2021年10月9日 · 公众号：业务连续性+

业务连续性管理核心概念的演变(三)

……续上期

3、BCM核心概念的发展和变化

BCM是一门迅速成熟的学科，对其的理解也存在相当大的差异，但可以按照“可能面临的境况”、“凭借什么去应对”、以及“如何获得并保持能力”，即“业务连续性管理—业务连续性能力—事件或风险”框架对前述标准中BCM理解进行总结，得到如下表1：

表1 标准中的BCM理解

对比分析，可以得到以下结论：从需要应对的事件或风险角度看，PAS 56应对的“关键业务活动的损失、中断或干扰、及其造成的影响”，并且可以进一步扩展到“业务风险”(business risk)这一比较宽泛的领域；BS 25999、ISO 22399应对的是事件，即“可能或将导致业务干扰、损失、紧急情况或危机的”情况或事态；ISO 22301系列标准和FFIEC BCM检查手册应对的是干扰 [1] ，ISO 22301将其解释为“预期或非预期的，引起产品和服务预期交付出现与组织目标非计划的负偏差的事件”，FFIEC将其解释为“导致运营降级或故障达到不可接受时长的预期或计划外事件”；NFPA 1600比较特殊，从标准整体而言，其应对的是“可能导致中断、干扰、损失、紧急情况、灾害、或灾难，并可能升级成危机的事态”，但与连续性相关的业务连续性/运行连续性聚焦在“业务干扰”。也就是说，PAS 56、BS 25999、ISO 22399中的BCM需要应对各种类型的事件，可能与业务活动中断或受到干扰有关，也可能是紧急情况(一般与生命财产保护有关)或危机(一般涉及品牌形象、声誉和组织战略)等；而ISO 22301系列标准、NFPA 1600和FFIEC BCM检查手册中的BCM需要应对的主要是业务干扰(不只是中断)。

从凭借哪些能力去应对角度看，这些标准都考虑了事前、事中和事后的全过程管理，具体而言，PAS 56、BS 25999、ISO 22399和ISO 22301系列标准在事前多采用风险控制措施和方案，重点能力放在事中和事后，而NFPA 1600和FFIEC BCM检查手册已开始用韧性(能力)统率事前、事中和事后的能力建设和管理，在事中和事后更强调连续和恢复能力。需要指出的是，业务连续性和韧性(能力)究竟由哪些能力组成，这些能力之间如何协作，不是前述标准的关注目标(也非其它现存标准的目标)，还并未被标准化。

从如何管理和保持能力角度看，前述标准保持了惊人的一致(说明早已形成共识并标准化)。比较而言，PAS 56已给出了所有重要要素，BS 25999和ISO 22399对这些要素进一步规范化；而ISO 22301系列标准、NFPA 1600:2019和FFIEC BCM检查手册v2019则在进一步发展基础上，形成了各自特色，其中ISO 22301/22313第2版将ISO高层结构定义的管理体系框架与BCM要素相结合，形成了精致的、双循环结构ISO 22301 BCMS，NFPA 1600:2019通过增加能力运用(即执行)条款，完善了能力管理全生命周期(目前业界唯一)，FFIEC BCM检查手册v2019则结合金融机构特点，将BCM与全面风险管理整合，体现了实用(如风险识别时将网络安全风险和威胁情报纳入)和行业特色(如业务连续性计划中考虑支付系统和流动性问题)。

因此，可以认为对BCM存在两种不同理解，第一种将BCM的范围从业务干扰扩展到了紧急状况、危机等领域，是更为全面、综合的企业管理方法；第二种把BCM的范围聚焦在业务活动是否受到干扰。比如，有专家认为BCM是“企业风险管理的ISO 9000”，或者认为BCM未来将走向组织韧性(organizational resilience)，这应该属于第一种理解；也有专家认为BCM是紧密围绕组织业务活动开展的(生命财产安全、品牌形象以及战略等属于其它管理体系或方法负责，BCM需要与这些不同的管理方法划分范围，厘清边界，有效衔接)，或者BCM未来将走向运营韧性(operational resilience) [2] ，这应该属于第二种理解。 (有意思的是，PAS 56、BS 25999和ISO 22399都是在21世纪第1个10年推出的，而ISO 22301系列标准、NFPA 1600:2019和FFIEC BCM检查手册v2019又都是在21世纪第2个10年推出)

本公众号 (ID: bcmplus) 专注于业务连续性管理知识的传播和普及，关注应急、连续性和危机管理的朋友可关注本公众号。

由于公众号注册时正处于腾讯政策调整，未能开通留言功能，希望交流和讨论业务连续性管理问题，或获取相关资料的朋友，可长按以下二维码加入知识星球留言和讨论(公众号1月只能发4次文章，也会有一些小观点直接在知识星球而不在公众号发布)。

干扰，即“disruption”，通常译为“中断”，这是国内业务连续性管理行业的重大误译，后面我会专门写一篇文章进行说明。 ↑ 当年，ISO曾推迟ISO 22301:2012的发布，因为一些国家要求将BCM改名为“Operational Resilience”。 ↑

原文发表于公众号”业务连续性+” | 原文链接