2021年9月30日 · 公众号：业务连续性+

业务连续性管理核心概念的演变(二)

续上期

不同标准对BCM核心概念的理解

业务连续性管理相关的核心概念包括：业务连续性(business continuity，简写为BC)、业务连续性管理(business continuity management，简写为BCM)、业务连续性管理体系(business continuity management system，简写为BCMS)和业务连续性管理项目集(BCM programme)等，下面逐一探讨PAS 56、BS 25999、ISO/PAS 22399和ISO 22301/22313等标准对BCM核心概念的定义及理解。

2.1 PAS 56与BCM

2.1.1 PAS 56中BCM核心概念的定义

PAS 56给出了业务连续性管理(2.3 business continuity management)的定义：“识别威胁组织的潜在影响的一整套管理过程，该过程为组织建立韧性和有效响应能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动”(holistic management process that identifies potential impacts that threaten an organization and provides a framework for building resilience and the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities)。

PAS 56使用但并没有给出BC、BCM项目集和BCM生命周期(business continuity management lifecycle)的定义，其中并不区分BC和BCM的使用，如BCM方针(BCM policy)、BCM能力(BCM capability)、BCM策略(BCM strategy)等，而BCMS彼时还未在标准中出现(直到2007年BS 25999-2发布)。

2.1.2 BCM与公司治理的关系

PAS 56将公司治理(2.8 corporate governance)定义为：“要求组织的董事和高级职员履行其职责和责任(accountabilities and responsibilities)的系统，以确保建立有效的管理系统(包括财务监测和控制系统)，保护组织的资产、盈利能力和声誉”(system by which the directors and officers of an organization are required to carry out their accountabilities and responsibilities for ensuring that effective management systems, including financial monitoring and control systems, have been put in place to protect assets, earning capacity and the reputation of the organization)，并举例说，伦敦证券交易所的所有英国上市公司都必须遵守公司治理行为准则。

PAS 56指出，BCM与公司治理直接相关，是公司治理中不可或缺的一部分；它与公司治理及相关规划之间的关系，如下图2：

图2 BCM关联关系 (见PAS 56:2003之图2)

同时，PAS 56指出，BCM不只是在事件发生后采取的被动措施，而是通过跨组织多个方面的规划，建立了一个战略和运营框架，积极实现组织在供应其产品和服务时对干扰、中断或损失的韧性(该韧性和依赖技术一样依赖组织的管理层和运营人员等)。因此，组织应当实施BCM是因为它增加了价值，而不只是因为治理或监管方面的考虑。

2.1.3 BCM与危机管理和应急管理的关系

PAS 56将危机管理(2.9 crisis management)定义为：“组织用来管理事件更广泛影响的过程，直到该事件被控制或被遏制不再影响组织，或者启用BCP”(process by which an organization manages the wider impact of any incident until it is either under control or contained without impact to the organization or until the BCP is invoked)。

PAS 56指出，虽然炸弹、火灾和洪水占据了新闻头条，但大多数危机却是只影响个别组织的“静悄悄的灾难”(quiet catastrophes)。在事件的速度和规模可能压垮正常的运营和管理系统时，除非强力保护，组织的形象和声誉很快会被破坏。也就是说，这些静悄悄的灾难可能会损害组织最宝贵的资产—-它的品牌或公众形象以及声誉。而要在事件期间实现有效的危机管理和业务连续性，需要对负责人、单个现场或建筑物危机管理，以及业务危机管理进行强有力地领导和协调。相应的，组织危机能力的另一个关键方面是危机管理团队的能力。如果不能落实有效且合用的危机管理能力和团队，将使组织面临不必要的财务、信用、声誉、监管、法律、市场和运营风险。

因此，在第8条 “编制和实现BCM计划”中，PAS 56将BCM计划(BCM plans)分为：业务连续性计划(business continuity plan，BCP)，资源恢复和解决方案计划(resource recovery and solutions plan)，以及危机管理规划(crisis management planning)三个部分，其中，BCP侧重关注组织的关键业务活动(mission critical activity，即MCA)、资源恢复和解决方案计划侧重关注支持BCP和交付BCM资源恢复策略，危机管理规划侧重关注提供一个有效、量身定做、预定义和成文的框架和流程，使组织能够有效地管理事件的特定方面，可以是实体(如工作场所)损坏、非实体(如声誉或品牌)损害，或安保(如绑架或盗窃)等。

也就是说，危机管理要么管理事件更广泛的影响直到其受控，要么启用业务连续性计划。PAS 56还指出，有效的BCM已证明了保护组织形象和声誉并使组织恢复正常的能力( competence and capability )。因此，危机管理规划完全可以纳入业务连续性管理(见图2)。

PAS 56将应急响应(2.11 emergency response)定义为：“对事件的初始响应，聚焦于保护人员生命和组织资产”(initial response to any incident, focused on protecting human life and the organization＇s assets)，并在“BCM策略”和“附录B BCM评价准则”等条款中提到，BCM涉及“应急响应和疏散程序”，BCP应提供明确定义、最新宜适用于BCM的应急响应。因此，应急响应也可以纳入业务连续性管理。

2.1.4 BCM与风险管理及其它相关学科的关系

PAS 56将业务风险(2.7 business risk) [1] 定义为：“由内外部因素(如无法提供服务或产品，或对组织产品或服务的需求下降)导致意外损失的风险”(risk that internal and external factors, such as inability to provide a service or product, or a fall in demand for an organizations products or services, will result in unexpected loss)。同时，PAS 56指出，组织的组成部分应当负责并管理其自身的业务风险(business risk)，即明确了业务风险的责任归属(ownership)。

进一步，PAS 56指出，BCM应该是(should be)一种由业务所有和驱动 ( business-owned and -driven)、量身定制的活动，它统一了公共和私营部门广泛的商业和管理学科，包括危机管理、风险管理和技术恢复(而且不局限于IT灾难恢复)，如下图3：

图3 BCM统一过程(见PAS 56:2003之图1：BCM – the unifying process)

因此，在建立BCM项目集时，要采用整体性方法(holistic approach)，将风险管理、IT灾难恢复、设施管理、供应链管理、质量管理、健康与安全、知识管理、应急管理、安全管理、以及危机管理和公共关系等活动统一纳入。

2.1.5 BCM生命周期

PAS 56未给出BCM生命周期的定义，但明确指出，BCM生命周期(即BCM模型和组成部分)是一个持续循环的过程，包括：BCM项目集管理，理解业务，BCM策略，编制和实现BCM计划，建设和融入BCM文化，以及BCM演练、维护和审计共6个阶段(如下图4)，并详细描述了每个阶段的活动和成果。

图4 BCM生命周期(见PAS 56:2003之图3)

此外，需要特别提到的是，PAS 56给出了业务连续性规划(2.4 business continuity planning)的定义：“提前进行必要的规划和准备，以确定潜在损失的影响，规划和实施可行的连续性策略，以及制定连续性计划，确保发生事件时组织服务的连续性”(advance planning and preparation which is necessary to identify the impact of potential losses, to formulate and implement viable continuity strategies, and to develop continuity plan(s) which ensure continuity of organizational services in the event of an incident)，并指出其交付物是业务连续性计划(business continuity plan，简写为BCP)，即为在事件中使用而开发、编辑和维护的成文程序和信息的集合，PAS 56也是本文所述标准中唯一提及业务连续性规划的标准。作为早期用于管理业务连续性的方法，随着BCM(及随后BCMS)方法的逐渐流行，业务连续性规划(business continuity planning)开始退出历史舞台。

综合而言，PAS 56认为，BCM是面向关键业务活动(mission critical activity, MCA)的损失、中断或干扰(可进一步扩展为组织的业务风险)、统一整合危机管理、应急管理、风险管理和技术恢复等多学科活动、支撑公司治理的重要管理方法。

2.2 BS 25999与BCM

2.2.1 BS 25999中BCM核心概念的定义

与PAS 56只给出BCM定义不同的是，BS 25999给出了几乎所有BCM核心概念的定义，如BC、BCM、BCMS、BCM生命周期(lifecycle)和BCM项目集(programme)，其中BCMS在BS 25999-2:2007中是首次出现。 (因为这些术语在BS 25999-1:2006和BS 25999-2:2007中保持一致，因此下文不区分BS 25999的两个部分)

BS 25999将BCM定义为：“识别对组织的潜在威胁以及这些威胁一旦发生可能会对业务运行带来的影响的一整套管理过程，该过程为建立有效应对的组织韧性能力提供了一个框架，以保护关键相关方的利益、声誉，品牌和创造价值的活动”(holistic management process that identifies potential threats to an organization and the impacts to business operations that those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities)，并进一步解释，BCM涉及在业务干扰事件中(in the event of a business disruption)管理业务活动的恢复或连续性，以及通过培训、演练和审查(review)管理整个项目集，确保BCP保持最新。这个定义对PAS 56有修改，主要是将识别对象从“威胁组织的潜在影响”修改为“威胁组织的潜在威胁以及这些威胁一旦发生可能会对业务带来的影响”，建立的能力从“韧性和有效响应能力”修改为“有效应对的组织韧性能力”，本质上变化不大。

BS 25999将BC定义为：“为在可接受的预先确定的水平上持续业务运营，组织规划和响应事件和业务干扰的战略和战术能力”(strategic and tactical capability of the organization to plan for and respond to incidents and business disruptions in order to continue business operations at an acceptable pre-defined level)；将BCMS定义为：“整个管理体系中建立、实施、运行、监视、评审、保持和改进业务连续性的那部分”(that part of the overall management system that establishes, implements, operates, monitors, reviews, maintains and improves business continuity)，并进一步解释，管理体系包括组织架构、政策、规划活动、责任、程序、过程和资源。

BS 25999将BCM项目集定义为：“由最高管理者和适当的资源所支撑的持续的管理和治理过程，以确保采取必要的步骤来确定潜在损失的影响，维护可行的恢复策略和计划，并通过培训、演练、维护和审查确保产品和服务的连续性”(ongoing management and governance process supported by top management and appropriately resourced to ensure that the necessary steps are taken to identify the impact of potential loss, maintain viable recovery strategic and plans, and ensure continuity of products and services through training, exercising, maintenance and review)；将BCM生命周期定义为：“共同的涵盖BCM项目集所有方面和阶段的一系列的业务连续性活动”(series of business continuity activities which collectively cover all aspects and phases of the business continuity management programme)。

2.2.2 BCM与组织战略的关系

BS 25999指出，所有组织，无论大小，都有其目的和目标，如增长、提供服务和收购其他业务等。这些目的和目标通常通过实现组织短期、中期和长期目标的战略计划来达成。组织最高层对BCM的理解，将确保不会因意外干扰而危及组织的目的和目标。

事件的后果可能会有很大的不同，有的可能涉及人员伤亡、资产或收入损失，有的是无力提供组织战略、声誉甚至生存所依赖的产品和服务。因此，BCM必须认识到已知相关方对战略的重要性。此外，作为业务干扰的后果，一些新的相关方会浮现，并且可能会对损害的最终范围带来直接的影响。例如，媒体会在组织面对干扰时，施加压力。

所有这些问题都是在组织的战略层面所关心的，也就是说，BCM应当从组织战略层面来考虑。

2.2.3 BCM与风险管理的关系

BS 25999将风险管理定义为：“结构化的开发和应用管理文化、方针、程序和实践，以进行风险识别、风险分析、风险评价和控制风险的任务”(structured development and application of management culture, policy, procedures and practices to the tasks of identifying, analysing, evaluating, and controlling responding to risk)。BS 25999-2:2007明确指出，该标准是在管理组织总体业务风险(overall business risks)的背景下，考虑BCMS相关问题的。

BS 25999指出，风险管理寻求管理组织需要交付的关键产品和服务的相关风险。而产品和服务交付可能会因各种各样事件而受到干扰，其中很多事件难以预测或分析。通过集中考虑干扰的影响，BCM识别组织赖以生存的产品和服务，并能够识别组织持续履行责任的要求。通过BCM，组织可以认识到，为保护生命、资产、技术、信息、供应链、相关方和声誉，在事件发生前，需要做什么事情。因此，BCM是对风险管理框架的补充，用于了解运营或业务的风险及其后果。

有了这些认识，组织能够对干扰发生时所需要的响应采取现实的看法；从而有信心通过管理，在产品和服务交付时，不会出现不可接受的延误。

进一步，BS 25999指出，具有适当BCM措施的组织有可能抓住高风险的机会。

2.2.4 BCM生命周期

BS 25999指出，对于所有组织，不论其规模或性质：公共、私有、非盈利、教育、工厂等，BCM项目集的范围和结构可能不同，所做的工作也可根据特定组织进行调整，但基本的要素必须得到履行。BCM生命周期有6个要素组成，分别是：BCM项目集管理，理解组织，确定BC策略，制定和实施BCM响应，BCM演练、维护和评审BCM安排，以及将BCM融入组织文化，如下图5所示：

图5 BCM生命周期(见BS 25999-1:2006之图1)

综合而言，BS 25999认为，BCM是面向事件(可能或将导致业务干扰、损失、紧急情况或危机的情况)和业务干扰(考虑其影响)、从组织战略层面出发、补充风险管理并保障产品和服务交付的重要管理方法。

2.3 ISO/PAS 22399与IPOCM

2.3.1 ISO 22399中IPOCM核心概念的定义

ISO 22399的全称是，“社会安全 – 事件准备和运营连续性管理指南”(societal security – guideline for incident preparedness and operational continuity management)，其中incident preparedness and operational continuity management简写为“IPOCM”。也就是说，ISO 22399是关于IPOCM的标准，下面我们先看看OCM和OC的定义。

所谓OCM，即Operational Continuity Management(运营连续性管理)。ISO 22399提出，运营连续性(operational continuity，简写为OC)是比业务连续性(business continuity，简写为BC)更通用的术语，因为可以强调其不仅适用于营利性公司，还适用于各种性质的机构，如非政府、公益和政府组织等。ISO 22399给出了OC、OCM、OCM项目集(OCM programme)的定义。

ISO 22399将OCM(3.20 operational continuity management)定义为：“识别威胁组织的潜在影响的一整套过程，该过程为组织建立有效响应的韧性能力提供了框架，以保护关键相关方的声誉、品牌和创造价值的活动”(holistic management process that identifies potential impacts that threaten an organization and provides a framework for building resilience with the capability for an effective response that safeguards the interests for its key stakeholders, reputation, brand and value-creating activities)，并进一步解释，OCM不但涉及在业务干扰事件中(in the event of an incident)管理业务活动的恢复或连续性，还涉及通过培训、演练和审查(review)管理整个项目集，确保BCP保持最新。该定义对PAS 56中BCM的定义略有修订，只将建立的能力从“韧性和有效响应能力” (resilience and the capability for an effective response)修改为“有效响应的韧性能力”(resilience with the capability for an effective response)。

ISO 22399将OC(3.19 operational continuity)定义为：“管理层预先批准的、为在可接受的预定水平上持续运营，组织规划和应对状况、情境和事件的战略和战术能力”(strategic and tactical capability, pre-approved by management, of an organization to plan for and respond to conditions, situations and events in order to continue operations at an acceptable pre-defined level)；该定义对BS 25999中BC的定义进行了3处修订，第1处是增加了“管理层预先批准的”(pre-approved by management)，第2处是将规划和应对的对象“事件和业务干扰”(incidents and business disruptions)修订为“状况、情境和事件”(conditions, situations and events)，第3处是将“业务运营”(business operations)修订为“运营”(operations)，主要变化是将规划和应对范围扩大化。

ISO 22399将OCM项目集(3.21 operational continuity management program)定义为：“由最高管理者和资源所支撑的持续的管理和治理过程，以确保采取必要的步骤来确定潜在损失的影响，维护可行的恢复策略和计划，并通过演练、预演、测试、培训、维护和鉴证确保功能/产品/服务的连续性”(ongoing management and governance process supported by top management and resourced to ensure that the necessary steps are taken to identify the impact of potential loss, maintain viable recovery strategic and plans, and ensure continuity of functions/products/services through exercising, rehearsal, testing, training, maintenance and assurance)，这个定义是BS 25999中BCM项目集的定义只有轻微修订，基本一致。

ISO 22399将IPOCM定义为：“系统和协调的活动和实践，通过这些活动和实践，组织可以最佳地管理其风险以及相关潜在威胁和由此产生的影响”(systematic and coordinated activities and practices through which an organization optimally manages its risks, and the associated potential threats and impacts there from)。

我们再来看社会安全(societal security) [2] ，ISO 22399没有给出其定义，维基百科对其的解释是：“保护社会免受故意和非故意人类行为、自然灾害和技术故障造成的事件、紧急情况和灾难的影响，并对其做出反应”(protection of society from, and response to, incidents, emergencies and disasters caused by intentional and unintentional human acts, natural hazards, and technical failures)。

ISO 22399将事件(3.12 incident)定义为：“可能或将导致运营中断、干扰、损失、紧急状况或危机的事态”(event that might be, or could lead to, an operational interruption, disruption, loss, emergency or crisis)，将事件准备(3.14 incident preparedness)定义为：“事件发生前制定和实施的活动、计划和系统，可用于支持和加强缓解、响应干扰、灾难或紧急情况并从中恢复”(activities, programs, and systems developed and implemented prior to an incident that may be used to support and enhance mitigation of, response to, and recovery from disruption, disasters, or emergencies)。

与OCM类似，IPOCM也是识别威胁组织的潜在影响，并提供一个框架以最小化其影响的一整套管理过程。如下图6：

图6 事件和运营连续性(IPOCM)的概念(见ISO/PAS 22399:2007之图1)

2.3.2 IPOCM方案做什么

ISO 22399指出，“本指南是一个工具，允许公共或私营组织考虑为故意、非故意或自然引起的事件(干扰，紧急状况，危机或灾难)准备所需的因素和措施，使其能够应对并在事件中生存下来，并采取适当的行动帮助确保组织的持续生存能力。”

ISO 22399还指出，IPOCM方案涉及事前、事中和事后，以及组织管理的多个方面，无论是阻遏性的还是响应性的，都需要其各组成部分协调和整合，以确保信息流和行动符合逻辑、一致和协调，资源分配和使用高效、有效且可行。

按照时间顺序和功能安排，ISO 22399将IPOCM方案分为以下部分：预防和缓解方案(prevention and mitigation programs)，基于威胁和危害识别以及风险评估的结果，如果发生事故，该方案应当将影响降至最低，规划响应并实现迅速恢复；响应管理方案(response management programs)，主要关注事件响应和恢复安排，无论采用什么样的危机管理方法，都有三个通用且相互关联的管理响应步骤： ⎯⎯应急响应(emergency response),主要目的是保护生命和财产安全，管理层如何快速反应也应是组织第一响应的一部分； ⎯⎯连续性响应(continuity response)：主要目的是确保组织继续运行以实现其关键运营目标。每个运营单位都应当有专门的OCM计划，组织有一个总体OCM计划来管理每个运营单位的活动，并协调重续和恢复活动所需的资源； ⎯⎯恢复响应(recovery response)：主要目的是在考虑改进的能力和绩效的同时，分阶段恢复到正常的事件前活动水平。

ISO 22399指出，组织应对风险的目的是最大限度地减少风险的影响和减少社会损失，应当将这些作为其社会责任加以宣传和承认。当发生干扰性事件时，组织应明白，应急响应和恢复所需的资源可能是稀缺的或者分配不尽合理，因此，与其他组织合作分配人力和物质资源对于其自身的运营连续性至关重要。组织应当通过与市民、地方政府等的合作，参与生命救援和提供物资的支持活动，为社区做出积极贡献。不过，由于ISO 22399采取的是组织视角，故其在范围中明确排除了事故发生后的具体应急响应活动，如主要由公共部门根据相关立法进行的救灾和社会基础设施恢复等。但是，IPOCM中需要维护和记录对这些活动的协调。

2.3.3 IPOCM生命周期

ISO 22399提供了一套基于IPOCM最佳实践的全面控制，涵盖了IPOCM的整个生命周期。IPOCM及其持续改进的过程如下图7所示，其中，IPOCM是一个应当被持续监控和定期审查的组织框架，为组织的事件准备和运营连续性管理提供有效指导，以应对不断变化的内外部因素。组织中的所有管理层级都应当酌情承担事件准备和运营连续性改进的责任，IPOCM考量可以整合到组织的所有运营和经营决策中。

图7 IPOCM流程图(见ISO/PAS 22399:2007之图1)

ISO 22399指出，IPOCM不只是在事件发生后采取的纯粹的被动措施，而是通过跨组织多个方面的规划，建立一个战略和运营框架，积极实现组织在供应其产品和服务时对干扰、中断或损失的韧性(该韧性和依赖技术一样依赖组织的管理层和运营人员等)。因此，无论选择哪些管理模式或方法，都应采用整体方法和整套过程。

综合而言，ISO 22399认为，IPOCM面向“运营中断、干扰、损失、紧急状况或危机”，管理组织的“风险以及相关潜在威胁和由此产生的影响”，这是一个涵盖范围很广、很宽泛的管理方法，其中事件准备侧重于事件发生前的准备和预防，运营连续性管理侧重于事件发生后的响应。 (ISO 22399制定过程中参考了NFPA 1600:2000、BS 25999-1:2006、HB 221:2004、INS 24001:2007和日本工业标准委员会的工作，但它与PAS 56而不是BS 25999更接近)

2.4 ISO 22301系列标准与BCM

2.4.1 ISO 22301系列标准中BCM核心概念的定义

ISO 22301系列标准包括ISO发布的一系列关于BCMS的标准，其中与BCM核心概念相关的主要是ISO 22301、ISO 22313和ISO 22300。为讨论方便，根据发布时间不同，下面我用ISO 22301(系列)标准第1版代表ISO在2012年陆续发布的ISO 22300：2012、ISO 22301:2012和ISO 22313:2012，用ISO 22301(系列)标准第2版代表在2018年之后陆续发布的ISO 22300:2018、ISO 22301:2019、ISO 22313:2020和ISO 22300:2021。

ISO 22301标准对BCM的定义基本稳定，与PAS 56、BS 25999以及ISO 22399也一脉相承，以下是第2版中的定义：“干扰期间组织在可接受的时间范围内以预先确定的(生产/服务)能力持续交付产品和服务的能力”(capability of an organization to continue the delivery of products and services within acceptable time frames at predefined capacity during a disruption)。

ISO 22301标准对BCM的定义有重大变更，在第1版中采用了与PAS 56、BS 25999和ISO 22399基本一致的定义：“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程，该过程为组织建立有效应对能力的组织韧性提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动”(holistic management process that identifies potential threats to an organization and the impacts to business operations those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability of an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities)，在第2版中修改为：“实施和保持业务连续性的过程”(process of implementing and maintaining business continuity)。

与此同时，ISO 22301标准第2版新增了危机管理(crisis management)的定义 [3] ：“识别威胁组织的潜在影响并提供建立组织韧性框架的一整套管理过程，该过程能够有效应对并恢复运营，以保护组织关键相关方的利益、声誉、品牌和价值创造活动”(holistic management process that identifies potential impacts that threaten an organization and provides a framework for building organizational resilience, with the capability of an effective response that safeguards the interests of the organization’s key interested parties, reputation, brand and value-creating activities, as well as effectively restoring operational capabilities)，并进一步指出，危机管理还包括对准备、缓解、响应、连续性或事件发生时恢复的管理，以及通过培训、排练和评审对整个项目集进行管理，以确保准备、响应和连续性计划保持最新。显然，危机管理的定义与BCM原定义有很高的相似度。甚至可以说，BCM采用了新定义，而将原先的定义转给了危机管理。

ISO 22301标准对BCMS的定义一直没变：“组织整个管理体系中用于建立、实施、运行、监视、评审、保持和改进业务连续性的部分”(part of the overall management system that establishes, implements, operates, monitors, reviews, maintains and improves business continuity)，并进一步指出，管理体系包括组织结构、方针、规划活动、职责、程度、过程和资源。

ISO 22301标准对业务连续性项目集(business continuity programme)的定义也一直未变：“由最高管理者和适当的资源所支撑的，为实施和保持业务连续性管理所进行的持续不断的管理和治理过程”(ongoing management and governance process supported by top management and appropriately resourced to implement and maintain business continuity management)，同时指出，在ISO 22301:2019中，该术语已被业务连续性管理体系(business continuity management system)取代，即业务连续性项目集和BCMS是一回事。 (在“BCM问与答”系列文章里，我已专门论证过ISO管理体系是被ISO 定制并“IP化”的项目集管理方法，关心的朋友可去查阅相关文章，在此处不再赘述)

2.4.2 BC、BCM、BCMS的关系

ISO 22301标准指出，“业务”是一个包罗万象的术语，指的是组织在追求其目标、宗旨或使命过程中开展的运营和服务。因此，它同样适用于工业、商业、公共和非营利部门运营的大、中、小型组织。

作为“干扰期间组织在可接受的时间范围内以预先确定的(生产/服务)能力持续交付产品和服务的能力”，BC通常是特定于一个组织的，但组织很可能有它所依赖的和依赖它的外部组织，因此，在实施BC的过程中会涉及到更广泛的群体和其它第三方，并要求其他组织参与到恢复过程中。所以，业务连续性有助于构建更具韧性的社会。

ISO 22301标准指出，BCM是实施和保持业务连续性的过程，以预防损失，并为干扰做好准备、减轻和管理。BCM包括以下要素，如下面图8所示：

图8 业务连续性管理要素(见ISO 22313:2020之图5) (a) 运行的策划和控制：有效的运作策划和控制是BCM的核心，它应当由最高管理者指定的负责人领导； (b) 业务影响分析和风险评估：业务影响分析使组织能够评估活动干扰对产品和服务交付的影响，这使组织能够确定重续活动的优先顺序；而了解这此优先活动的干扰风险，使组织能够对其进行管理； (c) 业务连续性策略和解决方案：确定和评估一系列业务连续性策略，使组织能够确定解决方案以降低风险、减轻优先活动干扰的影响，并处理任何发生的干扰。选定的业务连续性解决方案可以在可接受的能力(生产和服务水平)和在议定的时间范围内重续产品和服务交付； (d) 业务连续性计划和程序：业务连续性计划和程序使组织能够根据其业务连续性要求来管理干扰并持续活动； (e) 演练项目集：演练项目集使组织能够验证已制定的解决方案、计划和程序的有效性； (f) 业务连续性文件和能力评估：组织应当评估业务连续性管理，确保其有效性，以使组织能够达成其业务连续性目标。

ISO 22301标准还指出，BCMS的目的是准备、提供和维护控制和能力，以管理组织在干扰期间继续运行的总体能力。BCMS提高了组织在干扰期间持续运营的准备水平,它还可以改进对组织内外部关系的理解，更好地与相关方沟通，并创建一个持续改进的环境。和其它管理体系类似，BCMS包括以下组成部分： (a) 方针； (b) 有明确责任、能胜任的人员； (c) 与以下相关的管理过程： (1) 方针； (2) 策划； (3) 实施和运行； (4) 绩效评价； (5) 管理评审； (6) 持续改进； (d) 支持运行控制和绩效评价的成文信息

综合而言，ISO 22301认为，BC是一种组织能力，BCM是实施和保持BC的管理过程，BCMS使组织能够控制、评估和持续改进其BC。从本质上说，BCM和BCMS都是用于管理BC的方法。比较而言，通过将BCM置于管理体系框架和原则下来建立的BCMS，可以使BCM可控、可评估和可持续改进，也可以说，BCMS是一种更成熟的管理业务连续性的方法

2.5 NFPA 1600与BCM

2.5.1 NFPA 1600中BCM核心概念的定义

NFPA 1600由NFPA制定和发布，目前最新的第8版《NFPA 1600:2019 连续性、应急和危机管理标准》(standard on continuity, emergency, and crisis Management)被批准为美国国家标准，广泛适用于公共、私营、非营利和非政府组织，也被ACP、DRII、IAEM等专业组织认可。

NFPA 1600将“业务连续性/运行连续性”(business continuity/continuity of operation)定义为：“确保采取必要步骤以确定潜在损失的影响并保持可行的连续性和恢复战略与计划的持续过程”(an ongoing process to ensure that the necessary steps are taken to identify the impacts of potential losses and maintain viable continuity and recovery strategies and plans)，并指出术语连续性(continuity)包括支持实体韧性的业务连续性/运行连续性(COOP)、运营连续性、继任规划、政府连续性(COG)。

NFPA 1600未给出BCM或运行连续性管理、BCMS和BCM项目集的定义，它并未明确区分连续性和连续性管理的使用，没有使用BCMS，但使用了BCM项目集。

2.5.2 BCM与应急管理和危机管理的关系

NFPA 1600是面向灾难、危机、应急和连续性制定的覆盖全灾种、全过程的标准。NFPA 1600指出，影响生命、健康和安全的大多数事件属于应急响应范围，业务干扰后恢复正常运营的计划是业务连续性/运行连续性的重点，而危机管理的目标是尽量减少干扰并影响危机的结果，业务连续性与应管理和危机管理的关系如下图9所示：

图9 应急、连续性和危机管理的关系(见NFPA 1600:2019之图 A.5.1.5)

综合而言，NFPA 1600认为，BCM面向可能导致中断、干扰、损失、紧急情况、灾害、或灾难并可能升级为危机的事件，重点考虑业务受到干扰后恢复正常运营的预防、减轻、响应、连续和恢复，它与应急管理、危机管理相互关联，在实际工作中应整合成一个项目集进行管理。

2.6 FFIEC BCM检查手册与BCM

2.5.1 FFIEC BCM检查手册中BCM核心概念的定义

FFIEC BCM检查手册是美国联邦金融机构检查委员会(FFIEC)信息科技检查手册(IT Handbook)系列组成分册之一，该IT手册为检查人员准备，适用于FFIEC各成员监管下的存款类金融机构、非银行金融机构、银行控股公司和第三方服务提供商。

FFIEC BCM检查手册描述了安全和稳健的IT和运营、消费者金融保护、以及遵守适用法律法规等方面的原则和实践，其中讨论了BCM治理及其相关要素，包括韧性策略和计划编制；培训和意识；演练和测试；维护和改进；向包括董事会在内的所有级别管理层的报告等内容。

FFIEC BCM检查手册将BC定义为：“组织在干扰后以可接受的预定义水平持续交付产品或服务的能力”(the capability of the organization to continue delivery of products or services at acceptable predefined levels following a disruption，该定义来自ISO 22300:2018)。FFIEC认为，业务连续性不应只关注事发后恢复行动的规划流程，它还应当包括持续维护系统以及对运营韧性的控制，需要考虑对整个组织连续性至关重要的技术、业务运营、测试以及沟通策略。进一步，业务连续性应当被纳入实体所有系统、流程和运营的风险管理生命周期中。

FFIEC BCM检查手册将BCM定义为：“管理层监督和实施韧性、连续性和响应能力以保护员工、客户以及产品和服务的流程”(the process for management to oversee and implement resilience, continuity, and response capabilities to safeguard employees, customers, and products and services)。FFIEC指出，诸如网络事件、自然灾害或人为事件之类的干扰可能会中断组织的运营，并可能对金融行业造成更广泛的影响。因此，需要超越恢复或连续性，纳入降低运营和流程总体设计中干扰性事件风险的主动措施，即把韧性纳入BCM的范围。

FFIEC BCM检查手册未使用BCMS概念，使用了BCM项目集(BCM program)但并未给出定义。

2.5.2 BCM周期及其要素

FFIEC指出，组织的BCM项目集应当与其战略目标相一致。管理层在制定业务连续性项目集时应当考虑组织在整体金融服务行业中的角色以及对整体金融服务行业的影响。FFIEC将BCM周期分为如下图10个部分(见下图)：

图10 业务连续性管理周期(见FFIEC BCM检查手册v2019之图1) (1) 监督和实施韧性、连续性和响应能力； (2) 使BCM要素与战略目标保持一致； (3) 开展业务影响分析，以确定关键功能、分析互依赖关系并评估影响； (4) 进行风险评估，以识别风险并评价干扰的可能性和影响； (5) 制定有效的策略以实现韧性和恢复目标； (6) 制定包括事件响应、灾难恢复以及危机/应急管理的业务连续性计划； (7) 为员工和其他相关方实施业务连续性培训项目； (8) 进行演练和测试，以验证程序是否支持既定目标； (9) 审查并更新业务连续性项目集，以反映当前的环境； (10) 监视和报告业务连续性和韧性活动。

FFIEC指出，BCM聚焦于操作风险因子(operational risk factors)的一个子集，其中资本和储备本身不能保护组织，BCM还涉及管理危及关键系统 [11] 的事件的可能性。BCM应当和组织的全面风险管理(Enterprise Risk Management，ERM)整合，以便识别和管理整个组织的风险。BCM可以让管理层制定战略，以有效缓解干扰性事件带来的风险。大型和系统重要性组织失败可能引发更广泛的金融混乱，管理层应当评估干扰的可能性和对组织及整体金融行业的影响。这些组织是更广泛的金融体系的关键组成部分，应当将影响金融行业的干扰情景纳入实体的BCM流程中。BCM和全面风险管理的关系如下图11所示

图11：BCM要素(见FFIEC BCM检查手册之图2)

综合而言，FFIEC认为，BC仍是“干扰后组织以可接受的预先确定的水平交付产品的能力”，但BCM已扩展到考虑(全过程的)韧性、(事中的)连续性和(事发的)响应能力，保护对象也从产品和服务扩展到包括员工、客户在内，BCP(即业务连续性计划)除了专注于事件期间和之后维持业务流程，也可纳入包括事件响应、灾难恢复以及危机或应急管理在内的计划和程序，以最大程度地减少干扰的影响。

……未完待续

本公众号 (ID: bcmplus) 专注于业务连续性管理知识的传播和普及，关注应急、连续性和危机管理的朋友可关注本公众号。

由于公众号注册时正处于腾讯政策调整，未能开通留言功能，希望交流和讨论业务连续性管理问题，或获取相关资料的朋友，可长按以下二维码加入知识星球留言和讨论(公众号1月只能发4次文章，也会有一些小观点直接在知识星球而不在公众号发布)。

PAS 56还定义了运营风险(2.22 operational risk，也作操作风险)：“信息系统或内部控制缺陷导致意外损失的风险”(risk that deficiencies in information systems of internal controls will result in unexpected loss)，并说明，该风险与人为错误、系统故障或程序和控制不当有关。PAS 56指出，BCM与运营风险有关联，但并不属于运营(操作)风险管理。 ↑ 注意，有一个相近的词social security(社会保障)，但两者意思差别很大。 ↑ 该定义在ISO 22300的2018版和2021版中略有差异，但基本一致，此处取自2021版。 ↑

原文发表于公众号”业务连续性+” | 原文链接