浅谈业务持续性管理|业务持续性计划

　　【摘 要】突发事件往往会给一个企业或组织带来大面积业务中断，造成重大的经济损失和严重的社会影响。因此，构建真正有效的应对危机事件的业务连续性管理体系，使管理科学化、手段现代化，才能更加有效的进行风险管理，保证业务的连续运行，实现可持续发展。本文对业务持续性管理理论进行了介绍，对其实施中遇到的主要问题进行了分析，并提出了实施建议。
　　【关键词】业务持续性；管理
　　现代社会各行各业的业务开展都高度依赖于信息系统，任何突发事件对信息系统的破坏都有可能影响到业务的开展。大到天灾小至人祸，比如火灾、地震、停电、病毒攻击甚至是人员错误、流程缺陷等内部事件，时刻潜伏在企业或组织的周围，随时一触即发，造成致命的打击。尤其各行业纷纷实现了数据大集中，无论重大灾难还是轻微事故，在发生时都可能带来大面积业务中断，造成重大的经济损失和严重的社会影响。伴随着信息化进程突飞猛进，构建真正有效的应对危机事件的业务连续性管理体系，使管理科学化、手段现代化，更加有效的进行风险管理，才能保证业务的连续运行，实现可持续发展。
　　一、业务持续性管理概述
　　通常认为，业务连续性管理是一个一体化的管理过程，通过这一过程，可以识别威胁组织机构的潜在风险，并提供一个指导性框架来建立组织机构的恢复能力和有效应急响应能力，从而保护利益相关者的资产，组织机构的信誉、品牌及其创造价值的活动。
　　业务连续性管理的历史可追溯到20世纪60年代，那时业务连续性管理的思想和方法，是包含在风险管理、危机管理等理论中，并未单独作为一门学科来独立研究。业务连续性管理概念最早脱胎于传统的IT备份与容灾恢复计划。计算机系统在解决系统持续运行的问题时，率先对单点故障采用了冗余措施，这就是最早业务连续性管理思想的开端。但是随着IT系统规模的不断扩大，传统的以技术为中心的灾备越来越难保障企业在灾难面前的关键业务可用性，一个组织更需要一套标准化、分工明确的管理体系去帮助其应对灾害，这不仅包括IT技术层面，还体现在整个机构的管理架构层面。
　　二、业务持续性管理生命周期
　　（一）项目管理
　　确定业务持续管理过程的需求，一是建立危机管理小组，确定角色和职责、机构的类型以及成员。二是制定项目计划和预算，协调和组织管理业务持续性管理项目，使其符合时间和预算的限制。三是要制定业务持续性管理程序管理的有关规定、标准和指导方针，以对项目进行有效评估、控制和审计。
　　（二）第二阶段：熟悉和理解业务
　　一是明确业务目标，识别关键业务流程，以及业务流程得以实现的关键因素。二是进行风险分析，识别可能造成关键业务中断的灾难、具有负面影响的事件等因素，可控的风险与控制范围以外的风险，确定由这些风险可能造成的直接经济损失。三是进行业务冲击分析（BIA），识别关键业务以及业务的优先级，识别由于业务中断造成的直接和间接后果，确定可以接受的损失范围，关键业务恢复的优先顺序以及恢复时间目标。
　　（三）第三阶段：制定业务持续策略
　　一是确定和指导业务恢复运行策略的选择，以便在恢复时间目标范围内恢复业务。二是确定当前系统恢复能力与恢复时间目标的差距。三是结合风险分析和业务冲击分析的结果，确定灾难恢复所需的各种资源，结合技术手段、投资成本、管理方式、获得的收益等多方面因素确定不同的解决方案和措施，形成组织业务持续策略、过程层面业务持续策略、资源恢复业务持续策略三个层次的业务持续策略。
　　（四）第四阶段：开发并执行业务持续计划
　　一是确定计划制定的需求，识别和定义主要计划要件的格式和结构，建立计划分发和控制规程。二是根据制定的策略，设计、制定和实施一系列的业务持续性计划，以便在恢复时间目标范围内完成恢复。
　　（五）第五阶段：进行业务持续管理培训
　　主要是制定针对管理层、关键岗位、普通岗位培养计划，提供专业会议和课程、出版物和相关的互联网站点等各种类型的培训项目，建立对机构人员进行意识培养和技能培训的项目，将业务持续融入常态管理，以使业务持续性计划能够得到制定、实施、维护和执行。
　　（六）第六阶段：计划演练、维护和审计
　　对业务持续计划和计划间的协调性进行演练，评估和记录计划演练的结果，检验业务持续管理能力及水平，确保业务持续管理有效、实用。
　　三、实施中主要存在问题
　　（一）意识和认识方面
　　目前，虽然我们不断地强调突发事件影响，但是还有很大一部分人对于小概率大影响的事件偏向于过分乐观，要么认为风险绝对不可能发生或者发生的概率很低，以至于业务持续性管理实施动力不足。
　　（二）实施策略方面
　　由于业务连续性管理概念最早脱胎于传统的IT备份与容灾恢复计划，因此许多机构和企业认为业务持续管理就是信息系统的灾难备份管理。最后业务持续管理建设就变成了建立同城异地灾备中心的代名词。这种从资源到业务需求的反向投入缺乏整体性规划，最终结果往往是投入巨大但效果很差。特别是许多机构忽视了管理层面的可持续性建设，忽视了对本地IT设施的保护和管理，以至于业务持续管理缺乏可用性和可靠性。
　　（三）维护运行方面
　　由于业务连续恢复系统只在灾难发生后才会考虑启用，在机构日常运营中并不投入使用或是不敢对现有的生产系统进行演练。所以即使业务连续恢复系统存在有问题也不会立即暴露出来。很多机构花费了大量的人力和物力进行业务持续性建设后就以为万事大吉了。殊不知，在灾难状态下这些措施并不一定有效。
　　四、业务持续性管理实施建议
　　（一）应站在全局风险控制的角度，建立一个专门的业务持续性管理委员会负责业务持续性，建立统一指挥、协调有序的业务持续性管理框架，有计划、有步骤地主动开展业务持续性建设工作。逐步建立行业间、系统内以及本机构部门之间的业务持续性建设协调机制，做到上下联动、横向互动，切实提高业务连续运作能力。
　　（二）制定应对各类突发事件场景、多级的预案体系，明确突发事件级别，制定应急管理组织架构，开发详细的操作流程，明确应急过程中的人员、通讯、物资等。在业务持续性计划建设过程中，明确业务所需资源，明确业务流程与资源的对应关系，全面评估各项资源面临的风险，重点关注关键资源以及重要风险。要在确保灾难备份和恢复功能的前提下，建立完善有效的灾备架构，使之发挥更大的作用和效益。
　　（三）通过长期有效的维护灾难恢复资源与计划，不断开展培训和演练，验证支撑业务持续性体系预案的完整性、易用性、明确性、有效性，提高业务连续运作能力，并提升业务持续性的意识和技能教育。

推荐访问:持续性 浅谈 业务 管理