李斌：業務連續性屬于從業務的角度來看在貝的作用，也就是說它考慮的是任何一個安全事件對它的業務的影響，比如說有一個停電事件，如果時間長的話，很可能自己業務停頓，但是也可能是一個誤操作，會造成某一臺機器受影響，但是對整個關鍵業務影響不大。所以從不同的安全事件對于整個業務的大小要BIA，(英)這種業務能力，它就根據對業務影響最關鍵，成果最嚴重的事件采取不同的措施來保證發生這些事件的話也不至于把業務全國停用下來。比如說數據丟失的話，很可能是災難性監管，肆意在貝保存數據，很可能是我業務及時，停頓了，但是我不至于完全地恢復，我們的下一步，我發生事件的話，我不但數據不丟失，我的業務也不丟失，這就涉及到應用系統就比我們保存數據高了一級，我們的業務連續性從規劃到實施到演練到最后測試，它也是一系列的。

        記者：今天還有一個話題是關于新興國家標準的，剛才我也才知道標準是一個推薦性的標準，并不是強制性的，標準和資質之間的互相標準，資質是必需的，你必須有資質才能實施，但是標準呢?

        李斌：我先解釋一下標準，一個是強制性標準，我們一般說GB，國標的意思，后面就是標準號;一個是推薦標準，GB-T，不是說這個標準就沒有什么影響力，而是說它比強制性標準對企業的約束更多是靠最后事實的實際上去遵循，而不是事先就遵循，強制性標準在新安全的領域很少，目前來說比較典型的，一個是等級保護的標準，等級保護一系列里面只有一個標準是強制的，后續的標準也是推薦的;還有一個是我們原來的WAPI，就相當于無線接入的一個加密和安全認證方面，接入安全的標準。從國家標準工作角度來看，要慎用這種強制性標準，因為它的強制性約束比較大，標準的更新時間一般來說是有三到五年甚至更長，但是具體的一個技術發展更快。所以如果是標準本身的強制性或者把一些經常發展比較迅速的技術的話，過早地把它固化下來也不一定是個好事情。所以這個標準的制定時機是比較重要的，同時標準不斷更新。同意我們推薦性標準并不意味著這個標準不重要，比如說我們國家現在一系列的應急響應、安全事件的分級分類、風險評估還有密碼的一些標準基本上都是推薦性標準，它占絕大多數，大概是百分之八九十;最后還有一個標準叫指導性標準，叫GB-C，那是指導性的，比如說關于什么什么的指南，這個標準一樣能起到標準的規范性作用，但是它是一種指導性、建議性的標準。

         記者：幫你怎么達標的?

          李斌：對。

         記者：當年整保的時候強制性各部委費了多大勁，其實那幾年為了達標也是好長時間做那件事。

         李斌：不，標準和政策還不完全一樣，剛才是政策方面推動比較大的，但是做法是參照標準的。贊成剛才也說了達到標準花了很大勁，那個跟標準是強制的還是推薦的沒關系，不是說推薦的我們就可以輕松一點，因為是國家要求必需的。

         記者：限期整改的?

         李斌：對。

         記者：接下來在貝方面有沒有咱們細分的標準在您的規范里面?

         李斌：在貝我們國家出了一個標準。

        另一發言人：920988，安全新興系統恢復規范，這個當時我們還有測評中心一起去編制的國家標準。

        李斌：這個是還有一些跟在貝相關的標準，但是它的名字并不一定直接起名叫標準，比如說《信息安全事件分級分類的指南》這種標準，它實際上是適合我們在貝的，同時又適合應急響應的，因為你發生什么事件，我怎么去應急，在貝怎么準備，這些都是相關的。以后像在貝一方面是標準本身不斷地去更新，因為我可能說是標準的推薦，在IT領域本身就發展很快，所以到一定時間就會繼續更新。第二像有一些新技術也應用到在貝里，比如說最近的云計算。

        記者：回頭發郵件。

        李斌：我給大家寫一個郵件地址吧。

        記者：其實云計算肯定會影響到安全評測標準吧?

        李斌：對。

        記者：但是正在探討，所以可能要再過一些年。

        李斌：云計算的標準是這樣的，我們說的標準一個是直接把這個技術或者說它的框架以及涉及到哪些過程本身的相關標準，第二是云計算里面也用到了一些其他的標準，比如說SAAS，軟件集、服務之類的，還有比如說云安全，也涉及到一些密碼標準，密碼標準已經有了，它只是繼續用，標準是一個相互的，可能云計算和云計算安全有一個標準，但是標準肯定會用到其他標準，不可能把所有其他安全技術都納入，不然有測標的一大漏洞。

          記者：這個在規劃中了嗎?

         李斌：最權威的解答不在我這里，在安標委，我們信息安全標準化委員會那里。