无论是新冠疫情还是地震、海啸等自然灾害，给企业业务连续性带来巨大冲击的往往是突发事件。危机中的业务连续性管理生命周期可以分为事前、事中和事后三个阶段。其中，事中又可以分为初期和中后期两个阶段。
     在危机发生之前，企业的业务连续性管理主要是进行预防，减少危机发生对业务的不连续性冲击。在危机发生之后的初期，企业通常要在几分钟或几小时之内快速实现应急响应，随后开始进行运营恢复和关键业务重启。在危机后期，企业需要着重进行业务结构的重建，并力争早日恢复整体业务，返回危机前的良好状态

     以下介绍几个值得关注的术语及其变化：
     业务连续性管理(business continuity management)
     ISO 22301：2019将“业务连续性管理”移出，ISO 22313：2020 3.1和ISO 22300：2021 3.1.20将其定义为“实施和保持业务连续性的过程”(process of implementing and maintaining business continuity)，ISO 22301：2012 3.4将其定义为“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运营带来影响的一整套管理过程，该过程为建立有效响应能力的组织韧性提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动”(holistic management process that identifies potential threats to an organization and the impacts to business operations those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability of an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities)。

      两个版本的定义基本一致，业务连续性管理是实施和保持业务连续性的一整套管理过程，它使组织为应对可能妨碍实现其目标的中断做好准备，很明显，新版本的定义更简洁、明确。
活动(activity)和优先活动(prioritized activity)
     ISO 22301：2019 3.1将“活动”定义为“具有确定输出的一个或多个任务的集合”(set of one or more tasks with a defined output)，ISO 22301：2012 3.1将其定义为“由组织(或其代表)为生产或支持一个或多个产品和服务而执行的过程或一组过程”(process or set of processes undertaken by an organization (or on its behalf) that produces or supports one or more products a)d services)。对于ISO 22301：2012版定义中涉及的术语“过程”，ISO 22301：2019 3.26和ISO 22301：2012 3.40均定义为“将输入转化为输出的相互关联或相互作用的一组活动”(set of interrelated or interacting activities which transforms inputs into outputs)。

      也就是说，在ISO 22301：2012中，过程是“……的一组活动”，活动是“……的过程或一组过程”，过程和活动形成了一条“吞食自己尾巴的蛇”，让人很难理解。而在ISO 22301：2019中，过程是“……的一组活动”，活动则是“……一个或多个任务的集合”，“过程-活动-任务”形成了一个明确的分级结构(事实上，APQC PCF流程分类分级模型就包含该结构)，术语活动(activity)的变化为业务识别建立了确定的基础。

      ISO22301：2019 3.25将优先活动定义为“为避免中中断期间对业务造成不可接受的影响而采取紧急措施的活动”(activity to which urgency is given in order to avoid unacceptable impacts to the business during a disruption)，ISO 22301：2012用的是“prioritized activities”，并将其定义为“事件发生后为了减轻影响必须执行的活动”(activities to which priority must be given following an incident in order to mitigate impacts)，并在注释中指出，描述此类活动的常用术语包括：紧要的(critical)、必要的(essential)、重要的(vital)、紧急的(urgent)和关键的(key)。新版本的定义，强调“中断期间”、“对业务不可接受的影响”和“采取紧急措施”，与新版本的其它部分保持一致，并更能反映优先活动的本质内涵。

       业务连续性计划(business continuity plan)
       ISO22301：2019 3.4将“业务连续性计划”定义为“指导组织响应(respond to)中断并重续(resume)、恢复(recovery)和还原(restore)交付与其业务连续性目标一致的产品和服务的成文信息”(documented information that guide an organization to respond to a disruption and resume, recover and restore the delivery of products and services consistent with its business continuity objectives)，ISO 22301：2012 3.6将其定义为“指导组织响应、恢复、重续和还原到中断后预定运行水平的成文程序”(documented procedures that guide organizations to respond, recover, resume, and restore to a pre-defined level of operation following disruption)，并在随后的注释中指出，业务连续性计划通常包括确保关键业务功能的连续性所需的资源、服务和活动。

       也就是说，在ISO22301：2019中，业务连续性计划是“……的成文信息”；而在ISO 22301：2012中，业务连续性计划是“……的成文程序”，随后注释又指出它包括“……资源、服务和活动”。我们知道，业务连续性计划并不只是成文程序，很明显，两个定义差异并不太大，但ISO 22301：2019版的定义更简洁、清晰，用词也更准确。

       业务影响分析(business continuity impact)
       ISO22301：2019 3.5和ISO22300：2021 3.1.24将“业务影响分析”定义为“分析随时间推移中断对组织的影响的过程”(process of analysing the impact over time of a disruption on the organization)，并在其后的注释中指出“其结果是业务连续性要求的陈述和理由”(the outcome is a statement and justification of business continuity requirements)。ISO 22301：2012 3.8将其定义为“分析活动和业务中断可能带来的影响的过程”(process of analyzing activities and the effect that a business disruption might have upon them)。比较这两个版本的定义，明显，ISO 22301：2019版的定义更简洁、明确。

       事件(incident)、事态(event)
      ISO22301：2019 3.14将“事件”定义为“可能导致中断、损失、突发事件或危机的事态”(event that can be, or could lead to, a disruption, loss, emergency or crisis)，ISO 22301：2012 3.19将其定义为“可能导致中断、损失、突发事件或危机的情况”(situation that might be, or could lead to, a disruption, loss, emergency or crisis)。因为事态(ISO 22300：2021 3.1.96 event)也是一个基础性的术语，这个变化将“事件”明确为“可能导致……的事态”，建立起二者的联系。

      中断(disruption)、突发事件(emergency)和危机(crisis)
      ISO22301：2019 3.10和ISO22300：2021 3.1.75将“中断”定义为“造成产品和服务的期望交付相对于组织目标非计划负偏离的事件，无论是预期的还是非预期的”(incident, whether anticipated or unanticipated, that causes an unplanned, negative deviation from the expected delivery of products and services according to an organization's objectives)，这是ISO 22301：2019新增的术语，明确了“中断”是“造成……的事件”。

      ISO22300：2021 3.1.87将“突发事件”定义为“突然的、紧急的、通常是意料之外的事情或需要立即采取行动的事态”(sudden, urgent, usually unexpected occurrence or event requiring immediate action)，并在注释中指出“突发事件一般是一种中断事件，或通常可以预见或准备、但很少能准确预测的情况”(an emergency is usually a disruption or condition that can often be anticipated or prepared for, but seldom exactly foreseen)。

      ISO22300：2012 3.1.60将“危机”定义为“即将发生突然或重大变化、需要紧急关注和采取行动以保护生命财产或环境的不稳定状态”(unstable condition involving an impending abrupt or significant change that requires urgent attention and action to protect life, assets, property or the environment)。

      综合而言，突发事件和中断事件都是事件(incident)，都可能导致危机状态。
     此外，ISO 22301：2019在资源(resource)的定义及标准正文部分明确其包括但不限于：人员，信息和数据，物理基础设施(如建筑、工作场所或其它设施和相关的公共服务)，设备和易耗品，信息和通信技术(ICT)系统，运输和物流，财务，合作伙伴和供应商。

  关键词：ISO22301认证  业务连续性体系认证  ISO22301体系认证