当前位置:金融信息化 > 正文
连载②‖业务连续性——标准的理解

  鉴于许多业务连续性的专业人士并未彻底地了解应用戴明循环或PDCA(计划、执行、检查和改进)改进要求中定义的ISO 22301、ASIS SPC.1:2009以及NFPA 1600标准通过的管理系统,本章将讨论如何在业务流程的输入和输出中应用PDCA(也被称为休哈特循环),产生形成业务连续性或组织恢复能力管理系统依据的风险管理结果。同时也将就如何制定标准进行讨论,提醒读者,上述公认的标准仅为建立一个有效、可持续并允许进行持续改进的体系所需提供的要素,而不是实现的“方法”。  

  本文节选自《从准备到灾难恢复——基于标准的业务连续性管理》

  要点

  ·ISO和ANSI标准之间的区别

  ·ISO执行过程方法

  ·如何在业务连续性管理体系中应用戴明循环

  ·标准的架构

  ·标准要求的概述

  为解决各种规模和类型组织的需要,业务连续性标准提供可审核标准,帮助确保业务连续性规划能力能够在灾难性事件发生期间和之后顺利完成相关工作。这些标准主要用来配合企业内部可能已经建立的类似标准和管理系统。

  一、ISO执行过程方法

  许多ISO标准,包括22301和ASIS SPC.1:2009都是采用过程方法的管理体系。ISO将流程定义为一组把输入转化为输出的相互关联或相互作用的活动,其目的是提高组织实现目标的效率。过程方法是指在一个组织内应用过程系统,包括对这些过程的识别和相互作用以及它们的管理,最终产生期望的结果。

  过程的类型包括:

  •组织管理。例如策略规划、制定政策、目的和目标、确保沟通、资源和持续改进。

  •资源管理。这些过程涉及到为实现组织目标提供必要的资源。

  •实现过程。更稳定、可靠地提提供业务成果的过程。

  •测量、分析和改进过程。包括效用分析、趋势和不断改进的流程。

  ISO标准实施过程方法使用的步骤包括:

  •确认组织过程。确定达到预期产出所需要的步骤,这些过程的顺序以及他们如何与其他过程相互作用。为了有效做到这一点,必须确定、了解内外部客户(利益相关者)的需求,并形成文件。同时,还应确定过程负责人。

  •过程规划。明确过程内的活动以及如何对过程执行进行监测和测定,确定资源需求,并确认该过程的特点与组织的目标相一致。

  •过程的实施和测量。按照计划执行、控制和测量过程。

  •过程分析。将过程执行量化,与其目标和期望进行比较。过程改进由管理层确定并报告给管理层。

  •纠正措施和过程改进。需要进行修正时,再确定过程改进的方法。可根据戴明循环进行改进。

  二、如何在业务连续性管理体系中应用戴明循环

  ASIS使用计划、执行、检查和改进(PDCA)来“构建组织恢复能力(OR)过程”,并将其作为组织恢复能力管理系统,利用输入和使用PDCA来促成符号标准要求的“风险管理结果”。ISO22301的内容也类似,着重将标准(连续性管理要求)和利益相关方(ASIS用“利害关系人”一词替代)作为输入,产生满足其需求的业务连续性成果。ISO的管理标准采用PDCA模型,使管理人员明确如何建立业务连续性管理体系的要素,更好地管理组织中存在的风险。

  PDCA是一个四步骤循环过程,通常用于业务流程改进和决策。其也被称为戴明轮、戴明循环或戴明环,在1920年由Walter Shewhart在贝尔实验室制定。Shewhart对统计质量和过程控制方面具有较大的贡献,同时也是一名工程师和物理学家。他根据假说、实验和评估的科学方法,创造了休哈特循环,由此产生计划、执行和检查。

  1、计划(在ASIS版本中,则为建立,即建立管理体系)

  ISO 22301描述“计划”为根据组织的方针和目标,建立业务连续性政策、目标、指标、控制、流程和程序。ASIS则将管理风险和提高安全性、事故预防、响应、连续性和恢复方面的要素纳入“计划”的定义中。

  所有程序最开始都必须进行输入,以进入规划阶段。输入可以来源于一个从属或上游过程的输出(经过经验丰富的业务连续性管理人员认可)、根本原因分析、对标和达标的结果,或者来自流程映射等。新循环迭代的开始也可作为输入。确认问题或差距,以及调查或制定策略来确定要求和目标。若可以,确定过程负责人,包括他们的责任和建立问责制,资源需求和产出或客户要求。

  2、执行(实施和操作)

  执行(实施)在计划阶段确定的流程。大多数传统的业务连续性计划步骤都集中在这一环节中。制定好准备、响应和缓解方案,进行风险和运营影响分析(BIA),制定和实行连续性策略和资源,并记录此阶段所制定的计划。

  某些过程的执行可能涉及一个独立的PDCA循环。例如,根据计划,确定需要进行运营影响分析,但当涉及到运营影响分析的实施时,其实只需进行规划和执行(当然,检查和改进)就行。

  3、检查(监督和审核)

  管理顾问Peter Drucker说过:“如果你无法衡量它,那么你就无法管理它。”针对目标、目的或已执行流程的优良成果制定指标,跟踪执行情况(审核),并定期向管理层报告进度。上述内容意味着不能只检查是否已执行过程。可制定主要执行指标、资源配置、管理审核、调查、测试、数据分析、热图和图表,由此确定支持管理风险控制和其他活动的可操作趋势和数据等。

  当目标实现进度不及预期或期望,了解原因,并制定改进计划(“制定改进计划”可设在“改进”环节中)。所学过程类型将决定最适宜的指标。

  4、改进(保持和完善)

  ASIS定义“改进”为根据内部管理体系审核和管理评审的结果,采取纠正和预防措施,以实现管理体系的持续改善。ISO 22301也对此进行了规定。

  在该环节中,可以解决在“检查”环节中发现的差距(监督和完善)或进一步完善工作状态尚佳的内容。如果一切如预期运行,将其作为程序,并保持检查。如果纠正措施无效,且无法持续,考虑放弃这些程序或重复PDCA循环(或制定更好的纠正措施)。

  由于循环会一直持续,PDCA是一个反复的过程,从而保证了一个过程或整个体系的持续改进,并通过在先前迭代中积累的知识和经验,达到一个更完善的状态。

  PDCA在策略层面上用于确定业务连续性管理体系的全面建立,而在战术层面上则用于体系内的每一个环节。ISO标准设有条款和分单元。在策略层面上,ISO 22301的主标题(建立业务连续性管理体系的高层次措施)与PDCA组成部分(表2.1)一致。

  为了说明PDCA如何在实践中发挥作用,考虑ISO22301要求高层管理人员任命一名或多名主管人员,这些人员有权力和责任执行和保持业务连续性管理体系。同时也要求组织确定在业务连续性管理体系中负有责任的人员需要具备多少能力,接受多高水平的教育和培训以及拥有多少经验来满足这一要求。这也适用于系统内的合同工作人员。指导或职业发展可以用来实现适当水平的竞争力,但对于所采取的行动,必须评估其有效性。当然,必须记录所有证明能力的证据。PDCA可用在战术层面上,来聘请业务连续性管理系统管理人员(表2.2)。

  三、回顾

  ISO标准由主题专家技术委员会在确定行业需要标准后制定。他们提供可审核准则,帮助确保业务具备连续性规划能力,能够实现在灾难性事件发生期间和之后顺利完成相关工作。为解决各规模和类型的企业需求,ISO22301和ASIS SPC.1-2009用于配合组织内可能已经建立的类似标准和管理系统进行使用。ASIS SPC.1-2009和NFPA1600都属于ANSI标准。ISO22301、ASIS和NFPA1600都为共识标准。

  管理体系是指“用来确保组织执行一切所需的任务,实现一系列业务目标的过程和程序的框架。”戴明轮或戴明环(PDCA)是一个循环的四步骤过程,通常用于业务流程改进和决策,用于指导管理人员建立业务连续性管理系统的要素,以便更好地管理组织中存在的风险。PDCA在策略层面上用于确定业务连续性管理体系的全面建立,在战术层面上则用于体系内的每一个环节。ISO标准设有条款和分单元。所有的过程以输入开始,以输出结束。

  PDCA使用这些投入,生产符合标准要求的风险管理结果(图2.1)。

  ISO和ASIS标准的第0-3条不包含制定业务连续性管理体系的要求。ISO22301,在遵循PDCA的情况下,制定其余的内容(4-10)。改内容规定了建立一个业务连续性或组织恢复能力管理体系所需的内容,但并未就如何实现这些内容进行说明。

  ASIS标准阐明了许多与ISO22301相同的要求,也更直接地说明了其制定业务连续性管理体系(其表达为:组织恢复能力管理体系)的方法,同时,更注重威胁和风险情景中风险的处理。

  NFPA1600:2010年和2013PDCA和持续改进模式一致,但“塑能权力”等术语和其它相似的要求可能不适用。

  图2.1业务连续性管理人员招聘案例(戴明轮)

相关链接:

作者: 来源:金融时代网 发布时间:2017-12-01 05:36:14
 
 
  我要发表留言  查看所有评论
 

*
 限制字数显示剩余字数,最大长度: 500 还剩: 500
用户名:
       尊重网上道德,承担一切因您的行为而直接或间接导致的民事或刑事法律责任