業務持續管理概述及應用LOGOYoursitehere第1頁，課件共40頁，創作于2023年2月中國信息化推進聯盟BCM專業委員會（ChinaBCM，CBCM）2004年7月成立，是中國目前唯一權威的BCM組織機構，至今已有委員50多人及會員單位20多家致力于中國BCM的應用推廣、人才培養、及標準制定促成了與DRII的合作中國BCM專業委員會第2頁，課件共40頁，創作于2023年2月311，000人已被認證（截至2010年1月底）遍布95個國家培訓在45個國家開展DRIChina是大中華地區DRII唯一授權機構包括香港，澳門和臺灣地區真正全球化DISASTERRECOVERYINSTITUTEINTERNATIONALanon-profitorganizationBC行業手屈一指的職業教育和資質認證組織第3頁，課件共40頁，創作于2023年2月主要內容災難事件及其損失和挽救解決災難問題的理論和方法BCM相關概念解釋BCM的知識體系（10個國際最佳慣例）BC計劃編制方法論（8個步驟）業務恢復的生命周期（6R模型）BCM中的各種計劃BCM在企業中的應用BCM給企業帶來的好處國內外相關法規和標準、以及相關組織機構BCM在災難恢復建設中的應用第4頁，課件共40頁，創作于2023年2月何為“BCM（業務持續管理）”？“B”——Business，具有價值的活動“C”——Continuity，持續活動的保障“M”——Management，提供保障的方法幾乎人人都有“BC”需求工作中的“BC”需求生活中的“BC”需求“BCM”方法是保護我們正常生活和工作的必備手段BCM離我們有多遠？第5頁，課件共40頁，創作于2023年2月2008年5.12汶川大地震2008年南方大雪2009年7.5新疆暴亂2009年臺風莫拉克2005年卡特里娜颶風2001年911恐怖襲擊災難事件回顧第6頁，課件共40頁，創作于2023年2月災難的損失與挽救災難事件死亡人數直接經濟損失保險賠償社會捐贈汶川地震近9萬人超過1萬億元共計約16億元

人身：9.6億元（60%）

財產：6.4億元（40%）760億元911恐怖襲擊3千多人450億美元共計約400億美元

人身：48億美元（12%）

財產：352億美元（88%）（其中：停業保險為110億美元責任保險為100億美元）22億美元卡特里娜颶風1千多人1250億美元共計約600億美元13億美元第7頁，課件共40頁，創作于2023年2月政府救援救援的主力軍（消防、武警、軍隊、醫療、應急機構等）主要是針對人員和財產的搶救用于基礎設施重建的賑災資金社會捐贈已成為重要的救助力量保險賠償賠償占損失的比例太小（反映了保險意識淡薄）財保賠償占總賠償比例偏小（受大型自然災害賠償限制）缺乏停業保險、責任保險等與企業經營相關的險種企業自救缺乏有效的預案和方法，能力較弱缺乏系統的科學方法（BCM不夠普及）我國目前的救災模式第8頁，課件共40頁，創作于2023年2月英國CMI的2010年BCM調查報告58%造成組織停業的是氣候。第一次取代IT79%被訪經理在過去12個月里啟動BC計劃并有效地減少了中斷造成的沖擊54%被訪者報告應用遠程工作的方式應對中斷企業的自律是BCM的主要驅動力自律（38%)商業/客戶（31%）潛在客戶（21%）政府要求（21%）合同（16%）33%的指導來自專業機構，28%來自自己27%有專項資金，48%沒有72%說HR是內部BCM的相關者第9頁，課件共40頁，創作于2023年2月解決災難問題的理論和方法風險管理（RM）：風險的分析、預防和控制主要用于風險的預防危機管理（CM）：危機事件的演變和處理主要用于事件的處理應急管理（EM）：突發事件的應對和處理主要用于公共事件的應對災難恢復（DR）：信息系統的恢復（DRP是BCP的一部分）主要用于數據和信息系統的保護業務持續管理（BCM）：災難中企業的生存確保在預定的時間內恢復業務運行綜合運用了以上各種方法第10頁，課件共40頁，創作于2023年2月11原因vs.影響風險評估–對原因的判斷(風險)確認威脅

(設施,環境，氣候，地質地貌，人為，商務，技術，等等）建議減小措施發生的可能性采取措施的成本BCM–對影響進行處理當防范及減小措施失去作用準備組織架構,計劃，資源，檢驗執行搬遷,特殊情況下的運營減少已知的危險減小沖擊后的影響風險管理vs.業務持續管理第11頁，課件共40頁，創作于2023年2月BusinessContinuityisNOTbusinessasusual所謂業務持續就是不僅要使業務功能在災難后能得到全面恢復，還要確保關鍵業務功能在中斷或災難事件中，能夠迅速地恢復持續運行業務持續的實質第12頁，課件共40頁，創作于2023年2月災難的含義災難（Disaster）的一般定義一個突發的、非計劃的、能夠導致重大傷害或損失的嚴重的不幸事件災難對企業的含義突發事件造成企業關鍵業務功能（或流程）的中斷時間超過企業最大可容忍的程度通常由恢復時間目標（RTO）值作為判定是否是災難的依據通過評估，當預計關鍵業務功能的中斷時間將大于預定的RTO值，則視為災難發生，應該啟動相應的預案和計劃第13頁，課件共40頁，創作于2023年2月業務功能或應用系統恢復到其最低可接受的程度業務功能或應用系統以最新的正確數據運行時間中斷點業務功能或應用系統從中斷點恢復到其最低可接受的程度所需的時間，從而使中斷產生的沖擊最小化。恢復時間目標（RTO）恢復時間目標（RTO）事前防控事后重建事中應對第14頁，課件共40頁，創作于2023年2月項目啟動與管理風險評估和控制（RA）業務沖擊分析（BIA）制定業務持續策略應急響應和措施編制和貫徹執行業務持續計劃認知和培訓計劃維護及演練業務持續計劃危機溝通與外部機構的協調10個國際最佳專業慣例確定BC計劃編制的需求獲得高管層的支持建立BCM組織及責任明確BCM項目的范圍確定計劃編制時間表識別可能的不利事件和威脅信息的收集和分析方法確認可能的風險和損害確定應采取的控制措施對所采取的措施進行評價確認中斷對業務的沖擊定量及定性地衡量沖擊確認關鍵業務功能和流程確定優先級別和互依賴性確定RTO及RPO根據RA和BIA的結果制定策略包括企業級策略和部門級策略進行成本效益分析選擇最佳的策略制定和貫徹應急響應程序使事件發生后的情形得到穩定建立和管理EOC將BC程序與應急響應程序相集成確定計劃編制的要求確定計劃的結構和形式編制業務持續計劃貫徹執行業務持續計劃建立計劃分發和控制程序確定認知與培訓的目標制定各種認知與培訓計劃開發認知與培訓的方法和工具確認其他教育機會設計和協調BC計劃的演練評價演練結果制定維護更新BC計劃的流程驗證BC計劃的有效性以簡明的方式報告結果制定和演練危機溝通計劃與各利益相關者的溝通與外部機構、媒體的溝通建立與外部機構協調的流程制定與外部機構的演練程序第15頁，課件共40頁，創作于2023年2月業務沖擊分析策略制定認知與培訓測試與演練風險分析與評估BC計劃計劃編制計劃維護項目規劃BC計劃編制的生命周期BC計劃編制的8個步驟第16頁，課件共40頁，創作于2023年2月減小（Reduce）響應（Respond）恢復（Recover） 重啟（Resume） 重建（Restore）返回（Return）事件發生之前預防和控制措施做好應對準備事件發生期間應急響應和損失評估恢復關鍵功能重啟業務運行事件穩定之后重建永久站點返回正常運行業務恢復的6R模型第17頁，課件共40頁，創作于2023年2月進行損失評估，判斷是否災難？滿足條件：宣布災難幾分鐘或幾小時之內幾小時或幾天之內幾周或幾月之內預防事件Respond響應Reduce減少、降低Recover恢復Resume重啟風險管理，危機管理，應急管理Restore重建Return返回業務恢復的生命周期時間線既要避免反應遲鈍，也要避免反應過度！事前事中事后第18頁，課件共40頁，創作于2023年2月應急與業務持續第19頁，課件共40頁，創作于2023年2月預防和準備事前事后返回正常運行時間業務運行能力應急響應計劃業務恢復計劃災難恢復計劃重建/返回計劃風險減小計劃危機管理計劃非常態運行（滿足RTO要求）可容忍的最低業務運行能力事件發生啟動危機管理中心，進行指揮、控制和溝通減小風險，避免中斷，或使中斷影響最小化確保關鍵業務的持續運行恢復后備場地和技術設施重建永久(原)場地，返回正常運行挽救生命和財產設立EOC進行損失評估RTO事中100%BCM中的各種計劃第20頁，課件共40頁，創作于2023年2月災后重建(Restore)(Return)安全管理（Reduce）災難恢復（Recover）業務持續（Resume）事件響應（Response）企業的BCM規劃相應的預案和計劃重建/返回計劃安全防控計劃災難恢復計劃業務持續計劃應急響應計劃業務持續管理指導方針和框架BCPPreparedness第21頁，課件共40頁，創作于2023年2月02-22高管層的重視和支持組建完善的BCM組織機構人員、資金和資源的保障指定擁有適當權力的業務部門代表參與相關人員應具備全面的業務持續管理知識任命有能力的BC項目經理因為時間所限，所以該經理必須具有很強的項目管理能力專心致志和高度的責任感BCM成功的決定因素第22頁，課件共40頁，創作于2023年2月BCM在企業中的應用應用的主要方面整個企業的應急管理針對IT的災難恢復（DRP）建立完善的危機管理組織機構確保高管層的參與和支持明確各部門的職責，確保全體員工的積極參與制定企業應對災難的完整預案既關注人員和財產的挽救，也注重業務的持續建立分級響應機制，完善控制事件全過程的各項預案將DRP集成到BCP之中DR只是手段，BC才是本質確保預案和計劃的貫徹實施和維護更新制定認知和培訓計劃，提高員工防災救災的意識和能力不斷地對預案和計劃進行測試演練和維護更新將BCM理念融入企業的文化中第23頁，課件共40頁，創作于2023年2月供應鏈第24頁，課件共40頁，創作于2023年2月案例March17,2000–Ericssonvs.Nokia10MinuteFireinAlbuquerquePhilipsMicrochipPlantPreFireRankingNokia(32%)Ericsson(12%)OnJuly20,2000,Ericssonreportedthatthefireandcomponentshortageshadcausedasecond-quarteroperatinglossof$200millioninitsmobilephonedivision.Totalloss$400millionPostFireRankingNokiashipmentsgrewby10.5percentoverthepreviousyear,to140millionunits.Ericssonshipmentsdroppedby35percentto27millionunits.第25頁，課件共40頁，創作于2023年2月案例-AT&T–網絡災難恢復TheNDRrecoveryinventoryincludesEmergencyCommunicationsVehicles(ECVs)thatcanestablishvoiceanddataconnectivityanywhereintheUnitedStates.Usingasatellitelink,anECVcanprovidevoiceanddataservicewithin30minutesofarrivingonsiteTheNDRTeamiscomposedofAT&Tmanagers,engineers,andtechnicianswhohavereceivedspecialtraininginthephysicalrecoveryoftheAT&TNetwork.第26頁，課件共40頁，創作于2023年2月AT&T在911時OnSeptember11,2001,AT&TactivatedtheNDRTeamforitsfirstfull-scaledisasterresponse.TheteamandtherecoveryequipmentarrivedinnorthernNewJerseyearlyonSeptember12.Therecoveryequipmentwaspositionedandturneduptostartservice48hourslater.第27頁，課件共40頁，創作于2023年2月案例-美國奔馳1999年9月弗洛伊德風暴襲擊美國東部沿海。造成嚴重的風害和水災。第28頁，課件共40頁，創作于2023年2月BCP在現實中的檢驗當賽特河堤決口后，地區的一百萬多萬用戶的電話服務中斷。奔馳客戶服務熱線在其通訊系統部分受影響的情況下，當機立斷，啟動BC計劃，將受影響的服務轉移到熱備點。6小時后，全面恢復受影響的業務。第29頁，課件共40頁，創作于2023年2月增強企業應對災難的能力預防潛在的威脅保護人員的生命安全使企業的業務中斷和損失最小化最大程度地減小數據的丟失、收入的損失、客戶的流失增強投資者、股東和消費者的信心維護企業的形象和信譽完善企業的日常經營管理提高企業的信譽和競爭力增強企業的合規性有助于不斷地發現業務運行中存在的問題完善管理措施及改善業務流程BCM給企業帶來的利益第30頁，課件共40頁，創作于2023年2月BS25999英國BCM標準NFPA1600美國消防協會規范和標準1600《關于災難/應急管理與業務持續規劃的標準》（StandardonDisaster/EmergencyManagementandBusinessContinuityPrograms）SS540（TR19）&SS507新加坡BCM標準Sarbanes-OxleyAct《薩班斯-奧西利法案》（2002）關于上市公司內審與控制的法案（美國）要求所有上市公司保存數據五年以上規定高管層必須在90天內完成內部控制的有效性評價并提交報告要求企業必須在48小時內清楚準確地報告財務狀況和經營中的重大變化，這就要求財務監控措施應該高度自動化BaselIICapitalAccord《新巴塞爾協定》（巴塞爾銀行監督委員會于2001年發布)關于金融機構風險管理和資本最低限的要求BCM相關國際標準和指南第31頁，課件共40頁，創作于2023年2月中國相關法律法規2003，《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)，即27號文件2004，《關于加強國家重要信息系統災難備份工作的意見》2005，國信辦針對八大行業（銀行，電力，鐵路，民航，證券，保險，海關，稅務）發布的《重要信息系統災難恢復規劃指南》2007，國信辦發布《重要信息系統災難恢復指南》2007，《重要信息系統災難恢復指南》升級為國標《信息系統災難恢復規范》（GB/T20988-2007）2008，保險業信息系統災難恢復管理指引將要實施的C-SOX法案《企業內部控制基本規范》第32頁，課件共40頁，創作于2023年2月國內主要標準和規范的要求國內主要標準和規范《信息系統災難恢復規范》（GB/T20988-2007）《保險業信息系統災難恢復管理指引》（2008）《民用航空重要信息系統災難備份與恢復管理規范》（MH/T0026-2005）主要內容和要求災難恢復的范圍（災難恢復規劃、災備中心運維、事件發生后的響應、恢復、重啟，以及災后的重建和返回）災難恢復的組織機構（領導小組、實施小組、運維小組）災難恢復需求的確定，策略的制定和實施DRP的管理、教育和培訓、測試和演練、維護和審計應急響應、對外協調、計劃啟動主要特點內容與BCM國際慣例核心思想相一致完全覆蓋了災難恢復生命周期的要求（6R模型）簡單明了，符合國情第33頁，課件共40頁，創作于2023年2月當前災難恢復建設中存在的問題通常由IT部門牽頭規劃和建設業務部門參與不充分恢復指標與實際業務需求存在差異恢復指標（RTO、RPO等）過高或過低僅注重災難恢復的技術方案忽視業務恢復的實際需求恢復策略缺乏對各業務系統的綜合考慮各業務系統的優先級劃分不清或不合理業務系統之間的相關性考慮不夠所需資源的相關性考慮不夠缺乏完善的計劃管理制度測試較多，演練不足維護更新、檢查審計制度不完善第34頁，課件共40頁，創作于2023年2月只重視DR建設不重視BC規劃DRP與BCP未能統一協調不能很好地解決企業生存的核心問題——業務持續將災難恢復中心建成了數據備份中心混淆了災難恢復與數據備份的概念混淆了對RTO與RPO要求的不同性質所采取的DR模式僅適用于數據集中式的業務無法解決分布式業務的恢復以自建為主，不習慣采用外包服務昂貴的成本阻礙了DR建設與國家標準和規范的要求存在差距當前災難恢復建設中存在的問題第35頁，課件共40頁，創作于2023年2月BCM在災難恢復規劃中的應用BCM用于幫助企業滿足國標的要求針對國標的各項要求，提供具體的實現方法BCM用于DRP/BCP的制定和管理由高管層牽頭，建立完善的組織，確保各部門的積極參與以業務持續的實際需求來設計所需的技術方案根據實際業務模式的需要來設計DR模式采用BCM方法論來進行計劃編制、貫徹實施、測試演練、維護更新、響應執行，等等利用外包DR/BC中心是解決業務持續的有效方法實現企業的生存目標——DR只是手段，BC才是本質將BCM融入企業文化提高大眾認知培養專業人才第36頁，課件共40頁，創作于2023年2月國際災難恢復協會（DisasterRecoveryInstituteInternational，DRII，美國）業務持續專業人員所用的10個最佳慣例（ProfessionalPracticesforBCProfessionals）業務持續協會（BusinessContinuityInstitute，BCI，英國）BCI最佳慣例指南（TheBCIGoodPracticeGuidelines）BCM國際組織第37頁，課件共40頁，創作于2023年2月編碼課程名稱授課時間CBCE-200業務持續管理基本原理

BusinessContinuityManagementFundamental1.5天CBCE-600業務持續管理專業慣例

BusinessContinuityManagementProfessionalPractices3天CBCE-800業務持續管理最佳慣例詳解

BusinessContinuityManagementBestPracticesIntensive5天BCLE-2000DRII國際認證課程

BusinessContinuityPlanning（AcceleratedCourse）4.5天CDRP-1000災難恢復計劃最佳慣例詳解

DisasterRecov