网络安全和业务连续性管理·业务连续性问与答·Q6(上)

问题：业务连续性究竟是什么？业务连续性管理和业务连续性管理体系又究竟是什么？

简答：

1. 业务连续性是一种组织能力，业务连续性管理和业务连续性管理体系是管理业务连续性的方法；

2. 管理体系方法是一种有效的组织能力管理方法；

3. 网络安全、应急管理、安全生产也都是一种组织能力；

4. 6个BCPs(Project、Program、Policy、Planning、Procedure和Plan)。

1. 业务连续性是一种组织能力，业务连续性管理和业务连续性管理体系是管理业务连续性的方法。

业务连续性(Business Continuity，简写为BC)，在被广泛接受的ISO 22301中给出的定义(第3.3条)是：“capability of the organization to continue delivery of products or services at acceptable predefined levels following disruptive incident”(在中断事件发生后，组织在预先确定的可接受的水平上连续交付产品和服务的能力)，也就是说，业务连续性是一种组织能力(organizational capability)，是一种“结构性的、体系性的综合能力”。(至于为什么说这是一种结构性的、体系性的综合能力，可参阅本文附录：关于能力的探讨)

业务连续性管理(Business Continuity Management，简写为BCM)，在ISO 22301中给出的定义(第3.4条)是：“holistic management process that identifies potential threats to an organization and the impacts to business operations those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability of an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities”(识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来影响的一整套管理过程，该过程为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动)，也就是说，业务连续性管理是实现业务连续性的一整套管理过程，它使组织准备好处理可能妨碍实现其目标的中断事件。具体来说，业务连续性管理包括以下主要管理过程：

业务连续性管理的要素

1) (整体的)策划和控制  需要有最高管理者任命的责任人领导，对业务连续性管理进行策划和控制，这是业务连续性管理的核心；

2) 业务影响分析和风险评估 通过业务影响分析(BIA)和风险评估(RA)确定支持产品或服务的活动优先级、提升对优先活动及其从属活动的风险以及中断事件后果的理解，对这些达到一致意见将为选择合适的业务连续策略奠定基础；

3) 确定业务连续性策略 识别并评估能使业务在认可的时间范围内恢复到可接受水平的业务连续性策略，选定可行的、成本效益合适的业务连续性策略，并确立相应的资源要求；

4) 建立和执行业务连续性程序 执行业务连续性安排会建立事件响应机制、确定监测和响应事件的方法、制定业务连续性计划以及恢复到正常业务的程序。

5) 演练和测试  演练和测试帮助组织提升个人意识并发展能力，确保业务连续性和业务连续性程序是完整的、最新的和合适的，并识别机会以改进其业务连续性。

业务连续性管理体系(Business Continuity Management System，简写为BCMS)，在ISO 22301中给出的定义(第3.5条)是：“part of the overall management system that establishes, implements, operates, monitors, reviews, maintains and improves business continuity”(组织整个管理体系的一部分，用于建立、实施、运行、监视、评审、保持和改进业务连续性)；其中提到了管理体系(Management System)，国际标准化组织ISO给出的定义是：“set of interrelated or interacting elements of an organization to establish policies and objectives, and processes to achieve those objectives”(组织中相互关联或相互作用的一组要素，以此建立方针和目标以及实现这些目标的过程)。具体来说，业务连续性管理体系包含的要素包括：

1) 业务连续性方针；

2) 业务连续性组织结构，明确人员和职责；

3) 与业务连续性方针、策划、实施和运行、绩效评估、管理评审以及改进相关的管理过程；

4) 可提供审核证据的文件；

5) 任何与组织相关的BCMS过程；

6) 所需的业务连续性资源。

简而言之，业务连续性管理体系是用于管理(建立、实施、运行、监视、评审、保持和改进)业务连续性这种组织能力的一个管理体系，它包括业务连续性组织结构、方针、策划活动、职责、程序、过程和资源。

为更深入的探讨业务连续性、业务连续性管理和业务连续性管理体系之间的关系，我们简要回顾一下业务连续性管理的发展历程，如下图：

业务连续性管理的发展历程

· 20世纪70年，当时兴起的IT灾难恢复只是关注数据恢复；

· 20世纪80年代，IT灾难恢复演变为应急计划(contingency planning)，开始关注支持终端用户；

· 20世纪80年代后期，随着“业务连续性”这一概念的提出，目的是支持整个业务的业务连续性规划(BC Planning)方法出现；

· 20世纪90年代，从BCP演化为BCM，但直到进入21世纪(2000年)后，BCM才开始真正得到发展和完善；

· 在21世纪后，随着BS 25999及ISO 22301等的推动，业务连续性管理体系(BCMS)的理念逐步得到了广泛采用。

这里提到的业务连续性规划(Business Continuity Planning，简写为BCP)是一个开发优先安排和程序的过程，它使组织能够在计划级别的中断中保持关键业务功能持续运行。BCP这个过程的结果是生成业务连续性计划(Business Continuity Plan)。

我们可以看到，在“业务连续性”概念提出后，先是业务连续性规划(BC Planning)，再是业务连续性管理，然后是业务连续性管理体系；从一个管理过程，到一整套管理过程，再到管理体系(包括业务连续性组织结构、方针、策划活动、职责、程序、过程和资源)；其实，无论是貌似古老但今天仍生命力旺盛的营业中断保险，还是仍在不断演化的当代业务连续性管理方法(包括IT灾难恢复、业务连续性规划(BC Planning)、业务连续性管理和业务连续性管理体系等)，都是人们在应对运营中断风险时采用的不同管理方法。(关于此处提及的BCP，后文还将细述)

注1：为方便其见，业务连续性、业务连续性管理和业务连续性管理体系均采用ISO 22301：2012中给出的定义，其它业务连续性专业团体给出的定义大同小异，与ISO 22301基本保持一致。

注2：上文中“业务连续性管理”直接采用的对应专业术语—Business Continuity Management，但在日常特别是口语中使用时，业务连续性管理还可指“management of business continuity”，其实际含意是对业务连续性的管理，如“IT灾备、BCP也是人们为应对运营中断风险进行业务连续性管理的方法”。

2. 管理体系方法是一种有效的组织能力管理方法

“组织能力指的不是个人能力、而是一个团队(不管是10人、100人还是100万人)所发挥的整体战斗力，是一个团队(或组织)竞争力的DNA，是一个团队在某些方面能够明显超越竞争对手、为客户创造价值的能力”。

----杨国安教授 《组织能力的杨三角：企业持续成功的秘诀》

组织能力是一个组织的综合能力、整合能力，它是结构化的、体系性的综合能力，并且是一个可具化的、有要素内容的可展开的体系性能力。

多萝茜·伦纳德定义了公司可能拥有的三种能力：核心能力(Core Capabilities)，补充能力(Supplemental Capabilities)和必要能力(Enabling Capabilities)：

· 核心能力“随时间的推移而积累”，“不能轻易模仿”，因此“构成公司的竞争优势”。它们与其他类型的能力不同，并且足以优于竞争对手组织中的类似能力，以提供“可持续的竞争优势”。 这意味着核心能力是持续，长期组织学习 的产物。

· 补充能力是“为核心功能增加价值但可以模仿”的。

· 必要能力是“必要但不足以和竞争公司区分”的，换句话说，支持能力是公司必须做、支持其正常运营和核心能力的能力，但这些能力本身不是核心能力(因为它们可以被模仿，快速发展或与竞争对手没有太多不同)。支持能力与补充能力的区别在于它是必需的，但不一定能为核心功能增加价值。

当然，针对组织能力也有其它的分类方法，如战略能力(strategic capabilities)、核心能力(core capabilities)和支持能力(enabling capabilities)。

思考能力的另一种方式是，它是针对特定目的的人员、流程和技术的组合。伦纳德在分析商业能力的本质后，得出结论认为组织的核心能力“至少包括4个相互依存的维度”，如下图所示：

组织能力的4个维度

1) 物理技术系统(technical systems) - 机械，数据库，软件系统等

2) 管理系统(managerial systems) – 运营管理系统，包括技术系统的运行

3) 技能和知识(skill & knowledge base) - 维护个人和团队技能和知识的系统

4) 价值观和规范(value & norms) - 组织中行为和目标监管的系统

我们再来看看管理体系，其定义前面已提过，即“组织中相互关联或相互作用的一组要素，以此建立方针和目标以及实现这些目标的过程”。

管理体系的组成

管理体系的组成，一般是—硬件、软件、人件，也就是设备、方法、人。不同的企业，影响其管理体系的关键，有的是硬件，有的是软件，还有的是员工，这在不同企业可能是不同的。如服务业，人非常重要，而加工厂设备很重要，对自动化程度较高的装配企业，软件很重要。组织的环境，也非常重要。例如一家工厂，使用原始的方法对设备进行管理：利用手写的卡片进行管理，但是填写的非常认真和有效，虽然现在已经有更好的、更便利的方法对设备进行管理。但人家这样做，能达到自己期望的结果，就是适宜的和有效的。这就是组织所处环境的概念。没有一个固定的配方适用于所有企业，企业需根据自己的环境设计适宜的管理体系。一个组织的管理体系是否适宜、有效，与其所处的环境有关，例如玻璃杯的生产企业和提供核电的企业，他们所处的环境完全不同，管理体系的设计当然也会有差别。综合一下，管理体系的要素包括：环境、设备、方法和人。

细心的朋友可能已经注意到，组织能力的4个维度：价值观和规范、物理技术系统、管理系统、技能和知识(系统)和管理体系中的环境、设备、方法、人，形成了一一对应关系。显然，与简单的流程(如BCP)、单纯的一整套管理过程(BCM)相比，管理体系(BCMS)是更适合组织能力管理的一种方法(当然并非唯一的方法)。

进一步看，因为所处环境及核心业务的独特性，每个组织的能力都是独特的，所以目前对于组织能力主要是分类别和或维度研究。但对管理组织能力的管理体系方法已比较成熟。近几年来国际标准化组织ISO提炼了管理体系的通用要素，推动采用ISO高层级结构(ISO–High Level Structure (Annex SL))编写管理体系要求，可参阅下面的小知识：ISO高层级结构了解管理体系方法的通用要素。

小知识：ISO 高层级结构

在ISO–High Level Structure (Annex SL)推出后，多管理体系的集成变得更为容易。事实上，ISO 22301：2012是最早按照ISO Guide 83(Annex SL的前身)编写的国际标准之一。

Annex SL: 通用结构

Annex SL是ISO创建的高层级结构，用于为所有管理体系标准提供通用的高层级结构、相同的核心文本以及通用术语和定义。它的目的是使组织更容易遵从多个管理体系标准。

Annex SL的核心文本有十个高层级章节：

1. 范围：范围界定管理体系的预期结果。该结果是行业特定的，应与组织环境(第4章)相一致。

2. 规范性引用文件：提供与特定标准相关的参考标准或出版物的细节。

3. 术语和定义：通用术语和核心定义。

4. 组织环境(包含4节)：

4.1 了解组织及其环境

4.2 了解相关方的需求和期望

4.3 确定管理体系范围

4.4 管理体系

5. 领导力(包含3节)：

  5.1 领导力和承诺

  5.2 方针

  5.3 组织的角色、职责和授权

6. 策划(包含2节):

  6.1 应对风险和机会的措施

  6.2 管理体系目标和实施计划

7.支持(包含5节):

  7.1 资源

  7.2 能力

  7.3 意识

  7.4 沟通

  7.5 存档信息

8. 实施(包含1节)：

  8.1 可操作的策划和控制

9. 绩效评价(包含3节)：

  9.1 监视、测量、分析和评价

  9.2 内部审核

  9.3 管理评审

10. 改进(包含2节)

  10.1 不符合和纠正措施

  10.2 持续改进

Annex SL共有45个“应”(shall)语句”形成84项要求。在这个通用的结构化框架之外，特定标准可增加相应的要求。

当前，ISO 9001：2015，ISO 14001：2015，ISO 20000-1：2018，ISO 22000：2018，ISO 22301：2012，ISO/IEC 27001：2013，ISO 41001：2018，ISO 45001：2018，ISO 5001：2018和ISO 55001：2014等管理体系标准已按照Annex SL指定的格式编写(或修订)，这将及大的促进这些不同的管理体系集成实施，帮助组织采用“联合审核”，以(合理)有限的精力和预算投入实现合规目标。

需要注意的是，管理体系的输出很重要，即在使用管理体系方法管理组织能力时，应当以结果为关注焦点，比如人们评价一个管理体系时，不应在意具体文件有多少，设备是不是最新，演练是不是符合规划，而应更关注管理体系的输出，即管理体系结果—目标是否达成(当然不是说不关注文档、资源和演练)。

具体到对业务连续性的管理，我们应将相关方的业务连续性要求作为输入，将组织的业务连续性置于管理体系框架和原则下来建立业务连续性管理体系(BCMS)，产生满足这些要求的连续性结果(例如受控的业务连续性)，以使组织的业务连续性可控、可评估和可持续改进。

3. 网络安全、应急管理及其它

与业务连续性类似，组织中的应急管理、安全生产、网络安全也都是一种组织能力。一般情况下，这些能力都是支持能力(enabling capabilities)，但在某些情况下，某些能力也可能成为核心能力或战略能力。如当前我国互联网+发展迅猛，有些企业因为具备成熟的网络安全能力，能够利用数字化“红利”，获得了快速市场增长及竞争优势，这时网络安全就成了这些企业的核心能力。

ISACA在2009年发布了《Business Model for Information Security(BMIS)》(信息安全业务模型)，该模型基于南加州大学马歇尔商学院关键信息基础设施研究所(the University of Southern California Marshall School of Business Institute for Critical Information Infrastructure Protection)的研究成果 - 系统安全管理模型(Systemic Security Management Model)，描述了网络安全能力的组成要素，如下图：

信息安全业务模型

BMIS是一个三维模型，由4个要素和6个动态互连(DIs, dynamic interconnections)组成。它在传统的三要素(People/人员、Process/过程和Technology/技术)之外，增加了第4个关键要素—Organization/组织。BMIS认为，在一个全面和管理良好的信息安全体系中，BMIS的各要素是平衡的，如果模型的某个部分被改变，其它部分会受到影响而扭曲。

相应的动态互连DIs包括：

· 文化(Culture，组织与人的DIs)

· 治理(Governing，组织与过程的DIs)

· 架构(Architecture，组织与技术的DIs)

· 新兴(Emergence，过程与人的DIs)

· 赋能和支持(Enabling and Support，过程与技术的DIs)

· 人的因素(Human Factors，人与技术的DIs)

当然，考虑到该模型中各元素之间的复杂关联关系，我们需要明白，这些DIs并不只受到直接相连2个元素的影响，它们也可能受到非直接连接元素的间接影响。

我们可以看到 ，BMIS模型其实是一个通用的组织能力模型，它提出的4要素与伦纳德的组织能力4维度一一对应：物理技术系统-技术，管理系统-过程，技能和知识-人员，价值观和规范-组织。直观上也比较容易理解，因为装备、人员、管理流程以及组织文化这些单一要素都是无法形成“战斗力”的，组织的“战斗力”来自这4个维度的综合。BMIS模型的价值在于它用动态互连(DI)进一步精细化了通用模型。

当然，还有更精细、领域特色更强的网络安全能力分类，如网络安全成熟度模型(Cybersecurity Capability Maturity Model，C2M2)中的10个能力域，Scott Donaldson、Chris Williams和Abdul Aslam在《Enterprise Cybersecurity: How to Implement a Successful Cyberdefense Program Against Advanced Threats》中给出的网络安全能力分类(11个功能域，113项能力)等。

关于应急管理，美国应急管理署在新版国家准备目标(National Preparedness Goals)明确了5个任务域(mission areas)的32项核心能力(core capabilities)。

从组织能力出发，对网络安全、应急管理、安全生产等组织能力进行建设、实施、运行、监视、评审、保持和改进，已经被证明是一条有效并仍有待发展的方法，值得我们继续努力。

下面给出一个关于环境(ISO 14001)、职业健康与安全管理(ISO 45001)、信息安全(ISO 27001)和业务连续性(ISO 22301)等管理体系在国际标准化组织ISO的标准体系中定位的示意图，希望有助于朋友们理解这些不同组织能力的出发点：

ISO标准的定位

注3：关于网络安全成熟度模型(C2M2)以及Scott Donaldson、Chris Williams和Abdul Aslam三人提出的网络安全架构，在本公众文号文章以前曾介绍过，此处不大细讲。

4. 6个BCPs

前面讲了BC、BCM和BCMS及其关联关系，下面讲讲与业务连续性相关联的6个BCPs – BC Project、BC Program、BC Policy、BC Planning、BC Plan、BC Procedure：

BC Project - 业务连续性项目

项目是指在一定的约束条件下(主要是限定时间、限定资源)，具有明确目标的一次性任务。

业务连续性项目是指与业务连续性工作相关的一个项目，比如，可以是为通过ISO 22301管理体系认证而发起的一个管理咨询项目，也可以是一次业务连续性全员意识培训，还可以是一次全企业范围的业务影响分析。

和其它项目一样，它是“临时性”的，有明确的起点和终点。当项目目标达成时，或当项目因不会或不能达到目标而中止时，或当项目需求不复存在时，项目就结束了。如果客户(顾客、发起人或项目倡导者)希望终止项目，那么项目也可能被终止。临时间并不一定意味着项目的持续时间短，它是指项目的参与程度及其长度。项目所创造的产品、服务或成果一般不具有临时性，如编制出的应急响应和业务恢复预案。

每个项目都会创造独特的产品、服务或成果，项目的产品可以是有形或者无形的。由于项目具有独特性，所以其创造的产品、服务或成果可能存在不确定性或差异性。项目活动对项目团队成员来说可能是全新的，需要比其他例行工作进行更精心的规划。

BC Program - 业务连续性规划

业务连续性规划(BC Program，也时也写作BC Programme)，在ISO 22301中给出的定义(第3.7条)是：“ongoing management and governance process supported by top management and appropriately resourced to implement and maintain business continuity management”(由最高管理者和适当的资源所支撑的，为实施和保持业务连续性管理所进行的持续不断的管理和治理过程”。

这个“Program”(持续不断的管理和治理过程)很不直观也很难理解，但又是一个极为重要的术语，ISO 22301：2012、DRII PP1(Program Initiation and Management)、BCI GPG PP1(Policy and Programme Management)、BCMI BCMBoK 6(Program Management)、NFPA 1600：2016(Chapter 4 Program Management)及BCMPF Domain 2(Program and Project Management)都将其列出，大多数情况下，人们将其翻译为“规划”，但在ISO 22301：2012对应的国标《GB/T 30146-2013》中将其译为“方案”，它究意是什么呢?

当我们把Program和Project放在一起，从项目管理角度看待“Program”时，发现原来它就是“项目群”(也有译作“项目集”的)，即它是指经过协调统一管理以便获取单独管理时无法取得的效益和控制的一组相互联系的项目。项目群 中的项目需要共享组织的资源，需要进行项目之间的资源调配。此外，还有项目组合(Portfolio)，是项目和/或项目群 以及其他工作聚合在一起，通过有效管理 以满足业务战略目标。项目组合下面还可以有子项目组合，项目群下面也还可以有子项目群。层次结构的目的为后续各个级别的监控，度量，数据汇总提供了良好的支持。

项目群拥有一个明确的战略目标 ，组成项目群的多个项目虽然各自拥有具体目标，但总体上都是为项目群 的统一战略目标服务。由于目标的统一性，项目群中的多个项目可能同时使用同一资源，或同一资源供若干个不同项目调用。项目群管理与项目管理主要的差异在于更加关注治理和监督，聚集收益以及整合管理。

从项目管理角度来看，对业务连续性的管理本质上是围绕着组织的业务连续性进行的项目群管理，如意识、培训和演练都可以作为子项目群管理，而风险评估、业务影响风险、编制预案可以是子项目，这些业务连续性管理子项目群和子项目共同组成了业务连续性项目群管理。

同时，在业务连续性管理工作中，比起一般的项目管理而言，需要建立相应的治理和监督机制(如业务连续性方针的建立、业务连续性管理委员会、管理评审等)，需要关注每个业务连续性项目的收益(因为是项目群管理，就可以进行项目后评估)，需要关注整合管理(整合组织中的资源和RA、BIA、预案、培训、演练等多项工作，以达成业务连续性目标)。

注：如需进一步了解项目组合、项目群管理和项目管理的更多知识，可自行查阅。

BC Policy - 业务连续性方针

业务连续性方针(BC Policy)，在ISO 22301中给出的定义(第3.8条)是：“intentions and direction of an organization as formally expressed by its top management”(由组织最高管理者正式发布的意图和指导)，并指出(第5.3条)“最高管理者应建立业务连续性方针，该方针应：……为可获得的文件化信息；在组织内部传达……”

在实施不同的管理体系时，我们都已知道，“在一个管理体系的文件体系中，方针是最高层的’纲领性’文件”。那么，方针究意是什么，它解决什么问题，以及它主要包含那些内容？

简单的说，业务连续性方针是“组织最高管理者正式发布的意图和指导”。它是一份关键的文件，用来为业务连续性规划(BC Program)设定范围、治理，阐述实施该规划的原因。它为实施业务连续性规划建立环境，并明确组织追求和审核其绩效的原则。

业务连续性方针起到“承上启下”的作用，即最高管理层对业务连续性管理体系的了解和管理“到此为止”，组织中的其方相关方在业务连续性方针的“指导”下展开各项相关的业务连续性管理工作。

一般情况下，业务连续性方针可以包括：业务连续性规划的目标、范围，组织结构及其职责分配，业务连续性管理体系如何运行(如RA/BIA怎么做，谁来编制预案，演练如何规划和执行，……)的描述，以及最高管理层如何测量实际绩效并进行奖惩等。

BC Planning - 业务连续性规划

业务连续性规划(BC Planning)，与前面提到的业务连续性规划(BC Program)中文相同，但原英文并不同，故也可译为业务连续性策划。

业务连续性规划(BC Planning)是一个开发优先安排和程序的过程，它使组织能够在计划级别的中断中保持关键业务功能持续运行。业务连续性规划(BC Planning)的结果就是生成业务连续性计划(BC Plan)。

业务连续性规划(BC Planning)在“业务连续性”概念出现后很快出现，是比较早期的业务连续性管理方法，目前已经较少有人提及，但国内偶尔还能见到有外资企业的业务连续性管理团队采用总部的统一命名，自称为“BCP Team”。

BC Procedure – 业务连续性程序

程序(Procedure)，在ISO 22301中给出的定义(第3.39条)是：“specified way to carry out an activity or a process”(为进行某项活动或过程所规定的方式)。也就是说，程序是执行某一特定活动或过程(或活动和过程的一部分)所必要的特定操作方法，程序可以很多方式呈现，如工作指南、快查手册或其它详细的程序。

在ISO 22301：2012 8.4.1中，“组织应以业务影响分析中已识别的恢复目标为基础，建立、实施和保持业务连续性程序，来管理中断事件和保证活动的连续性。”程序可以形成文件，如果形成文件，则称为“书面程序”或“文件化程序”。文件化程序通常包括活动的目的和范围，做什么和谁来做；何时、何地和如何做、应使用什么材料、设备和文件，如何对活动进行控制和记录等(即5W1H)。

特别提一下，方针(Policy)为程序(Procedures)的制定提供指导。一般情况下，方针不能结构化。程序必须反映方针中所包含的业务规定(business rules)。

BC Plan - 业务连续性计划

业务连续性计划(BC Plan)，在ISO 22301中给出的定义(第3.6条)是：“documented procedures that guide organizations to respond, recovery, resume, and restore to a pre-defined level of operation following disruption”(文件化的程序，用于指导组织在中断时进行响应、恢复、重新开始和还原到预先确定的业务运行水平)。

业务连续性计划，即文件化的业务连续性程序，通常包括确保关键业务功能的连续性所需的资源、服务和活动等。

关于业务连续性计划的分类、编制和管理，我们在后续的问答中会有详细回答，此处不再深入。