各類組織在發(fā)展過程中都面臨著多種風險與挑戰(zhàn)，尤其是在發(fā)生諸如公共安全、自然災害、惡意破壞、內(nèi)部缺陷等內(nèi)外部突發(fā)事件時如何確保業(yè)務持續(xù)進行下去，讓突發(fā)事件造成的影響最小，是每個組織都應認真對待的問題。加強對業(yè)務連續(xù)性的管理，在突發(fā)事件發(fā)生前未雨綢繆，發(fā)生后積極應對，方可減少突發(fā)事件所造成的損失，為組織的生存發(fā)展帶來保障。

業(yè)務連續(xù)性管理（business continuity management）在《公共安全 業(yè)務連續(xù)性管理體系 要求》（GB/T 30146-2013/ISO 22301：2012）中的定義為：“識別對組織的潛在威脅以及這些威脅一旦發(fā)生可能對業(yè)務運行帶來的影響的一整套管理過程。該過程為組織建立有效應對威脅的自我恢復能力提供了框架，以保護關鍵相關方利益、聲譽、品牌和創(chuàng)造價值的活動。”

現(xiàn)代業(yè)務連續(xù)性管理的歷史可以追溯到20世紀60年代，在解決計算機系統(tǒng)持續(xù)運行的問題時，對計算機系統(tǒng)單點故障采用了部件冗余、容錯等措施，當時沒有出現(xiàn)業(yè)務連續(xù)性這個明確的概念，但在增強計算機系統(tǒng)連續(xù)運行能力方面，相關措施已發(fā)揮了重要的作用。隨著計算機系統(tǒng)規(guī)模的不斷擴大，系統(tǒng)本身的脆弱性越來越大，對業(yè)務的支持作用也越來越重要，傳統(tǒng)的以技術為主要手段保持其連續(xù)運行越來越困難。20世紀70年代對計算機系統(tǒng)中采用的“容災”和“恢復計劃”方法，形成了技術手段與管理手段并行以確保系統(tǒng)連續(xù)運行的模式，出現(xiàn)了業(yè)務連續(xù)性管理的理念。進入90年代后，信息技術的快速發(fā)展及業(yè)務對其依賴程度越來越高，業(yè)務連續(xù)性管理不僅僅局限于信息系統(tǒng)的災難恢復服務，而是延展到了更為廣泛的業(yè)務管理領域。業(yè)務連續(xù)性管理的重點不再局限于信息系統(tǒng)的可靠運行上，而是轉移到了全面業(yè)務流程的持續(xù)保障方面，形成了包括信息技術和整個機構管理架構的系統(tǒng)性管理。

2003年，英國標準協(xié)會（BSI）在國際業(yè)務持續(xù)協(xié)會發(fā)布的《業(yè)務連續(xù)性管理：良好實踐指南》基礎上，制定了《業(yè)務連續(xù)性管理指南》（PAS 56：2003）。2006年，BSI頒布了《業(yè)務連續(xù)性管理—實施規(guī)程》（BS25999-1：2006），用于指導組織實施業(yè)務連續(xù)性管理體系，2007年BSI又頒布了可用于認證的《業(yè)務連續(xù)性管理—規(guī)范》（BS25999-2：2007），至此業(yè)務連續(xù)性管理以標準的形式在英國被正式確定下來。同一時期，其他國家如美國在2007年批準的NFPA 1600（2007版），新加坡于2008年頒布的SS 540：2008以及日本、以色列等國都發(fā)布了適用于本國的業(yè)務連續(xù)性管理標準，為各自國家的組織指明了業(yè)務連續(xù)性管理的實踐和發(fā)展方向。

國際標準化組織（ISO）在英國BS 25999、美國NFPA 1600、新加坡SS 540及日本等國標準的基礎上，結合各國的最佳實踐經(jīng)驗，于2012年5月15日正式頒布了《公共會安全—業(yè)務連續(xù)性管理體系—要求》（ISO 22301：2012）。我國等同采用這一國際標準，轉換為《公共會安全—業(yè)務連續(xù)性管理體系—要求》（GB/T 30146-2013/ISO 22301：2012），于2013年發(fā)布、2014年5月1日實施。ISO陸續(xù)發(fā)布的有《公共安全-業(yè)務連續(xù)性管理體系-指南》（ISO 22313：2012）、《公共安全—業(yè)務連續(xù)性管理體系—業(yè)務影響分析》（ISO/TS 22317：2015）和《公共安全—業(yè)務連續(xù)性管理體系—供應鏈連續(xù)性指南》（ISO/TS 22318：2015）等標準用以指導業(yè)務連續(xù)性管理的實踐。目前，這些國際標準已轉換為國家標準并開始實施。與業(yè)務連續(xù)性管理體系認可相關的兩項標準是《合格評定  管理體系審核認證機構要求  第6部分：業(yè)務連續(xù)性管理體系審核認證能力要求》（GB/T 27021.6-2020）和《合格評定 業(yè)務連續(xù)性管理體系審核和認證機構要求》（GB/T 27422-2019），為開始業(yè)務連續(xù)性管理體系認證提出要求，將于2023年下半年開始實施。標準的發(fā)布與實施將推動我國相關組織在建立、實施業(yè)務連續(xù)性管理時與國際接軌，并通過認證認可等方式獲得國際上的廣泛認可。

業(yè)務連續(xù)性管理從產(chǎn)生到發(fā)展再到以標準的形式規(guī)范下來，經(jīng)歷了從最初的數(shù)據(jù)、系統(tǒng)保障，逐步發(fā)展到涉及風險管理、應急管理、災難恢復管理、設備管理、供應鏈管理、質量管理、危機管理、知識管理、人力資源管理、安全管理、環(huán)境管理、溝通和公關等多個層面，從單一的信息部門向整個組織擴展，以保障業(yè)務連續(xù)性為重點，對業(yè)務及其支撐體系實現(xiàn)全方位的建設和管理。

業(yè)務連續(xù)性管理體系標準以風險管理為基礎，以預防為主為主要思想，采用過程方法進行管理。

風險管理是一個組織對風險的指揮和控制的一系列協(xié)調(diào)活動，通過考慮不確定性及其對目標的影響，采取相應的措施，為組織的運營和決策及有效應對各類突發(fā)事件提供支持。風險管理過程由一系列活動組成，這些活動包括：風險識別、風險分析、風險評價和風險應對?！讹L險管理 原則與實施指南》（GB/T 24353-2009）參考了ISO 31000標準，統(tǒng)一規(guī)范了風險管理，對組織風險管理的流程與體系框架提供了規(guī)范性指導。業(yè)務連續(xù)性管理體系的風險管理是在業(yè)務影響分析的基礎上，對影響業(yè)務連續(xù)性目標實現(xiàn)的不確定性及風險進行系統(tǒng)識別、分析和評價中斷事件給組織帶來的風險，并確定與業(yè)務連續(xù)性目標相符并與組織的風險偏好相一致的處理措施。

預防為主關注對潛在的中斷加以識別并進行分析，確定對業(yè)務連續(xù)運行造成威脅的原因與后果，以便提前制定業(yè)務連續(xù)性計劃加以預防、響應中斷事件。任何事件，無論大小、自然的、意外的或蓄意的，都可能會使組織的運營及其交付產(chǎn)品和服務的能力發(fā)生嚴重的中斷。堅持預防為主，建立預防、預警機制，將預防與應急處置有效結合，通過建立完善的業(yè)務持續(xù)計劃防止或減少中斷給組織帶來的損失。業(yè)務持續(xù)性計劃是一套基于業(yè)務運行規(guī)律的管理要求和規(guī)章流程的解決方案，用來預防或降低突發(fā)事件給關鍵業(yè)務功能帶來的各種風險，同時作為一個災難預防及反應機制，可使得一個組織在突發(fā)事件面前能夠迅速作出反應，在指定時間內(nèi)重新啟動關鍵業(yè)務運轉流程，確保關鍵業(yè)務功能可以持續(xù)，而不造成業(yè)務中斷。只有在中斷事件發(fā)生前而不發(fā)生后實施業(yè)務連續(xù)性管理，才能有效確保組織在所受影響尚未嚴重到不可接受之前恢復業(yè)務的運行。

組織的業(yè)務是多個過程的集合，業(yè)務連續(xù)性管理將組織的各個環(huán)節(jié)連系并統(tǒng)一起來，通過對風險的識別、分析和預警來幫助組織規(guī)避潛在事件的發(fā)生。依據(jù)“計劃——實施——檢查——改進”PDCA循環(huán)模型來策劃、建立、實施、運行、監(jiān)視、評審、保持和持續(xù)改進組織的業(yè)務連續(xù)性管理的有效性。這一模型與其他管理體系如質量、環(huán)境、信息安全管理體系保持一致，進而支持與相關管理體系整合后的實施與運行。

GB/T 30146-2013/ISO 22301：2012標準具有廣泛的適用性，適用于各種類型、規(guī)模和特性的組織或組織的一部分。實施業(yè)務連續(xù)性管理體系標準應在準確理解組織的關鍵產(chǎn)品和服務以及交付這些產(chǎn)品和服務的活動，以確定業(yè)務連續(xù)性管理體系的范圍，分析確定范圍內(nèi)的各項活動所受到的威脅和這些活動之間的依賴關系，并且準確掌握如果沒有恢復這些活動將會帶來的影響，從而制定業(yè)務連續(xù)性管理策略、計劃并加以實施，應重點關注產(chǎn)品或服務的形成鏈、價值形成鏈以及相關配套服務的支持鏈。

確定業(yè)務連續(xù)性管理體系的范圍時就應圍繞著組織為實現(xiàn)預期目標、目的或使命的內(nèi)部和外部職責及法律和法規(guī)方面的責任，考慮相關方的需求和利益等。重點關注產(chǎn)品形成與價值形成所涉及的各因素，從產(chǎn)品或服務的設計研發(fā)、采購、生產(chǎn)制造、訂單、銷售、服務及延伸的責任（如回收處置），即產(chǎn)品或服務的形成鏈及價值形成鏈，并充分考慮影響產(chǎn)品或服務的形成及價值形成的配套的服務，如：物流、認證檢測、清關、人力資源、金融信貸、稅收、法規(guī)。

業(yè)務影響分析是評估一項業(yè)務活動在中斷一定時間后對組織業(yè)務運營能力的影響，重點在通過業(yè)務影響分析找到需要保護的活動以及這些活動的最長可容忍中斷時間(MTPD)。能夠造成活動中斷的事件非常多，其中許多是難以預測和分析的。由于業(yè)務連續(xù)性關注中斷事件帶來的影響而不是其產(chǎn)生的原因，所以業(yè)務影響分析時要識別出哪些是組織賴以生存的活動，確定關鍵活動中斷會影響到哪些業(yè)務、最大的容忍時間是多少和恢復的目標。通過分析，組織要認識到在中斷事件發(fā)生前需要做什么準備來保護其資源（例如人、房屋、技術和信息）、供應鏈、相關方以及聲譽，在中斷事件發(fā)生時所要采取可能需要的響應，從而能夠更好地管理結果并避免造成不可接受的影響。

在生產(chǎn)分工高度全球化的時代，此次疫情使全球產(chǎn)業(yè)鏈和供應鏈循環(huán)受阻。供應鏈安全是業(yè)務連續(xù)性的關鍵，組織實施業(yè)務連續(xù)管理時，供應鏈的安全穩(wěn)定應給予重點關注。供應鏈包括獲取原材料、設備、工藝方法以及滿足要求的人員及環(huán)境。造成供應鏈不安全，既有內(nèi)部主觀因素，也有外部客觀因素。內(nèi)部因素主要有：企業(yè)缺少供應鏈能力，縱向與橫向資源整合度低，環(huán)節(jié)多、周轉慢、效率低、信用差、缺人才、成本高，隨時可能被擠出供應鏈系統(tǒng)；產(chǎn)業(yè)鏈不完備，缺少自主知識產(chǎn)權，缺少市場拓展能力，缺少戰(zhàn)略資源與戰(zhàn)略資本，產(chǎn)業(yè)集中度低；對外依存度過高，特別是高技術、高附加值產(chǎn)品；國內(nèi)市場吸引力減弱；國家政策調(diào)整等。外部因素主要有：一些國家實施歧視性貿(mào)易、投資、技術、人才、信息管制；用國內(nèi)法代替國際法，使正常經(jīng)濟活動中斷或受阻（如對組織高管人身限制、巨額罰款）；嚴重自然災害以及突發(fā)性國際公共衛(wèi)生事件，工廠停產(chǎn)，供需“斷鏈”；網(wǎng)絡攻擊及恐怖襲擊；局部戰(zhàn)爭以及地緣政治改變等。

風險評估是風險識別、風險分析和風險評價的整個過程。對于業(yè)務連續(xù)性管理來說，分析評估活動主要是對可能引發(fā)生產(chǎn)經(jīng)營各項業(yè)務的中斷事件進行風險識別、評估與管控，梳理可能引發(fā)業(yè)務中斷的各類突發(fā)事件，特別是組織不可接受的業(yè)務中斷事件，通過識別與分析中斷對于組織的優(yōu)先活動以及過程、系統(tǒng)、信息、人員、資產(chǎn)、外包方和其他支持資源所帶來的風險，評價哪些中斷風險需要處理，并建立相關的處理措施，以降低或避免造成業(yè)務中斷的風險。

在業(yè)務影響分析和風險評估基礎上，確定業(yè)務連續(xù)性策略，制定業(yè)務連續(xù)性計劃，配備相應的資源，對所有相關措施在全員范圍內(nèi)進行培訓、演練、完善、維護和實施。

實施業(yè)務連續(xù)性管理體系，有利于保障各類組織生存基礎的核心業(yè)務，支持其戰(zhàn)略目標，提高組織有效地、主動地控制各類風險，在中斷期間保持有效的業(yè)務能力；有利于組織創(chuàng)造競爭優(yōu)勢、提高競爭力，使組織能更好地謀求發(fā)展、履行社會責任。國內(nèi)實施業(yè)務連續(xù)性管理體系還在初始階段，加大相關標準宣貫與實踐，對保障社會安全、維護社會穩(wěn)定、促進經(jīng)濟和社會發(fā)展將起到非常積極的作用。推進業(yè)務連續(xù)性管理體系可以從以下方面考慮：

一是鼓勵各類型組織提高風險意識，按系統(tǒng)、科學的管理方法建立風險管控制度。根據(jù)不同組織業(yè)務特點，對業(yè)務鏈的脆弱性及可能受到威脅等風險進行識別、分析，以確定有效的預防措施規(guī)避潛在造成業(yè)務鏈中斷事件的發(fā)生。根據(jù)薄弱點建立相應的應急措施計劃，以將業(yè)務中斷帶來的影響降至最小。以《公共安全 業(yè)務連續(xù)性管理體系 要求》為基礎建立、實施各組織業(yè)務連續(xù)性安全管理，并通過實踐不斷總結經(jīng)驗，完善標準及相關制度，形成我國業(yè)務連續(xù)性管理的制度體系。

二是發(fā)揮大型企業(yè)的在業(yè)務鏈中的帶動作用。大型企業(yè)一般有著基于水平分工的供應鏈體系，產(chǎn)品構成復雜，供應商多，本身業(yè)務連續(xù)性存在高風險。大型企業(yè)建立、實施業(yè)務連續(xù)性管理體系的同時，引導業(yè)務鏈上的上下游組織建立、實施業(yè)務連續(xù)性管理體系，可以更好地保障自身業(yè)務連續(xù)性，同時也對整個行業(yè)的業(yè)務鏈韌性與彈性有著積極的促進作用。

三是充分發(fā)揮行業(yè)主管作用推進實施產(chǎn)業(yè)鏈安全提升。在不同類型組織提升業(yè)務鏈安全管理的同時，行業(yè)主管部門可充分利用信息技術，對各行業(yè)全生命周期中的脆弱性與風險進行分析，從而制定諸如關鍵原材料零部件的科研攻關、產(chǎn)業(yè)化、標準制定、合格評定程序設定、財稅、貿(mào)易等政策，引導行業(yè)發(fā)展，提升產(chǎn)業(yè)鏈安全。