现场物料、机器、工具进行整理并清洁干净。

5.5 技术部：负责抢修设备，防止突发性事件扩大，降低突发性事件损失，使发生突发性事件后生产能够尽快恢复。

5.6 办公室：负责突发事件发生后人员及财产的安全；负责维持突发性事件发生后现场秩序；负责突发性事件中各项指令的传达及反馈突发性事件信息；负责内/外联络，小组成员之间的信息沟通；负责IT系统恢复。

5.7 销售服务中心：负责突发性事件发生后受影响订单与客户沟通。

5.8 采购部：负责突发性事件发生后恢复生产所需要的物料采购、外协加工。

5.9 质控部：负责突发性事件发生后受影响物料，在制品和成品的检验和判定。

5.10 物控部：负责统计突发性事件发生后受影响订单，调整生产计划和物料需求计划并跟进计划的实施。

负责统计突发性事件发生后仓库受影响的物资，通知质控部进行检验，根据质控部检验结果申请物资报废。

5.11 临时事故应急指挥小组：组织人员清理现场，评估灾后损失，协调全厂恢复计划的具体实施，督促各部门恢复生产进度，解决各部门在恢复生产中遇到的实际困难。