业务连续性管理讲义

*,LOGO,Your site here,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Gary Liu,业务持续管理,（,BCM,）,概述及应用,V3.0,中国信息化推进联盟,BCM,专业委员会（,China BCM,，,CBCM,）,2004,年,7,月成立，是中国目前唯一权威的,BCM,组织机构，至今已有委员,50,多人及会员单位,20,多家,致力于中国,BCM,的应用推广、人才培养、及标准制定,促成了与,DRII,的合作,中国,BCM,专业委员会,3,11,，,000,人已被认证（截至,2010,年,1,月底）,遍布,95,个国家,培训在,45,个国家开展,DRI China,是大中华地区,DRII,唯一授权机构,包括香港，澳门和台湾地区,真正全球化,DISASTER RECOVERY INSTITUTE INTERNATIONAL,a non-profit organization,BC,行业手屈一指的职业教育和资质认证组织,主要内容,灾难事件及其损失和挽救,解决灾难问题的理论和方法,BCM,相关概念解释,BCM,的知识体系（,10,个国际最佳惯例）,BC,计划编制方法论（,8,个步骤）,业务恢复的生命周期（,6R,模型）,BCM,中的各种计划,BCM,在企业中的应用,BCM,给企业带来的好处,国内外相关法规和标准、以及相关组织机构,BCM,在灾难恢复建设中的应用,何为“,BCM,（业务持续管理）”,？,“,B,”,Business,，具有价值的活动,“,C,”,Continuity,，持续活动的保障,“,M,”,Management,，提供保障的方法,几乎人人都有“,BC,”需求,工作中的“,BC,”需求,生活中的“,BC,”需求,“,BCM,”方法是保护我们正常生活和工作的必备手段,BCM,离我们有多远？,2008,年,5.12,汶川大地震,2008,年南方大雪,2009,年,7.5,新疆暴乱,2009,年台风莫拉克,2005,年卡特里娜飓风,2001,年,911,恐怖袭击,灾难事件回顾,灾难的损失与挽救,灾难事件,死亡人数,直接经济损失,保险赔偿,社会捐赠,汶川地震,近,9,万人,超过,1,万亿元,共计约,16,亿元人身：,9.6,亿元（,60%,）财产：,6.4,亿元（,40%,）,760,亿元,911,恐怖袭击,3,千多人,450,亿美元,共计约,400,亿美元人身：,48,亿美元（,12%,）财产：,352,亿美元（,88%,）,（其中：,停业保险为,110,亿美元,责任保险为,100,亿美元）,22,亿美元,卡特里娜飓风,1,千多人,1250,亿美元,共计约,600,亿美元,13,亿美元,政府救援,救援的主力军（消防、武警、军队、医疗、应急机构等）,主要是针对人员和财产的抢救,用于基础设施重建的赈灾资金,社会捐赠,已成为重要的救助力量,保险赔偿,赔偿占损失的比例太小（反映了保险意识淡薄）,财保赔偿占总赔偿比例偏小（受大型自然灾害赔偿限制）,缺乏停业保险、责任保险等与企业经营相关的险种,企业自救,缺乏有效的预案和方法，能力较弱,缺乏系统的科学方法（,BCM,不够普及）,我国目前的救灾模式,英国,CMI,的,2010,年,BCM,调查报告,58%,造成组织停业的是气候。第一次取代,IT,79%,被访经理在过去,12,个月里启动,BC,计划并有效地减少了中断造成的冲击,54%,被访者报告应用远程工作的方式应对中断,企业的自律是,BCM,的主要驱动力,自律（,38%),商业,/,客户（,31%,）,潜在客户（,21%,）,政府要求（,21%,）,合同（,16%,）,33%,的指导来自专业机构，,28%,来自自己,27%,有专项资金，,48%,没有,72%,说,HR,是内部,BCM,的相关者,解决灾难问题的理论和方法,风险管理（,RM,）：风险的分析、预防和控制,主要用于风险的预防,危机管理（,CM,）：危机事件的演变和处理,主要用于事件的处理,应急管理（,EM,）：突发事件的应对和处理,主要用于公共事件的应对,灾难恢复（,DR,）：信息系统的恢复（,DRP,是,BCP,的一部分）,主要用于数据和信息系统的保护,业务持续管理（,BCM,）：灾难中企业的生存,确保在预定的时间内恢复业务运行,综合运用了以上各种方法,11,原因,vs.,影响,风险评估,对原因的判断,(,风险,),确认威胁,(,设施,环境，气候，地质地貌，人为，商务，技术，等等）,建议减小措施,发生的可能性,采取措施的成本,BCM,对影响进行处理,当防范及减小措施失去作用,准备,组织架构,计划，资源，检验,执行,搬迁,特殊情况下的运营,减少已知的危险,减小冲击后的影响,风险管理,vs.,业务持续管理,Business Continuity is,NOT,business as usual,所谓业务持续就是,不仅,要使业务功能在,灾难后,能得到全面恢复，,还要,确保,关键业务功能,在,中断或灾难事件中,，能够,迅速地,恢复持续运行,业务持续的实质,灾难的含义,灾难（,Disaster,）,的一般定义,一个突发的、非计划的,、,能够导致重大伤害或损失的严重,的,不幸事件,灾难,对企业的含义,突发事件造成企业关键业务功能（或流程）的中断时间超过企业最大可容忍的程度,通常由恢复时间目标（,RTO,）值作为判定是否是灾难的依据,通过评估，当预计关键业务功能的中断时间将大于预定的,RTO,值，则视为灾难发生，应该启动相应的预案和计划,业务功能或应用系统恢复到其最低可接受的程度,业务功能或应用系统以最新的正确数据运行,时间,中断点,业务功能或应用系统从中断点恢复到其最低可接受的程度所需的时间，从而使中断产生的冲击最小化。,恢复时间目标（,RTO,）,恢复时间目标（,RTO,）,事前防,控,事后重建,事中应对,项目启动与管理,风险评估和控制（,RA,）,业务冲击分析（,BIA,）,制定业务持续策略,应急响应和措施,编制和贯彻执行业务持续计划,认知和培训计划,维护及演练业务持续计划,危机沟通,与外部机构的协调,10,个国际最佳专业惯例,确定,BC,计划编制的需求,获得高管层的支持,建立,BCM,组织及责任,明确,BCM,项目的范围,确定计划编制时间表,识别可能的不利事件和威胁,信息的收集和分析方法,确认可能的风险和损害,确定应采取的控制措施,对所采取的措施进行评价,确认中断对业务的冲击,定量及定性地衡量冲击,确认关键业务功能和流程,确定优先级别和互依赖性,确定,RTO,及,RPO,根据,RA,和,BIA,的结果制定策略,包括企业级策略和部门级策略,进行成本效益分析,选择最佳的策略,制定和贯彻应急响应程序,使事件发生后的情形得到稳定,建立和管理,EOC,将,BC,程序与应急响应程序相集成,确定计划编制的要求,确定计划的结构和形式,编制业务持续计划,贯彻执行业务持续计划,建立计划分发和控制程序,确定认知与培训的目标,制定各种认知与培训计划,开发认知与培训的方法和工具,确认其他教育机会,设计和协调,BC,计划的演练,评价演练结果,制定维护更新,BC,计划的流程,验证,BC,计划的有效性,以简明的方式报告结果,制定和演练危机沟通计划,与各利益相关者的沟通,与外部机构、媒体的沟通,建立与外部机构协调的流程,制定与外部机构的演练程序,业务冲击分析,策略制定,认知与培训,测试与演练,风险分析与评估,BC,计划,计划编制,计划维护,项目规划,BC,计划编制,的生命周期,BC,计划编制,的,8,个步骤,减小（,Reduce,）,响应（,Respond,）,恢复（,Recover,）,重启（,Resume,）,重建（,Restore,）,返回（,Return,）,事件发生之前,预防和控制措施,做好应对准备,事件发生期间,应急响应和损失评估,恢复关键功能,重启业务运行,事件稳定之后,重建永久站点,返回正常运行,业务恢复的,6R,模型,进行损失评估，判断是否灾难？,满足条件：,宣布灾难,几分钟或几小时之内,几小时或几天之内,几周或几月之内,预防,事件,Respond,响应,Reduce,减少、降低,Recover,恢复,Resume,重启,风险管理，危机管理，应急管理,Restore,重建,Return,返回,业务恢复的生命周期,时间线,既要避免反应迟钝，也要避免反应过度！,事前,事中,事后,应急与业务持续,预防和准备,事前,事后,返回正常运行,时间,业务运行,能力,应急响应,计划,业务恢复,计划,灾难恢复,计划,重建,/,返回,计划,风险减小,计划,危机管理计划,非常态运行,（满足,RTO,要求）,可容忍的最低,业务运行能力,事件发生,启动危机管理中心，进行指挥、控制和沟通,减小风险，,避免中断，,或使中断影,响最小化,确保关键业务,的持续运行,恢复后备场地,和技术设施,重建永久,(,原,),场地，,返回正常运行,挽救生命,和财产,设立,EOC,进行损失,评估,RTO,事中,100%,BCM,中的各种计划,灾后重建,(,Restore,),(,Return,),安全管理,（,Reduce,）,灾难恢复,（,Recover,）,业务持续,（,Resume,）,事件响应,（,Response,）,企业的,BCM,规划,相应的预案和计划,重建,/,返回计划,安全防控计划,灾难恢复计划,业务持续计划,应急响应计划,业务持续管理,指导方针和框架,BCP,Preparedness,02-,22,高管层的重视和支持,组建完善的,BCM,组织机构,人员、资金和资源的保障,指定拥有适当权力的业务部门代表参与,相关人员应具备全面的业务持续管理知识,任命有能力的,BC,项目经理,因为时间所限，所以该经理必须具有很强的项目管理能力,专心致志和高度的责任感,BCM,成功的决定因素,BCM,在企业中的应用,应用的主要方面,整个企业的应急管理,针对,IT,的灾难恢复（,DRP,）,建立完善的危机管理组织机构,确保高管层的参与和支持,明确各部门的职责，确保全体员工的积极参与,制定企业应对灾难的完整预案,既关注人员和财产的挽救，也注重业务的持续,建立分级响应机制，完善控制事件全过程的各项预案,将,DRP,集成到,BCP,之中,DR,只是手段，,BC,才是本质,确保预案和计划的贯彻实施和维护更新,制定认知和培训计划，提高员工防灾救灾的意识和能力,不断地对预案和计划进行测试演练和维护更新,将,BCM,理念融入企业的文化中,供应链,案例,March 17,2000 Ericsson vs.Nokia,10 Minute Fire in Albuquerque Philips Microchip Plant,Pre Fire Ranking,Nokia(32%),Ericsson(12%),On July 20,2000,Ericsson reported that the fire and,component shortages,had caused