商业银行业务连续性管理：附录术语与定义

1.灾难（DISASTER）

由于人为或自然的原因，造成信息系统严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。通常导致信息系统需要切换到灾难备份中心运行。

——《信息安全技术 信息系统灾难恢复规范》（GB/T 20988—2007）。

2.灾难恢复（DISASTER RECOVERY，DR）

为了将信息系统从灾难造成的不可运行状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。

——《信息安全技术 信息系统灾难恢复规范》（GB/T 20988—2007）。

3.灾难恢复规划（DISASTER RECOVERY PLANING，DRP）

为了规避灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续运作所做的事前计划和安排。

——《信息安全技术 信息系统灾难恢复规范》（GB/T 20988—2007）。

4.业务连续性（BUSINESS CONTINUITY，BC）

在中断事件发生后，组织在预先确定的可接受的水平上连续交付产品或提供服务的能力

——《公共安全 业务连续性管理体系 要求》（GB/T 30146—2013/ISO 22301：2012）。

5.业务连续性管理（BUSINESS CONTINUITY MANAGEMENT，BCM）

识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动。

——《公共安全 业务连续性管理体系 要求》（GB/T 30146—2013/ISO 22301：2012）。

6.业务连续性规划（BUSINESS CONTINUITY PLANNING，BCP）

为使组织能够对事件做出响应以使关键业务功能在预计的中断程度内连续运行而预先安排措施并制定程序的过程。该规划过程的最终结果是业务连续性计划。

——International Glossary for Resiliency（2014）maintained by DRI International.

7.业务连续性计划（BUSINESS CONTINUITY PLAN，BCP）

用于指导组织在业务中断时进行响应、恢复、重新开始和还原到预先确定的业务运行水平的形成文件的程序。

注：业务连续性计划通常包括确保关键业务功能的连续性所需的资源、服务和活动。

——《公共安全 业务连续性管理体系 要求》（GB/T 30146—2013/ISO 22301：2012）。

8.风险评估（RISK ASSESSMENT，RA）

风险识别、风险分析和风险评价的整个过程。(www.xing528.com)

——《公共安全 业务连续性管理体系 要求》（GB/T 30146—2013/ISO 22301：2012）。

9.业务影响分析（BUSINESS IMPACT ANALYSIS，BIA）

分析活动和业务中断可能带来的影响的过程。

——《公共安全 业务连续性管理体系 要求》（GB/T 30146—2013/ISO 22301：2012）。

10.恢复点目标（RECOVERY POINT OBJECTIVE，RPO）

为使活动能够恢复进行，而必须将该活动所用的信息恢复到某时间点。

——《公共安全 业务连续性管理体系 要求》（GB/T 30146—2013/ISO 22301：2012）。

11.恢复时间目标（RECOVERY TIME OBJECTIVE，RTO）

事件发生后到下列活动完成之间的时间段。

——产品或服务必须恢复，或

——活动必须恢复，或

——资源必须复原。

注：对于产品、服务和活动，恢复时间目标必须小于组织不能接受的导致产品（服务）停止供应、活动无法执行等负面影响所需的时间。

——《公共安全 业务连续性管理体系 要求》（GB/T 30146—2013/ISO 22301：2012）。

12.恢复策略（RECOVERY STRATEGIES）

在应对运行中断时所采取的明确的、得到管理层批准并经过测试的一系列行动步骤。

——International Glossary for Resiliency（2014）maintained by DRI International.

13.演练（EXERCISE）

在组织中训练、评估、实践和提高绩效的过程。

注：演练可以用于验证方针、计划、程序、培训、设备和组织间的协议；对人员的角色和职责进行明确和培训；改善组织间的协调和沟通；识别资源上的差距；提升个人技能；识别改进机会；把握机会提升应变能力。

测试是演练的一种特殊类型，它包含了对正在计划的演练目标或目的中成功或失败因素的预期。

——《公共安全 业务连续性管理体系 要求》（GB/T 30146—2013/ISO 22301：2012）。