各類組織在發展過程中都面臨著多種風險與挑戰，尤其是在發生諸如公共安全、自然災害、惡意破壞、內部缺陷等內外部突發事件時如何確保業務持續進行下去，讓突發事件造成的影響最小，是每個組織都應認真對待的問題。加強對業務連續性的管理，在突發事件發生前未雨綢繆，發生后積極應對，方可減少突發事件所造成的損失，為組織的生存發展帶來保障。

業務連續性管理（business continuity management）在《公共安全 業務連續性管理體系 要求》（GB/T 30146-2013/ISO 22301：2012）中的定義為：“識別對組織的潛在威脅以及這些威脅一旦發生可能對業務運行帶來的影響的一整套管理過程。該過程為組織建立有效應對威脅的自我恢復能力提供了框架，以保護關鍵相關方利益、聲譽、品牌和創造價值的活動。”

現代業務連續性管理的歷史可以追溯到20世紀60年代，在解決計算機系統持續運行的問題時，對計算機系統單點故障采用了部件冗余、容錯等措施，當時沒有出現業務連續性這個明確的概念，但在增強計算機系統連續運行能力方面，相關措施已發揮了重要的作用。隨著計算機系統規模的不斷擴大，系統本身的脆弱性越來越大，對業務的支持作用也越來越重要，傳統的以技術為主要手段保持其連續運行越來越困難。20世紀70年代對計算機系統中采用的“容災”和“恢復計劃”方法，形成了技術手段與管理手段并行以確保系統連續運行的模式，出現了業務連續性管理的理念。進入90年代后，信息技術的快速發展及業務對其依賴程度越來越高，業務連續性管理不僅僅局限于信息系統的災難恢復服務，而是延展到了更為廣泛的業務管理領域。業務連續性管理的重點不再局限于信息系統的可靠運行上，而是轉移到了全面業務流程的持續保障方面，形成了包括信息技術和整個機構管理架構的系統性管理。

2003年，英國標準協會（BSI）在國際業務持續協會發布的《業務連續性管理：良好實踐指南》基礎上，制定了《業務連續性管理指南》（PAS 56：2003）。2006年，BSI頒布了《業務連續性管理—實施規程》（BS25999-1：2006），用于指導組織實施業務連續性管理體系，2007年BSI又頒布了可用于認證的《業務連續性管理—規范》（BS25999-2：2007），至此業務連續性管理以標準的形式在英國被正式確定下來。同一時期，其他國家如美國在2007年批準的NFPA 1600（2007版），新加坡于2008年頒布的SS 540：2008以及日本、以色列等國都發布了適用于本國的業務連續性管理標準，為各自國家的組織指明了業務連續性管理的實踐和發展方向。

國際標準化組織（ISO）在英國BS 25999、美國NFPA 1600、新加坡SS 540及日本等國標準的基礎上，結合各國的最佳實踐經驗，于2012年5月15日正式頒布了《公共會安全—業務連續性管理體系—要求》（ISO 22301：2012）。我國等同采用這一國際標準，轉換為《公共會安全—業務連續性管理體系—要求》（GB/T 30146-2013/ISO 22301：2012），于2013年發布、2014年5月1日實施。ISO陸續發布的有《公共安全-業務連續性管理體系-指南》（ISO 22313：2012）、《公共安全—業務連續性管理體系—業務影響分析》（ISO/TS 22317：2015）和《公共安全—業務連續性管理體系—供應鏈連續性指南》（ISO/TS 22318：2015）等標準用以指導業務連續性管理的實踐。目前，這些國際標準已轉換為國家標準并開始實施。與業務連續性管理體系認可相關的兩項標準是《合格評定  管理體系審核認證機構要求  第6部分：業務連續性管理體系審核認證能力要求》（GB/T 27021.6-2020）和《合格評定 業務連續性管理體系審核和認證機構要求》（GB/T 27422-2019），為開始業務連續性管理體系認證提出要求，將于2023年下半年開始實施。標準的發布與實施將推動我國相關組織在建立、實施業務連續性管理時與國際接軌，并通過認證認可等方式獲得國際上的廣泛認可。

業務連續性管理從產生到發展再到以標準的形式規范下來，經歷了從最初的數據、系統保障，逐步發展到涉及風險管理、應急管理、災難恢復管理、設備管理、供應鏈管理、質量管理、危機管理、知識管理、人力資源管理、安全管理、環境管理、溝通和公關等多個層面，從單一的信息部門向整個組織擴展，以保障業務連續性為重點，對業務及其支撐體系實現全方位的建設和管理。

業務連續性管理體系標準以風險管理為基礎，以預防為主為主要思想，采用過程方法進行管理。

風險管理是一個組織對風險的指揮和控制的一系列協調活動，通過考慮不確定性及其對目標的影響，采取相應的措施，為組織的運營和決策及有效應對各類突發事件提供支持。風險管理過程由一系列活動組成，這些活動包括：風險識別、風險分析、風險評價和風險應對。《風險管理 原則與實施指南》（GB/T 24353-2009）參考了ISO 31000標準，統一規范了風險管理，對組織風險管理的流程與體系框架提供了規范性指導。業務連續性管理體系的風險管理是在業務影響分析的基礎上，對影響業務連續性目標實現的不確定性及風險進行系統識別、分析和評價中斷事件給組織帶來的風險，并確定與業務連續性目標相符并與組織的風險偏好相一致的處理措施。

預防為主關注對潛在的中斷加以識別并進行分析，確定對業務連續運行造成威脅的原因與后果，以便提前制定業務連續性計劃加以預防、響應中斷事件。任何事件，無論大小、自然的、意外的或蓄意的，都可能會使組織的運營及其交付產品和服務的能力發生嚴重的中斷。堅持預防為主，建立預防、預警機制，將預防與應急處置有效結合，通過建立完善的業務持續計劃防止或減少中斷給組織帶來的損失。業務持續性計劃是一套基于業務運行規律的管理要求和規章流程的解決方案，用來預防或降低突發事件給關鍵業務功能帶來的各種風險，同時作為一個災難預防及反應機制，可使得一個組織在突發事件面前能夠迅速作出反應，在指定時間內重新啟動關鍵業務運轉流程，確保關鍵業務功能可以持續，而不造成業務中斷。只有在中斷事件發生前而不發生后實施業務連續性管理，才能有效確保組織在所受影響尚未嚴重到不可接受之前恢復業務的運行。

組織的業務是多個過程的集合，業務連續性管理將組織的各個環節連系并統一起來，通過對風險的識別、分析和預警來幫助組織規避潛在事件的發生。依據“計劃——實施——檢查——改進”PDCA循環模型來策劃、建立、實施、運行、監視、評審、保持和持續改進組織的業務連續性管理的有效性。這一模型與其他管理體系如質量、環境、信息安全管理體系保持一致，進而支持與相關管理體系整合后的實施與運行。

GB/T 30146-2013/ISO 22301：2012標準具有廣泛的適用性，適用于各種類型、規模和特性的組織或組織的一部分。實施業務連續性管理體系標準應在準確理解組織的關鍵產品和服務以及交付這些產品和服務的活動，以確定業務連續性管理體系的范圍，分析確定范圍內的各項活動所受到的威脅和這些活動之間的依賴關系，并且準確掌握如果沒有恢復這些活動將會帶來的影響，從而制定業務連續性管理策略、計劃并加以實施，應重點關注產品或服務的形成鏈、價值形成鏈以及相關配套服務的支持鏈。

確定業務連續性管理體系的范圍時就應圍繞著組織為實現預期目標、目的或使命的內部和外部職責及法律和法規方面的責任，考慮相關方的需求和利益等。重點關注產品形成與價值形成所涉及的各因素，從產品或服務的設計研發、采購、生產制造、訂單、銷售、服務及延伸的責任（如回收處置），即產品或服務的形成鏈及價值形成鏈，并充分考慮影響產品或服務的形成及價值形成的配套的服務，如：物流、認證檢測、清關、人力資源、金融信貸、稅收、法規。

業務影響分析是評估一項業務活動在中斷一定時間后對組織業務運營能力的影響，重點在通過業務影響分析找到需要保護的活動以及這些活動的最長可容忍中斷時間(MTPD)。能夠造成活動中斷的事件非常多，其中許多是難以預測和分析的。由于業務連續性關注中斷事件帶來的影響而不是其產生的原因，所以業務影響分析時要識別出哪些是組織賴以生存的活動，確定關鍵活動中斷會影響到哪些業務、最大的容忍時間是多少和恢復的目標。通過分析，組織要認識到在中斷事件發生前需要做什么準備來保護其資源（例如人、房屋、技術和信息）、供應鏈、相關方以及聲譽，在中斷事件發生時所要采取可能需要的響應，從而能夠更好地管理結果并避免造成不可接受的影響。

在生產分工高度全球化的時代，此次疫情使全球產業鏈和供應鏈循環受阻。供應鏈安全是業務連續性的關鍵，組織實施業務連續管理時，供應鏈的安全穩定應給予重點關注。供應鏈包括獲取原材料、設備、工藝方法以及滿足要求的人員及環境。造成供應鏈不安全，既有內部主觀因素，也有外部客觀因素。內部因素主要有：企業缺少供應鏈能力，縱向與橫向資源整合度低，環節多、周轉慢、效率低、信用差、缺人才、成本高，隨時可能被擠出供應鏈系統；產業鏈不完備，缺少自主知識產權，缺少市場拓展能力，缺少戰略資源與戰略資本，產業集中度低；對外依存度過高，特別是高技術、高附加值產品；國內市場吸引力減弱；國家政策調整等。外部因素主要有：一些國家實施歧視性貿易、投資、技術、人才、信息管制；用國內法代替國際法，使正常經濟活動中斷或受阻（如對組織高管人身限制、巨額罰款）；嚴重自然災害以及突發性國際公共衛生事件，工廠停產，供需“斷鏈”；網絡攻擊及恐怖襲擊；局部戰爭以及地緣政治改變等。

風險評估是風險識別、風險分析和風險評價的整個過程。對于業務連續性管理來說，分析評估活動主要是對可能引發生產經營各項業務的中斷事件進行風險識別、評估與管控，梳理可能引發業務中斷的各類突發事件，特別是組織不可接受的業務中斷事件，通過識別與分析中斷對于組織的優先活動以及過程、系統、信息、人員、資產、外包方和其他支持資源所帶來的風險，評價哪些中斷風險需要處理，并建立相關的處理措施，以降低或避免造成業務中斷的風險。

在業務影響分析和風險評估基礎上，確定業務連續性策略，制定業務連續性計劃，配備相應的資源，對所有相關措施在全員范圍內進行培訓、演練、完善、維護和實施。

實施業務連續性管理體系，有利于保障各類組織生存基礎的核心業務，支持其戰略目標，提高組織有效地、主動地控制各類風險，在中斷期間保持有效的業務能力；有利于組織創造競爭優勢、提高競爭力，使組織能更好地謀求發展、履行社會責任。國內實施業務連續性管理體系還在初始階段，加大相關標準宣貫與實踐，對保障社會安全、維護社會穩定、促進經濟和社會發展將起到非常積極的作用。推進業務連續性管理體系可以從以下方面考慮：

一是鼓勵各類型組織提高風險意識，按系統、科學的管理方法建立風險管控制度。根據不同組織業務特點，對業務鏈的脆弱性及可能受到威脅等風險進行識別、分析，以確定有效的預防措施規避潛在造成業務鏈中斷事件的發生。根據薄弱點建立相應的應急措施計劃，以將業務中斷帶來的影響降至最小。以《公共安全 業務連續性管理體系 要求》為基礎建立、實施各組織業務連續性安全管理，并通過實踐不斷總結經驗，完善標準及相關制度，形成我國業務連續性管理的制度體系。

二是發揮大型企業的在業務鏈中的帶動作用。大型企業一般有著基于水平分工的供應鏈體系，產品構成復雜，供應商多，本身業務連續性存在高風險。大型企業建立、實施業務連續性管理體系的同時，引導業務鏈上的上下游組織建立、實施業務連續性管理體系，可以更好地保障自身業務連續性，同時也對整個行業的業務鏈韌性與彈性有著積極的促進作用。

三是充分發揮行業主管作用推進實施產業鏈安全提升。在不同類型組織提升業務鏈安全管理的同時，行業主管部門可充分利用信息技術，對各行業全生命周期中的脆弱性與風險進行分析，從而制定諸如關鍵原材料零部件的科研攻關、產業化、標準制定、合格評定程序設定、財稅、貿易等政策，引導行業發展，提升產業鏈安全。