业务持续管理BCM概述及应用

《业务持续管理BCM概述及应用》由会员分享，可在线阅读，更多相关《业务持续管理BCM概述及应用（41页珍藏版）》请在金锄头文库上搜索。

1、 GaryLiuGaryLiu业务持续管理（BCM）概述及应用V3.0n n中国信息化推进联盟中国信息化推进联盟BCMBCM专业委员会（专业委员会（China BCMChina BCM，CBCMCBCM）20042004年年年年7 7月成立，是中国目前唯一权威的月成立，是中国目前唯一权威的月成立，是中国目前唯一权威的月成立，是中国目前唯一权威的BCMBCM组织机构，组织机构，组织机构，组织机构，至今已有委员至今已有委员至今已有委员至今已有委员5050多人及会员单位多人及会员单位多人及会员单位多人及会员单位2020多家多家多家多家致力于中国致力于中国致力于中国致力于中国BCMBCM的应用推广、人

2、才培养、及标准制定的应用推广、人才培养、及标准制定的应用推广、人才培养、及标准制定的应用推广、人才培养、及标准制定促成了与促成了与促成了与促成了与DRIIDRII的合作的合作的合作的合作中中国国BCM专业委委员会会311， ，000 人已被人已被认证 （截至（截至2010年年1月底）月底）遍布遍布95个国家个国家 培培训在在45个国家开展个国家开展DRI China 是大中是大中华地区地区DRII唯一唯一授授权机构机构包括香港，澳包括香港，澳门和台湾地区和台湾地区真正全球化真正全球化DISASTER RECOVERY INSTITUTE INTERNATIONALa non-profit or

3、ganizationBC行行业手屈一指的手屈一指的职业教育和教育和资质认证组织主要内容n n灾难事件及其损失和挽救灾难事件及其损失和挽救n n解决灾难问题的理论和方法解决灾难问题的理论和方法n nBCMBCM相关概念解释相关概念解释n nBCMBCM的知识体系（的知识体系（1010个国际最佳惯例）个国际最佳惯例）n nBCBC计划编制方法论（计划编制方法论（8 8个步骤）个步骤）n n业务恢复的生命周期（业务恢复的生命周期（6R6R模型）模型）n nBCMBCM中的各种计划中的各种计划n nBCMBCM在企业中的应用在企业中的应用n nBCMBCM给企业带来的好处给企业带来的好处n n国内外相

4、关法规和标准、以及相关组织机构国内外相关法规和标准、以及相关组织机构n nBCMBCM在灾难恢复建设中的应用在灾难恢复建设中的应用n n何为何为“BCMBCM（业务持续管理）（业务持续管理）” ”？ “ “B B” ”BusinessBusiness，具有价值的活动，具有价值的活动，具有价值的活动，具有价值的活动 “ “C C” ”ContinuityContinuity，持续活动的保障，持续活动的保障，持续活动的保障，持续活动的保障 “ “MM” ”ManagementManagement，提供保障的方法，提供保障的方法，提供保障的方法，提供保障的方法n n几乎人人都有几乎人人都有“BCBC

5、”需求需求 工作中的工作中的工作中的工作中的“ “BCBC” ”需求需求需求需求 生活中的生活中的生活中的生活中的“ “BCBC” ”需求需求需求需求 “ “BCMBCM” ”方法是保护我们正常生活和工作的必备手段方法是保护我们正常生活和工作的必备手段方法是保护我们正常生活和工作的必备手段方法是保护我们正常生活和工作的必备手段BCM离我离我们有多有多远？2008年年5.12汶汶川大地震川大地震2008年南方大年南方大雪雪2009年年7.5新新疆暴乱疆暴乱2009年台年台风莫莫拉克拉克2005年卡特里年卡特里娜娜飓风2001年年911恐恐怖怖袭击灾灾难事件回事件回顾灾灾难的的损失失与与挽救挽救灾

6、难事件灾难事件死亡人数死亡人数直接经济损失直接经济损失保险赔偿保险赔偿社会捐赠社会捐赠汶川地震汶川地震近近9万人万人超过超过1万亿元万亿元共计约共计约16亿元亿元人人身身：9.6亿元（亿元（60%）财产：财产：6.4亿元（亿元（40%）760760亿元亿元911911恐怖袭击恐怖袭击3 3千多人千多人450450亿美元亿美元共计约共计约400亿美元亿美元人人身身：48亿美元（亿美元（12%）财产：财产：352亿美元（亿美元（88%）（其中：（其中：停停业业保保险为险为110亿亿美元美元责责任保任保险为险为100亿亿美元）美元）2222亿美元亿美元卡特里娜飓风卡特里娜飓风1 1千多人千多人125

7、01250亿美元亿美元共计约共计约600亿美元亿美元1313亿美元亿美元uu政府救援政府救援救援的主力军（消防、武警、军队、医疗、应急机构等）救援的主力军（消防、武警、军队、医疗、应急机构等）救援的主力军（消防、武警、军队、医疗、应急机构等）救援的主力军（消防、武警、军队、医疗、应急机构等）主要是针对人员和财产的抢救主要是针对人员和财产的抢救主要是针对人员和财产的抢救主要是针对人员和财产的抢救用于基础设施重建的赈灾资金用于基础设施重建的赈灾资金用于基础设施重建的赈灾资金用于基础设施重建的赈灾资金uu社会捐赠社会捐赠已成为重要的救助力量已成为重要的救助力量已成为重要的救助力量已成为重要的救助力量

8、uu保险赔偿保险赔偿赔偿占损失的比例太小（反映了保险意识淡薄）赔偿占损失的比例太小（反映了保险意识淡薄）赔偿占损失的比例太小（反映了保险意识淡薄）赔偿占损失的比例太小（反映了保险意识淡薄）财保赔偿占总赔偿比例偏小（受大型自然灾害赔偿限制）财保赔偿占总赔偿比例偏小（受大型自然灾害赔偿限制）财保赔偿占总赔偿比例偏小（受大型自然灾害赔偿限制）财保赔偿占总赔偿比例偏小（受大型自然灾害赔偿限制）缺乏停业保险、责任保险等与企业经营相关的险种缺乏停业保险、责任保险等与企业经营相关的险种缺乏停业保险、责任保险等与企业经营相关的险种缺乏停业保险、责任保险等与企业经营相关的险种uu企业自救企业自救缺乏有效的预案和

9、方法，能力较弱缺乏有效的预案和方法，能力较弱缺乏有效的预案和方法，能力较弱缺乏有效的预案和方法，能力较弱缺乏系统的科学方法（缺乏系统的科学方法（缺乏系统的科学方法（缺乏系统的科学方法（BCMBCM不够普及）不够普及）不够普及）不够普及）我我国国目前的救灾模式目前的救灾模式英国CMI的2010年BCM调查报告n n58%58%造成组织停业的是气候。第一次取代造成组织停业的是气候。第一次取代ITITn n79%79%被访经理在过去被访经理在过去1212个月里启动个月里启动BCBC计划并有效地减少计划并有效地减少了中断造成的冲击了中断造成的冲击n n54%54%被访者报告应用远程工作的方式应对中断被

10、访者报告应用远程工作的方式应对中断n n企业的自律是企业的自律是BCMBCM的主要驱动力的主要驱动力 自律（自律（38%)38%) 商业商业/ /客户（客户（31%31%） 潜在客户（潜在客户（21%21%） 政府要求（政府要求（21%21%） 合同（合同（16%16%）n n33%33%的指导来自专业机构，的指导来自专业机构，28%28%来自自己来自自己n n27%27%有专项资金，有专项资金，48%48%没有没有n n72%72%说说HRHR是内部是内部BCMBCM的相关者的相关者解解决决灾灾难问题的理的理论和方法和方法n n风险管理（风险管理（RMRM）：风险的分析、预防和控制）：风险的

11、分析、预防和控制主要用于风险的预防主要用于风险的预防主要用于风险的预防主要用于风险的预防n n危机管理（危机管理（CMCM）：危机事件的演变和处理）：危机事件的演变和处理主要用于事件的处理主要用于事件的处理主要用于事件的处理主要用于事件的处理n n应急管理（应急管理（EMEM）：突发事件的应对和处理）：突发事件的应对和处理主要用于公共事件的应对主要用于公共事件的应对主要用于公共事件的应对主要用于公共事件的应对n n灾难恢复（灾难恢复（DRDR）：信息系统的恢复（）：信息系统的恢复（DRPDRP是是BCPBCP的一部分）的一部分）主要用于数据和信息系统的保护主要用于数据和信息系统的保护主要用于数

12、据和信息系统的保护主要用于数据和信息系统的保护n n业务持续管理（业务持续管理（BCMBCM）：灾难中企业的生存）：灾难中企业的生存确保在预定的时间内恢复业务运行确保在预定的时间内恢复业务运行确保在预定的时间内恢复业务运行确保在预定的时间内恢复业务运行综合运用了以上各种方法综合运用了以上各种方法综合运用了以上各种方法综合运用了以上各种方法11原因原因 vs. 影响影响 风险评估风险评估 对原因的判断 (风险)确认威胁确认威胁 (设施, 环境，气候，地质地貌，人为，商务，技术，等等）建议减小措施建议减小措施发生的可能性采取措施的成本BCM 对影响进行处理当防范及减小措施失去作用准备组织架构, 计

13、划，资源，检验执行 搬迁, 特殊情况下的运营减少已知的危险减少已知的危险减少已知的危险减少已知的危险减小冲击后的影响减小冲击后的影响减小冲击后的影响减小冲击后的影响风险管理 vs. 业务持续管理n nBusiness Continuity is NOT business as usualn n所谓业务持续就是不仅要使业务功能在灾难后能得到全面恢复，还要确保关键业务功能在中断或灾难事件中，能够迅速地恢复持续运行业务持持续的的实质灾灾难的含的含义uu灾难（灾难（DisasterDisaster）的一般定义的一般定义一个突发的、非计划的一个突发的、非计划的一个突发的、非计划的一个突发的、非计划的、能

14、够导致重大伤害或损失的严重能够导致重大伤害或损失的严重能够导致重大伤害或损失的严重能够导致重大伤害或损失的严重的的的的不幸事件不幸事件不幸事件不幸事件uu灾难灾难对企业的含义对企业的含义突发事件造成企业关键业务功能（或流程）的中断时间超过突发事件造成企业关键业务功能（或流程）的中断时间超过突发事件造成企业关键业务功能（或流程）的中断时间超过突发事件造成企业关键业务功能（或流程）的中断时间超过企业最大可容忍的程度企业最大可容忍的程度企业最大可容忍的程度企业最大可容忍的程度通常由恢复时间目标（通常由恢复时间目标（通常由恢复时间目标（通常由恢复时间目标（RTORTO）值作为判定是否是灾难的依据）值作

15、为判定是否是灾难的依据）值作为判定是否是灾难的依据）值作为判定是否是灾难的依据通过评估，当预计关键业务功能的中断时间将大于预定的通过评估，当预计关键业务功能的中断时间将大于预定的通过评估，当预计关键业务功能的中断时间将大于预定的通过评估，当预计关键业务功能的中断时间将大于预定的RTORTO值，则视为灾难发生，应该启动相应的预案和计划值，则视为灾难发生，应该启动相应的预案和计划值，则视为灾难发生，应该启动相应的预案和计划值，则视为灾难发生，应该启动相应的预案和计划业务功能或功能或应用系用系统恢复到恢复到其最低可接受的程度其最低可接受的程度业务功能或功能或应用系用系统以最新以最新的正确数据运的正确

16、数据运行行时间中断点中断点业务功能或功能或应用系用系统从中断点恢复从中断点恢复到其最低可接受的程度所需的到其最低可接受的程度所需的时间，从而使中断从而使中断产生的冲生的冲击最小化。最小化。恢复恢复时间目目标（RTO）恢恢复复时间目目标（RTO）事前防事前防控控事后重建事后重建事中事中应对1.1.项目启动与管理项目启动与管理2.2.风险评估和控制（风险评估和控制（RA）3.3.业务冲击分析（业务冲击分析（BIA）4.4.制定业务持续策略制定业务持续策略5.5.应急响应和措施应急响应和措施6.6.编制和贯彻执行业务持续计划编制和贯彻执行业务持续计划7.7.认知和培训计划认知和培训计划8.8.维护及

17、演练业务持续计划维护及演练业务持续计划9.9.危机沟通危机沟通10.10.与外部机构的协调与外部机构的协调10个国个国际最佳最佳专业惯例例确定确定BC计划编制的需求计划编制的需求获得高管层的支持获得高管层的支持建立建立BCM组织及责任组织及责任明确明确BCM项目的范围项目的范围确定计划编制时间表确定计划编制时间表识别可能的不利事件和威胁识别可能的不利事件和威胁信息的收集和分析方法信息的收集和分析方法确认可能的风险和损害确认可能的风险和损害确定应采取的控制措施确定应采取的控制措施对所采取的措施进行评价对所采取的措施进行评价确认中断对业务的冲击确认中断对业务的冲击定量及定性地衡量冲击定量及定性地衡

18、量冲击确认关键业务功能和流程确认关键业务功能和流程确定优先级别和互依赖性确定优先级别和互依赖性确定确定RTO及及RPO根据根据RA和和BIA的结果制定策略的结果制定策略包括企业级策略和部门级策略包括企业级策略和部门级策略进行成本效益分析进行成本效益分析选择最佳的策略选择最佳的策略制定和贯彻应急响应程序制定和贯彻应急响应程序使事件发生后的情形得到稳定使事件发生后的情形得到稳定建立和管理建立和管理EOC将将BC程序与应急响应程序相集成程序与应急响应程序相集成确定计划编制的要求确定计划编制的要求确定计划的结构和形式确定计划的结构和形式编制业务持续计划编制业务持续计划贯彻执行业务持续计划贯彻执行业务持

19、续计划建立计划分发和控制程序建立计划分发和控制程序确定认知与培训的目标确定认知与培训的目标制定各种认知与培训计划制定各种认知与培训计划开发认知与培训的方法和工具开发认知与培训的方法和工具确认其他教育机会确认其他教育机会设计和协调设计和协调BC计划的演练计划的演练评价演练结果评价演练结果制定维护更新制定维护更新BC计划的流程计划的流程验证验证BC计划的有效性计划的有效性以简明的方式报告结果以简明的方式报告结果制定和演练危机沟通计划制定和演练危机沟通计划与各利益相关者的沟通与各利益相关者的沟通与外部机构、媒体的沟通与外部机构、媒体的沟通建立与外部机构协调的流程建立与外部机构协调的流程制定与外部机构

20、的演练程序制定与外部机构的演练程序业务冲冲击分析分析策略制定策略制定认知与培知与培训测试与演与演练风险分析与分析与评估估BCBC计划划计划划编制制计划划维护项目目规划划BC计划编制计划编制的生命周期的生命周期 BC计划划编制制的的8个个步步骤n n减小（减小（ReduceReduce）n n响应（响应（RespondRespond）n n恢复（恢复（RecoverRecover）n n重启（重启（ResumeResume）n n重建（重建（RestoreRestore） n n返回（返回（ReturnReturn）事件发生之前事件发生之前预防和控制措施预防和控制措施做好应对准备做好应对准备事件

21、发生期间事件发生期间应急响应和损失评估应急响应和损失评估恢复关键功能恢复关键功能重启业务运行重启业务运行事件稳定之后事件稳定之后重建永久站点重建永久站点返回正常运行返回正常运行业务恢恢复复的的6R模型模型进行损失评进行损失评估，判断是估，判断是否灾难？否灾难？满足条件：满足条件：宣布灾难宣布灾难几分几分钟或几小或几小时之内之内几小几小时或几天之内或几天之内几周或几月之内几周或几月之内预防防业务恢恢复复的生命周期的生命周期时间线时间线既要避免反应迟钝，也要避免反应过度！既要避免反应迟钝，也要避免反应过度！事前事前 事中事中 事后事后 应急与业务持续 预防和准备预防和准备事前事前事后事后返回正常运

22、行返回正常运行时间时间业务运行业务运行能力能力应急应急响应响应计划计划业务业务恢复恢复计划计划灾难灾难恢复恢复计划计划重建重建/返返回回计划计划风险减风险减小小计划计划危机管理计危机管理计划划非常态运行非常态运行（满足（满足RTO要求）要求）可容忍的最低可容忍的最低业务运行能力业务运行能力事件发生事件发生 启动危机管理中心，进行指挥、控制和沟通启动危机管理中心，进行指挥、控制和沟通减小风险，减小风险，避免中断，避免中断，或使中断影或使中断影响最小化响最小化确保关键业务确保关键业务的持续运行的持续运行恢复后备场地恢复后备场地和技术设施和技术设施重建永久重建永久( (原原) )场地，场地，返回正常

23、运行返回正常运行挽救生命挽救生命和财产和财产设立设立EOCEOC进行损失进行损失评估评估RTO事中事中100%BCM中的各中的各种种计划划灾后重建灾后重建( (Restore) )( (Return) )安全管理安全管理（Reduce）灾灾难恢复恢复（Recover）业务持持续（Resume）事件响事件响应（Response）企企业的的BCM规划划相相应的的预案和案和计划划 重建重建/返回返回计划划安全防控安全防控计划划灾灾难恢复恢复计划划业务持持续计划划应急响急响应计划划业务持续管理业务持续管理业务持续管理业务持续管理指导方针和框架指导方针和框架指导方针和框架指导方针和框架BCP02-22高

24、管层的重视和支持高管层的重视和支持组建完善的组建完善的BCMBCM组织机构组织机构人员、资金和资源的保障人员、资金和资源的保障指定拥有适当权力的业务部门代表参与指定拥有适当权力的业务部门代表参与相关人员应具备全面的业务持续管理知识相关人员应具备全面的业务持续管理知识任命有能力的任命有能力的BCBC项目经理项目经理因为时间所限，所以该经理必须具有很强的项目管理能力因为时间所限，所以该经理必须具有很强的项目管理能力因为时间所限，所以该经理必须具有很强的项目管理能力因为时间所限，所以该经理必须具有很强的项目管理能力专心致志和高度的责任感专心致志和高度的责任感BCM成功的成功的决决定因素定因素BCM在

25、企业中的应用uu应用的主要方面应用的主要方面l l整个企业的应急管理整个企业的应急管理整个企业的应急管理整个企业的应急管理l l针对针对针对针对ITIT的灾难恢复（的灾难恢复（的灾难恢复（的灾难恢复（DRPDRP）uu建立完善的危机管理组织机构建立完善的危机管理组织机构l l确保高管层的参与和支持确保高管层的参与和支持确保高管层的参与和支持确保高管层的参与和支持l l明确各部门的职责，确保全体员工的积极参与明确各部门的职责，确保全体员工的积极参与明确各部门的职责，确保全体员工的积极参与明确各部门的职责，确保全体员工的积极参与uu制定企业应对灾难的完整预案制定企业应对灾难的完整预案l l既关注人

26、员和财产的挽救，也注重业务的持续既关注人员和财产的挽救，也注重业务的持续既关注人员和财产的挽救，也注重业务的持续既关注人员和财产的挽救，也注重业务的持续l l建立分级响应机制，完善控制事件全过程的各项预案建立分级响应机制，完善控制事件全过程的各项预案建立分级响应机制，完善控制事件全过程的各项预案建立分级响应机制，完善控制事件全过程的各项预案uu将将DRPDRP集成到集成到BCPBCP之中之中l lDRDR只是手段，只是手段，只是手段，只是手段，BCBC才是本质才是本质才是本质才是本质uu确保预案和计划的贯彻实施和维护更新确保预案和计划的贯彻实施和维护更新l l制定认知和培训计划，提高员工防灾救

27、灾的意识和能力制定认知和培训计划，提高员工防灾救灾的意识和能力制定认知和培训计划，提高员工防灾救灾的意识和能力制定认知和培训计划，提高员工防灾救灾的意识和能力l l不断地对预案和计划进行测试演练和维护更新不断地对预案和计划进行测试演练和维护更新不断地对预案和计划进行测试演练和维护更新不断地对预案和计划进行测试演练和维护更新l l将将将将BCMBCM理念融入企业的文化中理念融入企业的文化中理念融入企业的文化中理念融入企业的文化中供应链案例n nMarch 17, 2000 Ericsson vs. NokiaMarch 17, 2000 Ericsson vs. Nokia 10 Minute

28、Fire in Albuquerque Philips Microchip Plant10 Minute Fire in Albuquerque Philips Microchip PlantPre Fire Ranking Pre Fire Ranking n nNokia (32%) Nokia (32%) n nEricsson (12%)Ericsson (12%) On July 20, 2000, Ericsson reported that the fire and On July 20, 2000, Ericsson reported that the fire and com

29、ponent component shortages shortages had caused a second-quarter operating loss of $200 had caused a second-quarter operating loss of $200 million in its mobile phone division. Total loss $400 millionmillion in its mobile phone division. Total loss $400 millionPost Fire RankingPost Fire Rankingn nNo

30、kia shipments Nokia shipments grew by 10.5 grew by 10.5 percent over the previous year, to 140 percent over the previous year, to 140 million units. million units. n nEricsson shipments Ericsson shipments dropped by 35 percent dropped by 35 percent to 27 million units.to 27 million units.案例- AT&T 网络

31、灾难恢复n nThe NDR recovery inventory includes Emergency The NDR recovery inventory includes Emergency Communications Vehicles (ECVs) that can establish Communications Vehicles (ECVs) that can establish voice and data connectivity anywhere in the United voice and data connectivity anywhere in the United

32、 States. Using a satellite link, an ECV can provide States. Using a satellite link, an ECV can provide voice and data service within 30 minutes of arriving voice and data service within 30 minutes of arriving on site on site n nThe NDR Team is composed The NDR Team is composed of AT&T managers, of A

33、T&T managers, engineers, and technicians engineers, and technicians who have received special who have received special training in the physical training in the physical recovery of the AT&T recovery of the AT&T Network. Network. AT&T 在911时n nOn September 11, 2001, On September 11, 2001, AT&T activa

34、ted the NDR AT&T activated the NDR Team for its first full-scale Team for its first full-scale disaster response. The disaster response. The team and the recovery team and the recovery equipment arrived in equipment arrived in northern New Jersey early northern New Jersey early on September 12. The

35、on September 12. The recovery equipment was recovery equipment was positioned and turned up positioned and turned up to start service to start service 4848 hours hours later. later. 案例 -美国奔驰n n19991999年年9 9月弗洛伊德风暴袭击美国东部沿海。造成严重的月弗洛伊德风暴袭击美国东部沿海。造成严重的风害和水灾。风害和水灾。BCP在现实中的检验n n当赛特河堤决口后，地区的一百万多万用户的电话服务中断。

36、n n奔驰客户服务热线在其通讯系统部分受影响的情况下，当机立断，启动BC计划，将受影响的服务转移到热备点。n n6小时后，全面恢复受影响的业务。n n增强企业应对灾难的能力增强企业应对灾难的能力 预防潜在的威胁预防潜在的威胁预防潜在的威胁预防潜在的威胁 保护人员的生命安全保护人员的生命安全保护人员的生命安全保护人员的生命安全 使企业的业务中断和损失最小化使企业的业务中断和损失最小化使企业的业务中断和损失最小化使企业的业务中断和损失最小化 最大程度地减小数据的丢失、收入的损失、客户的流失最大程度地减小数据的丢失、收入的损失、客户的流失最大程度地减小数据的丢失、收入的损失、客户的流失最大程度地减小

37、数据的丢失、收入的损失、客户的流失 增强投资者、股东和消费者的信心增强投资者、股东和消费者的信心增强投资者、股东和消费者的信心增强投资者、股东和消费者的信心 维护企业的形象和信誉维护企业的形象和信誉维护企业的形象和信誉维护企业的形象和信誉n n完善企业的日常经营管理完善企业的日常经营管理 提高企业的信誉和竞争力提高企业的信誉和竞争力提高企业的信誉和竞争力提高企业的信誉和竞争力 增强企业的合规性增强企业的合规性增强企业的合规性增强企业的合规性 有助于不断地发现业务运行中存在的问题有助于不断地发现业务运行中存在的问题有助于不断地发现业务运行中存在的问题有助于不断地发现业务运行中存在的问题 完善管理

38、措施及改善业务流程完善管理措施及改善业务流程完善管理措施及改善业务流程完善管理措施及改善业务流程BCM给企企业带来来的利益的利益n nBS 25999 BS 25999 英国英国BCMBCM标准标准n nNFPA 1600 NFPA 1600 美国消防协会规范和标准美国消防协会规范和标准16001600 关于灾难关于灾难关于灾难关于灾难/ /应急管理与业务持续规划的标准（应急管理与业务持续规划的标准（应急管理与业务持续规划的标准（应急管理与业务持续规划的标准（Standard on Standard on Disaster/Emergency Management and Business C

39、ontinuity Disaster/Emergency Management and Business Continuity ProgramsPrograms）n nSS540SS540（TR 19TR 19） & SS 507 & SS 507 新加坡新加坡BCMBCM标准标准n nSarbanes-Oxley ActSarbanes-Oxley Act萨班斯萨班斯- -奥西利法案奥西利法案（20022002） 关于关于关于关于上市公司内审与控制的法案（美国）上市公司内审与控制的法案（美国）上市公司内审与控制的法案（美国）上市公司内审与控制的法案（美国） 要求所有上市公司保存数据五年以上要

40、求所有上市公司保存数据五年以上要求所有上市公司保存数据五年以上要求所有上市公司保存数据五年以上 规定高管层必须在规定高管层必须在规定高管层必须在规定高管层必须在9090天内完成内部控制的有效性评价并提交报告天内完成内部控制的有效性评价并提交报告天内完成内部控制的有效性评价并提交报告天内完成内部控制的有效性评价并提交报告 要求企业必须在要求企业必须在要求企业必须在要求企业必须在4848小时内清楚准确地报告财务状况和经营中的重大小时内清楚准确地报告财务状况和经营中的重大小时内清楚准确地报告财务状况和经营中的重大小时内清楚准确地报告财务状况和经营中的重大变化，这就要求财务监控措施应该高度自动化变化，

41、这就要求财务监控措施应该高度自动化变化，这就要求财务监控措施应该高度自动化变化，这就要求财务监控措施应该高度自动化n nBasel II Capital Accord Basel II Capital Accord 新巴塞尔协定新巴塞尔协定（巴塞尔银行监（巴塞尔银行监督委员会于督委员会于20012001年年发布发布) ) 关于金融机构风险管理和资本最低限的要求关于金融机构风险管理和资本最低限的要求关于金融机构风险管理和资本最低限的要求关于金融机构风险管理和资本最低限的要求BCM相相关国关国际标准和指南准和指南中国相关法律法规n n20032003，国家信息化领导小组关于加强信息安全保障国家信息

42、化领导小组关于加强信息安全保障工作的意见工作的意见( (中办发中办发200327200327号号) )，即，即2727号文件号文件n n20042004，关于加强国家重要信息系统灾难备份工作的关于加强国家重要信息系统灾难备份工作的意见意见n n20052005，国信办针对八大行业（银行，电力，铁路，民，国信办针对八大行业（银行，电力，铁路，民航，证券，保险，海关，税务）发布的航，证券，保险，海关，税务）发布的重要信息系统重要信息系统灾难恢复规划指南灾难恢复规划指南n n20072007，国信办发布，国信办发布重要信息系统灾难恢复指南重要信息系统灾难恢复指南n n20072007，重要信息系统灾

43、难恢复指南重要信息系统灾难恢复指南升级为国标升级为国标信息系统灾难恢复规范信息系统灾难恢复规范（GB/T 20988-2007GB/T 20988-2007）n n20082008，保险业信息系统灾难恢复管理指引，保险业信息系统灾难恢复管理指引n n将要实施的将要实施的C-SOXC-SOX法案法案企业内部控制基本规范企业内部控制基本规范国内主要标准和规范的要求l l国内主要标准和规范国内主要标准和规范l l信息系统灾难恢复规范信息系统灾难恢复规范信息系统灾难恢复规范信息系统灾难恢复规范（GB/T 20988-2007GB/T 20988-2007）l l保险业信息系统灾难恢复管理指引保险业信息

44、系统灾难恢复管理指引保险业信息系统灾难恢复管理指引保险业信息系统灾难恢复管理指引（20082008）l l民用航空重要信息系统灾难备份与恢复管理规范民用航空重要信息系统灾难备份与恢复管理规范民用航空重要信息系统灾难备份与恢复管理规范民用航空重要信息系统灾难备份与恢复管理规范（MH/T 0026-2005MH/T 0026-2005）l l主要内容和要求主要内容和要求l l灾难恢复的范围（灾难恢复规划、灾备中心运维、事件发灾难恢复的范围（灾难恢复规划、灾备中心运维、事件发灾难恢复的范围（灾难恢复规划、灾备中心运维、事件发灾难恢复的范围（灾难恢复规划、灾备中心运维、事件发生后的响应、恢复、重启，以

45、及灾后的重建和返回）生后的响应、恢复、重启，以及灾后的重建和返回）生后的响应、恢复、重启，以及灾后的重建和返回）生后的响应、恢复、重启，以及灾后的重建和返回）l l灾难恢复的组织机构（领导小组、实施小组、运维小组）灾难恢复的组织机构（领导小组、实施小组、运维小组）灾难恢复的组织机构（领导小组、实施小组、运维小组）灾难恢复的组织机构（领导小组、实施小组、运维小组）l l灾难恢复需求的确定，策略的制定和实施灾难恢复需求的确定，策略的制定和实施灾难恢复需求的确定，策略的制定和实施灾难恢复需求的确定，策略的制定和实施l lDRPDRP的管理、教育和培训、测试和演练、维护和审计的管理、教育和培训、测试和

46、演练、维护和审计的管理、教育和培训、测试和演练、维护和审计的管理、教育和培训、测试和演练、维护和审计l l应急响应、对外协调、计划启动应急响应、对外协调、计划启动应急响应、对外协调、计划启动应急响应、对外协调、计划启动l l主要特点主要特点l l内容与内容与内容与内容与BCMBCM国际惯例核心思想相一致国际惯例核心思想相一致国际惯例核心思想相一致国际惯例核心思想相一致l l完全覆盖了灾难恢复生命周期的要求（完全覆盖了灾难恢复生命周期的要求（完全覆盖了灾难恢复生命周期的要求（完全覆盖了灾难恢复生命周期的要求（6R6R模型）模型）模型）模型）l l简单明了，符合国情简单明了，符合国情简单明了，符合

47、国情简单明了，符合国情当前灾难恢复建设中存在的问题l l通常由通常由ITIT部门牵头规划和建设部门牵头规划和建设l l业务部门参与不充分业务部门参与不充分业务部门参与不充分业务部门参与不充分l l恢复指标与实际业务需求存在差异恢复指标与实际业务需求存在差异l l恢复指标（恢复指标（恢复指标（恢复指标（RTORTO、RPORPO等）过高或过低等）过高或过低等）过高或过低等）过高或过低l l仅注重灾难恢复的技术方案仅注重灾难恢复的技术方案l l忽视业务恢复的实际需求忽视业务恢复的实际需求忽视业务恢复的实际需求忽视业务恢复的实际需求l l恢复策略缺乏对各业务系统的综合考虑恢复策略缺乏对各业务系统的综

48、合考虑l l各业务系统的优先级划分不清或不合理各业务系统的优先级划分不清或不合理各业务系统的优先级划分不清或不合理各业务系统的优先级划分不清或不合理l l业务系统之间的相关性考虑不够业务系统之间的相关性考虑不够业务系统之间的相关性考虑不够业务系统之间的相关性考虑不够l l所需资源的相关性考虑不够所需资源的相关性考虑不够所需资源的相关性考虑不够所需资源的相关性考虑不够l l缺乏完善的计划管理制度缺乏完善的计划管理制度l l测试较多，演练不足测试较多，演练不足测试较多，演练不足测试较多，演练不足l l维护更新、检查审计制度不完善维护更新、检查审计制度不完善维护更新、检查审计制度不完善维护更新、检查

49、审计制度不完善l l只重视只重视DRDR建设不重视建设不重视BCBC规划规划l lDRPDRP与与与与BCPBCP未能统一协调未能统一协调未能统一协调未能统一协调l l不能很好地解决企业生存的核心问题不能很好地解决企业生存的核心问题不能很好地解决企业生存的核心问题不能很好地解决企业生存的核心问题业务持续业务持续业务持续业务持续l l将灾难恢复中心建成了数据备份中心将灾难恢复中心建成了数据备份中心l l混淆了灾难恢复与数据备份的概念混淆了灾难恢复与数据备份的概念混淆了灾难恢复与数据备份的概念混淆了灾难恢复与数据备份的概念l l混淆了对混淆了对混淆了对混淆了对RTORTO与与与与RPORPO要求的

50、不同性质要求的不同性质要求的不同性质要求的不同性质l l所采取的所采取的DRDR模式仅适用于数据集中式的业务模式仅适用于数据集中式的业务l l无法解决分布式业务的恢复无法解决分布式业务的恢复无法解决分布式业务的恢复无法解决分布式业务的恢复l l以自建为主，不习惯采用外包服务以自建为主，不习惯采用外包服务l l昂贵的成本阻碍了昂贵的成本阻碍了昂贵的成本阻碍了昂贵的成本阻碍了DRDR建设建设建设建设l l与国家标准和规范的要求存在差距与国家标准和规范的要求存在差距当当前灾前灾难恢恢复复建建设中存在的中存在的问题BCM在灾难恢复规划中的应用l lBCMBCM用于帮助企业满足国标的要求用于帮助企业满足

51、国标的要求l l针对国标的各项要求，提供具体的实现方法针对国标的各项要求，提供具体的实现方法针对国标的各项要求，提供具体的实现方法针对国标的各项要求，提供具体的实现方法l lBCMBCM用于用于DRP/BCPDRP/BCP的制定和管理的制定和管理l l由高管层牵头，建立完善的组织，确保各部门的积极参与由高管层牵头，建立完善的组织，确保各部门的积极参与由高管层牵头，建立完善的组织，确保各部门的积极参与由高管层牵头，建立完善的组织，确保各部门的积极参与l l以业务持续的实际需求来设计所需的技术方案以业务持续的实际需求来设计所需的技术方案以业务持续的实际需求来设计所需的技术方案以业务持续的实际需求来

52、设计所需的技术方案l l根据实际业务模式的需要来设计根据实际业务模式的需要来设计根据实际业务模式的需要来设计根据实际业务模式的需要来设计DRDR模式模式模式模式l l采用采用采用采用BCMBCM方法论来进行计划编制、贯彻实施、测试演练、维方法论来进行计划编制、贯彻实施、测试演练、维方法论来进行计划编制、贯彻实施、测试演练、维方法论来进行计划编制、贯彻实施、测试演练、维护更新、响应执行，等等护更新、响应执行，等等护更新、响应执行，等等护更新、响应执行，等等l l利用外包利用外包利用外包利用外包DR/BCDR/BC中心是解决业务持续的有效方法中心是解决业务持续的有效方法中心是解决业务持续的有效方法

53、中心是解决业务持续的有效方法l l实现企业的生存目标实现企业的生存目标DRDR只是手段，只是手段，BCBC才是本质才是本质l l将将BCMBCM融入企业文化融入企业文化l l提高大众认知提高大众认知提高大众认知提高大众认知l l培养专业人才培养专业人才培养专业人才培养专业人才n n国际灾难恢复协会（国际灾难恢复协会（Disaster Recovery Disaster Recovery Institute InternationalInstitute International，DRIIDRII，美国），美国）业务持续专业人员所用的业务持续专业人员所用的业务持续专业人员所用的业务持续专业人员所

54、用的1010个最佳惯例个最佳惯例个最佳惯例个最佳惯例（Professional Practices for BC ProfessionalsProfessional Practices for BC Professionals）n n业务持续协会（业务持续协会（Business Continuity InstituteBusiness Continuity Institute，BCIBCI，英国），英国）BCIBCI最佳惯例指南最佳惯例指南最佳惯例指南最佳惯例指南（The BCI Good Practice GuidelinesThe BCI Good Practice Guidelines）

55、 BCM国国际组织编码编码课程名称课程名称授课时间授课时间CBCE-200CBCE-200业务持续管理基本原理业务持续管理基本原理Business Continuity Management FundamentalBusiness Continuity Management Fundamental1.51.5天天CBCE-600CBCE-600业务持续管理专业惯例业务持续管理专业惯例Business Continuity Management Professional PracticesBusiness Continuity Management Professional Practices3

56、 3天天CBCE-800CBCE-800业务持续管理最佳惯例详解业务持续管理最佳惯例详解Business Continuity Management Best Practices IntensiveBusiness Continuity Management Best Practices Intensive5 5天天BCLE-2000BCLE-2000DRIIDRII国际认证课程国际认证课程Business Continuity Planning Business Continuity Planning （Accelerated CourseAccelerated Course）4.54.5天

57、天CDRP-1000CDRP-1000灾难恢复计划最佳惯例详解灾难恢复计划最佳惯例详解Disaster Recovery Plan Best Practices IntensiveDisaster Recovery Plan Best Practices Intensive5 5天天CBCT-6000CBCT-6000业务持续管理专业讲师培训业务持续管理专业讲师培训Business Continuity Management Professional TrainerBusiness Continuity Management Professional Trainer3 3天天CBCE-801C

58、BCE-801业务持续管理专业考试辅导业务持续管理专业考试辅导0.50.5天天CBCS-5000CBCS-5000业务持续管理专题研讨课业务持续管理专题研讨课根据内容而定根据内容而定BCM系列系列课程程编码编码考试考试证书证书CBCE-200CBCE-200笔试笔试5050题，题，1.51.5小时小时业务持续管理基础培训合格证书（业务持续管理基础培训合格证书（ACBCACBC）Associate Certification of Business ContinuityAssociate Certification of Business ContinuityCBCE-600CBCE-600笔试

59、笔试100100题，题，2.52.5小时小时业务持续管理专业培训合格证书（业务持续管理专业培训合格证书（PCBCPCBC）Professional Certification of Business ContinuityProfessional Certification of Business ContinuityCBCE-800CBCE-800笔试笔试150150题，题，3.53.5小时小时业务持续管理高级培训合格证书（业务持续管理高级培训合格证书（ECBCECBC）Expert Certification of Business ContinuityExpert Certificatio

60、n of Business Continuity BCLE-2000BCLE-2000笔试笔试150150题，题，3.53.5小时小时DRIIDRII国际认证资格证书（国际认证资格证书（ABCPABCP或或CBCPCBCP）Certified Business Continuity ProfessionalCertified Business Continuity ProfessionalCDRP-1000CDRP-1000笔试笔试150150题，题，3.53.5小时小时灾难恢复计划高级培训合格证书（灾难恢复计划高级培训合格证书（ECDRECDR）Expert Certification of

61、 Disaster RecoveryExpert Certification of Disaster RecoveryCBCT-6000CBCT-6000模拟试讲，模拟试讲，6060分钟分钟业务持续管理专业讲师合格证书（业务持续管理专业讲师合格证书（TCBCTCBC）Trainer Certification of Business Continuity Trainer Certification of Business Continuity CBCE-801CBCE-801参加相应考试参加相应考试相应的合格相应的合格/ /资格证书资格证书 BCM专业考考试认证+ Address中国信息化推进联盟中国信息化推进联盟BCM专业专业委员会委员会中国北京市海淀区中关村东路中国北京市海淀区中关村东路66号（保福寺桥东南角）号（保福寺桥东南角）世纪科贸大厦世纪科贸大厦B座座608室室 Phone+86 10 626709187 Fax+86 10 62670251 Emailinfochinabcm.org Webwww.chinabcm.org联系我系我们中中中中国国国国信息化推信息化推信息化推信息化推进联进联盟盟盟盟BCMBCM专业专业委委委委员员会会会会Thank you!