各类组织在发展过程中都面临着多种风险与挑战,尤其是在发生诸如公共安全、自然灾害、恶意破坏、内部缺陷等内外部突发事件时如何确保业务持续进行下去,让突发事件造成的影响最小,是每个组织都应认真对待的问题。加强对业务连续性的管理,在突发事件发生前未雨绸缪,发生后积极应对,方可减少突发事件所造成的损失,为组织的生存发展带来保障。
业务连续性管理的发展与标准
业务连续性管理(business continuity management)在《公共安全 业务连续性管理体系 要求》(GB/T 30146-2013/ISO 22301:2012)中的定义为:“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方利益、声誉、品牌和创造价值的活动。”
现代业务连续性管理的历史可以追溯到20世纪60年代,在解决计算机系统持续运行的问题时,对计算机系统单点故障采用了部件冗余、容错等措施,当时没有出现业务连续性这个明确的概念,但在增强计算机系统连续运行能力方面,相关措施已发挥了重要的作用。随着计算机系统规模的不断扩大,系统本身的脆弱性越来越大,对业务的支持作用也越来越重要,传统的以技术为主要手段保持其连续运行越来越困难。20世纪70年代对计算机系统中采用的“容灾”和“恢复计划”方法,形成了技术手段与管理手段并行以确保系统连续运行的模式,出现了业务连续性管理的理念。进入90年代后,信息技术的快速发展及业务对其依赖程度越来越高,业务连续性管理不仅仅局限于信息系统的灾难恢复服务,而是延展到了更为广泛的业务管理领域。业务连续性管理的重点不再局限于信息系统的可靠运行上,而是转移到了全面业务流程的持续保障方面,形成了包括信息技术和整个机构管理架构的系统性管理。
2003年,英国标准协会(BSI)在国际业务持续协会发布的《业务连续性管理:良好实践指南》基础上,制定了《业务连续性管理指南》(PAS 56:2003)。2006年,BSI颁布了《业务连续性管理—实施规程》(BS25999-1:2006),用于指导组织实施业务连续性管理体系,2007年BSI又颁布了可用于认证的《业务连续性管理—规范》(BS25999-2:2007),至此业务连续性管理以标准的形式在英国被正式确定下来。同一时期,其他国家如美国在2007年批准的NFPA 1600(2007版),新加坡于2008年颁布的SS 540:2008以及日本、以色列等国都发布了适用于本国的业务连续性管理标准,为各自国家的组织指明了业务连续性管理的实践和发展方向。
国际标准化组织(ISO)在英国BS 25999、美国NFPA 1600、新加坡SS 540及日本等国标准的基础上,结合各国的最佳实践经验,于2012年5月15日正式颁布了《公共会安全—业务连续性管理体系—要求》(ISO 22301:2012)。我国等同采用这一国际标准,转换为《公共会安全—业务连续性管理体系—要求》(GB/T 30146-2013/ISO 22301:2012),于2013年发布、2014年5月1日实施。ISO陆续发布的有《公共安全-业务连续性管理体系-指南》(ISO 22313:2012)、《公共安全—业务连续性管理体系—业务影响分析》(ISO/TS 22317:2015)和《公共安全—业务连续性管理体系—供应链连续性指南》(ISO/TS 22318:2015)等标准用以指导业务连续性管理的实践。目前,这些国际标准已转换为国家标准并开始实施。与业务连续性管理体系认可相关的两项标准是《合格评定 管理体系审核认证机构要求 第6部分:业务连续性管理体系审核认证能力要求》(GB/T 27021.6-2020)和《合格评定 业务连续性管理体系审核和认证机构要求》(GB/T 27422-2019),为开始业务连续性管理体系认证提出要求,将于2020年下半年开始实施。标准的发布与实施将推动我国相关组织在建立、实施业务连续性管理时与国际接轨,并通过认证认可等方式获得国际上的广泛认可。
业务连续性管理从产生到发展再到以标准的形式规范下来,经历了从最初的数据、系统保障,逐步发展到涉及风险管理、应急管理、灾难恢复管理、设备管理、供应链管理、质量管理、危机管理、知识管理、人力资源管理、安全管理、环境管理、沟通和公关等多个层面,从单一的信息部门向整个组织扩展,以保障业务连续性为重点,对业务及其支撑体系实现全方位的建设和管理。
业务连续性管理体系标准主要思想
业务连续性管理体系标准以风险管理为基础,以预防为主为主要思想,采用过程方法进行管理。
风险管理是一个组织对风险的指挥和控制的一系列协调活动,通过考虑不确定性及其对目标的影响,采取相应的措施,为组织的运营和决策及有效应对各类突发事件提供支持。风险管理过程由一系列活动组成,这些活动包括:风险识别、风险分析、风险评价和风险应对。《风险管理 原则与实施指南》(GB/T 24353-2009)参考了ISO 31000标准,统一规范了风险管理,对组织风险管理的流程与体系框架提供了规范性指导。业务连续性管理体系的风险管理是在业务影响分析的基础上,对影响业务连续性目标实现的不确定性及风险进行系统识别、分析和评价中断事件给组织带来的风险,并确定与业务连续性目标相符并与组织的风险偏好相一致的处理措施。
预防为主关注对潜在的中断加以识别并进行分析,确定对业务连续运行造成威胁的原因与后果,以便提前制定业务连续性计划加以预防、响应中断事件。任何事件,无论大小、自然的、意外的或蓄意的,都可能会使组织的运营及其交付产品和服务的能力发生严重的中断。坚持预防为主,建立预防、预警机制,将预防与应急处置有效结合,通过建立完善的业务持续计划防止或减少中断给组织带来的损失。业务持续性计划是一套基于业务运行规律的管理要求和规章流程的解决方案,用来预防或降低突发事件给关键业务功能带来的各种风险,同时作为一个灾难预防及反应机制,可使得一个组织在突发事件面前能够迅速作出反应,在指定时间内重新启动关键业务运转流程,确保关键业务功能可以持续,而不造成业务中断。只有在中断事件发生前而不发生后实施业务连续性管理,才能有效确保组织在所受影响尚未严重到不可接受之前恢复业务的运行。
组织的业务是多个过程的集合,业务连续性管理将组织的各个环节连系并统一起来,通过对风险的识别、分析和预警来帮助组织规避潜在事件的发生。依据“计划——实施——检查——改进”PDCA循环模型来策划、建立、实施、运行、监视、评审、保持和持续改进组织的业务连续性管理的有效性。这一模型与其他管理体系如质量、环境、信息安全管理体系保持一致,进而支持与相关管理体系整合后的实施与运行。
实施业务连续性管理体系标准关注的重点
GB/T 30146-2013/ISO 22301:2012标准具有广泛的适用性,适用于各种类型、规模和特性的组织或组织的一部分。实施业务连续性管理体系标准应在准确理解组织的关键产品和服务以及交付这些产品和服务的活动,以确定业务连续性管理体系的范围,分析确定范围内的各项活动所受到的威胁和这些活动之间的依赖关系,并且准确掌握如果没有恢复这些活动将会带来的影响,从而制定业务连续性管理策略、计划并加以实施,应重点关注产品或服务的形成链、价值形成链以及相关配套服务的支持链。
确定业务连续性管理体系范围
确定业务连续性管理体系的范围时就应围绕着组织为实现预期目标、目的或使命的内部和外部职责及法律和法规方面的责任,考虑相关方的需求和利益等。重点关注产品形成与价值形成所涉及的各因素,从产品或服务的设计研发、采购、生产制造、订单、销售、服务及延伸的责任(如回收处置),即产品或服务的形成链及价值形成链,并充分考虑影响产品或服务的形成及价值形成的配套的服务,如:物流、认证检测、清关、人力资源、金融信贷、税收、法规。
业务影响分析(BIA)
业务影响分析是评估一项业务活动在中断一定时间后对组织业务运营能力的影响,重点在通过业务影响分析找到需要保护的活动以及这些活动的最长可容忍中断时间(MTPD)。能够造成活动中断的事件非常多,其中许多是难以预测和分析的。由于业务连续性关注中断事件带来的影响而不是其产生的原因,所以业务影响分析时要识别出哪些是组织赖以生存的活动,确定关键活动中断会影响到哪些业务、最大的容忍时间是多少和恢复的目标。通过分析,组织要认识到在中断事件发生前需要做什么准备来保护其资源(例如人、房屋、技术和信息)、供应链、相关方以及声誉,在中断事件发生时所要采取可能需要的响应,从而能够更好地管理结果并避免造成不可接受的影响。
在生产分工高度全球化的时代,此次疫情使全球产业链和供应链循环受阻。供应链安全是业务连续性的关键,组织实施业务连续管理时,供应链的安全稳定应给予重点关注。供应链包括获取原材料、设备、工艺方法以及满足要求的人员及环境。造成供应链不安全,既有内部主观因素,也有外部客观因素。内部因素主要有:企业缺少供应链能力,纵向与横向资源整合度低,环节多、周转慢、效率低、信用差、缺人才、成本高,随时可能被挤出供应链系统;产业链不完备,缺少自主知识产权,缺少市场拓展能力,缺少战略资源与战略资本,产业集中度低;对外依存度过高,特别是高技术、高附加值产品;国内市场吸引力减弱;国家政策调整等。外部因素主要有:一些国家实施歧视性贸易、投资、技术、人才、信息管制;用国内法代替国际法,使正常经济活动中断或受阻(如对组织高管人身限制、巨额罚款);严重自然灾害以及突发性国际公共卫生事件,工厂停产,供需“断链”;网络攻击及恐怖袭击;局部战争以及地缘政治改变等。
风险评估与处置
风险评估是风险识别、风险分析和风险评价的整个过程。对于业务连续性管理来说,分析评估活动主要是对可能引发生产经营各项业务的中断事件进行风险识别、评估与管控,梳理可能引发业务中断的各类突发事件,特别是组织不可接受的业务中断事件,通过识别与分析中断对于组织的优先活动以及过程、系统、信息、人员、资产、外包方和其他支持资源所带来的风险,评价哪些中断风险需要处理,并建立相关的处理措施,以降低或避免造成业务中断的风险。
在业务影响分析和风险评估基础上,确定业务连续性策略,制定业务连续性计划,配备相应的资源,对所有相关措施在全员范围内进行培训、演练、完善、维护和实施。
对推进业务连续性管理的思考
实施业务连续性管理体系,有利于保障各类组织生存基础的核心业务,支持其战略目标,提高组织有效地、主动地控制各类风险,在中断期间保持有效的业务能力;有利于组织创造竞争优势、提高竞争力,使组织能更好地谋求发展、履行社会责任。国内实施业务连续性管理体系还在初始阶段,加大相关标准宣贯与实践,对保障社会安全、维护社会稳定、促进经济和社会发展将起到非常积极的作用。推进业务连续性管理体系可以从以下方面考虑:
一是鼓励各类型组织提高风险意识,按系统、科学的管理方法建立风险管控制度。根据不同组织业务特点,对业务链的脆弱性及可能受到威胁等风险进行识别、分析,以确定有效的预防措施规避潜在造成业务链中断事件的发生。根据薄弱点建立相应的应急措施计划,以将业务中断带来的影响降至最小。以《公共安全 业务连续性管理体系 要求》为基础建立、实施各组织业务连续性安全管理,并通过实践不断总结经验,完善标准及相关制度,形成我国业务连续性管理的制度体系。
二是发挥大型企业的在业务链中的带动作用。大型企业一般有着基于水平分工的供应链体系,产品构成复杂,供应商多,本身业务连续性存在高风险。大型企业建立、实施业务连续性管理体系的同时,引导业务链上的上下游组织建立、实施业务连续性管理体系,可以更好地保障自身业务连续性,同时也对整个行业的业务链韧性与弹性有着积极的促进作用。
三是充分发挥行业主管作用推进实施产业链安全提升。在不同类型组织提升业务链安全管理的同时,行业主管部门可充分利用信息技术,对各行业全生命周期中的脆弱性与风险进行分析,从而制定诸如关键原材料零部件的科研攻关、产业化、标准制定、合格评定程序设定、财税、贸易等政策,引导行业发展,提升产业链安全。