德阳业务连续性管理体系 可持续发展管理认证 2019版

赛学企管【上海-苏州-无锡-昆山-常州-嘉兴-杭州-宁波】成立于2008年，长期从事产品ISO9001质量管理体系、GB/T50430建筑企业质量管理体系、ISO14001环境管理体系、ISO45001职业健康安全管理体系、IATF16949汽车行业质量管理体系、ISO27001信息安全管理体系、ISO20000IT服务管理体系、ISO22000/HACCP食品安全管理体系、ISO13485器械质量管理体系、商品售后服务管理体系、GBT31950诚信管理体系认证、SA8000社会责任、住宿服务管理体系、教育服务管理体系、食品和饮料服务管理体系、ISO22301业务连续性认证、QC080000有害物质过程管理体系、FSC/COC森林认证和企业管理咨询服务。
      赛学通过整个团队的多年努力和求精务实的作风，在咨询行业中树立了自已的品牌特色，并在多个咨询服务领域形成了行业强势。特别是在信息安全管理、信息技术服务、业务连续性、汽车行业体系如VDA6.1、IATF16949体系建设咨询方面；企业综合管理体系整合建设咨询）方面；企业客户要求体系建设咨询方面，以及各类管理培训如5S、JIT、APQP、PPAP、FMEA、MSA、SPC、QFD、DOE、质量成本分析、各类管理体系内审员培训等方面，作出了行业不同凡想的绩效，并得到了受咨询或培训企业（单位）的好评。
    企业要生存和发展，就需要考虑层出不穷的各种风险，除了，还有贸易战、供应链产品断供，网络攻击，人员流失，收入下降。当中断产生的时候，有效的业务连续性管理能抵御措不及防的攻击。
我国正处在公共安全事件易发、频发和多发期，维护公共安全的任务重要而艰巨。随着工业化、信息化、城镇化、市场化和国际化快速推进，各种变革调整速度之快、范围之广、影响之深前所未有。公共安全问题总量居高不下，复杂性加剧，潜在风险和新隐患增多，防控难度加大，给公共安全工作提出新的挑战。虽然我国公共安全核心技术：风险评估与预防、监测预测预警、应急处置与救援、综合保障的总体水平已处于国际集团，超越发展中国家水平，与国际水平差距的整体趋势在缩小，但与国际水平仍有约十年的差距。相对于国际水平，我国公共安全技术水平已形成领跑、并跑、跟跑，三跑并行的基本格局，但绝大部分还处于跟跑状态。与国家相比，我国基础研究成果向优势技术转化的能力较弱，技术竞争还处于劣势；引领和支撑国家公共安全治理体系与治理能力现代化的科技创新体系尚待健全。
　　因此，健全公共安全体系，全面提升公共安全保障能力，构建安全保障型社会是重大而紧迫的历史使命。
　　健全公共安全体系必须依靠创新。贯彻实施创新驱动发展的国家战略，大力推进公共安全保障的思路理念、体制机制、方法措施和技术装备创新，充分发挥科技创新在全面创新中的支撑和引领作用，实现国家公共安全治理体系和治理能力的现代化。“十三五”期间，公共安全的科技创新将力图在以下三方面取得突破：一是构建、立体化公共安全网技术体系。面向国家公共安全保障的突出问题和重大需求，重点围绕共性基础科学问题、安全信息系统、社会安全综合治理、生产安全、城镇安全、重大基础设施安全、抵御和应对自然灾害、公共卫生安全、生物安全、农产品食品药品安全等方面的关键科技瓶颈问题开展研究和应用示范，建立公共安全风险评估、预防准备、监测预警、态势研判、救援处置、综合保障等关键环节的公共安全风险防控技术体系。二是构建标准化的公共安全应急技术装备体系。针对突发事件应对中人员救护和现场处置薄弱的问题，围绕公共安全应急的关键装备和应急服务，开展基础科学问题、共性关键技术、技术标准化和产业化等研究，研发出一批标准化、体系化、成套化的应急技术装备，服务于提升应急保障能力和培育形成新的应急产业经济增长点。三是建设代表国家水平，世界的国家实验室等不同类型研究基地。其中包括：能在实验室中再现公共安全事件灾害性耦合作用，再现承灾载体破坏，导致次生、事件及事件链过程的大型试验基地；能对公共安全装备和产品进行检验和测试的检测认证中心；能对公共安全事件发生、发展和应对处置全过程进行动态模拟仿真、情景构建推演、态势研判、优化决策、指挥跟踪的专题数据库和显示系统。

ISO22301业务连续性认证经典的RPO和RTO
RPO：恢复点目标，是指业务系统所允许的灾难过程中的大数据丢失量，用来衡量容灾系统的数据冗余备份能力。为使活动能力恢复进行，而必须将该活动所用的信息恢复到某时间点。
RTO：恢复时间目标，是指信息系统从灾难状态恢复到可运行状态所需的时间，用来衡量容灾系统的业务恢复能力。
如今，灾难以多种形式出现。破坏、盗、遗失或自然灾害都会使企业的应用程序崩溃并破坏其数据。在理想的情况下，企业的数据保护基础设施可以立即在故障点时间恢复所有的应用程序和数据。
企业可以立即切换故障应用程序，并连续复制其数据以实现接近零的损失。但是这些操作耗费资源并且很昂贵。实际上，IT部门需要根据预算、资源和应用优先级来设置不同的恢复时间和恢复点目标。
人们将这两个目标称为恢复时间目标(RTO)和恢复点目标(RPO)。它们是相关的，并且这两者都是应用程序和数据恢复所必需的。它们也是不同用途的度量指标。
以下讨论一下它们是什么，它们的相似之处和不同之处，以及为什么需要分析应用程序的优先级来平衡资源和应用程序的可用性。
一、定义RTO和RPO
(1)RTO：恢复时间目标
RTO指的是应用程序可以中断或关闭多少时间而不会对业务造成重大损害。有些应用程序可能会停机数天而不会产生严重的后果。而一些高优先级的应用程序只能停下来几秒钟，否则将会让企业和客户难以应对，并导致业务丢失。
RTO不仅仅是业务损失和恢复之间的持续时间。这个目标还包括IT部门必须采取的步骤来恢复应用程序及其数据。如果IT已经投入高优先级应用程序的故障转移服务，那么它们可以在几秒钟内安全地表达RTO(IT部门必须恢复本地环境，但由于应用程序正在云中进行处理，因此IT部门可能需要一些时间)。
企业的RTO任务是根据优先级和潜在业务损失对应用程序进行分类，并相应地匹配企业的资源。例如，接近零的RTO的典型计划将需要故障转移服务。4小时RTO允许从裸机恢复开始进行本地恢复，并以完整的应用程序和数据可用性结束。对于8小时以上的RTO，IT团队可以与本地系统集成商签署维护合同。
(2)RPO：恢复点目标
恢复点目标是指企业的损失容限：在对业务造成重大损害之前可能丢失的数据量。该目标表示为从丢失事件到近一次在前备份的时间度量。
如果以定期计划的增量备份全部或大部分数据，那么在坏的情况下，企业将丢失的数据。对于某些应用来说，这是可以接受的，对于其他人来说并不是这样。
例如，如果企业的应用程序具有4小时RPO，那么备份和数据丢失之间的大间隔时间将为4小时。拥有4小时的RPO并不一定意味着企业将失去4小时的数据。例如一个文字处理应用程序在午夜停止运行并在凌晨出现故障，那么可能没有丢失太多(或任何)数据。但是如果一个任务繁忙的应用程序在上午10点关闭并且直到下午2点才恢复，那么企业可能会失去4个小时的高价值并且可能无法替代的数据。在这种情况下，需要进行更加频繁的备份，以便访问特定于应用程序的RPO。
这取决于应用优先级，单个RPO的范围通常为、12小时、8小时、4小时。以秒为单位测量到接近零。只要对生产系统的影响小，8小时以上的RPO就可以利用现有的备份解决方案。4小时的RPO将需要计划的快照复制，而接近零的RPO将需要连续复制。在RPO和RTO都接近于零的情况下，将连续复制与故障转移服务结合使用，以实现接近的应用程序和数据可用性。
二、RTO和RPO如何相似以及不同的原因
(1)RTO和RPO的几个特征
恢复时间和恢复点目标因应用程序和数据优先级而异。即使是规模和实力强的公司也不能为所有应用程序提供接近零的RTO或RPO，也不应该这样做。
确保正常运行时间(RTO)和没有丢失数据(RPO)的方法是投资连续数据复制功能的故障转移虚拟环境。
IT优先处理应用程序和数据以匹配所实现的RTO和RPO的申请流程。请注意，优先事项不仅取决于收入，还取决于风险。企业可能不经常使用应用程序，但如果其数据受到管制，那么数据丢失可能会导致巨额罚款。
RTO和RPO均以时间为单位进行测量。对于RTO来说，其度量标准是应用程序失败和包括数据恢复在内的完整可用性之间的时间量。RPO也以时间单位来衡量。度量标准是数据丢失和前一次备份之间的时间间隔。对于RTO和RPO来说，其应用程序/数据优先级可直接转换为更短的时间单位。
(2)RTO和RPO的目标存在巨大的差异
尽管它们有相似之处，但RPO和RTO服务于不同的目标。RTO涉及应用程序和系统，但主要描述应用程序停机时间的限制。
RPO主要与失败事件后丢失的数据量有关。但是，损失数十万美元的客户交易将是灾难性的后果。

通过实施ISO 22301业务连续性管理体系，帮助了很多企业在面临突发事件时的业务可持续。一个个鲜活的案例，引起了更多企业对业务持续管理的关注，将ISO22301这一国际标准推向了前所未有的高度。
      ISO22301:2019，业务连续性管理体系，是国际标准化组织发布的管理体系标准，其中规定了计划，建立，实施，操作，监视，审查，维护和持续改进文档化管理的需求预防，减少发生，为破坏性事件做好准备，做出响应并从破坏性事件中恢复的系统。它旨在适用于所有组织或其部分，无论组织的类型，规模和性质如何 。
      作为基于高阶结构 (HLS) 的 ISO 标准，它有着与现在许多其他国际公认的管理体系标准（如，ISO 9001 质量管理以及 ISO/IEC 27001 信息安全管理）保持一致的坚实基础。
      通过实施ISO 22301业务连续性管理体系，帮助了很多企业在面临突发事件时的业务可持续。一个个鲜活的案例，引起了更多企业对业务持续管理的关注，将ISO22301这一国际标准推向了前所未有的高度。
     ISO22301:2019，业务连续性管理体系，是国际标准化组织发布的管理体系标准，其中规定了计划，建立，实施，操作，监视，审查，维护和持续改进文档化管理的需求预防，减少发生，为破坏性事件做好准备，做出响应并从破坏性事件中恢复的系统。它旨在适用于所有组织或其部分，无论组织的类型，规模和性质如何 。

ISO22301灾备系统备份的业务连续性
     顾客及相关方要求和期望越来越高，企业所面临的外部环境和内部环境在不断变化，市场竞争越来越激烈，法律法规越来越严格，传统的不良观念-缺乏改革与创新，运行成本在不断增加，不良的运行质量所造成的影响和危害，提品和服务中的风险没有得到有效识别和管理。没有有效地建立和实施管理体系，其他问题带来的挑战......
      中国当前的主要矛盾：日益增长的美好生活需要和不平衡、不充分的发展之间的矛盾。社会责任好比一把大伞，推动组织的可持续发展。
       ISO22301于2012年发布，并于2019年发布了修改性标准。
灾备行业里经常能够听到备份、容灾、灾难恢复、业务连续性等等概念，说的好像都是差不多的事情，那它们具体有什么区别呢？
       备份（Backup）
       备份其实很好理解，就是将你的文件或者数据复制一份到另外一个地方。假设你把C盘的文件复制了一份到D盘，当C盘的文件损坏之后，你就可以将D盘的文件副本再拷贝回来，这个就是恢复（Restore）的过程。
有的时候，你C盘的这个文件要编辑很久，例如在一周内你每天都编辑完后复制一份到D盘，以V1、V2、V3…… V7 的方式来给文件进行重命名，由于你坚持不懈的复制，那么当你的C盘文件损坏的时候，你就可以恢复V1~V7之间的任意版本，V1~V7的这些文件就是你备份产生的多个副本了。一般情况下，灾备软件会使用时间来标记你的文件或数据副本。
       容灾（Disaster Tolerance）
       容灾，其实就是指能够容忍灾难的能力。对于IT系统来讲，要容忍的灾难类型就包括地震、洪水等自然灾害；软硬件故障；网络或病毒攻击；人为蓄意破坏或者误操作等等。容灾能力建设的主要目的，就是在上述灾难发生的时候，能够保证生产业务系统的不间断运行。当然，各种技术方案都有一定的缺陷，要做到百分百的不间断一般是不太现实的，但不遗余力的帮助你的业务系统在更短的时间恢复，丢失的数据更少，这个就是各个灾备产品追求的目标了，这也是业界关注的RTO和RPO指标。
       来举个例子，假设你正在奋笔疾书自己的毕业论文，论文放在了云盘上，你在自己的笔记本上每编辑一下，更新的数据都会同步到云盘上。
       笔记本因为已经用了四年，当你论文完成到99%的时候，一阵白烟从键盘冒了出来……但是你并不担心你的毕业论文丢失了，因为云盘有你论文的备份，你只需要用舍友的设备登录云端就能重新编辑。
在这个过程中，你的电脑损坏就是一个灾难事件，云盘系统就可以认为是一种容灾系统（当然云盘的主要功能不是这个），它可以帮助你在很短的时间内继续你的业务（写毕业论文）。对于一个组织，一家企业来讲，业务系统要复杂得多，如何保证业务系统可以快速拉起而不产生数据丢失，影响生产，就是一个系统又的工程了。
       容错（Fault Tolerance）
       大多数重要的计算机应用程序需要一个包括多个冗余组件的设计。这种容错设计通常包括硬件、软件、电源备份，以及网络故障安全措施。容错是一种确保计算机应用程序在发生灾难性故障时仍能正常工作的设计。
接着举例：比如存储你毕业论文的云盘的后端存储有个节点突然损坏了，你担心你的论文在云盘上丢失。但是云盘发布公告说因为云盘后端存储做了3副本的数据冗余，一个节点损坏并不会丢失数据，论文还保存在云端。
上海赛学企业管理有限公司是从事ISO22301业务连续性管理咨询、产品认证咨询和企业项目托管的机构。我们拥有了一批现代管理知识和不同背景的国家注册咨询师、和大学教授。我们致力于国际标准和管理咨询的研究及应用，曾为众多企业提供过管理服务。我们聘请上海交通大学、复旦大学、华东师范大学、上海二工业大学、浙江农林大学的教授来公司授课和，在管理理论动向，培训及案例研讨等方面进行深入广泛的交流。我们坚信“学习是一种”“学习是一种信仰”。

上海赛学企业管理有限公司是从事企业管理咨询，管理体系认证咨询（ISO9000认证咨询、ISO14000认证咨询、ISO/TS16949认证咨询等），认可监督会和上海市质量技术监督局批准成立的认证咨询机构号为CNCA-Z-02-2012-099)、产品认证咨询和企业项目托管的专业机构。我们拥有了一批极具现代管理知识和不同专业背景的资深国家注册咨询师、资深专家和大学教授。我们致力于国际标准和管理咨询的研究及应用，曾为众多企业提供过管理服务。我们聘请上海交通大学、复旦大学、华东师范大学、上海第二工业大学、浙江农林大学的教授来公司授课和指导，在管理理论新动向，培训及案例研讨等方面进行深入广泛的交流。我们坚信“学习是一种态度”“学习是一种信仰”。