资源描述
*,LOGO,Your site here,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,2019年12月11日星期三4时19分28秒,#,业务持续管理()概述及应用,V3.0,中国信息化推进联盟专业委员会(,),2004年7月成立,是中国目前唯一权威的组织机构,至今已有委员50多人及会员单位20多家,致力于中国的应用推广、人才培养、及标准制定,促成了与的合作,中国专业委员会,3,11,000 人已被认证(截至2010年1月底),遍布95个国家,培训在45个国家开展,是大中华地区唯一授权机构,包括香港,澳门和台湾地区,真正全球化,a,行业手屈一指的职业教育和资质认证组织,主要内容,灾难事件及其损失和挽救,解决灾难问题的理论和方法,相关概念解释,的知识体系(10个国际最佳惯例),计划编制方法论(8个步骤),业务恢复的生命周期(6R模型),中的各种计划,在企业中的应用,给企业带来的好处,国内外相关法规和标准、以及相关组织机构,在灾难恢复建设中的应用,何为“(业务持续管理)”?,“B”,具有价值的活动,“C”,持续活动的保障,“M”,提供保障的方法,几乎人人都有“”需求,工作中的“”需求,生活中的“”需求,“”方法是保护我们正常生活和工作的必备手段,离我们有多远?,2008年5.12汶川大地震,2008年南方大雪,2009年7.5新疆暴乱,2009年台风莫拉克,2005年卡特里娜飓风,2001年911恐怖袭击,灾难事件回顾,灾难的损失与挽救,灾难事件,死亡人数,直接经济损失,保险赔偿,社会捐赠,汶川地震,近9万人,超过1万亿元,共计约16亿元人身:9.6亿元(60%)财产:6.4亿元(40%),760亿元,911恐怖袭击,3千多人,450亿美元,共计约400亿美元人身:48亿美元(12%)财产:352亿美元(88%),(其中:,停业保险为110亿美元,责任保险为100亿美元),22亿美元,卡特里娜飓风,1千多人,1250亿美元,共计约600亿美元,13亿美元,政府救援,救援的主力军(消防、武警、军队、医疗、应急机构等),主要是针对人员和财产的抢救,用于基础设施重建的赈灾资金,社会捐赠,已成为重要的救助力量,保险赔偿,赔偿占损失的比例太小(反映了保险意识淡薄),财保赔偿占总赔偿比例偏小(受大型自然灾害赔偿限制),缺乏停业保险、责任保险等与企业经营相关的险种,企业自救,缺乏有效的预案和方法,能力较弱,缺乏系统的科学方法(不够普及),我国目前的救灾模式,英国的2010年调查报告,58%造成组织停业的是气候。第一次取代,79%被访经理在过去12个月里启动计划并有效地减少了中断造成的冲击,54%被访者报告应用远程工作的方式应对中断,企业的自律是的主要驱动力,自律(38%),商业/客户(31%),潜在客户(21%),政府要求(21%),合同(16%),33%的指导来自专业机构,28%来自自己,27%有专项资金,48%没有,72%说是内部的相关者,解决灾难问题的理论和方法,风险管理():风险的分析、预防和控制,主要用于风险的预防,危机管理():危机事件的演变和处理,主要用于事件的处理,应急管理():突发事件的应对和处理,主要用于公共事件的应对,灾难恢复():信息系统的恢复(是的一部分),主要用于数据和信息系统的保护,业务持续管理():灾难中企业的生存,确保在预定的时间内恢复业务运行,综合运用了以上各种方法,11,原因.影响,风险评估 对原因的判断(风险),确认威胁(设施,环境,气候,地质地貌,人为,商务,技术,等等),建议减小措施,发生的可能性,采取措施的成本,对影响进行处理,当防范及减小措施失去作用,准备,组织架构,计划,资源,检验,执行,搬迁,特殊情况下的运营,减少已知的危险,减小冲击后的影响,风险管理.业务持续管理,所谓业务持续就是不仅要使业务功能在灾难后能得到全面恢复,还要确保关键业务功能在中断或灾难事件中,能够迅速地恢复持续运行,业务持续的实质,灾难的含义,灾难()的一般定义,一个突发的、非计划的、能够导致重大伤害或损失的严重的不幸事件,灾难对企业的含义,突发事件造成企业关键业务功能(或流程)的中断时间超过企业最大可容忍的程度,通常由恢复时间目标()值作为判定是否是灾难的依据,通过评估,当预计关键业务功能的中断时间将大于预定的值,则视为灾难发生,应该启动相应的预案和计划,业务功能或应用系统恢复到其最低可接受的程度,业务功能或应用系统以最新的正确数据运行,时间,中断点,业务功能或应用系统从中断点恢复到其最低可接受的程度所需的时间,从而使中断产生的冲击最小化。,恢复时间目标(),恢复时间目标(),事前防控,事后重建,事中应对,项目启动与管理,风险评估和控制(),业务冲击分析(),制定业务持续策略,应急响应和措施,编制和贯彻执行业务持续计划,认知和培训计划,维护及演练业务持续计划,危机沟通,与外部机构的协调,10个国际最佳专业惯例,确定计划编制的需求,获得高管层的支持,建立组织及责任,明确项目的范围,确定计划编制时间表,识别可能的不利事件和威胁,信息的收集和分析方法,确认可能的风险和损害,确定应采取的控制措施,对所采取的措施进行评价,确认中断对业务的冲击,定量及定性地衡量冲击,确认关键业务功能和流程,确定优先级别和互依赖性,确定及,根据和的结果制定策略,包括企业级策略和部门级策略,进行成本效益分析,选择最佳的策略,制定和贯彻应急响应程序,使事件发生后的情形得到稳定,建立和管理,将程序与应急响应程序相集成,确定计划编制的要求,确定计划的结构和形式,编制业务持续计划,贯彻执行业务持续计划,建立计划分发和控制程序,确定认知与培训的目标,制定各种认知与培训计划,开发认知与培训的方法和工具,确认其他教育机会,设计和协调计划的演练,评价演练结果,制定维护更新计划的流程,验证计划的有效性,以简明的方式报告结果,制定和演练危机沟通计划,与各利益相关者的沟通,与外部机构、媒体的沟通,建立与外部机构协调的流程,制定与外部机构的演练程序,业务冲击分析,策略制定,认知与培训,测试与演练,风险分析与评估,计划,计划编制,计划维护,项目规划,计划编制,的生命周期,计划编制的8个步骤,减小(),响应(),恢复(),重启(),重建(),返回(),事件发生之前,预防和控制措施,做好应对准备,事件发生期间,应急响应和损失评估,恢复关键功能,重启业务运行,事件稳定之后,重建永久站点,返回正常运行,业务恢复的6R模型,进行损失评估,判断是否灾难?,满足条件:宣布灾难,几分钟或几小时之内,几小时或几天之内,几周或几月之内,预防,事件,Respond,响应,Reduce,减少、降低,Recover,恢复,Resume,重启,风险管理,危机管理,应急管理,Restore,重建,Return,返回,业务恢复的生命周期,时间线,既要避免反应迟钝,也要避免反应过度!,事前,事中,事后,应急与业务持续,预防和准备,事前,事后,返回正常运行,时间,业务运行,能力,应急响应,计划,业务恢复,计划,灾难恢复,计划,重建/返回,计划,风险减小,计划,危机管理计划,非常态运行,(满足要求),可容忍的最低,业务运行能力,事件发生,启动危机管理中心,进行指挥、控制和沟通,减小风险,,避免中断,,或使中断影,响最小化,确保关键业务,的持续运行,恢复后备场地,和技术设施,重建永久(原),场地,,返回正常运行,挽救生命,和财产,设立,进行损失,评估,事中,100%,中的各种计划,灾后重建,(,Restore,),(,Return,),安全管理,(,Reduce,),灾难恢复,(,Recover,),业务持续,(,Resume,),事件响应,(,Response,),企业的,BCM,规划,相应的预案和计划,重建,/,返回计划,安全防控计划,灾难恢复计划,业务持续计划,应急响应计划,业务持续管理,指导方针和框架,02-22,高管层的重视和支持,组建完善的组织机构,人员、资金和资源的保障,指定拥有适当权力的业务部门代表参与,相关人员应具备全面的业务持续管理知识,任命有能力的项目经理,因为时间所限,所以该经理必须具有很强的项目管理能力,专心致志和高度的责任感,成功的决定因素,在企业中的应用,应用的主要方面,整个企业的应急管理,针对的灾难恢复(),建立完善的危机管理组织机构,确保高管层的参与和支持,明确各部门的职责,确保全体员工的积极参与,制定企业应对灾难的完整预案,既关注人员和财产的挽救,也注重业务的持续,建立分级响应机制,完善控制事件全过程的各项预案,将集成到之中,只是手段,才是本质,确保预案和计划的贯彻实施和维护更新,制定认知和培训计划,提高员工防灾救灾的意识和能力,不断地对预案和计划进行测试演练和维护更新,将理念融入企业的文化中,供应链,案例,17,2000 .,10,(32%),(12%),20,2000,a$200 .$400,10.5 ,140 .,35 27 .,案例-网络灾难恢复,().a ,30,.,在911时,11,2001,.12.48 .,案例-美国奔驰,1999年9月弗洛伊德风暴袭击美国东部沿海。造成严重的风害和水灾。,在现实中的检验,当赛特河堤决口后,地区的一百万多万用户的电话服务中断。,奔驰客户服务热线在其通讯系统部分受影响的情况下,当机立断,启动计划,将受影响的服务转移到热备点。,6小时后,全面恢复受影响的业务。,增强企业应对灾难的能力,预防潜在的威胁,保护人员的生命安全,使企业的业务中断和损失最小化,最大程度地减小数据的丢失、收入的损失、客户的流失,增强投资者、股东和消费者的信心,维护企业的形象和信誉,完善企业的日常经营管理,提高企业的信誉和竞争力,增强企业的合规性,有助于不断地发现业务运行中存在的问题,完善管理措施及改善业务流程,给企业带来的利益,25999 英国标准,1600 美国消防协会规范和标准1600,关于灾难/应急管理与业务持续规划的标准(),540(19)&507 新加坡标准,萨班斯-奥西利法案(2002),关于上市公司内审与控制的法案(美国),要求所有上市公司保存数据五年以上,规定高管层必须在90天内完成内部控制的有效性评价并提交报告,要求企业必须在48小时内清楚准确地报告财务状况和经营中的重大变化,这就要求财务监控措施应该高度自动化,新巴塞尔协定(巴塞尔银行监督委员会于2001年发布),关于金融机构风险管理和资本最低限的要求,相关国际标准和指南,中国相关法律法规,2003,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号),即27号文件,2004,关于加强国家重要信息系统灾难备份工作的意见,2005,国信办针对八大行业(银行,电力,铁路,民航,证券,保险,海关,税务)发布的重要信息系统灾难恢复规划指南,2007,国信办发布重要信息系统灾难恢复指南,2007,重要信息系统灾难恢复指南升级为国标信息系统
展开阅读全文