前言

2021年，在自然灾害方面，青海地震、河南特大暴雨等相继发生；在社会和技术发展方面，随着数字经济的快速发展，网络安全和勒索软件攻击事件此起彼伏，多种不利因素使ICT供应链风险的脆弱性进一步暴露……这一切使许多企业面临逐步加剧的运营中断风险。我们知道，运营中断会给企业带来种种负面影响，企业如果不能迅速恢复运营并控制负面影响，就可能蒙受不可承受的损失。有统计数据表明，在大型灾难导致运营中断的企业中，有40%再也没有恢复运营，剩下的企业也有接近35%在两年内破产。在新的挑战下，企业的生存和发展需要新的管理方法。

起源于20世纪70年代末的现代业务连续性管理，正是一种致力于帮助企业降低运营中断发生的可能性，或在运营中断发生后快速恢复被中断业务并尽可能减少负面影响的管理方法。2011年，机缘巧合下，我进入了业务连续性管理领域。在过去10年的业务连续性管理研究实践和学习交流的过程中，我发现业界普遍存在对业务连续性管理的基础概念、原理和方法逻辑理解不清晰，解决实际问题（如业务影响分析、业务连续性计划编制和演练等）能力不强，以及总结和推广国内良好实践工作不到位等问题。

具体而言，我在不断地遇到种种有意思的问题——有的是业务连续性管理从业人员直接提出的，有的是其他专家或朋友提出的，还有的是自己觉得必须要解决的，例如：“企业需要具备与其业务性质和风险状况相匹配的业务连续性能力，但为什么我们建设和管理的是业务连续性管理体系（而不是直接构建和保持业务连续性能力）？”“我们已经通过了ISO 22301认证，为什么领导还说有时会因担心（业务中断）而睡不着觉？”

这些问题的核心在于业务连续性和业务连续性管理体系的关系。现实中，一些企业在建立了业务连续性管理体系并通过了第三方认证（或通过了监管机构的检查）后，其从业人员觉得业务连续性管理工作已进入常态，每年只需按照要求更新业务影响分析和风险评估报告、业务连续性计划和应急预案，完成内部审核和管理评审等工作，但心中又总觉得这么做似乎有些不大对劲儿，并且不清楚为什么会让自己陷入两难的境地。

其实，在业务连续性管理的相关语境中，业务连续性能力是企业关注的最终目标；而业务连续性管理体系是帮助企业达成最终目标的方法。业务连续性管理体系会帮助我们有效地构建和管理业务连续性能力，但我们要清楚，企业对业务连续性能力的要求会因为业务性质和风险状况的改变而变化，如果我们不清楚业务连续性能力的目标而只是专注于业务连续性管理体系的规划（Plan）、建设（Do）、检查（Check）和改进（Action），就会导致盲目经营。前面问题中，领导“会因担心（业务中断）而睡不着觉”和从业人员觉得“有些不大对劲儿”，就是因为他们在实际的业务连续性管理工作中搞错了对象，这是完全可以理解的。

业务连续性能力既然是一种组织能力，它到底包括哪些能力？这种能力应如何规划，如何建设和保持，如何运用，如何管理评价？业务连续性管理是实施和保持业务连续性的管理过程，涉及业务影响分析和风险评估、业务连续性策略和解决方案、业务连续性计划和程序、演练等，那每一项具体工作又是如何开展的？……这些问题都有待回答。

笔者对业务连续性管理的理解和实践就是伴随着这一个个问题的提出、思考和解答而逐步发展的，这也契合我编著本书的初心：澄清基本概念、原理和方法逻辑，解决相关人员面临的具体问题，沉淀我国的良好实践和创新。当然，本书难免存在不足之处；同时，书中有些回答可能也并非最终答案，因为随着我们对业务连续性管理的研究和实践的进一步深入，未来我们可能会发现更好的答案，在此，提前请读者谅解。

业务连续性管理在国内要得到大发展，发挥其效用，为保障企业持续经营、行业稳健运行和韧性社会建设尽一份力，需要我们结合我国社会、行业的具体情况，在消化、吸收国外良好实践的同时，面向当前的问题和困难去解决问题，创造出具有中国特色的优秀实践。让我们一起努力吧！

王曙

2022年2月1日