《业务连续性管理制度讲义》由会员分享,可在线阅读,更多相关《业务连续性管理制度讲义(41页珍藏版)》请在金锄头文库上搜索。
1、GaryLiu,业务持续管理 (BCM) 概述及应用,V3.0,中国信息化推进联盟BCM专业委员会(China BCM,CBCM) 2004年7月成立,是中国目前唯一权威的BCM组织机构,至今已有委员50多人及会员单位20多家 致力于中国BCM的应用推广、人才培养、及标准制定 促成了与DRII的合作,中国BCM专业委员会,3,11,000 人已被认证 (截至2010年1月底) 遍布95个国家 培训在45个国家开展,DRI China 是大中华地区DRII唯一授权机构 包括香港,澳门和台湾地区,真正全球化,DISASTER RECOVERY INSTITUTE INTERNATIONAL a n
2、on-profit organization,BC行业手屈一指的职业教育和资质认证组织,主要内容,灾难事件及其损失和挽救 解决灾难问题的理论和方法 BCM相关概念解释 BCM的知识体系(10个国际最佳惯例) BC计划编制方法论(8个步骤) 业务恢复的生命周期(6R模型) BCM中的各种计划 BCM在企业中的应用 BCM给企业带来的好处 国内外相关法规和标准、以及相关组织机构 BCM在灾难恢复建设中的应用,何为“BCM(业务持续管理)”? “B”Business,具有价值的活动 “C”Continuity,持续活动的保障 “M”Management,提供保障的方法 几乎人人都有“BC”需求 工作
3、中的“BC”需求 生活中的“BC”需求 “BCM”方法是保护我们正常生活和工作的必备手段,BCM离我们有多远?,2008年5.12汶川大地震,2008年南方大雪,2009年7.5新疆暴乱,2009年台风莫拉克,2005年卡特里娜飓风,2001年911恐怖袭击,灾难事件回顾,灾难的损失与挽救,政府救援 救援的主力军(消防、武警、军队、医疗、应急机构等) 主要是针对人员和财产的抢救 用于基础设施重建的赈灾资金 社会捐赠 已成为重要的救助力量 保险赔偿 赔偿占损失的比例太小(反映了保险意识淡薄) 财保赔偿占总赔偿比例偏小(受大型自然灾害赔偿限制) 缺乏停业保险、责任保险等与企业经营相关的险种 企业自
4、救 缺乏有效的预案和方法,能力较弱 缺乏系统的科学方法(BCM不够普及),我国目前的救灾模式,英国CMI的2010年BCM调查报告,58%造成组织停业的是气候。第一次取代IT 79%被访经理在过去12个月里启动BC计划并有效地减少了中断造成的冲击 54%被访者报告应用远程工作的方式应对中断 企业的自律是BCM的主要驱动力 自律(38%) 商业/客户(31%) 潜在客户(21%) 政府要求(21%) 合同(16%) 33%的指导来自专业机构,28%来自自己 27%有专项资金,48%没有 72%说HR是内部BCM的相关者,解决灾难问题的理论和方法,风险管理(RM):风险的分析、预防和控制 主要用于
5、风险的预防 危机管理(CM):危机事件的演变和处理 主要用于事件的处理 应急管理(EM):突发事件的应对和处理 主要用于公共事件的应对 灾难恢复(DR):信息系统的恢复(DRP是BCP的一部分) 主要用于数据和信息系统的保护 业务持续管理(BCM):灾难中企业的生存 确保在预定的时间内恢复业务运行 综合运用了以上各种方法,11,原因 vs. 影响 风险评估 对原因的判断 (风险) 确认威胁 (设施, 环境,气候,地质地貌,人为,商务,技术,等等) 建议减小措施 发生的可能性 采取措施的成本 BCM 对影响进行处理 当防范及减小措施失去作用 准备 组织架构, 计划,资源,检验 执行 搬迁, 特殊
6、情况下的运营,减少已知的危险,减小冲击后的影响,风险管理 vs. 业务持续管理,Business Continuity is NOT business as usual 所谓业务持续就是不仅要使业务功能在灾难后能得到全面恢复,还要确保关键业务功能在中断或灾难事件中,能够迅速地恢复持续运行,业务持续的实质,灾难的含义,灾难(Disaster)的一般定义 一个突发的、非计划的、能够导致重大伤害或损失的严重的不幸事件 灾难对企业的含义 突发事件造成企业关键业务功能(或流程)的中断时间超过企业最大可容忍的程度 通常由恢复时间目标(RTO)值作为判定是否是灾难的依据 通过评估,当预计关键业务功能的中断时
7、间将大于预定的RTO值,则视为灾难发生,应该启动相应的预案和计划,业务功能或应用系统恢复到其最低可接受的程度,业务功能或应用系统以最新的正确数据运行,时间,中断点,业务功能或应用系统从中断点恢复到其最低可接受的程度所需的时间,从而使中断产生的冲击最小化。,恢复时间目标(RTO),恢复时间目标(RTO),事前防控,事后重建,事中应对,项目启动与管理 风险评估和控制(RA) 业务冲击分析(BIA) 制定业务持续策略 应急响应和措施 编制和贯彻执行业务持续计划 认知和培训计划 维护及演练业务持续计划 危机沟通 与外部机构的协调,10个国际最佳专业惯例,确定BC计划编制的需求 获得高管层的支持 建立B
8、CM组织及责任 明确BCM项目的范围 确定计划编制时间表,识别可能的不利事件和威胁 信息的收集和分析方法 确认可能的风险和损害 确定应采取的控制措施 对所采取的措施进行评价,确认中断对业务的冲击 定量及定性地衡量冲击 确认关键业务功能和流程 确定优先级别和互依赖性 确定RTO及RPO,根据RA和BIA的结果制定策略 包括企业级策略和部门级策略 进行成本效益分析 选择最佳的策略,制定和贯彻应急响应程序 使事件发生后的情形得到稳定 建立和管理EOC 将BC程序与应急响应程序相集成,确定计划编制的要求 确定计划的结构和形式 编制业务持续计划 贯彻执行业务持续计划 建立计划分发和控制程序,确定认知与培
9、训的目标 制定各种认知与培训计划 开发认知与培训的方法和工具 确认其他教育机会,设计和协调BC计划的演练 评价演练结果 制定维护更新BC计划的流程 验证BC计划的有效性 以简明的方式报告结果,制定和演练危机沟通计划 与各利益相关者的沟通 与外部机构、媒体的沟通,建立与外部机构协调的流程 制定与外部机构的演练程序,业务冲击分析,策略制定,认知与培训,测试与演练,风险分析与评估,BC计划,计划编制,计划维护,项目规划,BC计划编制 的生命周期,BC计划编制的8个步骤,减小(Reduce) 响应(Respond) 恢复(Recover) 重启(Resume) 重建(Restore) 返回(Retur
10、n),事件发生之前 预防和控制措施 做好应对准备,事件发生期间 应急响应和损失评估 恢复关键功能 重启业务运行,事件稳定之后 重建永久站点 返回正常运行,业务恢复的6R模型,进行损失评估,判断是否灾难? 满足条件:宣布灾难,几分钟或几小时之内,几小时或几天之内,几周或几月之内,预防,事件,风险管理,危机管理,应急管理,业务恢复的生命周期,时间线,既要避免反应迟钝,也要避免反应过度!,事前,事中,事后,应急与业务持续,预防和准备,事前,事后,返回正常运行,时间,业务运行 能力,应急响应 计划,业务恢复 计划,灾难恢复 计划,重建/返回 计划,风险减小 计划,危机管理计划,非常态运行 (满足RTO
11、要求),可容忍的最低 业务运行能力,启动危机管理中心,进行指挥、控制和沟通,减小风险, 避免中断, 或使中断影 响最小化,确保关键业务 的持续运行,恢复后备场地 和技术设施,重建永久(原) 场地, 返回正常运行,挽救生命 和财产,设立 EOC,进行损失 评估,RTO,事中,100%,BCM中的各种计划,BCP,Preparedness,02-22,高管层的重视和支持 组建完善的BCM组织机构 人员、资金和资源的保障 指定拥有适当权力的业务部门代表参与 相关人员应具备全面的业务持续管理知识 任命有能力的BC项目经理 因为时间所限,所以该经理必须具有很强的项目管理能力 专心致志和高度的责任感,BC
12、M成功的决定因素,BCM在企业中的应用,应用的主要方面 整个企业的应急管理 针对IT的灾难恢复(DRP) 建立完善的危机管理组织机构 确保高管层的参与和支持 明确各部门的职责,确保全体员工的积极参与 制定企业应对灾难的完整预案 既关注人员和财产的挽救,也注重业务的持续 建立分级响应机制,完善控制事件全过程的各项预案 将DRP集成到BCP之中 DR只是手段,BC才是本质 确保预案和计划的贯彻实施和维护更新 制定认知和培训计划,提高员工防灾救灾的意识和能力 不断地对预案和计划进行测试演练和维护更新 将BCM理念融入企业的文化中,供应链,案例,March 17, 2000 Ericsson vs.
13、Nokia 10 Minute Fire in Albuquerque Philips Microchip Plant Pre Fire Ranking Nokia (32%) Ericsson (12%) On July 20, 2000, Ericsson reported that the fire and component shortages had caused a second-quarter operating loss of $200 million in its mobile phone division. Total loss $400 million Post Fire
14、 Ranking Nokia shipments grew by 10.5 percent over the previous year, to 140 million units. Ericsson shipments dropped by 35 percent to 27 million units.,案例- AT&T 网络灾难恢复,The NDR recovery inventory includes Emergency Communications Vehicles (ECVs) that can establish voice and data connectivity anywhe
15、re in the United States. Using a satellite link, an ECV can provide voice and data service within 30 minutes of arriving on site,The NDR Team is composed of AT&T managers, engineers, and technicians who have received special training in the physical recovery of the AT&T Network.,AT&T 在911时,On Septem
16、ber 11, 2001, AT&T activated the NDR Team for its first full-scale disaster response. The team and the recovery equipment arrived in northern New Jersey early on September 12. The recovery equipment was positioned and turned up to start service 48 hours later.,案例 -美国奔驰,1999年9月弗洛伊德风暴袭击美国东部沿海。造成严重的风害和水灾。,BCP在现实中的检验,当赛特河堤决口后,地区的一百万多万用户的电话服务中断。 奔驰客户服务热线在其通讯系统部分受影响的情况下,当机立断,启动BC计划,将受影响的服务转移到热备点。 6小时后,全面恢复受影响的业务。,增强企业应对灾难的能力 预防潜在的威胁
