当前位置:金融信息化 > 正文
新书推荐‖从准备到灾难恢复——基于标准的业务连续性管理
 《从准备到灾难恢复——基于标准的业务持续性管理》

  著:【美】尤金˙塔克

  译:中国金融CIO联盟BCM专委会

  翻译主审:李丹、刘铁斌、王耀辉、于玫

  翻译副审:韩兆云 马光悌 裴兆旭 刘建鸿 吴树森 吴永飞 赵成刚 魏军 艾军 陈进 时建军

  出版发行:中国质检出版社、中国标准出版社

  作者简介:

  Eugene(Gene)Tucker是Butterworth Heinemann在风险分项和安全调查领域的合作作者,拥有CPP,CFE,CBCP,CHST等认证证书。他还是认证的业务持续性经理(CCM)、ISO 22301主实施员、ISO 22301主审计师。他作为企业经理、调查员、培训师和咨询顾问,在安全和业务持续性规划领域积累了丰富的国际经验。

  内容简介:

  《从准备到恢复:基于标准的业务持续性方法》详细介绍了构建组织弹性、管理应急与业务持续性规程的流程。介绍了业务功能中的重要元素,展示了在危机场景中如何维持其运作。本书还详尽地描述了如何按照标准来开发业务持续性管理体系的流程,以实现对风险事件的缓解、预防和响应。《从准备到恢复:基于标准的业务持续性方法》将信息技术与恢复所涉及的其他层面完整地集成在一起,并探讨了业务持续性与应急管理领域中的风险识别与评估、项目管理、系统分析、以及大多数业务与组织的功能依赖性。

  * 关注于如何按照最新标准建设并管理应急与业务持续性管理体系,并提供了整体性的方法;

  * 对常见错误及其预防措施进行描述,帮助提高相关工作的有效性;

  * 定位于按照ISO、ASIS、NFPA制定的新标准来开发计划;

  * 不但提供了基本原则,还提供了作者从该领域积累的多年经验中所提炼出的最佳实践;

  * 解释了各个业务持续性标准的要求。

  【序】国家信息化专家咨询委员会委员、中国人民银行科技司原司长——陈静

  业务连续性管理(BCM)概念由来已久,在美国“9·11”事件后受到广泛重视,应用发展迅速。BCM在发达国家逐渐形成了成熟的理论体系,并积累了很多实践经验,已经成为一个组织机构应对危机事件的通用规则,对于抵御风险,保障政府、企业和各类组织机构业务持续运行有着重要的意义。

  本书介绍BCM在应对突发事件时,是一个机构整体运作一体化的管理流程。BCM要确保在灾难发生后,关键业务功能和流程仍然能够在可接受的程度内持续运行,并能在最短时间内恢复正常运营。这是BCM区别于其他应对灾难方法 (如风险管理、危机管理及应急管理等)所独具的特征。

  本书详细介绍了构建组织弹性、管理应急与业务连续性规程的流程,说明了最新的ASIS、NFPA、ISO标准所带来的影响;介绍了业务功能中的重要元素,展示了在危机场景中如何维持其运作;详尽描述了如何按照标准来开发业务连续性管理体系的流程,以实现对风险事件的缓解、预防和响应。

  我国BCM的研究和实践十几年前就开始了,日益受到包括银行金融机构在内的各行各业的高度重视。GB/T30146-2013《公共安全 业务连续性管理体系 要求》2014年1月9日发布,并于2014年5月1日起正式实施。该国家标准是BCM在我国推广应用的标准化基础。银行金融机构对BCM有很高的要求,中国银监会已正式颁布了 《商业银行业务持续性监管指引》。

  从长远来看,BCM的价值并非仅仅是企业应对灾难、提高生存能力的工具。如在许多发达国家的重要行业,BCM已成为改善经营管理、承担社会责任的基本准则,是机构提高风险预测和快速响应能力,适应需求变化和外部威胁,保持竞争优势的重要基础。

  本书的出版发行,对于我们深入学习了解BCM的理念、定义、相关知识和方法,以及相关国际标准等是很有意义的。相信随着BCM理念的逐步推广和认可,越来越多的行业会引入BCM理念和知识体系,建立符合公司业务发展需要的业务连续性管理体系;也会有越来越多的监管部门从保障业务持续发展的监管角度制定出相应的规范和指引,指导行业机构的业务连续性管理工作,从而提升整个行业的风险防范水平。

  章节连载

  连载①‖业务连续性——定义与沿革

  业务连续性管理是针对过程的可持续性进行的管理;该可持续性过程,是指确定一个组织的关键功能并制定策略,使这些功能继续发挥作用而不被中断,或减少因这些功能产生的业务中断或损失而造成的影响。在业务连续性管理的发展过程中,其相关学科的观点和技能也得以发展,最终促使其成为当前的形式。

  连载②‖业务连续性——标准的理解

  鉴于许多业务连续性的专业人士并未彻底地了解应用戴明循环或PDCA(计划、执行、检查和改进)改进要求中定义的ISO 22301、ASIS SPC.1:2009以及NFPA 1600标准通过的管理系统,本章将讨论如何在业务流程的输入和输出中应用PDCA(也被称为休哈特循环),产生形成业务连续性或组织恢复能力管理系统依据的风险管理结果。

  连载③‖业务连续性——塑造(构建)业务连续能力

  业务连续性管理能识别风险和确定处置风险采用的步骤,使组织能够有效应对导致中断的事件或状况,通过制定了策略,使组织职能保持持续运作,并要求成员训练有素、随时待命,并依照详细计划执行策略,从而确保完成任务所需的资源在必要时可用。但在这之前,必须先建立业务持续管理体系(BCMS)的组织。管理层承诺(领导)、方案的适用范围和目标的正确选择,以及政策和程序的制定,是使流程到位的关键。在制定管理体系的早期阶段,掌控管理体系实施的最佳方法是决定项目规划和采用甘特图。

  连载④‖浅谈业务连续性管理之应急管理的准备与响应

  对应急管理要素——缓解、预防和准备、反应以及恢复(连续性)的应用,是确保业务连续性管理体系成功,让企业能够抵御灾害的根本所在。有备而战的组织能够更好地应对破坏性事件。经记录且测试过的应急响应能力,可以防止事态恶化,升级为破坏性事件。确保成功的业务连续性能力和使组织能够应对灾害的管理体系的根本是各应急管理要素的应用,这些要素包括缓解、预防和准备、响应和恢复(连续性)。标准通过不同的方式直接或间接地执行这些要素。

  连载⑤‖如何确认组织风险承受能力之业务影响分析

  业务影响分析(BIA)是制定业务连续性管理体系,满足业务连续性标准主要要求的一项关键活动。它通过检查组织业务功能和流程对服务目标、财务状况、现金流量、管制和合同问题以及竞争风险的影响,确定各段时期内各个组织业务功能和流程可以承受的最大程度的财务和经营损失,无论这种损失是由何种原因造成的。在此项分析过程中,通常包括了解组织背景的有用信息和执行业务连续性计划所需的一系列资源需求。

  【独家】连载⑥‖如何应对业务中存在的风险

  与业务影响分析相似,国际标准化组织(ISO)和ASIS也要求为风险评估建立正式的流程文件,帮助确保业务连续性管理体系符合组织和利益相关者的目标,并为业务连续性策略的选择提供指导。风险管理标准制定了企业的风险管理框架,将风险管理融入整个组织中。该框架主要围绕风险评估和风险处置的过程。其首先要求在流程各阶段进行沟通和协商,并在最后进行持续改进和反馈。同时结合组织状况,采用根据31000选择的风险管理流程和评估方法进行风险评估。

  连载⑦‖如何缓解业务风险与制定业务连续性策略

  连续性和恢复策略是业务连续性管理体系的基础。根据标准,业务连续性策略必须基于业务影响分析和风险评估的结果。许多业务连续性策略实际上是应急管理的重要组成部分——缓解的一种形式。缓解策略和业务连续性策略之间通常存在细微的差别。缓解更直接地适用于保护组织不受灾害影响的策略,而业务连续性策略则是使组织的活动免受不同程度风险影响的策略。

  连载⑧‖如何建立有效的业务连续性计划

  在认识到需要建立业务连续性程序后,制定范围更广的业务连续性管理方案的目标变得次要。重点应放在制定业务连续性管理体系上,而业务连续性计划在持续组织关键运行和发生破坏性事件后进行恢复的工作中则成为最关键的文件。业务连续性计划应简明扼要,切中要害,但也应包含足够的信息,来说明如何在压力增大和身心更加疲惫的情况下,实现组织、个人连续性或恢复小组的策略目标和资源需求。计划的存储应能保证可在异地使用。计划还应具灵活性,并保证其安全性和其内容的机密性。

  连载⑨‖如何验证业务连续性计划的有效性?

  顶级管理层对方案的肯定和支持、业务影响分析和推演与测试方案是一个有效的业务连续性管理体系中最重要的三个要素。推演和测试能够确认不完善或被遗漏的假设,揭示计划中的差距和缺少的数据,有助于确保实现业务连续性管理体系。在测试和推演中发现的优势和劣势,会在行动后报告和改进计划中进行详细说明。顶级管理层会对这些报告和计划进行审查、批准,从而制定整改行动计划,保证业务连续性管理体系的持续改进。

  连载⑩‖如何推动业务连续性管理体系持续改进?

  为确保一整套方案内容的持续改进,业务连续性管理标准强调通过监测关键成功因素、关键绩效指标的趋势分析和确保管理体系有效性的详细内审来实现。通过监测、分析和内审,对体系中不符合标准要求的项目进行调查,确定其根本原因,并制定纠正措施计划。在实施纠正措施后,再通过有效性审查来检查这些措施是否成功,确保其在实现目标的过程中发挥有效作用。

  订购电话:010-51095136-808

相关链接:

作者: 来源:金融时代网编辑部 发布时间:2018-02-12 12:09:10
 
 
  我要发表留言  查看所有评论
 

*
 限制字数显示剩余字数,最大长度: 500 还剩: 500
用户名:
       尊重网上道德,承担一切因您的行为而直接或间接导致的民事或刑事法律责任