那贵昇

（北京泰瑞特认证有限责任公司 北京 朝阳 100015）

谈“业务连续性管理”在企业中的应用

那贵昇

（北京泰瑞特认证有限责任公司 北京 朝阳 100015）

业务连续性是指企业有应对风险、自我修复和快速反应的能力，从而可以保证企业业务的连续运行。当有突发事件或灾难发生后，能以最快的速度恢复业务运行和主要业务功能。随着信息化和大数据时代的到来，企业信息数据和业务安全性的要求正在逐步的提高。作为企业风险管理的重要组成部分，业务连续性管理正不断应用于各行各业的企事业单位。

业务连续性；业务影响分析；最长可接受中断时间；最小业务连续性目标；恢复点目标；恢复时间目标

1 引言

近年来越来越多的突发事件和自然灾害对单位、企业的正常营业造成了破坏和中断。如2015年天津大爆炸造成周边企业的歇业，或经常发生的水灾、雪灾、台风等自然灾害给所在地的生产生活造成巨大损失，这些灾难的发生不得不让人们对企业业务运行的连续性加以重视，从而加强管理。

业务连续性管理其实就是企业或主体组织为了解决突发事件对自身业务造成中断或其他影响，主动识别潜在威胁以及如果这些威胁真正发生对业务运行造成的影响的一整套管理过程。

2 企业建立业务连续性管理体系的必要性

业务连续性管理系列标准实施的最重要主体是企业或实体组织，企业通过业务连续性管理标准的实施和宣贯，对业务影响进行分析，识别主营业务及存在风险，并对这些风险进行评估，针对识别的风险和评估的结果制定相关策略。从而采取减小业务影响的相关措施，有针对性地做好预防和应急处理工作。业务连续性管理标准在企业的宣贯和实施，会有效地提高企业的连续性保障水平。

建立一个完备的业务连续性管理体系，是保证企业业务连续的重要手段。

3 业务连续性管理体系的建立

根据“GB/T30146-2013公共安全业务连续性管理体系要求”，建立业务连续性管理体系是一个复杂的系统工程。组织不但要有基本的管理体系要素，如文件管理、资源管理、组织结构管理等；还必须进行业务影响分析，以了解其业务中断产生的影响及造成的后果。在业务影响分析的基础上，评估可能产生的风险及这些风险对业务连续性的影响。

3.1 业务影响分析

组织通过向客户交付产品和服务来达成其目的，因此产品和服务（及相关活动）的中断时间对组织的目标和运行产生的负面影响是非常重要的。故组织应建立一个正式和文件化的业务影响分析（BIA）和风险评估过程。通过BIA和风险评估来了解组织，并确定措施以限制中断对组织的影响、缩短中断时间或减小中断的可能性。

BIA的目的是了解组织的关键产品和服务以及交付这些产品和服务的活动，为恢复活动确定优先级和时间，识别为了业务连续性和恢复有可能需要的关键资源等。

3.2 风险评估

组织应对其优先活动和支撑这些活动的过程、体系、信息、人员、资产、供应商、和其他资源中断的风险进行系统的识别、分析和评估。对组织可能的风险需要有一个具体的描述。如什么可能发生以及为什么会发生（风险识别）；可产生什么结果；它们发生的原因（可能性）是什么；是否有办法可能减缓结果或降低其可能性。

组织了解其活动所要求的资源的威胁和脆弱性，特别是那些高优先级的活动，这些风险可能来自于特定的威胁，如火灾、洪灾、电力中断、员工损伤、员工缺勤、电脑病毒和硬件故障等在一点伤中断资源或活动的事态或活动；中断事件可产生于资源的脆弱性，如单点故障、消防防护不充分、缺乏后备电力、人员配备水平不足、IT安全水平和弹性地下等等。

3.3 业务连续性策略

基于业务影响分析和风险评估的结果确定业务连续性策略，也就是从业务影响分析和风险评估的发现来识别需要采用的措施并以某种方式满足组织的业务连续性目标，该措施可能在中断事件之前、之中、之后都需要。例如：将一条生产线拆分到两个地点、安装发电机、通过缩短中断时间和降低程度来降低中断事件的总体影响。业务连续性策略的选择应遵循以下原则：保护优先活动。减少该活动的风险。稳定、连续、重启和恢复优先活动。缓解、响应及控制影响。

3.4 应急响应管理

组织应建立应急响应机制，利用对事件有职责、权限和能力的人员来建立并实施这样的机制。这个机制要做到确定相应阀值（即临界点），从而判断是否应启动正式响应；评估中断事件的性质和程度，或其可能造成的影响，制定措施来关注受影响员工的利益，启动适当的响应来应对中断事件，获得资源来支持相应机制和控制手段，响应机制宜简单，可快速形成。应急响应管理大致可分为预警和沟通、业务连续性计划和恢复。

组织应制定书面程序来恢复并将业务运行从事件发生后所采用的临时性措施返回到支撑正常的业务要求。通过修复事件造成的损害、将业务运行从临时场所转移至新建场所等措施来实现业务活动回到正常运行状态或恢复点目标。

3.5 演练规划实施管理

组织应演练和测试其业务连续性程序，以确保它们和业务连续性目标一致。演练是经过设计的一系列活动，用来检验组织面临特定的中断情景时的响应，恢复和持续有效地完成指定业务功能的能力。组织利用演练来确保业务连续性计划的有效性并做好准备。业务连续性程序在通过演练之前不能被认为是可靠的，除非其得到了及时的维护。演练对于确保充分准备好策略、方针、计划和程序并满足业务连续性目标是必不可少的，演练有助于加强团队协助、能力、自信和知识，演练最好包括那些可能或将要使用这些程序的人。

4 结语

综上所述，业务连续性管理体系的建立，能够对企业在应急管理中的预防、应急准备等环节提供相对明确、科学的技术指导，对突发事件的特点分析、影响、可选择的恢复途径、业务功能的重建、复原计划的成本及资源需求等关键技术问题给出分析方法的指导，为企事业单位的应急管理提供标准化的技术支撑。

[1]李辉.业务连续性管理从一本书开始.中国财政经济出版社，2015.

[2]张春林，陈小峰.商业银行业务连续性管理.机械工业出版社，2016.

[3]KelleyOkolita.构建企业级业务连续性规划.机械工业出版社，2015.

F272;F832.39 【文献标识码】A 【文章编号】1009-5624（2018）01-0200-02