BCM公开课.ppt

1、 Gary Liu业务持续管理业务持续管理（BCM）概述及应用概述及应用V3.0v中国信息化推进联盟中国信息化推进联盟BCM专业委员会（专业委员会（China BCM，CBCM）2004年年7月成立，是中国目前唯一权威的月成立，是中国目前唯一权威的BCM组织机构，组织机构，至今已有委员至今已有委员50多人及会员单位多人及会员单位20多家多家致力于中国致力于中国BCM的应用推广、人才培养、及标准制定的应用推广、人才培养、及标准制定促成了与促成了与DRII的合作的合作中中国国BCM专业委委员会会311，000 人已被人已被认证（截至（截至2010年年1月底）月底）遍布遍布95个国家个国家 培培训在

2、在45个国家开展个国家开展DRI China 是大中是大中华地区地区DRII唯一授唯一授权机构机构包括香港，澳包括香港，澳门和台湾地区和台湾地区真正全球化真正全球化DISASTER RECOVERY INSTITUTE INTERNATIONALa non-profit organizationBC行行业手屈一指的手屈一指的职业教育和教育和资质认证组织主要主要内内容容v灾难事件及其损失和挽救灾难事件及其损失和挽救v解决灾难问题的理论和方法解决灾难问题的理论和方法vBCM相关概念解释相关概念解释vBCM的知识体系（的知识体系（10个国际最佳惯例）个国际最佳惯例）vBC计划编制方法论（计划编制方法

3、论（8个步骤）个步骤）v业务恢复的生命周期（业务恢复的生命周期（6R模型）模型）vBCM中的各种计划中的各种计划vBCM在企业中的应用在企业中的应用vBCM给企业带来的好处给企业带来的好处v国内外相关法规和标准、以及相关组织机构国内外相关法规和标准、以及相关组织机构vBCM在灾难恢复建设中的应用在灾难恢复建设中的应用v何为何为“BCM（业务持续管理）（业务持续管理）”？n“B”Business，具有价值的活动，具有价值的活动n“C”Continuity，持续活动的保障，持续活动的保障n“M”Management，提供保障的方法，提供保障的方法v几乎人人都有几乎人人都有“BC”需求需求n工作中的

4、工作中的“BC”需求需求n生活中的生活中的“BC”需求需求n“BCM”方法是保护我们正常生活和工作的必备手段方法是保护我们正常生活和工作的必备手段BCM离我离我们有多有多远？2008年年5.12汶川大地震汶川大地震2008年南方大雪年南方大雪2009年年7.5新疆暴乱新疆暴乱2009年台风莫拉克年台风莫拉克2005年卡特里娜飓风年卡特里娜飓风2001年年911恐怖袭击恐怖袭击灾灾难事件回事件回顾灾灾难的的损失失与与挽救挽救灾难事件灾难事件死亡人数死亡人数直接经济损失直接经济损失保险赔偿保险赔偿社会捐赠社会捐赠汶川地震汶川地震近近9万人万人超过超过1万亿元万亿元共计约共计约16亿元亿元人人身身：

5、9.6亿元（亿元（60%）财产：财产：6.4亿元（亿元（40%）760760亿元亿元911911恐怖袭击恐怖袭击3 3千多人千多人450450亿美元亿美元共计约共计约400亿美元亿美元人人身身：48亿美元（亿美元（12%）财产：财产：352亿美元（亿美元（88%）（其中：（其中：停业保险为停业保险为110亿美元亿美元责任保险为责任保险为100亿美元）亿美元）2222亿美元亿美元卡特里娜飓风卡特里娜飓风1 1千多人千多人12501250亿美元亿美元共计约共计约600亿美元亿美元1313亿美元亿美元u政府救援政府救援救援的主力军（消防、武警、军队、医疗、应急机构等）救援的主力军（消防、武警、军队、

6、医疗、应急机构等）主要是针对人员和财产的抢救主要是针对人员和财产的抢救用于基础设施重建的赈灾资金用于基础设施重建的赈灾资金u社会捐赠社会捐赠已成为重要的救助力量已成为重要的救助力量u保险赔偿保险赔偿赔偿占损失的比例太小（反映了保险意识淡薄）赔偿占损失的比例太小（反映了保险意识淡薄）财保赔偿占总赔偿比例偏小（受大型自然灾害赔偿限制）财保赔偿占总赔偿比例偏小（受大型自然灾害赔偿限制）缺乏停业保险、责任保险等与企业经营相关的险种缺乏停业保险、责任保险等与企业经营相关的险种u企业自救企业自救缺乏有效的预案和方法，能力较弱缺乏有效的预案和方法，能力较弱缺乏系统的科学方法（缺乏系统的科学方法（BCM不够普

7、及）不够普及）我我国国目前的救灾模式目前的救灾模式英国英国CMI的的2010年年BCM调查报告调查报告v58%造成组织停业的是气候。第一次取代造成组织停业的是气候。第一次取代ITv79%被访经理在过去被访经理在过去12个月里启动个月里启动BC计划并有效地减计划并有效地减少了中断造成的冲击少了中断造成的冲击v54%被访者报告应用远程工作的方式应对中断被访者报告应用远程工作的方式应对中断v企业的自律是企业的自律是BCM的主要驱动力的主要驱动力n自律（38%)n商业/客户（31%）n潜在客户（21%）n政府要求（21%）n合同（16%）v33%的指导来自专业机构，的指导来自专业机构，28%来自自己来

8、自自己v27%有专项资金，有专项资金，48%没有没有v72%说说HR是内部是内部BCM的相关者的相关者解解决决灾灾难问题的理的理论和方法和方法v风险管理（风险管理（RM）：风险的分析、预防和控制）：风险的分析、预防和控制主要用于风险的预防主要用于风险的预防v危机管理（危机管理（CM）：危机事件的演变和处理）：危机事件的演变和处理主要用于事件的处理主要用于事件的处理v应急管理（应急管理（EM）：突发事件的应对和处理）：突发事件的应对和处理主要用于公共事件的应对主要用于公共事件的应对v灾难恢复（灾难恢复（DR）：信息系统的恢复（）：信息系统的恢复（DRP是是BCP的一部分）的一部分）主要用于数据和

9、信息系统的保护主要用于数据和信息系统的保护v业务持续管理（业务持续管理（BCM）：灾难中企业的生存）：灾难中企业的生存确保在预定的时间内恢复业务运行确保在预定的时间内恢复业务运行综合运用了以上各种方法综合运用了以上各种方法11原因原因 vs.影响影响 风险评估风险评估 对原因的判断(风险)确认威胁确认威胁(设施,环境，气候，地质地貌，人为，商务，技术，等等）建议减小措施建议减小措施发生的可能性采取措施的成本BCM 对影响进行处理当防范及减小措施失去作用准备组织架构,计划，资源，检验执行 搬迁,特殊情况下的运营减少已知的危险减少已知的危险减少已知的危险减少已知的危险减小冲击后的影响减小冲击后的影

10、响减小冲击后的影响减小冲击后的影响风险管理风险管理 vs.业务持续管理业务持续管理vBusiness Continuity is NOT business as usualv所谓业务持续就是所谓业务持续就是不仅不仅要使业务功能在要使业务功能在灾难后灾难后能得到全面恢复，能得到全面恢复，还要还要确保确保关键关键业务功能业务功能在在中断或灾难事件中中断或灾难事件中，能够，能够迅迅速地速地恢复持续运行恢复持续运行业务持持续的的实质灾灾难的含的含义u灾难（灾难（Disaster）的一般定义的一般定义一个突发的、非计划的一个突发的、非计划的、能够导致重大伤害或损失的严重能够导致重大伤害或损失的严重的的不

11、幸事件不幸事件u灾难灾难对企业的含义对企业的含义突发事件造成企业关键业务功能（或流程）的中断时间超过突发事件造成企业关键业务功能（或流程）的中断时间超过企业最大可容忍的程度企业最大可容忍的程度通常由恢复时间目标（通常由恢复时间目标（RTO）值作为判定是否是灾难的依据）值作为判定是否是灾难的依据通过评估，当预计关键业务功能的中断时间将大于预定的通过评估，当预计关键业务功能的中断时间将大于预定的RTO值，则视为灾难发生，应该启动相应的预案和计划值，则视为灾难发生，应该启动相应的预案和计划业务功能或应用系统恢复到业务功能或应用系统恢复到其最低可接受的程度其最低可接受的程度业务功能或应用系统以业务功能

12、或应用系统以最新的正确数据运行最新的正确数据运行时间时间中断点中断点业务功能或应用系统从中断点恢复到其最低可接受的业务功能或应用系统从中断点恢复到其最低可接受的程度所需的时间，从而使中断产生的冲击最小化。程度所需的时间，从而使中断产生的冲击最小化。恢复时间目标（恢复时间目标（RTO）恢恢复复时间目目标（RTO）事前防事前防控控事后重建事后重建事中应对事中应对1.1.项目启动与管理项目启动与管理2.2.风险评估和控制（风险评估和控制（RA）3.3.业务冲击分析（业务冲击分析（BIA）4.4.制定业务持续策略制定业务持续策略5.5.应急响应和措施应急响应和措施6.6.编制和贯彻执行业务持续计划编制

13、和贯彻执行业务持续计划7.7.认知和培训计划认知和培训计划8.8.维护及演练业务持续计划维护及演练业务持续计划9.9.危机沟通危机沟通10.10.与外部机构的协调与外部机构的协调10个国个国际最佳最佳专业惯例例确定确定BC计划编制的需求计划编制的需求获得高管层的支持获得高管层的支持建立建立BCM组织及责任组织及责任明确明确BCM项目的范围项目的范围确定计划编制时间表确定计划编制时间表识别可能的不利事件和威胁识别可能的不利事件和威胁信息的收集和分析方法信息的收集和分析方法确认可能的风险和损害确认可能的风险和损害确定应采取的控制措施确定应采取的控制措施对所采取的措施进行评价对所采取的措施进行评价确

14、认中断对业务的冲击确认中断对业务的冲击定量及定性地衡量冲击定量及定性地衡量冲击确认关键业务功能和流程确认关键业务功能和流程确定优先级别和互依赖性确定优先级别和互依赖性确定确定RTO及及RPO根据根据RA和和BIA的结果制定策略的结果制定策略包括企业级策略和部门级策略包括企业级策略和部门级策略进行成本效益分析进行成本效益分析选择最佳的策略选择最佳的策略制定和贯彻应急响应程序制定和贯彻应急响应程序使事件发生后的情形得到稳定使事件发生后的情形得到稳定建立和管理建立和管理EOC将将BC程序与应急响应程序相集成程序与应急响应程序相集成确定计划编制的要求确定计划编制的要求确定计划的结构和形式确定计划的结构

15、和形式编制业务持续计划编制业务持续计划贯彻执行业务持续计划贯彻执行业务持续计划建立计划分发和控制程序建立计划分发和控制程序确定认知与培训的目标确定认知与培训的目标制定各种认知与培训计划制定各种认知与培训计划开发认知与培训的方法和工具开发认知与培训的方法和工具确认其他教育机会确认其他教育机会设计和协调设计和协调BC计划的演练计划的演练评价演练结果评价演练结果制定维护更新制定维护更新BC计划的流程计划的流程验证验证BC计划的有效性计划的有效性以简明的方式报告结果以简明的方式报告结果制定和演练危机沟通计划制定和演练危机沟通计划与各利益相关者的沟通与各利益相关者的沟通与外部机构、媒体的沟通与外部机构、

16、媒体的沟通建立与外部机构协调的流程建立与外部机构协调的流程制定与外部机构的演练程序制定与外部机构的演练程序业务冲击分析业务冲击分析策略制定策略制定认知与培训认知与培训测试与演练测试与演练风险分析与评估风险分析与评估BCBC计划计划计划编制计划编制计划维护计划维护项目规划项目规划BC计划编制计划编制的生命周期的生命周期 BC计划划编制制的的8个个步步骤v减小（减小（Reduce）v响应（响应（Respond）v恢复（恢复（Recover）v重启（重启（Resume）v重建（重建（Restore）v返回（返回（Return）事件发生之前事件发生之前预防和控制措施预防和控制措施做好应对准备做好应对准备事件发生期间事件发生期间应急响应和损失评估应急响应和损失评估恢复关键功能恢复关键功能重启业务运行重启业务运行事件稳定之后事件稳定之后重建永久站点重建永久站点返回正常运行返回正常运行业务恢恢复复的的6R模型模型进行损失评估，判断进行损失评估，判断是否灾难？是否灾难？满足条件：满足条件：宣布灾难宣布灾难几分钟或几小时之内几分钟或几小时之内几小时或几天之内几小时或几天之内几周或几月之内几周或几月之内预