当前位置:金融信息化 > 正文
【独家】连载⑦‖如何缓解业务风险与制定业务连续性策略

  连续性和恢复策略是业务连续性管理体系的基础。根据标准,业务连续性策略必须基于业务影响分析和风险评估的结果。许多业务连续性策略实际上是应急管理的重要组成部分——缓解的一种形式。

  缓解策略和业务连续性策略之间通常存在细微的差别。缓解更直接地适用于保护组织不受灾害影响的策略,而业务连续性策略则是使组织的活动免受不同程度风险影响的策略。国际灾难恢复协会定义业务连续性策略为“由组织在灾难发生后或遭受其他重大事件或业务中断时为确保其恢复和持续能力的战略方法”。缓解是指减少或消除危害及影响人员和财产长期风险的持续行动。无法阻止危险时,就需要实施缓解策略。

  一、缓解

  缓解是应急管理的基本要素,且通常作为应急管理的第一阶段,但缓解并不是一个线性过程而是以某种形式贯穿到所有应急管理的其他要素中。缓解可以消除或大大减少组织的关键过程、产品和服务中断的可能性、持续时间和影响,使组织只需采取简单甚至无需采取缓解或恢复措施,就能提高响应和恢复的流畅性和速度。

  缓解和缓解计划虽然是应急管理循环的重要组成部分,但标准和准则都对其作出了要求。在制定缓解策略前,必须先识别危害。了解危害的性质和影响能够为缓解规划提供合理的依据。制定具有成本效益的策略,提交给管理部门审批,获取所需资金,保持系统随时可用。

  在缓解危害时,尽量合理尝试最高级别的步骤,直到上述较高水平的所有措施都已实际应用后,再选择较低等级的。这些控制措施的水平分为:消除、替换、工程控制措施、行政控制措施、个人防护装备。

  消除、替换与工程措施是最有效和最持久的控制措施,因为它们几乎不依赖人为干预或实施,但这三种措施一般成本也最高。

   消除各种危险因素是用来缓解危害的最有效的手段。排除危险因素即消除了风险的可能,不留任何潜在的伤害。

   替换是指用一个不具危险性或危险性较低的过程或物质替换有危险的方案,例如外包或使用不具毒性的化学物质来代替有毒化学品。

   工程控制是除了危险消除或危险替换以外最好的缓解形式。

   行政控制是指典型的政策和程序或监管措施,如规范和标准,包括建筑法规、土地使用证、以及疏散规程。

   个人防护装置主要通过在工人和危险之间设置某种类型的屏障,帮助确保工人的安全。个人防护装置直接安放在工作人员身上,进行保护。

  其他缓解形式包括:服务水平协议、冗余和分散、危险隔离。

  二、业务连续性策略

  业务连续性策略是构建业务连续性管理体系的核心,由功能单位负责人和业务连续性管理人员在业务影响分析访谈或在为此而召开的单独会议中共同制定。策略应经最高管理层批准。制定策略旨在持续组织关键功能的优先活动,这些策略必须:具有成本效益;在技术上是可行的;考虑业务影响分析和风险评估的结果;符合恢复时间目标、恢复点目标和最大允许停运时间;遵循计划中的任何假设;尽量减少任何日常事项的更改;不能建立不熟悉的组织结构;不需要大量的灾后培训。

  在业务影响分析中确定的差距可以转化为缓解的机会,或作为连续性策略的基础。下面建议的策略是组织主要单元常见的策略。

  (1)重要记录

  一个组织未能在灾难发生后恢复的主要原因是其业务记录的丢失。大多数有关业务连续性的规定在很大程度上涉及财务记录的保护。职能部门往往依赖于某些记录和文件来维持正常运营。因此必须保护这些记录和文件,并及时提供给通常处在备用场所的连续性小组。

  (2)会计、财务和薪资

  大多数有关业务连续性的法规主要涉及财务记录的保护,财务部门高度依赖于他们数据系统的访问。这些记录和文件必须得到保护,并使在其他场所的连续性小组能够及时获取这些记录和文件。必须及时执行转移策略,使小组实现整体或各自的恢复时间目标。策略应包括在备用场所工作,或某些情况下在家工作,以及备份数据系统的连接。

  (3)客户服务/技术支持

  持续客户或技术支持的策略在一定程度上与基础设施相关,同时也属于特定产品线的知识。如果组织内的其他地理位置不存在备用的支持中心,就应考虑在灾难发生时使用商业中心。理想情况下,应对备用中心的通信故障进行维修,保证快速和无缝连接。

  (4)设施

  设施或维护功能在连续性和恢复中起着主要和多样的作用,并且高度依赖于外部资源的使用。公用事业的供应、消防、维修、楼宇和场地的维护、保管等功能需要各种连续性和恢复策略。

  (5)人力资源

  发生灾难的情况下,人力资源策略通常注重实现每位员工的福利和继续提供人员配置的需求。一般来说,由人力资源职能部门负责向员工传达工作地关闭的相关信息,以及在业务连续性小组组长进行直接联系的基础之上,再次传达人员另行报到的相关指示。

  (6)信息技术

  信息技术(IT)由软件、硬件、基础设施及其配套环境组成。物理保护和缓解主要依靠这些要素。连续性策略,同样基于业务影响分析的结果,在很大程度上取决于使用的系统配置。服务水平协议、备用加工场所的安排和数据的及时获取成为灾难期间必不可少的恢复或连续性策略,

  IT业的恢复策略包括热站、备用或未充分利用的服务器、使用非关键服务器、复制数据中心、更换协议和转移业务到其他场所。数据政策和程序将有助于防止因用户造成的“灾难”。恢复数据系统,首先要确定关键应用程序和它们恢复的优先顺序,再找出这些应用程序的安装位置,这样就可以知道应先回复哪个服务器或系统。

  (7)保险和风险管理

  保险和风险管理的主要策略是在灾难发生前意识到存在的危险,并了解承保和赔偿的范围以更好的根据风险偏好处置风险。发生灾难后,各连续性小组应记录所有事件造成的损失和费用,向保险公司申请赔偿。

  (8)法律

  若组织中设有法律职能部门,其策略旨在持续正在处理中的诉讼,确保组织履行法规、合同及其他义务,并作为危机管理小组的顾问,解决可能会产生法律后果的问题。

  (9)生产

  持续生产的策略有很多种,且有的时候因为进行即时生产,导致库存少,增加了库存损失或供应链中断的风险,使策略难以实施。标准建议储存材料来支持优先活动,但并未限定应储存的量。管理层可能不愿意增加库存,特别是储存在不同的地点。许多高科技和生物技术处理使用的是大型设备,需要大量的资源来操作。若这些设备产生故障,需要六个月或更多的时间进行更换,且恢复其操作环境比较麻烦、耗时。在这种情况下,可采用预防和缓解作为主要策略。

  (10)公共关系

  公共关系功能旨在保护市场地位、防止公司贬值和声誉降低。组织品牌的价值往往是其最宝贵的资产。危机沟通和危机管理是公共关系职能部门的责任,因为往往它与重大事件或灾难有关,但不一定是由自然灾害或技术故障造成。危机管理遵循应急管理的规定——识别威胁后,制定并实施预防措施,如防篡改产品容器。提前编制好发布给媒体的材料和立场声明,当问题受公众关注时,由发言人作出回应、整理和传达信息,防止危机升级或尽量减少这种情况的负面影响。

  (11)采购

  采购在极大程度上依赖其数据系统,因此应制定访问其数据的IT 策略。其灾后关键功能是支持受损或损毁设备、原材料的供应和提供业务连续性服务。标准强调组织要评估其供应商的恢复能力,要求他们在所支持功能的恢复时间目标内作出响应。风险评估过程中,必须检查供应链和间接供应商面临的威胁,以及所用的适当风险处置方式,这可以通过绘制供应链来完成。

  (12)销售与营销

  销售与营销主要策略是与客户交流,预测灾后不断变化的需求,与公共关系职能部门合作,修复任何组织声誉的损害。

  通知客户组织的状况和组织预计恢复产品交付。通知渠道包括直接通知、网页、媒体新闻、甚至是社交媒体。即使组织未遭受任何中断,但接近区域性灾害发生地或当预测组织可能受灾害影响时,与客户进行交流是一项很好的策略。

  (13)电信

  即使灾后电信系统完好无损,有线和移动电话系统都会负荷过重,导致无法使用。用于电信系统的策略与IT策略非常相似,因为所使用的设备类型基本相同。若使用不同的路由,实现不同地理位置间的通信,应密切与运营商代表对此路由进行审查。移动卫星传输可供备用或作为一种不同路由。微波传输是添加校园内不同楼宇之间或跨城市连接冗余的一种方法。

  (14)备用场所

  管理转移的工作人员时,必须及时执行转移策略,使职能部门达到各自的恢复时间目标。

  三、小结

  连续性和恢复策略是业务连续性管理体系的基础,最有效的策略应在技术上可行,符合职能部门和供应链厂商的恢复时间目标,并能够尽量减少日常事项和组织结构的变化。拥有业务连续性管理方案的组织将利用高层次策略,备份信息技术能力、异地备用工作场所连接这两者。各个职能部门针对自身特定的目标和目的来实施策略,这种策略是更高层次策略的补充,其中包括重要资源的保护和恢复。大多数拥有业务连续性管理方案的组织在原数据系统产生故障或遭到破坏时都依靠应用备用数据系统这一个高层次策略。各个业务职能部门针对自己的目标和目的,来补充实施上述策略。

相关链接:

·【独家】连载⑥‖如何应对业务中存在的风险
·连载⑤‖如何确认组织风险承受能力之业务影响分析
·连载④‖浅谈业务连续性管理之应急管理的准备与响应
·连载③‖业务连续性——塑造(构建)业务连续能力
·连载②‖业务连续性——标准的理解
·连载①‖业务连续性——定义与沿革
·【独家】“2017城市商业银行研讨会”成功举办
·【独家】2017农信系统技术交流研讨会成功举办

作者:尤金˙塔克 来源:金融时代网 发布时间:2018-01-05 05:25:56
 
 
  我要发表留言  查看所有评论
 

*
 限制字数显示剩余字数,最大长度: 500 还剩: 500
用户名:
       尊重网上道德,承担一切因您的行为而直接或间接导致的民事或刑事法律责任