美国第34任总统德怀特?艾森豪威尔(DwightdEisenhower)曾经说过:“在准备战斗时我经常发现计划是没有用的,但规划是不可或缺的。”
2007年1月,一家大型银行的网点系统发生故障,事件持续了90分钟,其间信息无法传送,导致用户无法正常办理业务。同年8月,一家大型银行的网银系统及客服电话大面积故障及拥塞,事件持续约8小时后才恢复,企业服务水平严重受到影响。2007年10月30日,订票系统因瞬间特大访问量而造成拥堵的情况,导致奥运门票第二阶段预售被迫暂停。
其实类似的“头条新闻”只是冰山一角,所有的企业每天都面对可能导致业务受到负面影响的事件。只是这些事件的严重程度、持续的时间,以及其他的客观因素有所区别,因此实际上对企业所造成的影响也不一样。
根据英国特许管理协会(www.managers.org.uk)2007年的年度业务持续性管理调查,企业最普遍面对的事件,包括失去信息系统、失去关键员工、极端天气状况、失去通信系统等。虽然也有特大的天灾人祸,但这些普遍的事件却是每天都可能发生的事情,只是一旦处理不当或不及时,就可能“小事化大”,对企业造成不可挽回的后果。
一直以来,企业很少或根本没有考虑制定业务持续性计划的需要。一些企业由于业务的性质,可能针对特定的情景,编制了局部的灾难恢复计划。但即使有计划,也往往不一定对计划定期更新、演练,因此可以说没有得到真正的实施。随着奥运会的到来,北京以及其他的奥运城市已开始加强应急管理体系来保障城市在奥运活动期间能持续地安全运行。
事故和灾难的发生是不可避免的。灾难一方面考验企业的风险管理能力,另一方面却给企业提供超越竞争对手的契机。因此,企业应该利用奥运会的契机,去对自身响应事故的能力做一个客观的评价,逐步建立一个可持续维护的业务持续性计划。
什么是业务持续性计划?业务持续计划的作用在于确保一个组织的主要业务流程和营运服务,包括相应的信息系统和其他配套元素能够在事故发生后持续运行,保持一定程度的服务,并能尽快地恢复事故前的服务水平。
我们不可能对每一件可能发生的事情都能事先掌握,不能期望身边随时有三个锦囊去化解企业可能面对的所有事情。因此,业务持续性计划的制定并不意味着企业不再受任何事故影响。业务持续性计划是使企业在一个突发事件中,有能力使其主要业务、服务流程、系统、设备、人员等因素实现各自的持续性要求。这意味着企业的所有职能部门必须相互配合工作,从企业整体的角度去确保业务持续性计划得到实现。业务持续性计划的制定并不代表企业能够在事故发生后维持原有的服务水平:事故影响业务的程度一定和事故的性质和严重性成正比。某些业务由于其重要性和敏感性,必须保持一定的服务水平,所以必须相对应地投入大量的资源去实现。
业务持续性计划体系的组成元素业务持续性计划不只是一份文件:计划本身只是一个载体,更关键的是所有的配套元素,包括人员,设备,技术等,并同时考虑到内、外部的沟通和协调。外部的沟通和协调最为关键,包括监管部门、供应商、客户、其他第三方(如服务供应商)、传媒等,而且必须通过统一的渠道发布信息,避免错误的信息把已经混乱的局面弄得更糟。在业务持续性计划中,适当的应急组织结构是一个基本的组成部分,来负责所有紧急决策的制定,协调相关的准备工作等等。相关人员的职务和权责必须明确界定,才能使计划有效地执行。
后勤支援同样是需要关注的一个领域:设备的维护、人员的安全等都是要考虑到的。在突发事件的响应期间,企业可能需要为雇员提供临时工作场所、设备、通讯和供给等,还可能需要为食宿、个人安全和运输做特别的安排,包括为相关人员的家庭做相应的特殊安置。实际上,人员的安全撤离和安置是很多业务持续性计划的首要工作。
制定业务持续性计划的步骤根据国际业务持续性领域的权威组织,如国际业务持续协会(BusinessContinuityInstitutewww.thebci.org)和国际灾难恢复协会(DisasterRecoveryInstituteInternationalwww.drii.org)发布的最佳实践原则,企业推动业务持续性计划一般需要经过几个主要阶段,包括项目启动、风险分析、业务影响分析、业务持续性策略规划、业务持续性计划编制、人员培训与训练、业务持续性计划测试与演练,以及业务持续性计划持续维护等阶段。
风险分析的目的是使企业能充分认识影响业务的的潜在威胁,并且根据可能造成的损失和其他因素,制定切实可行并合乎成本效益的防范措施,在尽量减少各类风险发生的可能性和减低风险危害和损失的程度的同时,对残余风险建立灾难场景作为业务影响分析的基础和制定业务持续性计划的基础。
业务影响分析是制定业务持续性计划传统步骤中最耗时和关键的一步,是以系统化的方法,包括访谈、调查、问卷、研讨会等形式,收集及分析企业的关键与必要业务功能及业务流程,并识别关键业务功能相互之间的依赖关系,和支持关键业务的应用系统等。业务影响分析的目的是通过客观的分析,掌握各关键业务可容许中断的最大时间长度,从而制定各关键业务的恢复时间目标、最低的恢复要求、恢复次序,以及支持各关键业务恢复所需的各项资源等。
业务影响分析让企业决策层根据业务中断的时间长度,掌握相关事件对公司业务及财务的影响、对企业带来的冲击,提高其危机意识,强化企业处理灾难的准备及应变能力。由于业务影响分析所需要采集的数据相当多,包括关键业务功能、业务之间的依赖程度、业务运作所需资源、财务及非财务方面的影响等,因此需要有适当的人员参与,才能取得准确的信息,作为后续工作的基础。
在建立业务持续性计划后,通过适当的培训和定期演练,不断提升企业内全体员工对于灾难的认知,和灾难一旦发生后各自的工作职责,达到强化和维持业务持续性计划的有效性,使所有参与工作的人员均能熟悉业务持续性计的运作流程与恢复策略。由于企业的不断发展、其人员和运作环境的不断变化,业务持续性计划必须定期得到持续维护,以确保计划的持续可用和有效性。
4711
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
