现在，没有比疫情更好的理由来拟定事务连续性(BC，Business Continuity) 方案。关于安排而言， BC 方案标明该安排致力于保护事务并坚持其运营，尽或许防止产生破坏性事情。

　　从审计的视点来看，BC 方案关于履行审计操控越来越重要。内部和外部审计师比以往更了解BC方案和DR方案，因而关于 IT领导者来说，有必要认识到重要性。

　　经历标明，拟定BC和DR方案会添加安排从破坏性事情中成功康复并康复运营的或许性。只需知道在紧迫状况下该做什么就可以大大提高安排成功康复的时机，在应对 IT 根底架构中止时特别如此。

　　事务连续性(BC，Business Continuity)方案与灾祸康复(DR，Disaster Recovery) 方案的不同之处在于BC侧重于保护整个安排，将 IT 作为要害的支撑资源，而 DR 方案一般侧重于保护整个 IT 根底架构。

　　BC 方案有几个输入，可供给有关事务运作方法的数据。其间包含事务影响剖析 ( BIA )、危险剖析和已承认为要害使命的事务元素的康复战略界说。

　　IT 根底架构是大多数事务要害功用的根底，因而在拟定 BC 方案时，IT 应该做的榜首件事便是映射技能资源和事务功用之间的联系。BIA 最重要的输出之一是辨认支撑要害使命功用的 IT 资源，由于它产生了两个方针：康复时刻方针 ( RTO ) 和康复点方针 ( RPO )。

　　RTO ：界说了在安排遭受丢失之前禁用特定事务功用所需的最长时刻。关于 IT 而言，这意味着在事务受损之前禁用特定体系和资源的最长时刻。RTO 和 RPO的一般经历法则是：时刻结构越短，完结该方针的潜在出资就越大。

　　RPO ：对当时数据、数据库和其他资源的终究备份时刻而言也很重要。例如，客户个人数据或许对安排的事务至关重要。此类数据应比其他资源更频频地备份，并保证可以保持低 RPO(即 1 小时或 5 分钟以下)需求出资于更杂乱的数据镜像或仿制技能，以及添加数据存储容量。

　　下表列出了一些较相关的 ISO 标准。适用的法规将取决于单个公司及其服务的职业。例如，银行和金融部分都有处理 BC 和弹性问题的法规。这些安排可以决议恪守那些特定的基准来替代全球标准。要害方针是完结并证明契合一项或多项相关标准和法规。

　　下表是由许多安排拟定的美国标准、法规和杰出实践的部分列表，其间包含 ASIS International、国家消防协会、联邦金融安排考试委员会、ISACA、金融业监管局、联邦紧迫事务办理局和 NIST . Disaster Recovery Journal不断更新其遍及承受的 BC 实践，而NIST 特别出版物 800 系列标准是 IT 辅导的杰出来历。

　　以下进程说明晰公司怎么完结和证明合规性，经过标明安排怎么满足特定标准规则的要求的文件来承认合规性。大多数标准被安排成章、节、末节和其他纲要格局。公司可以经过挑选特定部分然后描绘怎么完结合规来简化流程。

　　2. 树立一个团队，包含多个相关部分的代表，例如 BC/弹性、危险办理、IT、行政、财政、内部审计和人力资源。

　　3. 研讨相关标准、法规和杰出实践文件，并承认哪些文件与安排最相关。获取这些文档的当时版别。

　　4. 向团队成员扼要介绍所选标准，以便他们对要求有根本的了解。假如或许，请在内部审计上投入更多时刻，由于实际上它或许是终究评价和证明已完结合规性的单位。

　　5. 假如内部审计无法参与合规活动，请考虑与外部专业人员签约。寻觅已经过特定 BC/弹性标准(例如ISO 22301:2019 )审阅员认证的供货商。供给此类认证的两个安排是世界灾祸康复研讨所和世界安排弹性联盟。或许，查看 BC 咨询公司，看看他们是否有取得标准审阅员认证的职工。

　　8. 安排内部审计或有经历的第三方评价修订后的 BC/弹性方案，并承认不合规问题已得到处理。向高档办理层扼要介绍该评价的成果，并问询他们是否希望进行正式的合规审计。

　　9. 假如高档办理层需求，安排正式审计。该审阅的成果将正式记载对相关标准和法规的恪守状况。

　　2021 年 5 月，ISO 发布了 ISO 22332:2021 安全性和弹性，事务连续性办理体系，拟定事务连续性方案和程序以处理此问题的攻略。新标准是 ISO 223XX 系列 BC 标准的一部分。

　　ISO 22332:2021 标准来自较早的标准，例如ISO 22301:2019安全性和弹性，事务连续性办理体系ISO 22313:2020 安全性和弹性，事务连续性办理体系ISO 运用攻略22301，并扩展了 BC 方案的细节。

　　ISO/TS 22332为规划和拟定方针、战略和程序供给攻略和结构，以协助预备和办理受事情影响的人员。包含以下内容：

　　人员流程的一个要害部分是了解您的安排及其人员。这可以与人力资源部协作完结，由于它具有最具体的职工信息。ISO/TS 22330:2018 事务连续性标准为上述活动供给了辅导，并可用作清单以保证现有的BC/DR 方案更具体地处理人员问题。在上述问题中，需求剖析或许是最重要的。在这里您可以查看职工的家庭成员和有特别健康要求的职工等问题。您提早了解潜在的职工问题越多，您的康复或许就越好，特别是从人员的视点来看。

　　当面临紧迫状况时，人们会以不同的方法做出反响。这便是为什么在挑选应急呼应团队成员时，重要的是要记住，人们在面临真实的紧迫状况时或许会以彻底不同的方法做出反响，而不是在他们参与训练演习时。在演习中，人们或许会冷静地、彻底掌控地履行职责。但是，在现场活动中，这些人或许会僵住并没有反响，或许或许会不知所措并赶快逃离现场。在真实的事情产生之前，简直不或许知道人们会怎么反响。这是定时举办 BCDR 方案演练和应急呼应方案演练的一个很好的理由。

　　注意到人们应对紧迫状况的上述实际，ISO/TS 22332 供给了怎么处理各种状况的攻略。这些或许包含职工受伤时该怎么做，怎么协助对事情有伤口反响的职工以及怎么与家人和其他人交流。虽然每个破坏性事情都不同，但对人们的影响是一项严重应战。

　　即便灾祸已得到处理并已投入资源以协助加速康复正常事务，仍或许需求做更多作业来协助职工。受伤的职工及其护理需求得到处理。心情欠安的职工或许需求咨询和专业协助。这些和其他类型的活动后活动在新标准中得到处理。

　　ISO 22332 标准还触及 BC 方案的组成部分：要履行的程序或举动;文件和文件操控攻略;方案保护;认识和训练;并方案监测和查看活动。

　　例如，标准的第 7 节“事务连续性方案和程序的内容”供给了 BC 方案的根本纲要，从意图、方针和假定开端。然后，它供给了典型 BC 方案中触及的要害活动的具体信息，包含以下内容：

　　其他标准包含预备 ISO BC 方案的根本活动，例如事务影响剖析和危险剖析。一个相对较新的标准 ISO 22331:2018 安全性和弹性——事务连续性办理体系——事务连续性战略攻略解说了安排在拟定 BC 方案时有必要处理哪些事务战略。

　　ISO 22332 的意图是承认应包含在方案中的活动，一般按产生的逻辑次序进行。虽然安排可以将这些 BC 活动纳入方案，但方案的作者有必要拟定所触及的具体分步程序。

　　该标准为 BC 方案供给了了解的结构，而且有时将某些活动(例如办理媒体)分组到其他活动桶中。然后，方案作者的作业便是决议是否需求将标准中嵌入的活动分解为独自界说的操作。

　　ISO 22332 标准包含对两种常见灾祸情形的辅导：流行病和网络进犯。由于新冠继续影响以及网络和勒索软件进犯的添加，该标准的第 8 节供给了办理这两种状况的进程。

　　下图中的结构描绘了 ISO 22332 标准怎么定坐落完结安排和运营弹性。

　　该标准承认了安排为完结呼应、康复、康复和康复的 BC 方针而应履行的活动。弹性安排履行这些活动是为了有用地适应和处理或许要挟事务流程、人员、技能和设备的破坏性事情。

　　ISO 22301 标准一般用作审阅 BC 方案时的基准，由于它承认了进入 BC 方案的许多操控活动。ISO 22332 供给了有关方案内部内容和结构的附加信息，而且可以在预备 BC 方案审阅时作为弥补操控文件。

　　安排还可以运用 ISO 22332 来评价现有 BC 方案的内容完好性。当运用这两个标准作为审阅的一部分时，根本审阅结构运用 ISO 22301，每个审阅类别中的细节运用 ISO 22332。

　　美国联邦金融安排查看委员会的 2019 年版事务连续性办理手册可以作为协助辅导金融和非金融安排的 BC 方案的东西。在预备事务连续性审计时，本手册为各种审计活动供给了具体攻略。

　　2019 年版的联邦金融安排考试委员会 (FFIEC) 手册中有四个附录。这与包含 10 个附录的 2015 年版事务连续性规划比较大幅减缩。FFIEC 将其间许多附录纳入了整个手册文本，但关于考试程序的附录 A 在 2019 年手册中完好无缺。这些攻略与预备事务连续性审计有关。

　　假如一个安排不在金融市场而且不受 FFIEC 查看，事务连续性办理依然可以作为一个有用的攻略。遵从手册中的程序可以保证事务连续性活动契合一般标准，并为意外审计做好预备。

　　在进行事务连续性审计之前，安排有必要采纳一些预备进程。假如运用事务连续性办理作为攻略，手册的附录 A 将作为这些审计活动的根底。

　　安排可以将附录 A 中的简直每个项目都视为审计要求，因而需求搜集信息。依据手册本节的重要预审阅活动包含：

　　2. 搜集相关文档，例如方案、陈述、事务影响剖析 (BIA)、危险评价、方针和程序以及过后陈述。

　　4. 承认没有依据的范畴，或许搜集有用的依据，或许预备解说为什么没有依据。

　　5. 预备一个会议室或其他安静的区域供审阅职作业。这或许包含电话、白板、铅笔、钢笔和纸片，以及满足的桌子空间和椅子。

　　十三个方针包含事务连续性办理附录 A 中描绘的查看程序。这些方针可以构成事务连续性审计的根底。非金融职业或许会发现某些程序比其他程序更适用，但仍应可以在手册供给的辅导下构成牢靠的审计方案。

　　方针 1：承认考试的恰当规模和方针。本节查找各种文件和陈述、在开端审计之前与高档办理层面谈的成果，以及新要挟和缝隙的辨认。

　　方针 2：承认董事会和高档办理层是否促进事务连续性的有用办理。这部分需求证明高档办理层和董事会在事务连续性中的效果、其支撑水平及其对 BC 方案的许诺。

　　方针 3：承认董事会和高档办理层是否运用审计或其他独立查看职能来查看和验证 BC 方案。

　　在这个方针中，审计人员将在安排内寻觅弹性和可康复才能的依据，例如多个数据中心、多个工作室、依据云的数据备份和各种技能操控，以保证要害体系得到保护。

　　该方针寻觅与各种政府和非政府安排(例如监管安排、法律部分、应急呼应人员以及州和当地政府安排)进行定时交流的依据。

　　该方针具体介绍了 BC 方案的各个要素，以保证它们是完好的，并为各种活动供给程序。

　　审阅员将寻觅应急小组成员、正式职工和高档办理人员训练方案的依据。他们还将寻觅方案的依据，以使职工了解 BC 方案的重要性及其在方案中的人物。

　　方针 10：承认演练和测验方案足以使办理层对安排可以完结其 BC 方针感到满足。

　　在此方针中，审计师将查看演习和测验活动的依据、演习后陈述以及演习成果已导致全体 BC 方案改善的依据。

　　方针 11：承认办理层是否继续衡量 BC 方案的发展和评价其有用性，并运用这些信息来改善 BC 进程。

　　该活动查看办理层是否查看和更新 BC 方案，以使该方案与当时的事务运营坚持一致。它还寻觅有助于保护和改善 BC 方案的活动的依据。

　　该方针验证高档办理层希望定时陈述 BC 方案活动，例如人员装备的改变、BIA 和 RA 的更新以及最近的演习成果。

　　作为终究方针，此进程触及陈述审计发现、施行纠正办法的方案以及预备作业草稿，包含包含一切审计发现和剖析的文件。

　　从根本上说，这两个文件都供给了事务连续性办理体系 (BCMS) 或方案组成部分的具体概述。ISO 标准更高档别，由于它指定了 BCMS 的要求，而联邦金融安排查看委员会 (FFIEC) 标准为预备 BC 方案供给了更多可操作的细节。ISO 标准适用于一切类型的事务，而 FFIEC 标准针对银行和其他金融安排进行了优化，虽然它也可以有用地用于非金融使用。

　　？云之讯有线日，Salesforce遭受电力毛病导致宕机;7月22日，支付宝华南机房毛病;8月4日，微信8天内3度产生毛病。事务的不连续性会导致多大的丢失据IBM的数据显现，事务中止小于20分钟，丢失金额大约是100万美元，事务大于7小时，丢失金额大约是1420万美元，其间还不包含品牌的影响。

　　什么是事务连续性？对有些人来说，它是个全体处理方案;但对别的一些人来说，它是个网络“热词”;但在我看来，它应该是企业级用户事务体系所追逐的方针和抱负。人和企业都需求抱负，有了抱负才会有方针，才会有做事情的动力。关于事务连续性，还可以用技能言语描绘，在《信息体系灾祸康复标准》(GBT209882007)中，依据RTO(RecoveryTimeObjective，康复时刻...

　　企业将事务要害使用程序迁移到云端，这以一种简直不可防止的趋势进行中。从工作生产力东西和金融体系到人工智能驱动的客户联系办理（CRM）和剖析处理方案，云核算中都有可用的东西。云核算的呈现与无处不在的移动设备和永久在线的衔接相结合，使安排可以从传统的工作室，小隔间和桌面中解放其操作，并以史无前例的方法进行扩展。