业务连续性（BCM）小百科系列（三）

BCM小百科目录

• 企业与个人认证对BCM体系建设的重要性
• 10年期间，BCM在哪些方面有了提升
• 全身而退 or 脱胎换骨
• BC已重新定义，DR不曾改变，你的BCM做到位了吗？
• 三位一体在企业BCM建设过程中的新应用场景
• 人工智能，大数据，NLP等在未来如何与BCM相结合
• 数字韧性、云原生对BCM的影响
• 在未来，如何帮助企业在BCM领域获得先机

企业与个人认证对BCM体系建设的重要性

关于ISO 22301

1. 什么是ISO 22301业务连续性管理体系

ISO 22301是一种业务连续性管理的国际标准，它提供了一个框架，用于规划、建立、实施、运行、监控、评审、保持和持续改进业务连续性管理体系。它能够帮助企业制定一套一体化的管理流程计划，使企业对潜在的灾难加以辨别分析，帮助其确定可能发生的冲击对企业运作造成的威胁，并提供一个有效的管理机制来阻止或抵消这些威胁，减少灾难事件给企业带来损失。

2. ISO22301 VS其他业务连续性管理标准

近年来，自然灾害和人为事故频繁发生，组织环境的不确定性和风险大幅度增加，越来越多的组织开始重视业务连续性管理能力的提升，为了满足组织对统一的业务连续性管理标准的需求，ISO国际标准化组织制定并出台了多个业务连续性管理国际标准，还有许多指引和最佳实践文档以各种方式解决业务连续性问题。下面对NFPA 1600：2019、ISO 24762：2008、ISO 27031：2011简要介绍。

NFPA 1600：2019于1995年首次发布，是美国业务连续性国家标准，涉及紧急情况管理、事件响应和业务连续性。该标准已经存在二十余年，最初是作为应急管理标准发布的，在本世纪初增加了业务连续性。2019版的主要变化清单是建立和维持危机管理能力的新要求。该标准致力于帮助用户为自然、人类或技术事件造成的任何类型的危机或灾难做好准备。NFPA 1600 在地方、区域、国家、国际和全球基础上被公共、非营利、非政府和私营实体广泛使用，继续演变为制定、实施、评估和维持灾害/应急管理和业务方案连续性的重要标准。该标准被美国国土安全部作为应急准备的自愿共识标准通过，国家恐怖袭击美国委员会（9/11委员会）确认NFPA 1600为国家防备标准。NFPA 1660 由于 NFPA 标准委员会批准的紧急响应和响应者安全文件整合计划 （合并计划）而处于自定义周期中。作为合并计划的一部分，NFPA 1660 将标准 NFPA 1600、NFPA 1616 和 NFPA 1620 合并在一起。

ISO/IEC 27031：2011发布于2011年3月，描述了信息和通信技术（ICT）为业务连续性做好准备的概念和原则，并提供了一个方法和流程框架，以识别和指定所有方面（如性能标准、设计和实施），以改善组织的ICT准备状态，以确保业务连续性。它适用于任何组织（私人、政府和非政府，无论规模大小），为业务连续性规划（IRBC） 制定信息通信技术准备，并要求其信息和通信技术服务/基础设施准备好在发生可能影响关键业务职能连续性（包括安全）时支持业务运营。它还使组织能够以一致和公认的方式测量与其 IRBC 相关的性能参数。ISO/IEC 27031：2011 的范围包括可能对信息和通信技术基础设施和系统产生影响的所有事件和事件（包括安全相关事件）。它包括并扩展了信息安全事件处理和管理以及信息通信技术准备规划和服务的做法。 另外，该标准今年会被重新审查，即将被正在开发中的ISO/IEC WD 27031所取代。

ISO/IEC 24762：2008 提供信息和通信技术灾难恢复（ICT DR）服务的指南，作为业务连续性管理的一部分，适用于实体设施和服务的“内部”和“外包”的ICT DR服务提供商。该标准具体规定如下：实施、运营、监测和维护信息和通信技术DR服务和设施的要求；外包ICT DR服务提供商应具备的能力及其应遵循的做法，以提供基本的安全运营环境，促进组织的恢复工作；恢复站点悬着指南；指导信息和通信技术DR服务提供商不断改进其ICT DR服务。该标准发布于2008年2月，于2014年废止。

ISO/IEC 24762面向灾难恢复服务提供方，更详细地描述了IT DR服务方应解决的技术问题，适用于“内部”或“外包”的灾难恢复提供方；ISO/IEC 27031面向最终用户，用更高层级的框架描述作为组织业务连续性规划组成部分的IT DR活动，适用于全组织的ICT部分；与ISO 22301相比，NFPA 1600更加详细，在不使用其他参考的情况下实现业务连续性可能更容易，同时，由于它的许多要求比ISO 22301更全面，因此它可能更适合中型和大型组织_。_

3. 个人、企业认证ISO 22301的重要性

3.1 企业认证ISO 22301的重要性

2020年疫情的突发对不同行业、不同区域、不同规模的企业造成的冲击和影响程度不尽相同。如何在当下疫情不确定的经营环境下全力确保关键业务连续性运作，成为企业管理者的紧迫任务，也考验着企业应对突发事件下的业务连续性运作能力。实施业务连续性管理的目的就在于增强企业应对此类突发事件的不确定性。我们不知道明天和意外哪个先来临，能做的就是为业务中断做好准备。

ISO 22301旨在帮助企业制定一套一体化的管理流程计划，提供一个有效的管理机制来组织或抵消威胁，减少灾难事件给企业造成的损失。其适用范围不限于组织所处的行业、规模和类型，尤其适用于处于高风险、高度监管或复杂环境下的行业，例如金融业、IT通信业、化工业、制造业等，危机事件发生后立即恢复运营对这类公司是最为重要的。

符合ISO 22301业务连续性管理标准将帮助组织做好充分面对灾难事件发生的准备，识别并主动抓取组织的弱点所带来的威胁，提前采取预防措施。进行ISO22301认证不仅有助于提高组织面对灾难事件的信心，将组织的业务中断和损失最小化，最大程度地减小数据丢失、收入损失、客户流失；增强组织的韧性，提高企业信誉和竞争力，维护组织形象；在灾难发生时显著降低财务影响。还能够获得全球承认的证书，从而向监管部门、员工、客户、供应商、股东等利益相关方证明，组织已经做好应对危机和灾难性事件的准备，满足BCM良好规范的要求。这些要求涉及：法律法规、组织和行业因素、组织的产品和服务、组织的规模和结构、组织的过程和其利益相关方。另外，由于ISO 22301是符合ISO新管理体系标准编写的第一个标准，这有助于组织对标准内容的理解，并保证与其他管理体系，如ISO/IEC 27001 (信息安全管理体系)、ISO14001 (环境管理体系)和ISO9001 (质量管理体系)的一致性。

3.2 ISO 22301标准主任审核员

为了使组织更好地运行ISO 22301标准，要求组织应完全理解其要求，将其当作一个连续的管理过程，而不是仅仅当作一个项目或制定“一项计划”。这就需要有能力的人员来运作和审核，透过审核活动，确保各项业务活动，符合利害相关方的要求（包含法令，规范，客户合约义务等），以及与组织策略，政策，目标，能够有效地透过管理体系来落实。

通过主任审核员的培训，可以了解ISO 22301：2019标准的总体结构和核心内容，理解业务连续性管理的原理和流程；掌握业务连续性管理的实施步骤和方法，具备开展BCM建设项目必备的知识和技能；掌握实施业务连续性体系审核的要求、方法和技巧，具备组织并领导开展BCM体系审核的能力。其适用对象包括：组织最高管理层成员、业务连续性/风险/信息安全/IT以及运行经理、领导BCMS审核的内部和外部管理体系审核人员（第二方或第三方审核）、业务连续性管理专业人员（BCI，DRII）、业务连续性咨询人员等。

3.3 ISO 22301：2019体系新变化

ISO 22301：2012业务连续性管理体系于2012年发布，是第一个关于业务连续性管理体系建设的国际标准。随着信息化的不断发展，为了保证与其当前的最佳实践相匹配，国际标注化组织ISO在2019年10月31日正式发布了ISO 22301：2019业务连续性管理体系标准。

新版本ISO 22301:2019主要带来了一些的变化，如下：

• 术语从55项调整为31项，反映了业界专家对业务连续性管理认识(理解)及使用上的变化；
• 重整了部分章节，有合并有删减(因为重复)，重点调整了第8章，更清晰地区分业务连续性能力交付和管理体系的实现与维护；
• 新版标准的文本更易读和易于采用。对认证组织而言，新版本中的要求更少(从106项减少为91项)，但更有效；
• 条款8的内容已重新排序，删除了重复内容，术语被简化并且更加一致；
• 介绍性指导信息已被删除并包含到 ISO 22313 BCMS 指南文档；
• 更侧重于针对 BCMS 变更进行规划；
• 较少的规范性程序和文档要求；
• 删除了风险偏好等定义；
• 业务连续性战略更清晰地表述为“业务连续性战略与解决方案”；
• 业务连续性计划现在明确地与将应对业务中断的支持团队和人员相关联。

新版标准的转换期限为3年，截至2022年10月30日。根据IAF关于COVID-19（新冠疫情）爆发期间的FAQ，将转换过渡期延长6个月至2023年4月30日，即2023年5月1日起，所有ISO22301:2012（简称旧版标准）版认证证书均将失效，不论其证书中标识的有效期是否到期。

未完待续~