业务连续性管理

一、引言

在我们日常工作中常常会将业务连续性管理（BCM）和灾难恢复(DR)两个概念混淆，两者之间有内在联系，但也有所不同。业务连续性管理更加宽泛，关注企业的战略，以保障业务运营为目标，解决全生命周期的问题，而后者更加注重具体操作，以系统为目标，着重解决事中的问题，同步处理事后的问题。一般来讲，可以将灾难恢复做为业务连续性的一个部分，但不是全部。

1）按照CISSP中的定义

灾难恢复的目标是尽量减少灾难或中断带来的影响。这意味着要采取必要的步骤以确保资源、人员和业务流程能够及时恢复运行。这与连续性规划不同，连续性规划提供给我们处理长期运营中断和灾难的方法和程序。灾难恢复计划的目标是在灾难之后，处理灾难及其后果；灾难恢复计划以信息技术为核心。灾难恢复计划是当一切事情仍处于紧急模式时实施的计划，其中每个人都争相所有关键系统重新联机。业务连续性规划采取一个更广泛的解决问题的方法。它可以包括在计划实施中对原有设施进行恢复的同时在另一个环境中恢复关键系统，使正确的人在这段时间内回到正确的位置，在不同的模式下执行业务直到常规条件恢复为止。

2）按照NIST SP800-34的定义

业务连续性计划（BCP）:业务连续性计划的重点是在中断期间和中断之后维持组织的任务/业务流程。任务/业务流程的示例可以是组织的工资单流程或客户服务流程。业务连续性计划可以针对单个业务单元内的任务/业务流程编写，也可以针对整个组织的流程。

灾难恢复计划（DRP）:DRP适用于拒绝长期访问主要设施基础设施的重大、通常是物理性服务中断。DRP是一种以信息系统为中心的计划，旨在在紧急情况发生后恢复备用站点上目标系统、应用程序或计算机设施基础设施的可操作性。一旦备用设施建立，DRP可由多个信息系统应急计划提供支持，以解决受影响的单个系统的恢复问题。DRP可以通过在备用位置恢复任务/业务流程或任务基本功能的支持系统来支持BCP或COOP计划。DRP只处理需要重新定位的信息系统中断。

3）按照GB/T 30145-2013/ISO 22301:2012和 GB/T 20988-2007 定义

业务连续性管理 （ business continuity management）：识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动。

业务连续性计划：用于指导组织在业务中断时进行响应、恢复、重新开始和还原到预先确定的业务运行水平的形式文件的程序。灾难恢复 （disaster recovery）：为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。

总结：

针对三个标准的理解，各个标准关于术语定义描述各有侧重，但笔者更加倾向于NSIT的定义。笔者认为：业务连续性计划是基于企业战略的、处理长期的、面向中断中和后维持业务连续性的规划，核心是业务连续；灾难恢复计划是面向重大的、灾难性的系统故障，在异地恢复业务暂时性正常运转的计划。灾难恢复解决的临时性的、针对异地恢复的临时性计划。业务连续性管理从涉及的内容看，包含了灾难恢复计划，还包括高可用性。业务连续性