业务连续性管理核心概念的演变(一)
概念是人类思维的基本形式,是人们在认识事物的过程中,通过观察、分析、推理等思维形式,把客观事物的本质属性加以抽象概括而形成的;而术语是特定专业领域内用来表达一个概念的语言形式,它与概念同时产生与消失。概念是术语生成的基础,术语是概念的载体,两者之间的桥梁是定义。
业务连续性管理行业在过去三、四十年中不断发展,从最初关注信息技术的停电“灾难”逐步扩展到试图解决关键业务运营问题。随着行业的快速发展,从业者对业务连续性管理的认识也在不断变化。事实上,不同年代、不同领域进入业务连续性管理的从业者对业务连续性管理的认识存在很大不同,这造成从业者沟通交流上的困难和混乱,已影响到行业内的相互借鉴和学习进步。
标准通常汇聚了参与制定者的普遍共识,能反映出一个行业的发展进程。ISO 22301系列国际标准给出了主要的业务连续性管理术语定义,并已获得了各国标准化组织的积极采用和主要业务连续性管理专业团体的广泛认同。下面我们从业务连续性管理及相关标准的发展过程、主要术语定义的变化入手,梳理业务连续性管理核心概念的发展和演化,共同探讨对业务连续性管理核心概念的认识和共识,主要内容分为3个部分: (一) 业务连续性管理及相关标准的发展概况; (二) 不同标准对业务连续性管理概念的理解; (三) 业务连续性管理核心概念的发展和变化。
一、业务连续性管理及相关标准的发展概况
1.1 业务连续性管理的起源与发展
随着20世纪70年代末,商业灾难恢复方案在美国兴起,IT灾难恢复的第三方咨询服务应运而生。为说服甲方的高层管理人员在可能永远不会发生的事情上进行重大投资,一些天才的咨询顾问创造出了“业务影响分析”(business impact analysis)概念,以吸引管理层的关注。
20世纪80年代中期,BIA方法在美国得到应用,并很快传入欧洲和澳大利亚。1986年,Ron Ginn首次使用“业务连续性”(business continuity)一词,并在1989年出版的《Continuity Planning》中将IT DRP的方法应用推广到业务风险和潜在运营中断的处置中,从这时起,,业务连续性管理已开始从IT灾难恢复中独立出来。
随着业务连续性管理的快速发展,为满足经验交流和知识学习的需求,并使业务连续性管理专业人员与其它IT咨询顾问区分开来,1988年,美国的国际灾难恢复协会(Disaster Recovery Institute International,即DRII)从业内热门期刊《灾难恢复杂志》(The Disaster Recovery Journal)独立出来,提供培训和认证。同年,英国组织“Survive!”工作组成立,随后发展成为培训、活动和出版的商业提供商。1994年,在“Survive!”建议下,国际业务持续协会(Business Continuity Institute,即BCI)成立。
“9.11”事件是业务连续性管理发展的重要里程碑。在付出沉重的代价后,人们认识到IT灾难恢复和业务连续性管理的重要性。这种重大灾难事件一旦发生,整个区域的组织都会受到严重打击,不仅组织自身,与其关系紧密的上下游组织都会受到影响,并间接导致整个行业、乃至整个社会的系统性风险。因此,对组织业务连续性建设的要求不仅来自组织自身,还包括行业联盟和协会、监管部门和政府机构。与此同时,各国政府也在积极推动自身和公共服务部门的运行连续性。
2003年,已成为全球两大业务连续性管理专业团体的国际灾难恢复协会(DRII)和国际业务持续协会(BCI)联合发布了10种业务连续性管理专业实践(Professional Practice),作为衡量和判断业务连续性管理人员能力的标准,这也表明了业务连续性管理专业实践共识的初步形成。但当时,两个组织虽然使用类似的术语,具体的解释却有所不同,美国和英国在一些业务连续性管理流程和实践的差异一直延续到今天。
1.2 业务连续性管理相关标准概况
图1 PAS 56、BS 25999、ISO/PAS 22399和ISO 22301系列标准的发展过程
PAS 56和BS 25999
同样在2003年,英国标准协会(BSI)发布了PAS 56:2003《业务连续性管理指南》,该规范由BCI和Insight Consulting Limited支持(sponsor)完成,是较早发布的BCM标准之一,影响了随后一系列国家和国际标准的制定。PAS是“Publicly Available Specification”的简称,即“可公开获得的规范”,由于不需要完整的共识,通常适用于快速推出到市场。
PAS 56旨在帮助BCM管理人员理解和实施BCM项目集(BCM programme),它确立了BCM的流程、原则和术语,描述了BCM涉及活动及成果,提供了良好实践的建议,并概述了评估准则。PAS 56适用于所有组织,不论其规模和所属行业。
PAS 56在为BCM提供通用框架方面取得了巨大的进展,但在BCM涵盖的规划范围和基本组成部分方面仍缺乏足够共识。对有些人来说,PAS 56太局限,对另外一些人而言,又太有争议很难被广泛接受。因此,BSI继续与包括BCI和Continuity Forum(连续性论坛)、政府(由内阁办公室、英格兰银行和其它机构代表)、行业和贸易团体、紧急服务部门以及来自私营部门在内的众多专家共同制定了新的英国国家标准BS 25999。这是一项重大活动,该工作组是BSI历史上最大的工作组之一。通过努力,工作组最终提出了一个可行的、全面的标准,适用于工业、商业、公共和志愿部门中的大、中、小型组织。
从业者已认识到实施BCM和建立并管理一个有效的BCMS之间有很大区别,因此,BS 25999分为两个部分:其中BS 25999-1《业务连续性管理第一部分:实用规则》于2006年发布,它确立了BCM的流程、原则和术语,给出了一个可参考的BCM的系统(a system of business continuity management),为理解和在组织中制定和实施BCM提供基础;而BS 25999-2《业务连续性管理第二部分:规范》于2007年发布,它正式提出了业务连续性管理体系(business continuity management system,BCMS)的概念,规定了建立和管理一个有效的BCMS的要求。由于汇聚了涵盖各行各业的标准制定者,BS 25999一经发布就成为当时适用性最广、接受度最高的BCM标准。在接下来的几年中,BS 25999在100多个国家得到实践,并在43个国家获得认证认可。
ISO/PAS 22399和ISO 22301系列标准
BS 25999的成功为建立BCM国际标准奠定了基础。ISO采用类似的模式,首先于2007年在英国BS 25999-1、澳大利亚HB 221:2004、以色列SI 24001:2007、美国NFPA 1600:2004和日本业务连续性指南的基础上,快速推出了ISO/PAS 22399《社会安全事件准备和运营连续性管理指南》(guide for incident preparedness and operational continuity management);然后在充分吸纳多国标准和反馈的基础上,于2012年发布了ISO 22301《社会安全业务连续性管理体系要求》和ISO 22313《社会安全业务连续性管理体系指南》。
随后,ISO又陆续发布了一系列的BCMS相关标准,主要包括: ISO 22301,作为要求类标准,是ISO 22301系列标准的核心,它基于ISO高层结构(ISO High Level Structure)规定了实施、保持和改进BCMS的一系列要求(最新版的ISO 22301:2019提出了90项具体要求),组织可以据此标准获得认证; ISO 22313,作为ISO 22301的应用指南,为实现ISO 22301规定的要求提供了实施指导; ISO 22317(业务影响分析)、ISO 22318(供应链连续性)、ISO 22330(人员方面)、ISO 22331(业务连续性策略)和ISO 22332(业务连续性计划和程序)等技术规范,为业务连续性管理工作提出更为详细和专业的建议; ISO 22300,为包括ISO TC292制定的所有标准建立专业词汇表。 目前,ISO 22301和ISO 22313已分别于2019和2020年修订为第2版,ISO 22300于2021年发布第3版,ISO 22317和ISO 22318正在进行修订。
标准中的术语定义
在以上提及的标准中,PAS 56给出了45个术语和17个缩略语;BS 25999-1给出了33个术语,BS 25999-2给出了40个术语,其中30个术语沿用自BS 25999-1,新增10个(3个未采用);ISO/PAS 22399给出了49个术语;ISO 22301:2012给出了55个术语,ISO 22313:2012则直接采用ISO 22301和ISO 22300的术语;ISO 22301:2019在旧版基础上新增2个术语,给出31个术语(将另外26项移出到ISO 2200),具体详见下面附表(该表的详细对照Excel文件可到知识星球:“业务连续性管理问与答”下载):
表1 PAS 56、BS 25999、ISO/PAS 22399和ISO 22301系列标准术语变化
……未完待续
本公众号 (ID: bcmplus) 专注于业务连续性管理知识的传播和普及,关注应急、连续性和危机管理的朋友可关注本公众号。
由于公众号注册时正处于腾讯政策调整,未能开通留言功能,希望交流和讨论业务连续性管理问题,或获取相关资料的朋友,可长按以下二维码加入知识星球留言和讨论(公众号1月只能发4次文章,也会有一些小观点直接在知识星球而不在公众号发布)。
原文发表于公众号”业务连续性+” | 原文链接