隨著ISO22301業(yè)務連續(xù)性管理逐漸成熟，ISO22301業(yè)務連續(xù)性管理不再僅用于應對災難等低概率影響大的事件，而是逐步成為組織提升業(yè)務恢復能力，保護組織價值的管理過程，成為組織管理的一部分。

國內(nèi)組織對ISO22301業(yè)務連續(xù)性管理日趨重視，很多組織，尤其是金融、IT、云計算、云服務等企業(yè)，開展了ISO22301業(yè)務連續(xù)性管理體系的建設。然而在一些組織，業(yè)務連續(xù)性管理的規(guī)劃實施重點僅在災備建設從基礎環(huán)境、硬件設施等方面入手，或全面撒網(wǎng)建立應急預案，而應急預案則多空洞或僅關注技術層面。再遇到這種情況時，往往發(fā)現(xiàn)在業(yè)務連續(xù)性管理需求建立階段做得工作比較少，或沒有獲得充足的信息。

那如何識別組織的業(yè)務連續(xù)性管理需求呢？其中非常重要的一點就是要充分了解組織，這一活動的重點是收集信息，從而幫助組織制定合理的業(yè)務連續(xù)性管理方案，管理那些可能對組織造成嚴重損失的業(yè)務中斷。具體的活動包含業(yè)務影響分析、資源需求分析和風險評估。

一、業(yè)務影響分析

所謂業(yè)務影響分析也就是評估一項業(yè)務活動在中斷一定時間后對組織業(yè)務運營能力的影響，重點在通過業(yè)務影響分析找到需要保護的活動以及這些活動的最長可容忍中斷時間（MTPD）。

在這項工作開展之前，有兩件事情需要完成：首先，得到管理層的支持，包括資源的提供和活動的協(xié)調(diào)，這是所有管理活動成功實施的基礎；第二，需要初步確定業(yè)務聯(lián)系性管理覆蓋的范圍，對于組織來說，可能有一些產(chǎn)品和服務必須納入業(yè)務連續(xù)性管理范圍內(nèi)（這些信息可能來自于管理層或外部監(jiān)管單位），因此，在業(yè)務影響分析之前就需要確定下來，最終的范圍可以等到業(yè)務影響分析完成以后再確定。完成這兩件事情之后，組織就可以著手開始業(yè)務影響分析，通常，業(yè)務影響分析包含如下步驟。

1.分析產(chǎn)品或服務

分析確定ISO22301業(yè)務連續(xù)性管理范圍內(nèi)的產(chǎn)品或服務。這一過程通常需要考慮很多方面，例如，產(chǎn)品或服務帶來的收益、中斷后的經(jīng)濟損失、名譽損失、可能帶來的法律糾紛等。

最好這些損失可以量化到經(jīng)濟損失，這對于說服管理層很重要，同時也是成本效益分析的基礎，當然，這些量化工作需要豐富的經(jīng)驗數(shù)據(jù)支撐。

2.識別支持產(chǎn)品和服務的活動

活動的識別需要通過信息收集的方式來完成，對收集的信息進行梳理，將活動與產(chǎn)品和服務進行對應，當然，有的活動可以支持多項產(chǎn)品或服務，活動之間也會有相關支持的關系，這些信息同樣需要進行收集。同時這一環(huán)節(jié)應識別活動的負責人以及可以提供活動相關信息的人員，為后期的信息收集做準備。

3.分析影響

分析活動中斷持續(xù)一定時間后對提供產(chǎn)品和服務的影響。活動識別完成后，需要確定活動執(zhí)行的頻繁程度、高峰期及在平時和特殊時期活動中斷后組織還能運營多久，從而確定活動中斷后多久會對組織產(chǎn)生影響，以及影響程度。這時候往往需要財務數(shù)據(jù)的支持，例如某項產(chǎn)品或服務的年收益，高峰期收益，客戶的依賴程度，外部競爭對手的數(shù)量和競爭力等，這些信息可能是組織的秘密信息，無法提供，這時，可以要求相關部門進行協(xié)助，進行影響程度的判斷。

4.定性評價

確定關鍵活動以及關鍵活動的定性評價（MTPD）。通過對活動是影響的分析，可以確定哪些活動是關鍵活動，也就是納入進一步分析范圍內(nèi)的活動。同時也可以初步確定關鍵活動在多長時間內(nèi)必須恢復。也就是關鍵活動的最長可容忍恢復時間。

二、資源需求分析

在這一環(huán)節(jié)的主要工作是通過收集的信息，分析業(yè)務活動恢復需要的資源，包括環(huán)境、設施、人員和外部服務等。資源需求的分析需要和業(yè)務影響分析進行綜合考慮，通常在關鍵業(yè)務確定以后，資源需求的信息收集就可以開展了。為了在一定的時間內(nèi)恢復到約定的服務水平，需要的資源種類包括：人員、場所、設備、信息、技術和外部支持，需要根據(jù)活動的類型和恢復要求進行確定。其中數(shù)據(jù)資源是一種比較特殊的資源，在這一階段需要確定執(zhí)行活動的最大可容忍數(shù)據(jù)丟失（MTDL）。

除內(nèi)部資源外，在業(yè)務活動中斷后，可能還需要外部的支持，這需要在識別活動的同時識別內(nèi)部活動與外部支持活動之間的接口，當中斷發(fā)生時，外部支持活動也可能會受到影響，因此，需要識別獲得外部支持需要的資源。

業(yè)務影響分析和資源需求分析的結果應經(jīng)過反復評審，從而確定其準確性。

三、風險評估

分析評估活動主要是通過識別、分析和評價可能造成業(yè)務中斷的風險，幫助組織建立預防措施，降低或避免造成業(yè)務中斷的風險。風險評估的方法有很多種，在ISO31000:2009《風險管理原則和指南》中給出了風險評估的基本原則和實施指南，該標準也是ISO22301:2012中推薦使用的標準。根據(jù)ISO31000，對于業(yè)務連續(xù)性管理來說，風險評估主要從影響出發(fā)，識別那些可能引起中斷的風險，分析風險發(fā)生的可能性和影響，從而評價風險是否需要處理。在這個基礎上，再去識別風險發(fā)生的原因（內(nèi)因和外因），從原因入手，建立措施控制風險的發(fā)生，也就是降低中斷發(fā)生的可能性和影響。

四、注意事項

一般情況下，為了保持業(yè)務影響分析和風險評估的持續(xù)有效，需要對業(yè)務影響分析和風險評估的結果進行定期的評審。

在業(yè)務影響分析和資源需求分析過程中，都需要收集一定的信息，信息收集的方式有很多種，可以是問卷調(diào)查，也可以是會議討論和人員訪談。信息收集的范圍則取決于組織所處的環(huán)境，可能的范圍包括組織的管理層、組織范圍內(nèi)的部門、外部客戶和用戶、供應商、監(jiān)管單位、上層機構等。如果建立業(yè)務連續(xù)性管理體系是組織的一部分，那這一部分與組織其他部分之間的接口信息也很重要。

確定組織的業(yè)務連續(xù)性需求是ISO22301業(yè)務連續(xù)性管理系統(tǒng)建立過程中比較基礎的環(huán)節(jié)，這一環(huán)節(jié)輸出信息的充分和完整直接影響業(yè)務連續(xù)性管理體系的充分性、適宜性和有效性。因此，在這個環(huán)節(jié)建議組織投入足夠的資源保證其有效。