当前位置:金融信息化 > 正文
连载①‖业务连续性——定义与沿革

  业务连续性管理是针对过程的可持续性进行的管理;该可持续性过程,是指确定一个组织的关键功能并制定策略,使这些功能继续发挥作用而不被中断,或减少因这些功能产生的业务中断或损失而造成的影响。在业务连续性管理的发展过程中,其相关学科的观点和技能也得以发展,最终促使其成为当前的形式。在这两大观点中,一个推崇军事化的应急管理,即严格遵守灾害管理流程,进行场所应急管理;另一个则从数据中心方面入手,纯粹专注于信息技术的内部恢复。两者相结合,形成了业务连续性计划的现状。

  正式的业务连续性计划(BCP)是一个相对较新的概念,此概念中,将其发展归因于企业与政府对技术扩张越来越强的依赖。当数据系统或生产中断,对利益相关者、员工和社会造成损失时,对企业的影响是有据可循的。这些影响来自信息技术、消防和应急管理、安全和执法、风险和保险管理领域的专业人员以及“9·11”事件后临危受命的政府官员所提出的观点。业务连续性管理接受了他们的许多想法,但也有专业人士认为,他们的做法,会阻碍行业发展。

  2001年9月11日对业务连续性的影响

  由于纽约市和华盛顿特区袭击造成3000多人死亡,共计产生约402亿美元的保险费用,且恐怖分子意图毁灭美国的经济,因此,美国于2002年签署国土安全法案;并根据该法第17条建立了国土安全部。开始将其大部分重点从防灾规划转移到恐怖主义应对中。这些机构制定了《全国响应组织》和《全国灾难恢复组织》。

  “9·11”袭击过后,许多应急和业务连续性管理人员,甚至是安全专家,都认为该事件是不可预测的。但对公开参考资料进行简单的研究后表明,其实人们完全可以预测袭击的方式,而唯一得到的教训是:我们不曾吸取教训。

  一、定义

  早期的定义强调的是建立一个计划,而不是一个业务连续性管理计划。有些管理人员还是混淆业务连续性计划与简单的紧急行动计划。

  ISO22301对业务连续性的定义为“组织在遭受破坏性事件后仍可继续提供可接受水平的产品或服务的能力”,而对业务连续性管理的定义则为“可识别组织面临的潜在威胁和当威胁发生时对业务运营可能产生的影响,提供一个指导性框架来建立组织恢复能力,使组织能够作出有效响应,保障其关键利益相关者的利益、组织的声誉、品牌及其创造价值的活动的一体化管理流程”。该定义最大程度地削弱了“本身并不创造价值的活动可能是一个价值创造活动的前提”这一观点,使得可考虑的空间变小,服务只能或者将要降至低水平,

  NFPA1600将业务连续性定义为“确保采取必要措施来识别潜在损失的影响,保持可行的恢复策略、恢复计划和服务连续性的一个持续过程。”虽然没有明确对业务连续性管理进行定义,但其随后描述“连续性”为“包括支撑实体恢复能力的业务连续性、运营连续性(COOP)、操作连续性、继任计划和管理持续性。”继任计划,指挑选组织内部晋升的候选人的流程,但对于一个经验丰富的业务经理可能有不同的含义。

  ASISSPC.1:2009标准同样表示连续性是指组织在经管理层事先批准后,计划和实现在可接受预定水平进行持续运营的条件、状态和事件的策略和战术能力。其将灾难定义为一个“引起极大损害或损失的事件”,业务连续性不是一个项目不要与政府规划的连续性混淆。

  二、沿革

  1、应急管理

  应急管理指负责制定框架的管理功能,该框架中,降低社会在灾害中的脆弱性,并能够应对灾害。其也被定义为一个主要涉及用于保护组织的重要资产不受导致诸如灾害或灾难事件的危险的损害,并保证组织在其计划的时限内具有恢复能力的策略性组织管理流程的跨学科领域。

  宏观层面上,从灾难计划和响应的政府角度来看,应急管理主要解决造成业务中断的地震、飓风和洪水等事件。它是合格人员对社会中已知的危险和风险进行计划和准备,并在这些危险和风险发生时协调响应和恢复管理的过程。

  2、数据中心

  数据中心始创了业务连续性这一概念,通常由数据中心管理人员指定IT 部门的技术人员来编制备份程序和制定灾后恢复数据中心操作的指令。而除了自己所在的部门,这些早期的规划人员几乎不了解任何企业知识或关注焦点。这项任务通常被看作是一个项目,而非一个持续性过程。

  因此,术语“灾难恢复”应运而生。管理人员认识到其组织越来越依赖于数据。在20世纪70年代中期,灾难恢复服务,热站厂商开始出现。商业热站是指帮助客户在丢失其数据中心的情况下占据的一个位置,该位置上计算机系统和工作区随时待命。

  早期的数据中心恢复计划和规划资源表明计划应根据单独的危害、灾害或紧急事件制定。当时专家们建议“必须针对一组特定突发事件建立响应机制” ,笼统地称为情景规划。检查这些计划可以发现,不同原因导致的事后恢复任务,往往有80%是相同的。如今,场景和每个中断场景的计划列表已经明显落伍,但一些近期的标准似乎仍然需要这样的列表。

  3、保险与风险管理

  保险业早已认识到灾害对其业务的影响,并采取措施强制客户降低风险并为此向其提供帮助。受保风险的很大部分是灾害所致,在这一事实面前,此举尤为正确。为间接鼓励客户组织在灾后恢复或持续开展关键运营,保险公司采取的战略性举措,提供保费折扣。最近几年,这些损失控制顾问开始专注于业务连续性计划。业务连续性管理根据风险管理的框架进行定义。

  4、灾难事件

  1923年的日本关东大地震;1971年,发生在加利福尼亚圣费尔南多6.6级的地震;1982年感恩节,明尼阿波利斯Norwest金融中心发生的火灾;洛杉矶第一洲际银行发生的火灾等都说明了计划的价值或无效规划的影响,让人们开始意识到业务连续性计划的优点。1993年美国纽约世界贸易中心大楼爆炸事件的后果也让人看到了业务连续性计划带来的作用。

  5、业务连续性组织和认证

  1988年,国际灾难恢复协会成立,为首批业务连续性专业机构之一,旨在促进其成员的知识和培训。该协会通过采用道德准则,以及引进公共知识体系,建立了标准规划方法的基准。20世纪90年代初,其他组织包括业务连续性协会(BCI),应急规划师协会以及业务恢复管理人员协会都采用此基准。

  国际灾难恢复协会和业务连续性协会根据自己的专业实务和新标准要求管理业务连续性从业人员的测试和认证。内容分为四项,即经验、教育背景、考核和专业参考/验证。认证包括:

   (1)认证业务连续性专家(CBCP);

  (2)主业务连续性专家(MBCP);

  (3)认证业务连续性审计师(CBCA);

  (4)通过业务连续性协会(CBCI)认证;

  专业认证证明持证人的知识和能力已达到专业水平,且通过认证,合格人员可确保自己成功就业。在新员工的工作描述中,专业认证证明也往往是一个必要的元素。

  6、标准

  标准指一套正式的规则或规范,此规则或规范建立可用作比较依据,例如内外部组织进行审核的规定。它试图编纂现有惯例,并保证程序的可行性、质量和可靠性。同时,推动通用性和一致性的实现,有助于确保方案到位。

  (1)美国国家防火学会1600

  1991年,美国国家防火学会开始准备建立应急管理标准,并随后出版《灾害事故/紧急应变管理及营运持续计划标准》。该标准最初为推荐做法,之后则称为《美国国家标准学会标准》。该标准原本针对应急管理和响应社区,包括经营方针,并强调使用事件指挥系统。

  (2)英国国家标准25999

  英国国家标准协会和国际业务持续协会在2003年联合制定了官方标准:《公用规范》。该标准最初为指导文件,在2006年替换为《英国国家标准25999》。《公用规范》和《英国国家标准25999 1/25999 2》不仅对制定计划所要经历的必要步骤进行规定,还包含针对业务连续性计划管理的要素。

  (3)ASIS SPC.1:2009

  为创造国际标准组织可接受的一个新标准,美国工业安全世界协会在2009年根据BS25999制定了《组织恢复能力 安保、防备以及连续性管理系统 使用指南的要求》。根据该标准,其采用过程方法来建立组织的复原力管理体系。“一个组织必须确认和管理许多活动,以有效地发挥作用。任何利用资源和尝试将输入转化为输出的活动都可以被视为一个过程。通常,从一个过程中产生的输出将直接形成下一个过程的输入。组织内处理系统的应用,加上这些过程的识别和重复及其管理,可以被称为一个过程办法”。

  (4)ISO22301

  在2012年发布的ISO 标准22301 《社会安全 营运持续管理体系 要求》规定了其方向为制定和管理一项称为业务连续性管理系统的程序。其配套指导文件ISO22313则提供了有关如何最好地执行ISO22301要求的信息。以防备、应对破坏性事件并在事后进行恢复的要求进行了规定。ISO22301中规定的要求是通用的,意在供所有组织使用,不管这些组织的类型、规模和性质。而这些要求的应用范围取决于企业的经营环境和复杂性。社会安全系列的其他标准包括:

  ISO22323:社会安全 组织恢复能力管理体系

  ISO22397:社会安全 建立公共私营伙伴关系指南

  ISO22398:社会安全 练习和测试指南

  ISO22320:社会安全 应急管理 事件响应要求

  (5)其他标准

  首个整合风险管理原则之一的澳大利亚业务连续性标准AS/NZS5050:2010以及新加坡业务连续性标准是目前使用的其他共识标准。

  许多标准(尤其是ASIS和NFPA)含有附录,有助于执行标准中的要求,并在大多数情况下,用来作为制定业务连续性方案的依据。

  三、业务连续性管理前景

  同业务连续性计划的历史一样,它的定义经过发展,能够反映不同的利益相关者的视角。早期的定义强调的是建立一个计划,而不是一个业务连续性管理计划。

  在专业人士、标准和高级管理层的推动下,把业务连续性管理理念作为策略和运营管理职能融入到组织的各个领域中。现下,有相当多组织的高级管理人员知道业务连续性工作的存在,但对相关方案或自己在指导和控制破坏性事件响应中的职责却是茫然不知。如果程序管理得当,则高级管理人员密切参与该方案进程、其策略和目标以及影响其业务连续性的风险状况。越来越多的人开始意识到独立规划工作的价值其实不及此前预期的高。

相关链接:

·青岛银行:以知识图谱构建智能CRM
·云计算未来之争:公有云、私有云还是混合云?
·伍旭川:迎接金融科技的新风口——智能投顾
·人民币国际化正呈现哪些新趋势?
·金融科技的全球格局与中国机遇
·手机支付10大陋习 极易导致资金被盗!
·同是探索新零售 高鑫和阿里为何要在此时结盟?
·连平:创新型国家建设呼唤科技金融支持

作者:金融时代编辑部 来源:金融时代网 发布时间:2017-11-24 02:52:15
 
 
  我要发表留言  查看所有评论
 

*
 限制字数显示剩余字数,最大长度: 500 还剩: 500
用户名:
       尊重网上道德,承担一切因您的行为而直接或间接导致的民事或刑事法律责任