论文部分内容阅读
BCM不是一项单一的技术,而是由业务自身驱动的综合技术、管理的系统工程。BCM是一个一体化的动态管理流程,它必须根据情况适时更新并保持有效。
业务持续性管理(BCM)是一套一体化的管理流程,能够对潜在的灾难加以辨别分析,帮助企业确定可能发生的冲击对企业运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来损失,在冲击发生的前、中、后期采取相应的措施,使其对业务的影响最小化。BCM能够为企业提供业务中断及恢复的战略和操作层面的框架。
总的来说,BCM涵盖了危机管理、风险管理、灾难恢复、设施管理、供应链管理、质量管理、安全管理、知识管理、应急管理、沟通和公关、人力资源管理、环境管理等内容。值得注意的是,BCM不是一项单一的技术,而是由业务自身驱动的综合技术、管理的系统工程。
BCM的生命周期
BCM是一个一体化的动态管理流程,它必须根据情况适时更新并保持有效。其生命周期可用以下六个阶段来描述。(如图1所示)
第一阶段:BCM项目管理
确定业务持续管理过程的需求,向高级管理层汇报并获得高级管理层的批准;建立一个BCM指导委员会和危机管理小组(CMT),确定角色和职责、机构的类型以及成员;制定BCM项目计划和预算;协调和组织管理BCM项目,使其符合时间和预算的限制;制定BCM程序管理的有关规定、标准和指导方针,以对项目进行有效评估、控制和审计,使BCM项目管理贯穿整个BCM过程。
第二阶段:熟悉和理解业务
明确业务目标,识别关键业务流程,以及业务流程得以实现的关键因素;进行风险分析(RA),识别可能造成关键业务中断的灾难、具有负面影响的事件等因素,可控的风险与控制范围以外的风险,确定由这些风险可能造成的直接经济损失;确定业务系统的弱点,明确防范控制风险种类的技术和管理措施;确定业务中断的影响程度,进行业务冲击分析(BIA),识别关键业务以及业务的优先级,识别由于业务中断造成的直接和间接后果,确定可以接受的损失范围,关键业务恢复的优先顺序以及恢复时间目标(RTO),如图2所示。
第五阶段:建立并形成BCM文化
确定意识培养和培训的目标,制定针对管理层、关键岗位、新员工岗前和现有员工意识培养计划,提供专业会议和课程、出版物和相关的互联网站点等各种类型的培训项目,建立对机构人员进行意识培养和技能培训的项目,将BCM融入常态管理,以使业务持续性计划能够得到制定、实施、维护和执行。
第六阶段:计划演练、维护和审计
预先对计划和计划间的协调性进行演练,评估和记录计划演练的结果,检验企业的BCM能力及水平,并不断改进,确保BCM及水平保持着有效及实用性且符合业务的要求。通过与适当标准的比较来验证BCM的效率,并使用简明的语言报告验证结果。
成为国际通用规则
从国际成功经验来看,那些及时引入BCM、BCP的企业和机构,之所以能够在灾难事件面前处乱不惊、化险为夷,主要在于它们能够借助先进的业务持续管理解决方案,有效地保护其核心业务的持续运行。时至今日,BCM、BCP已成为应对危机事件的国际通用规则。
目前国际上关于业务持续管理的专业机构有国际应急管理者协会(IAEM)、业务持续协会(Business Continuity Institute,BCI)、灾难恢复协会(Disaster Recovery Institute,DRI)和突发事件规划者协会(ACP)。已经建立了业务持续管理专业机构的国家和地区包括:英国、澳大利亚、奥地利、比利时、加拿大、丹麦、爱尔兰、德国、希腊、以色列、日本、马来西亚、新西兰、俄罗斯、新加坡、南非、荷兰、泰国、美国、墨西哥和西印度群岛等。
同时,经过业务持续管理专业机构的努力和各国政府的大力支持,国际上已经制定出了成型的BCM标准和具体的行业规范。在许多国家,如英国,拥有行之有效的业务持续管理计划已经成为企业上市的基本要求;在美国,企业法对业务持续管理的具体措施也有明确的要求;美国联邦储备委员会(BOARD)、财务部金融管理局(OCC)和政权交易委员会(SEC)等机构对美国金融行业的灾难备份建设制定了相应的指南、管理条例和公告。在新加坡,已经拥有若干个业务持续管理的标准流程和规范,例如新加坡金融管理局已经制定了SS507标准、新加坡标准/生产力和创新局的TR19标准、新加坡中央银行的MAS BCM规范。2008年4月,英国标准委员会向全球发布了BS 25999 BCM标准。这些标准和规范皆为BCM的应用打下了良好的基础,便于相关企业和机构参照遵循。
国内尚停留在灾难恢复
BCM当前在中国的认知程度和发展现状,仍然是由信息技术部门的推动扩展开来的。从专业范围来看,BCM的发展阶段经历了从数据恢复(DR)、业务恢复(BR)到业务持续性(BC)等多个阶段。从发展历程来看,BCM正在从以往的对物理设施的数据保障,逐步发展到涉及办公场所、人员安置、社会环境等多个层面的应急响应,以保障业务持续性为重点,对业务及其支撑体系实现动态建设和动态管理。所以说在发达国家实施的是全方位的业务持续性管理,而在发展中国家包括我国尚停留在灾难恢复的单一层面。
目前,我国银行、保险、证券、税务、海关、民航、铁路、电力、电信、能源等行业在不同程度地加强灾备和灾难恢复方面的建设,并完成BCM机制的部分要素。值得称道的是,海关总署走在了全国的前列,为我国推进BCM积累了宝贵的经验。
2004年,中国信息化推进联盟BCM专业委员会(CBCM)在京成立,为推进BCM在我国的发展搭建了一个开放的信息交流及互动的平台,它标志着我国推进业务持续管理工作进入到一个新的阶段。
当然,我国推进BCM还有很长的路要走,与国外发达国家相比有很大的差距。但是,我们坚信随着我国经济快速、持续的发展和信息化建设的推进以及企业业务对IT依赖程度的逐步加深,BCM理念和方法必将从重要信息系统逐步扩展到重点行业、国有大型企业、500强企业和千万家中小企业,并且由此带动BCM培训、咨询、运营及外包服务等业务的快速发展,营造一个巨大的BCM市场。
链接:国内外信息系统灾难事件一览
信息系统遭到损坏带来的灾害不是血淋淋的,但是同样触目惊心。之所以如此,是因为信息化已经成为我们生活中不可缺少的一分子。
国外
计算机故障事件:2007年5月27日,全日本航空公司办理国内航班登记手续的计算机系统出现故障。此次故障造成114个航班被取消,176个航班被延误,4.3万名乘客出行受到影响。
银行系统故障事件:2006年5月11日,日本最大美资银行花旗银行出现持续一周的重大交易系统故障,约27.5万宗公用事业款项的交易遭重复扣数,或在完成交易后未有更新月结纪录。
航空系统故障事件:2007年8月11日,美国洛杉矶机场海关电脑出现故障,包括乘客姓名和犯罪记录在内的部分数据系统发生瘫痪,造成到港乘客无法入境。
国内
银行系统故障事件:2007年8月16日,由于利息税下调,加上新基金同时发行等因素,中国工商银行计算机系统压力骤增,京、沪、穗三地系统处理业务缓慢或无法处理。
航空系统故障事件:2003年7月4日,首都机场离港系统因发生设备故障而瘫痪93分钟,无法为旅客办理登机手续。
业务持续性管理(BCM)是一套一体化的管理流程,能够对潜在的灾难加以辨别分析,帮助企业确定可能发生的冲击对企业运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来损失,在冲击发生的前、中、后期采取相应的措施,使其对业务的影响最小化。BCM能够为企业提供业务中断及恢复的战略和操作层面的框架。
总的来说,BCM涵盖了危机管理、风险管理、灾难恢复、设施管理、供应链管理、质量管理、安全管理、知识管理、应急管理、沟通和公关、人力资源管理、环境管理等内容。值得注意的是,BCM不是一项单一的技术,而是由业务自身驱动的综合技术、管理的系统工程。
BCM的生命周期
BCM是一个一体化的动态管理流程,它必须根据情况适时更新并保持有效。其生命周期可用以下六个阶段来描述。(如图1所示)
第一阶段:BCM项目管理
确定业务持续管理过程的需求,向高级管理层汇报并获得高级管理层的批准;建立一个BCM指导委员会和危机管理小组(CMT),确定角色和职责、机构的类型以及成员;制定BCM项目计划和预算;协调和组织管理BCM项目,使其符合时间和预算的限制;制定BCM程序管理的有关规定、标准和指导方针,以对项目进行有效评估、控制和审计,使BCM项目管理贯穿整个BCM过程。
第二阶段:熟悉和理解业务
明确业务目标,识别关键业务流程,以及业务流程得以实现的关键因素;进行风险分析(RA),识别可能造成关键业务中断的灾难、具有负面影响的事件等因素,可控的风险与控制范围以外的风险,确定由这些风险可能造成的直接经济损失;确定业务系统的弱点,明确防范控制风险种类的技术和管理措施;确定业务中断的影响程度,进行业务冲击分析(BIA),识别关键业务以及业务的优先级,识别由于业务中断造成的直接和间接后果,确定可以接受的损失范围,关键业务恢复的优先顺序以及恢复时间目标(RTO),如图2所示。
第五阶段:建立并形成BCM文化
确定意识培养和培训的目标,制定针对管理层、关键岗位、新员工岗前和现有员工意识培养计划,提供专业会议和课程、出版物和相关的互联网站点等各种类型的培训项目,建立对机构人员进行意识培养和技能培训的项目,将BCM融入常态管理,以使业务持续性计划能够得到制定、实施、维护和执行。
第六阶段:计划演练、维护和审计
预先对计划和计划间的协调性进行演练,评估和记录计划演练的结果,检验企业的BCM能力及水平,并不断改进,确保BCM及水平保持着有效及实用性且符合业务的要求。通过与适当标准的比较来验证BCM的效率,并使用简明的语言报告验证结果。
成为国际通用规则
从国际成功经验来看,那些及时引入BCM、BCP的企业和机构,之所以能够在灾难事件面前处乱不惊、化险为夷,主要在于它们能够借助先进的业务持续管理解决方案,有效地保护其核心业务的持续运行。时至今日,BCM、BCP已成为应对危机事件的国际通用规则。
目前国际上关于业务持续管理的专业机构有国际应急管理者协会(IAEM)、业务持续协会(Business Continuity Institute,BCI)、灾难恢复协会(Disaster Recovery Institute,DRI)和突发事件规划者协会(ACP)。已经建立了业务持续管理专业机构的国家和地区包括:英国、澳大利亚、奥地利、比利时、加拿大、丹麦、爱尔兰、德国、希腊、以色列、日本、马来西亚、新西兰、俄罗斯、新加坡、南非、荷兰、泰国、美国、墨西哥和西印度群岛等。
同时,经过业务持续管理专业机构的努力和各国政府的大力支持,国际上已经制定出了成型的BCM标准和具体的行业规范。在许多国家,如英国,拥有行之有效的业务持续管理计划已经成为企业上市的基本要求;在美国,企业法对业务持续管理的具体措施也有明确的要求;美国联邦储备委员会(BOARD)、财务部金融管理局(OCC)和政权交易委员会(SEC)等机构对美国金融行业的灾难备份建设制定了相应的指南、管理条例和公告。在新加坡,已经拥有若干个业务持续管理的标准流程和规范,例如新加坡金融管理局已经制定了SS507标准、新加坡标准/生产力和创新局的TR19标准、新加坡中央银行的MAS BCM规范。2008年4月,英国标准委员会向全球发布了BS 25999 BCM标准。这些标准和规范皆为BCM的应用打下了良好的基础,便于相关企业和机构参照遵循。
国内尚停留在灾难恢复
BCM当前在中国的认知程度和发展现状,仍然是由信息技术部门的推动扩展开来的。从专业范围来看,BCM的发展阶段经历了从数据恢复(DR)、业务恢复(BR)到业务持续性(BC)等多个阶段。从发展历程来看,BCM正在从以往的对物理设施的数据保障,逐步发展到涉及办公场所、人员安置、社会环境等多个层面的应急响应,以保障业务持续性为重点,对业务及其支撑体系实现动态建设和动态管理。所以说在发达国家实施的是全方位的业务持续性管理,而在发展中国家包括我国尚停留在灾难恢复的单一层面。
目前,我国银行、保险、证券、税务、海关、民航、铁路、电力、电信、能源等行业在不同程度地加强灾备和灾难恢复方面的建设,并完成BCM机制的部分要素。值得称道的是,海关总署走在了全国的前列,为我国推进BCM积累了宝贵的经验。
2004年,中国信息化推进联盟BCM专业委员会(CBCM)在京成立,为推进BCM在我国的发展搭建了一个开放的信息交流及互动的平台,它标志着我国推进业务持续管理工作进入到一个新的阶段。
当然,我国推进BCM还有很长的路要走,与国外发达国家相比有很大的差距。但是,我们坚信随着我国经济快速、持续的发展和信息化建设的推进以及企业业务对IT依赖程度的逐步加深,BCM理念和方法必将从重要信息系统逐步扩展到重点行业、国有大型企业、500强企业和千万家中小企业,并且由此带动BCM培训、咨询、运营及外包服务等业务的快速发展,营造一个巨大的BCM市场。
链接:国内外信息系统灾难事件一览
信息系统遭到损坏带来的灾害不是血淋淋的,但是同样触目惊心。之所以如此,是因为信息化已经成为我们生活中不可缺少的一分子。
国外
计算机故障事件:2007年5月27日,全日本航空公司办理国内航班登记手续的计算机系统出现故障。此次故障造成114个航班被取消,176个航班被延误,4.3万名乘客出行受到影响。
银行系统故障事件:2006年5月11日,日本最大美资银行花旗银行出现持续一周的重大交易系统故障,约27.5万宗公用事业款项的交易遭重复扣数,或在完成交易后未有更新月结纪录。
航空系统故障事件:2007年8月11日,美国洛杉矶机场海关电脑出现故障,包括乘客姓名和犯罪记录在内的部分数据系统发生瘫痪,造成到港乘客无法入境。
国内
银行系统故障事件:2007年8月16日,由于利息税下调,加上新基金同时发行等因素,中国工商银行计算机系统压力骤增,京、沪、穗三地系统处理业务缓慢或无法处理。
航空系统故障事件:2003年7月4日,首都机场离港系统因发生设备故障而瘫痪93分钟,无法为旅客办理登机手续。