业务可持续性管理（BCM）简介
业务连续性管理(Business Continuity Management，简称“BCM”)，是一项面向企业或组织或政府组织信息安全与风险管理的综合管理流程，它使组织机构认识到潜在的危机和相关影响，制订响应、业务和连续性的恢复计划，其总体目标是为了提高组织的风险防范与抗击打能力，以有效地响应非计划的业务破坏并降低不良影响。
业务连续性管理不仅包括来自于火灾、地震、全球气候异常等自然灾害带来的需求，还包括恐怖主义、黑客攻击、名族分裂势力、领土及边界争端、战争等人为因素造成的影响，而由于企业或组织的业务更多地受到诸如人为错误、流程缺陷等事件的威胁，同样需要业务连续性管理(BCM)。
业务连续性管理经过启动项目、确定恢复策略、业务影响分析及应对 、编制业务连续性计划、测试和演练计划、维护与更新计划等六个步骤，它可以帮助企业或组织在面对灾害时能从容应对，在灾后能尽快恢复，将业务损失降到最低。
BS 25999是全球第一个业务持续管理的框架标准，分为BS25999-1和BS25999-2两部分，BS25999-1标准的前身是英国公共可用指南PAS 56，在2006年底升级为英国标准，并已于今年10月推出相应的认证标准BS25999-2。
1. BS 25999-1:2006 Code of practice for business continuity management 业务持续管理实践要点（已于2006 年11 月发布）——主要作为参考文档，提供广泛的业务持续管理实践要点，作为现行业务持续管理的最佳实践指南，但不作为评审与认证标准；
2. BS 25999-2:2007 Specification for business continuity management system 业务持续管理规范——提供业务持续管理系统（BCMS）的建立、实施与文档化的具体要求，包括建立组织业务持续管理系统所需的PDCA管理框架和广泛的业务持续管理措施，同时作为认证标准。
目前BS25999还不是一个国际标准，但在BCM领域具有深远的影响。
一、BCM的发展
BCM的发展主要经历了如下几个阶段。1960年末，首先出现处理IT中断的方式，对单点故障采取冗余措施;1970年末，出现灾难恢复服务商，为企业或组织提供计算机运行中断后的灾难恢复专业外包服务;1980年初，更多的灾难恢复服务商形成外包服务领域，如IBM 提供热备援 (Hot Site) 服务等;1990年，业务持续性管理不仅仅局限于IT灾难恢复服务，而是进入到了更为广泛的企业或组织业务持续管理领域;1995年，国际标准中系统地讲述业务持续性管理，如BS7799，英国商务部推动，由BSI将其发展成为标准;2001年后，相关国际标准相继出台，依据国际标准，对IT相关的管理体系认证与IT人员的认证进入中国。
二、BCM相关的国际标准
与BCM相关的国际标准比较多，要包括：
能力成熟度模型集成CMMI，主要对项目生命周期团队管理能力进行评估;
IT治理框架COBIT，提供信息及相关技术的控制目标，重点突出财务方面的审核;
质量管理体系ISO9001:2000，对IT系统的生命周期进行管理;
IT服务管理标准ISO20000-1:2005;IT服务管理的使用指导规范ISO20000-2:2005，是建立体系的最优解决方案;
信息安全管理体系ISO27001:2005;信息安全管理体系使用指导规范ISO27002:2005;
信息技术基础架构库ITIL 3.0，实现企业或组织信息化的系统规划和全生命周期管理。
另外，针对信息安全审计方面的专业认证考试有注册信息系统审计师 CISA和信息系统安全认证专业人员CISSP。
三、国际标准中BCM相关条款
对应BCM，标准应该涵盖的范围包括项目管理、风险管理、业务影响分析、响应计划、管理能力培训、检查与持续改进。对应这些分值职能，不同的国际标准分别有不同侧重。其中，CISA和CISSP主要进行员工能力培训，CMMI主要侧重项目管理，COBIT侧重员工能力培训，ISO9001侧重项目管理、员工能力培训和检查与持续改进，ISO20000主要用于响应计划管理和检查与持续改进，ISO27000主要用于风险管理和业务影响分析，ITIL主要用于响应计划管理和能力培训。
四、国际标准在BCM中的关系
针对业务持续性管理方针，企业或组织的信息化需要满足法律法规、组织内部和顾客的要求，对此有两个标准框架进行支撑，分别是支持信息安全的框架ISO27001，支持服务承诺的框架ISO20000。国际标准的实现体现在一些相关的服务上，针对不同的管理范畴上：可分为：
针对人员能力管理，可以参照CISA和CISSP;
针对风险和业务影响分析，可以参照ISO27001;
针对IT项目管理，参照CMMI，ITIL和COBIT;
针对IT服务管理，参照ISO20000;针对IT故障演练，参照ISO27001;
针对事件问题管理，参照ISO20000。
当然，这一系列服务的实现必须依靠企业或组织信息化的有力支撑，包括组织结构调整、企业或组织资产的最佳配置和IT系统的构建，对应会产生一系列过程文件和流程管理。这个BCM的实现总体上由ISO9001和ISO2000辅助进行产品提供、质量和服务的监视测量，最终达到持续改进的组织业务。
五、国际标准在BCM的最佳实践
BCM实施的各个阶段分别应该应用哪些标准，概括说来，在项目管理阶段主要采用CMMI，风险管理阶段和业务影响分析阶段采用ISO27000，在相应计划管理阶段、能力培训阶段和检查与改进主要采用ISO20000。
业务连续性管理（BCM）要点
业务连续性管理(BCM)是一个建立面向业务与驱动业务的合适策略和运营框架的过程：
1、改善组织对于干扰或中断其供应产品或服务的恢复能力；
2、提供恢复组织以商定水准供应其关键产品和服务的可靠方法；
3、提供管理业务中断(事件)并保护组织声誉和品牌的能力证明。
业务连续性管理(BCM)的关键要素包括：
1、理解全部的组织运作内容；
2、理解组织必须交付(其目标)的关键产品和服务；
3、理解在交付关键产品和服务的过程中可能遇到的障碍或中断；
4、理解组织在中断发生时，如何继续达成目标；
5、理解在控制和其他缓解策略的实施过程中出现的各种可能结果；
6、理解执行事件处理和应急响应，以及业务恢复程序的标准或触发机制；
7、保证在发生重大中断时，所有成员能够识别其角色与职责；
8、达成业务连续性的实施、部署和演练的共识与承诺；
9、整合业务连续性，使它成为日常工作的组成部分。

如何进BCM业务可持续发展管理
BCM业务可持续发展管理通常由6个关键部分组成，也可以看作为6个步骤：
第一步 是深入理解企业或组织自身的情况，找出企业或组织赖以生存的关键，通过风险评估和业务影响分析来发现会对危及这个“关键”的问题，估算可能造成的损失，并给出可以接受的业务恢复时间。比如电信运营商的骨干传输网和一个基站，可以接受的业务恢复时间肯定是不同的。
第二步 是制定BCM策略，即在深入理解企业或组织情况的基础上，根据企业或组织的运营目标、资源和成本来制定BCM策略，选择能够降低风险的措施。
第三步 是开发和实施BCM应对方案，方案中应包括人员职责分配和培训、计划的启动条件、应急程序、支援机制、灾后复原程序等。
第四步 是让BCM融入企业或组织文化，在企业或组织内部形成一个持续的管理、协调与监督的过程，从而实现业务连续性管理的目标。
第五步 是有计划地按照BCM应对方案进行演练，保证计划能够顺利执行，同时还要根据演练中发生的问题不断加以改进。
第六步 是制定有关政策和保障制度，完善BCM项目群管理。
最后一个环节并不是业务持续性管理活动的终结，企业或组织所处的环境总是在变化的，而BCM模型也会从许多方面改造企业或组织，所以完成第六个环节之后，企业或组织需要进入第一个环节，展开新一轮的自我革新。

通过该业务服务，客户可获得的收益
能够建立与国际接轨的制度化、标准化的业务持续管理体系，全面提升企业或组织的业务持续运作能力；
满足合规性要求，提高企业或组织的知名度与信任度，赢取客户信任，增强竞争力；
通过循环往复的动态机制，有效强化员工的业务持续意识，规范组织的应急响应及灾难恢复行为，提高应对突发事件的响应、处置的效率和能力；
在国内的业务持续管理领域保持领先，并向国际一流企业或组织迈进。