《《精编》业务管理及管理知识分析讲义》由会员分享,可在线阅读,更多相关《《精编》业务管理及管理知识分析讲义(41页珍藏版)》请在金锄头文库上搜索。
1、GaryLiu 业务持续管理 BCM 概述及应用 V3 0 中国信息化推进联盟BCM专业委员会 ChinaBCM CBCM 2004年7月成立 是中国目前唯一权威的BCM组织机构 至今已有委员50多人及会员单位20多家致力于中国BCM的应用推广 人才培养 及标准制定促成了与DRII的合作 中国BCM专业委员会 3 11 000人已被认证 截至2010年1月底 遍布95个国家培训在45个国家开展 DRIChina是大中华地区DRII唯一授权机构包括香港 澳门和台湾地区 真正全球化 DISASTERRECOVERYINSTITUTEINTERNATIONALanon profitorganizat
2、ion BC行业手屈一指的职业教育和资质认证组织 主要内容 灾难事件及其损失和挽救解决灾难问题的理论和方法BCM相关概念解释BCM的知识体系 10个国际最佳惯例 BC计划编制方法论 8个步骤 业务恢复的生命周期 6R模型 BCM中的各种计划BCM在企业中的应用BCM给企业带来的好处国内外相关法规和标准 以及相关组织机构BCM在灾难恢复建设中的应用 何为 BCM 业务持续管理 B Business 具有价值的活动 C Continuity 持续活动的保障 M Management 提供保障的方法几乎人人都有 BC 需求工作中的 BC 需求生活中的 BC 需求 BCM 方法是保护我们正常生活和工作
3、的必备手段 BCM离我们有多远 2008年5 12汶川大地震 2008年南方大雪 2009年7 5新疆暴乱 2009年台风莫拉克 2005年卡特里娜飓风 2001年911恐怖袭击 灾难事件回顾 灾难的损失与挽救 政府救援救援的主力军 消防 武警 军队 医疗 应急机构等 主要是针对人员和财产的抢救用于基础设施重建的赈灾资金社会捐赠已成为重要的救助力量保险赔偿赔偿占损失的比例太小 反映了保险意识淡薄 财保赔偿占总赔偿比例偏小 受大型自然灾害赔偿限制 缺乏停业保险 责任保险等与企业经营相关的险种企业自救缺乏有效的预案和方法 能力较弱缺乏系统的科学方法 BCM不够普及 我国目前的救灾模式 英国CMI的
4、2010年BCM调查报告 58 造成组织停业的是气候 第一次取代IT79 被访经理在过去12个月里启动BC计划并有效地减少了中断造成的冲击54 被访者报告应用远程工作的方式应对中断企业的自律是BCM的主要驱动力自律 38 商业 客户 31 潜在客户 21 政府要求 21 合同 16 33 的指导来自专业机构 28 来自自己27 有专项资金 48 没有72 说HR是内部BCM的相关者 解决灾难问题的理论和方法 风险管理 RM 风险的分析 预防和控制主要用于风险的预防危机管理 CM 危机事件的演变和处理主要用于事件的处理应急管理 EM 突发事件的应对和处理主要用于公共事件的应对灾难恢复 DR 信息
5、系统的恢复 DRP是BCP的一部分 主要用于数据和信息系统的保护业务持续管理 BCM 灾难中企业的生存确保在预定的时间内恢复业务运行综合运用了以上各种方法 11 原因vs 影响风险评估 对原因的判断 风险 确认威胁 设施 环境 气候 地质地貌 人为 商务 技术 等等 建议减小措施发生的可能性采取措施的成本BCM 对影响进行处理当防范及减小措施失去作用准备组织架构 计划 资源 检验执行搬迁 特殊情况下的运营 减少已知的危险 减小冲击后的影响 风险管理vs 业务持续管理 BusinessContinuityisNOTbusinessasusual所谓业务持续就是不仅要使业务功能在灾难后能得到全面恢
6、复 还要确保关键业务功能在中断或灾难事件中 能够迅速地恢复持续运行 业务持续的实质 灾难的含义 灾难 Disaster 的一般定义一个突发的 非计划的 能够导致重大伤害或损失的严重的不幸事件灾难对企业的含义突发事件造成企业关键业务功能 或流程 的中断时间超过企业最大可容忍的程度通常由恢复时间目标 RTO 值作为判定是否是灾难的依据通过评估 当预计关键业务功能的中断时间将大于预定的RTO值 则视为灾难发生 应该启动相应的预案和计划 业务功能或应用系统恢复到其最低可接受的程度 业务功能或应用系统以最新的正确数据运行 时间 中断点 业务功能或应用系统从中断点恢复到其最低可接受的程度所需的时间 从而使
7、中断产生的冲击最小化 恢复时间目标 RTO 恢复时间目标 RTO 事前防控 事后重建 事中应对 项目启动与管理风险评估和控制 RA 业务冲击分析 BIA 制定业务持续策略应急响应和措施编制和贯彻执行业务持续计划认知和培训计划维护及演练业务持续计划危机沟通与外部机构的协调 10个国际最佳专业惯例 确定BC计划编制的需求获得高管层的支持建立BCM组织及责任明确BCM项目的范围确定计划编制时间表 识别可能的不利事件和威胁信息的收集和分析方法确认可能的风险和损害确定应采取的控制措施对所采取的措施进行评价 确认中断对业务的冲击定量及定性地衡量冲击确认关键业务功能和流程确定优先级别和互依赖性确定RTO及R
8、PO 根据RA和BIA的结果制定策略包括企业级策略和部门级策略进行成本效益分析选择最佳的策略 制定和贯彻应急响应程序使事件发生后的情形得到稳定建立和管理EOC将BC程序与应急响应程序相集成 确定计划编制的要求确定计划的结构和形式编制业务持续计划贯彻执行业务持续计划建立计划分发和控制程序 确定认知与培训的目标制定各种认知与培训计划开发认知与培训的方法和工具确认其他教育机会 设计和协调BC计划的演练评价演练结果制定维护更新BC计划的流程验证BC计划的有效性以简明的方式报告结果 制定和演练危机沟通计划与各利益相关者的沟通与外部机构 媒体的沟通 建立与外部机构协调的流程制定与外部机构的演练程序 业务冲
9、击分析 策略制定 认知与培训 测试与演练 风险分析与评估 BC计划 计划编制 计划维护 项目规划 BC计划编制的生命周期 BC计划编制的8个步骤 减小 Reduce 响应 Respond 恢复 Recover 重启 Resume 重建 Restore 返回 Return 事件发生之前预防和控制措施做好应对准备 事件发生期间应急响应和损失评估恢复关键功能重启业务运行 事件稳定之后重建永久站点返回正常运行 业务恢复的6R模型 进行损失评估 判断是否灾难 满足条件 宣布灾难 几分钟或几小时之内 几小时或几天之内 几周或几月之内 预防 事件 风险管理 危机管理 应急管理 业务恢复的生命周期 时间线 既
10、要避免反应迟钝 也要避免反应过度 事前 事中 事后 应急与业务持续 预防和准备 事前 事后 返回正常运行 时间 业务运行能力 应急响应计划 业务恢复计划 灾难恢复计划 重建 返回计划 风险减小计划 危机管理计划 非常态运行 满足RTO要求 可容忍的最低业务运行能力 启动危机管理中心 进行指挥 控制和沟通 减小风险 避免中断 或使中断影响最小化 确保关键业务的持续运行 恢复后备场地和技术设施 重建永久 原 场地 返回正常运行 挽救生命和财产 设立EOC 进行损失评估 RTO 事中 100 BCM中的各种计划 BCP Preparedness 02 22 高管层的重视和支持组建完善的BCM组织机构
11、人员 资金和资源的保障指定拥有适当权力的业务部门代表参与相关人员应具备全面的业务持续管理知识任命有能力的BC项目经理因为时间所限 所以该经理必须具有很强的项目管理能力专心致志和高度的责任感 BCM成功的决定因素 BCM在企业中的应用 应用的主要方面整个企业的应急管理针对IT的灾难恢复 DRP 建立完善的危机管理组织机构确保高管层的参与和支持明确各部门的职责 确保全体员工的积极参与制定企业应对灾难的完整预案既关注人员和财产的挽救 也注重业务的持续建立分级响应机制 完善控制事件全过程的各项预案将DRP集成到BCP之中DR只是手段 BC才是本质确保预案和计划的贯彻实施和维护更新制定认知和培训计划 提
12、高员工防灾救灾的意识和能力不断地对预案和计划进行测试演练和维护更新将BCM理念融入企业的文化中 供应链 案例 March17 2000 Ericssonvs Nokia10MinuteFireinAlbuquerquePhilipsMicrochipPlantPreFireRankingNokia 32 Ericsson 12 OnJuly20 2000 Ericssonreportedthatthefireandcomponentshortageshadcausedasecond quarteroperatinglossof 200millioninitsmobilephonedivisio
13、n Totalloss 400millionPostFireRankingNokiashipmentsgrewby10 5percentoverthepreviousyear to140millionunits Ericssonshipmentsdroppedby35percentto27millionunits 案例 AT T 网络灾难恢复 TheNDRrecoveryinventoryincludesEmergencyCommunicationsVehicles ECVs thatcanestablishvoiceanddataconnectivityanywhereintheUnited
14、States Usingasatellitelink anECVcanprovidevoiceanddataservicewithin30minutesofarrivingonsite TheNDRTeamiscomposedofAT Tmanagers engineers andtechnicianswhohavereceivedspecialtraininginthephysicalrecoveryoftheAT TNetwork AT T在911时 OnSeptember11 2001 AT TactivatedtheNDRTeamforitsfirstfull scaledisaste
15、rresponse TheteamandtherecoveryequipmentarrivedinnorthernNewJerseyearlyonSeptember12 Therecoveryequipmentwaspositionedandturneduptostartservice48hourslater 案例 美国奔驰 1999年9月弗洛伊德风暴袭击美国东部沿海 造成严重的风害和水灾 BCP在现实中的检验 当赛特河堤决口后 地区的一百万多万用户的电话服务中断 奔驰客户服务热线在其通讯系统部分受影响的情况下 当机立断 启动BC计划 将受影响的服务转移到热备点 6小时后 全面恢复受影响的业务
16、 增强企业应对灾难的能力预防潜在的威胁保护人员的生命安全使企业的业务中断和损失最小化最大程度地减小数据的丢失 收入的损失 客户的流失增强投资者 股东和消费者的信心维护企业的形象和信誉完善企业的日常经营管理提高企业的信誉和竞争力增强企业的合规性有助于不断地发现业务运行中存在的问题完善管理措施及改善业务流程 BCM给企业带来的利益 BS25999英国BCM标准NFPA1600美国消防协会规范和标准1600 关于灾难 应急管理与业务持续规划的标准 StandardonDisaster EmergencyManagementandBusinessContinuityPrograms SS540 TR19 SS507新加坡BCM标准Sarbanes OxleyAct 萨班斯 奥西利法案 2002 关于上市公司内审与控制的法案 美国 要求所有上市公司保存数据五年以上规定高管层必须在90天内完成内部控制的有效性评价并提交报告要求企业必须在48小时内清楚准确地报告财务状况和经营中的重大变化 这就要求财务监控措施应该高度自动化BaselIICapitalAccord 新巴塞尔协定 巴塞尔银行监督委员会于
