李斌：業(yè)務(wù)連續(xù)性屬于從業(yè)務(wù)的角度來看在貝的作用，也就是說它考慮的是任何一個安全事件對它的業(yè)務(wù)的影響，比如說有一個停電事件，如果時間長的話，很可能自己業(yè)務(wù)停頓，但是也可能是一個誤操作，會造成某一臺機器受影響，但是對整個關(guān)鍵業(yè)務(wù)影響不大。所以從不同的安全事件對于整個業(yè)務(wù)的大小要BIA，(英)這種業(yè)務(wù)能力，它就根據(jù)對業(yè)務(wù)影響最關(guān)鍵，成果最嚴重的事件采取不同的措施來保證發(fā)生這些事件的話也不至于把業(yè)務(wù)全國停用下來。比如說數(shù)據(jù)丟失的話，很可能是災(zāi)難性監(jiān)管，肆意在貝保存數(shù)據(jù)，很可能是我業(yè)務(wù)及時，停頓了，但是我不至于完全地恢復(fù)，我們的下一步，我發(fā)生事件的話，我不但數(shù)據(jù)不丟失，我的業(yè)務(wù)也不丟失，這就涉及到應(yīng)用系統(tǒng)就比我們保存數(shù)據(jù)高了一級，我們的業(yè)務(wù)連續(xù)性從規(guī)劃到實施到演練到最后測試，它也是一系列的。

        記者：今天還有一個話題是關(guān)于新興國家標準的，剛才我也才知道標準是一個推薦性的標準，并不是強制性的，標準和資質(zhì)之間的互相標準，資質(zhì)是必需的，你必須有資質(zhì)才能實施，但是標準呢?

        李斌：我先解釋一下標準，一個是強制性標準，我們一般說GB，國標的意思，后面就是標準號;一個是推薦標準，GB-T，不是說這個標準就沒有什么影響力，而是說它比強制性標準對企業(yè)的約束更多是靠最后事實的實際上去遵循，而不是事先就遵循，強制性標準在新安全的領(lǐng)域很少，目前來說比較典型的，一個是等級保護的標準，等級保護一系列里面只有一個標準是強制的，后續(xù)的標準也是推薦的;還有一個是我們原來的WAPI，就相當(dāng)于無線接入的一個加密和安全認證方面，接入安全的標準。從國家標準工作角度來看，要慎用這種強制性標準，因為它的強制性約束比較大，標準的更新時間一般來說是有三到五年甚至更長，但是具體的一個技術(shù)發(fā)展更快。所以如果是標準本身的強制性或者把一些經(jīng)常發(fā)展比較迅速的技術(shù)的話，過早地把它固化下來也不一定是個好事情。所以這個標準的制定時機是比較重要的，同時標準不斷更新。同意我們推薦性標準并不意味著這個標準不重要，比如說我們國家現(xiàn)在一系列的應(yīng)急響應(yīng)、安全事件的分級分類、風(fēng)險評估還有密碼的一些標準基本上都是推薦性標準，它占絕大多數(shù)，大概是百分之八九十;最后還有一個標準叫指導(dǎo)性標準，叫GB-C，那是指導(dǎo)性的，比如說關(guān)于什么什么的指南，這個標準一樣能起到標準的規(guī)范性作用，但是它是一種指導(dǎo)性、建議性的標準。

         記者：幫你怎么達標的?

          李斌：對。

         記者：當(dāng)年整保的時候強制性各部委費了多大勁，其實那幾年為了達標也是好長時間做那件事。

         李斌：不，標準和政策還不完全一樣，剛才是政策方面推動比較大的，但是做法是參照標準的。贊成剛才也說了達到標準花了很大勁，那個跟標準是強制的還是推薦的沒關(guān)系，不是說推薦的我們就可以輕松一點，因為是國家要求必需的。

         記者：限期整改的?

         李斌：對。

         記者：接下來在貝方面有沒有咱們細分的標準在您的規(guī)范里面?

         李斌：在貝我們國家出了一個標準。

        另一發(fā)言人：920988，安全新興系統(tǒng)恢復(fù)規(guī)范，這個當(dāng)時我們還有測評中心一起去編制的國家標準。

        李斌：這個是還有一些跟在貝相關(guān)的標準，但是它的名字并不一定直接起名叫標準，比如說《信息安全事件分級分類的指南》這種標準，它實際上是適合我們在貝的，同時又適合應(yīng)急響應(yīng)的，因為你發(fā)生什么事件，我怎么去應(yīng)急，在貝怎么準備，這些都是相關(guān)的。以后像在貝一方面是標準本身不斷地去更新，因為我可能說是標準的推薦，在IT領(lǐng)域本身就發(fā)展很快，所以到一定時間就會繼續(xù)更新。第二像有一些新技術(shù)也應(yīng)用到在貝里，比如說最近的云計算。

        記者：回頭發(fā)郵件。

        李斌：我給大家寫一個郵件地址吧。

        記者：其實云計算肯定會影響到安全評測標準吧?

        李斌：對。

        記者：但是正在探討，所以可能要再過一些年。

        李斌：云計算的標準是這樣的，我們說的標準一個是直接把這個技術(shù)或者說它的框架以及涉及到哪些過程本身的相關(guān)標準，第二是云計算里面也用到了一些其他的標準，比如說SAAS，軟件集、服務(wù)之類的，還有比如說云安全，也涉及到一些密碼標準，密碼標準已經(jīng)有了，它只是繼續(xù)用，標準是一個相互的，可能云計算和云計算安全有一個標準，但是標準肯定會用到其他標準，不可能把所有其他安全技術(shù)都納入，不然有測標的一大漏洞。

          記者：這個在規(guī)劃中了嗎?

         李斌：最權(quán)威的解答不在我這里，在安標委，我們信息安全標準化委員會那里。