| 出版日期:2004-11-15 总期号:1364 本年期号:85 |
|
 |
BCM:修补企业的基因
本报记者 赵铭 满则溢、过则不及。企业抱着小病不理、大病敷衍的观念,早晚会病入膏肓而悔之晚矣。亡羊补牢为时不晚,经营企业者必须将业务中断的风险降低到最低程度。BCM(业务持续管理)正是自动修复企业病痛的基因。 绷紧安全的弦 安全的隐患往往是肉眼难以发觉的。只有心里常绷紧着弦,安全才能有所保障;反之,一旦撤了警戒线,那么企业将时时濒临危险境界。 郭旭 9·11事件、非典疫情所带来的损失是触目惊心的。上述事件过后,企业开始关心如何能保持业务处变而不变。迄今为止,BCM对很多人来说还是个陌生的概念。那么,企业该如何正视BCM呢? 曲成义 此言不虚。甚至也有不少人把灾难恢复计划(DRP)、业务持续计划(BCP)和业务持续管理(BCM)混为一谈。其实BCM理解起来并不难,它特指一种整体管理流程,该流程的目标在于及早确定可能发生的冲击及对企业运作造成的威胁,能够提供合理的架构有效阻止或抵消不确定事件造成的威胁,保证企业日常业务运行的平稳有序。 黄守吉 事实上,BCM是一个提升的概念,DRP是BCM的一个重要组成部分。DRP和BCP两者的目标是基本一致的,但二者又有明显的区别。DRP是基于假定灾难发生后造成业务停顿,指导企业该如何去恢复业务。 孟亚平 相对来说,BCM是一个综合的概念,一个能够识别一个单位潜在威胁安全因素的整体管理过程,而不单单是灾难恢复、危机管理、风险控制或者技术恢复。它不是一个专门的学科,而是由业务自身驱动的一个综合学科。 余绍强 在灾难恢复的流程中,DRP侧重于恢复过程中的技术方面。BCP则是基于一个基本原则,即无论发生任何意外事件,甚至像9·11事件、非典疫情这样的灾难,组织的关键业务也不能中断。而这种计划需要进行管理,于是BCM被提上日程。从这个意义上来看, BCM提出了更高的要求。 左洪 对于IBM来说,我们更倾向于业务服务管理(BSM),这也和IBM的理念相一致。在现实当中,企业在日常运作中,更多要面对的是业务整体保持可用性、无故障性,并且在常态的运作过程中能够对非常态做出快速反应。但并不代表IBM不重视BCM。 郭旭 可见,BCM是一种管理方式。那么这种管理方式能够给企业带来什么样的变化呢? 曲成义 我们要知道,企业业务方向的不断转换以及科技的快速发展,必然导致业务模式的变化,所以变更、重组、竞争的加剧已成为企业的家常便饭。如何保证这种变革的顺利进行,而不对企业造成伤害呢?这便是BCM存在的意义。 黄守吉 BCM的出发点在于,对潜在的灾难危险加以辨别并进行分析,以确定其对企业运作造成的威胁,并建立一个完善的持续管理计划来防止或减少灾难事件给企业带来的损失。这相当于人体内的白细胞、淋巴细胞,建立起防御体系以保护整个机体的健康。 左洪 从顾客的角度来说,期待在所有情况之下都能够不间断业务,这是最理想的状态。企业要想保持这种状态,投入BCM无疑等于买了一份保险。 余绍强 从企业股东的角度看,期望管理层在任何情况下都能全程控制企业走向,并且在任何危机环境下都可以继续处理业务。BCM无疑等于给股东吃了一颗定心丸。 孟亚平 此外,公司的名誉和品牌肯定要面临风险,这也是国际监管机构的要求。多元化的问题导致企业对技术及业务的变革产生迫切的需求,导致了BCM在各国的迅速发展。 郭旭 那么该如何把BCM有效地融入企业的管理机制当中呢? 黄守吉 世界各国的事例表明,传统的业务管理方法及流程,在遭遇灾难事件时常常不堪一击,甚至可能随时崩溃。但是在灾难尚未降临之前,人们的警惕性都不高,仍没有看到BCM的重要性。庆幸的是,越来越多深受灾难事件影响的企业和机构已开始认识到,只有通过更加切实的手段,借助更便捷的信息技术,构建真正有效应对危机事件的管理体系,并且使管理科学化、手段现代化,才能保证业务的连续运行,才能保证各类应用系统和数据的完整性。 孟亚平 从国际成功经验来看,那些及时引入BCP、BCM的企业和机构,之所以能够在灾难事件面前处乱不惊、化险为夷,主要在于他们能够借助先进的业务持续管理解决方案,有效地保护其核心业务的持续运行。时至今日, BCP、BCM已成为应对危机事件的国际通用规则。 左洪 过去,企业的管理没有考虑到资源的有效再分配。对于一个庞大的企业来说,业务管理难免过于纷呈复杂,没有多余的时间和精力思考如何经济、可调度的进行管理。BSM可以让企业尽可能少浪费资源去实现管理的目的,这才是现代的管理手段。 
9·11事件给未实施BCM的企业造成了灾难的损失。 业务指挥应用 无论企业形态如何千变万化,业务自始至终是企业持续发展的核心。脱离了业务的轨道,所有的管理都是风马牛不相及,在IT、管理等方面的投入也形同虚设。 郭旭 由于实施BCM的复杂性,企业难免会存在来自各方面的阻碍。那么该如何解决呢? 曲成义 值得一提的是,企业业务模式不尽相同,那么服务需求也不尽相同,直接影响企业的管理需求和最后IT状况不尽相同。领导者的难处在于决心难下,找不到能够与业务紧扣的切入点,况且系统维护艰难。还有企业往往偏于重视基础架构的建设,忽略了架构的管理以及应用。不光是企业领导层,绝大多数人对BCM的了解还不够深入,意识不到BCM的重要性,而且缺乏相关的经验以及从事相关工作的尖端人力资源,没有相关的基础和经验,不懂得如何开发BCM。 孟亚平 一般情况下,实施BCM是小概率、高风险、高投入和低效率,系统建设不成问题,关键是系统维护困难。认识的不足容易产生观念上的误区,自认为有足够好的硬件平台就可以解决一切问题,对硬件的投入大于对管理本身的重视,从而忽视了应用管理。过多的、盲目的硬件投入,使得IT项目实施效果并不理想。 余绍强 难点在于观念的转变。要教导和提醒所有人员,包括员工、客户、供应商和股东,不断地对他们灌输理念。此外,演练、测试、维护和审核也是在所难免。在实施阶段,如果缺乏有效的管理,必然会放任、流失和浪费资源,结果用户不接受变动,使得整个项目作废。 左洪 其实,业务是指挥棒,所有的IT应用都只是伴奏,BCM只有随着企业业务的节奏才能翩翩起舞。如果违背了这一宗旨,那将会背道而驰。 郭旭 企业该如何把握自己的业务需求呢? 曲成义 首先,企业要正确把握自己的防范需求,是属于自然灾害、技术灾害、环境灾害还是自然和人为灾害?如果仅仅是基于IT的应急响应,那还容易解决;如果是基于业务连续要求,那就不单纯是信息安全本身所引发的需求,还要进行详细的分析。 左洪 企业首先要熟悉自己的业务流程,通过对业务风险的分析,以确定企业的核心任务及资源,评估恢复优先权,分析可导致业务中断或企业信誉损坏的风险因素。持续性是注意的策略,选择可行性策略以降低损失,同时,针对业务环境分析相关优势,及其在保持企业关键职能之时可能发挥的效果。 余绍强 从企业的产品和服务方面来讲,BCM的三个主要目标分别是重建基础设施、恢复经营活动、顾客服务,并且要保证三者的连续性能够维系在一个可接受的水平。所以BCM对业务中断的承受力更具韧性,从而达到持续业务的目的。 郭旭 可见BCM是一个错综复杂的管理过程。这种一体化管理都包含哪方面的内容? 曲成义 实施BCP必须提供必要的业务运行流程,不是仅仅关注IT,它涉及业务过程以及相关的IT基础设施。而BRP提供立即恢复业务运行的流程,涉及关键机构的核心使命,基本由企业总部来制定IT。 黄守吉 另外有支持连续性计划,它提供恢复主应用或通用支撑系统的流程和能力,涉及防范IT系统破坏,而不关注业务过程。还有危机沟通计划提供事件信息公布所需流程,只涉及相关人员,不关注IT。 余绍强 还有计算机事件响应计划,它提供检测响应、控制恶意计算机事件战略,直接影响系统和网络事件。最后是灾难恢复计划(DRP),为帮助在备用站点实现能力恢复提供详细流程,极度关注IT,它针对破坏持续影响较大部分。此外,应急计划开发也很重要,通过改进流程及实践降低风险,实施确定的业务策略,启用风险金融措施(包括保险)并建立BCP。 数字 IDC: 美国在近10年间遭遇过灾难事件的公司中,有55%的公司马上倒闭,因为数据丢失造成业务无法持续;另有29%的公司在两年之内倒闭。 Gartner Group: 在经历大型灾难事件而导致系统停运的公司中,有2/5左右再也没有恢复运营,剩下的公司中也有接近1/3在两年内破产。9·11事件中,1200家企业受灾,400家企业启动了灾难恢复计划,其中摩根士丹利公司几天后在新泽西州恢复营业,而无灾备能力的企业损失惨重。 按标准办事 没有规矩不成方圆,这是永恒的定律。国内企业实施BCM不仅仅要遵循这一原则,而且要兼顾我国的特色。否则,失去应用基础的BCM只会是空中楼阁。 郭旭 实施BCM肯定要付出一定的成本。该如何保障企业能够有效地去实施BCM呢? 曲成义 众所周知,是否拥有应对灾难事件的BCP、是否引入有效的BCM机制,已经成为一些发达国家政府机构与企业选择合作伙伴或供应商的一个必要条件。BCM 标准制定的重要原因,是它将建立基础和共识,能为企业经营者建立一个准则,以保证在灾难情形下他们仍然可以继续提供他们的服务。 黄守吉 在英国,拥有行之有效的BCP计划,已成为企业上市的基本要求;在美国,企业法对业务持续管理(BCM)的具体措施也有明确要求;在亚洲的新加坡,已经拥有多个保证业务连续性的标准流程和管理规范:其金融局已经制定了业务持续管理的指导规范和管理标准,管理机构新加坡标准/生产力和创新局也已经有了自己的BCP管理标准流程。 郭旭 那么在实施国内BCM标准的时候,企业应该注重哪些实际问题? 曲成义 作为一套整体的科学管理计划和管理流程, BCP是在对企业进行业务冲击分析及风险分析并将其量化的基础上,开发制定各种相应应急及恢复计划、方法和流程,减轻灾难事件对企业造成的不利影响。在危机发生前,作好充分的预防准备,采取有力的措施,把危机带来的损失降至最低,甚至避免危机的发生;在危机来临时,不仅仅恢复IT基础架构,而且包括关键性业务的持续、迅速恢复并履行商业契约。 黄守吉 作为能够提供合理架构、有效阻止或抵消不确定事件威胁的管理计划体系,BCP/BCM在保证企业日常业务运行平稳有序方面的必要性可见一斑。我们在大力发展信息化事业的同时,必须十分重视和妥善解决网络与信息安全问题,必须借鉴国际上的成功经验并及时引入健全高效的BCM体系。 孟亚平 BCM标准的制定要对高层管理人员和相关人员进行培训。同时,不忘记制定标准,并改良标准。政府要颁布政策,为了保证BCM的实施质量,我们推荐使用多层的监管机制,使得BCM项目更客观、准确。实现实际意义上的与世界接轨,就要彻底实现企业管理向BCM的转化。 余绍强 我们需要一个官方的监管组织,并且要保证组织内部人员对BCM了解的深度;要确保BCM在正确地发挥它在企业中的作用,并制定严格的合格标准;即时根据需求和共识修改完善标准;制定基本 BCM 的标准与要求,并且开发一套可行的时间流程指南,让BCM行业作为参考依据。 郭旭 借助BCM还可以做些什么呢? 曲成义 BCM可以整合数据资源、促进信息共享,整合关键业务,优化业务流程,提升服务水平,提高服务质量。制订一个可行计划,部分计划能够根据环境与周围情况而改变,将BCM项目融入业务服务的生命圈内。 孟亚平 降低潜在的经济损失,增强对财产的保护,增强对全体团队的管理,树立顾客和董事对企业的信心,刻画一个成功的万事无忧组织形象,确保合作伙伴的长远利益。这同样适用于各个行业,包括政府行业和非政府行业。 余绍强 具有竞争力的生命力旺盛的企业,能够促进国家和社会的发展;树立国家在国际上的形象,使得投资者对国家备具信心;可以提高竞争力,增强企业生命力,有利于企业与国际接轨,造福消费者。 灾难的概念 广义的灾难——自然灾害、恐怖袭击、网络攻击、人为失误、疾病传播、设施故障、名誉受损……能对国家、城市、企业的功能和业务造成影响的事件。 狭义的灾难——由以上原因引起的部分或全部的计算机软硬件设备、附属设备、电子数据或机房等IT环境损坏,以至于严重影响业务正常运行的事件 。 概念 业务持续管理(Business Continuity Management, BCM)是一套完整的解决方案, 是一系列须经企业或组织内部的决策层批准实施的计划和措施, 它被用来消灭或降低突发事件或灾难给重要营运功能带来的各种风险。BCM是一个灾难预防及反应机制, 可在指定的时间内重新启动紧急业务运转流程,以保证业务的持续性。 业务持续计划(Business Continuity Plan, BCP)是一种策略规划,当灾难发生致使企业主要业务或服务中断时,业务连续性计划可确保迅速恢复主要业务的正常与持续运作。业务连续性计划不仅包含计算机系统的恢复计划,还包括关键业务的持续运作计划,如恢复组织、人力资源、对外沟通等。 灾难恢复计划(Disaster Recovery Plan, DRP)应用于重大的、灾难性的、造成长时间无法访问正常实施的事件。通常用于紧急事件后在备用站点恢复的目标系统、应用或计算机设施运行的IT计划。DRP的范围可能和IT应急计划重叠,但是DRP的范围比较狭窄,它不涉及到无须重新配置的小型危害。根据机构的需要,可能会有多个DRP附加在BCP之后。 持续发展的根基 实施BCM不仅仅是一项利于企业持续发展的管理理念,更是一个国家持续发展的根基。因此,政府、企业、专家都有必要参与到BCM实施的整体环境系统建设中去。 郭旭 我们该如何来借鉴国外BCM的发展经验? 黄守吉 根据国外的经验来看,要有配套的法律法规和行业规范出台,同时,还要有政府对相关产业的政策与扶植。此外,公共基础设施的建设、社会力量的参与、相关人才的培养等也是必不可少的,要推广BCM概念和对中国的重要性。 在政府的监控下制定BCM产业的发展路线,分化行业级别,使得竞争与合作满足消费者权益并健康发展。最重要的是,颁布BCM指导原则和框架.以便于企业参照实施执行。 孟亚平 在我国,近年来信息化建设事业取得了举世瞩目的成就。但我们必须承认,从总体上看,我国信息化建设仍然处于起步阶段,基础薄弱,面临的形势还很严峻,还存在不少亟待解决的问题。就企业信息化来说,大部分企业还没有建立统一的BCM机制,虽然部分企业的相应做法已经有了BCM机制的一些要素,但并没有制度化。 曲成义 根据国内权威机构的统计数据,目前90%以上的中国企业在应对危机事件时漏洞明显,企业对BCM专业知识的了解远远不够,专业人士十分匮乏。因此,我国BCM推广工作责任重大、任务艰巨,是与信息化建设息息相关的重要事业。此项工作的当务之急,是要扎扎实实地抓好基础性工作和基础设施建设。 余绍强 除了需要国务院信息化工作办公室、信息产业部等上级主管单位从政策法规层面积极引导以外,业界权威机构的推动作用是不容忽视的。我国各行各业信息化建设中的BCM体制建设,一方面要真正汲取国外的先进技术手段和科学管理体系,另一方面要大力研发具有自主知识产权的BCM核心技术和产品,逐步建立有效防范各种灾难事件冲击的业务持续管理保障体系,积极促进国家信息化顺利发展。 郭旭 从国家的高度来看,国内实施BCM还急需解决哪些问题? 曲成义 目前国际上已经有了成型的BCM标准规范。尤其9·11事件后,美国政府更是大大加强了BCM机制的建设。其他各国政府对BCM也日益重视,亚太地区的BCM机制也逐渐建立。相比之下,我国BCP和BCM还只是刚刚起步,与国外存在着较大差距。 黄守吉 BCM专业委员会的成立是为了更好地推进中国企业信息化的建设与发展,让更多的行业、企业了解灾难事故面临的风险,掌握亚洲及世界上先进的灾难恢复与业务持续计划的发展趋势,建立中国自己的BCM行业标准。BCM专业委员会同时也希望有越来越多的相关企业和行业用户加入进来,共同推进我国BCM 行业标准的建立,迎接BCM时代的到来。 孟亚平 首先,要统筹规划,就是要从全局的高度系统思维、全面考虑,充分认识到信息化发展速度和电子政务应用增长的需求,规划和设计方案的制定必须满足现实需求并兼顾发展,而后有步骤、分阶段地实施。第二条是资源共享,就是在统筹规划的基础上,高效地组织和运用资源,合理布局,对有限资源尽最大可能地共享共用,防止一哄而上,避免造成不必要的重复建设和资源浪费。 余绍强 最后是等级容灾,就是在落实等级保护工作要求,开展容灾备份系统建设时,从实际出发,首先对系统进行业务冲击性分析,并根据分析结果,合理确定容灾备份建设等级和技术指标要求,合理选择技术解决方案,尽最大可能提高效费比。 郭旭 BCM未来的发展呈现什么样的趋势? 曲成义 假如大部分企业都有完善的BCM,那么综合起来便会降低各个方面的风险。那么会使中国企业在国际市场的竞争力形成质的飞跃。企业能够自己检验到自己的不足和缺点,并提出完善的改进方案。而且BCM管理观念会逐步深入中小企业以及各个领域。 黄守吉 当前世界面临的安全问题是袭击蓄意破坏在于、恐怖袭击、黑客、 网络侵袭和电脑病毒。变化呈现的趋势是:竞争激烈,更容易冲出和进入其他传统市场,交易变得更容易,持续发展显得更重要。要加强政府介入,加强控制,如美国联邦管制局、英国标准局都是政府出面加以干预。可以预想,BCM会逐渐普及到各个领域,使得整个社会在一种平稳上升的趋势中发展。 BCM 10个关键技巧 1.业务关系管理; 2.人际关系网络; 3.项目管理; 4.训练; 5.沟通交流(口头和写作); 6.敢于创新和变通, 用于解决复杂问题; 7.融合贯通; 8.根据业务需求制定技术解决方案; 9.果断和准确的决策; 10.测试。 制定BCM标准的建议解决方案 制定持续流程及策略 确定BCM的风险及性质 按业务冲击分析确定恢复有限次序及恢复时间 制定项目及时间表 列明团队人员的职责 针对高层、BCM团队、IT部门和用户的DR知识的灌输和培训 鼓励高层和用户参与并获取相关支持 国内几起与BCM有关的事件 1. 2003年7月1日凌晨,上海市轨道交通4号线发生险情,引发地面大幅沉降和部分建筑严重倾斜。临江花苑大厦内的劳动保障局和市财税局的重要信息系统被迫中断和搬迁。 2. 2002年7月23日,北京首都国际机场离港系统出现故障停机1小时,60个航班被依次后推,约6000名旅客长时间滞留机场。 3. 2002年7月5日,深交所因通讯系统发生异常,导致部分营业部无法正常交易,并于9时15分暂时停市。 制定BCM标准的7个原则 1.董事会和高层领导应该对所处企业的BCM负责; 2.BCM应当深入到企业内部作为一个日常的操作出现,而且要和企业其他部门良好地结合; 3.企业应该周期性地对BCM计划进行完整的有意义的测试; 4.企业应该指定完整的BCM策略并且以指定恢复时间作为衡量标准; 5.企业应该减免各个部门之间的依赖性,以避免依赖性带来的恢复风险; 6.企业应该为大面积严重灾难做好准备; 7.企业应该准备异地办公计划,以避免人员数据集中带来的风险。 记者手记 调节管理的弹性 列宁同志曾说过:“会休息的人,也会工作。” 企业管理者往往以每天超负荷的工作而津津乐道,却把“水过满则溢、钢过硬则断”如此简单的道理丢弃脑后而不顾。事实上,国内企业家当中不乏管理大家,却常常钻入为了管理而管理的牛角尖。安德森咨询公司原掌门人温白克是个不喜欢压抑人的管理者,他说:“我喜欢那些最善于激励员工去实施目标的人,我不喜欢像国王一样的独裁者我们是要建一个公司,而不是造一个王国。” 企业管理者喜欢看到员工整天忙忙碌碌的景象。然而,想通过这种忙碌的表面透视背后的真相,比登天还难。似乎拥有紧张气氛的企业足以让老总们引以为荣,但其中有多少管理是重复、是做无用功,从来无人计较。即便每个员工都是千里马,那么万马齐奔千里过后,恐怕能够继续驰骋的也是所剩无几。 殊途同归,持续保证一个企业正常运转的道理不外是,企业老总要学会弹性管理,也就是所谓的刚柔并济。保留是为了防范危机事件的出现,适当分配企业所有的资源,使之处于合理的状态,即不能在企业业务的高峰期盲目投入全部精力。否则,企业老总的每次抉择只能称之为赌博,而不是理性的思考。 实现企业的业务一张一弛地持续下去,管理就要有弹性。管理手段是必需的,但决不是让员工一个鼻孔出气,不要让企业业务模式同一副面孔,否则将是企业的一大灾难。IBM大中华区董事长及首席执行总裁周伟 说:“一位高级主管如果不能容人,只喜欢提拔那些想法、做法和自己一致的人,就会在周围聚集一批与自己的思维相似的人。那时,这个主管就很危险了,因为当江郎才尽之时,自己周围的人并不能帮助自己,因为大家的想法和做法都几乎是一个模式。所以作为一位高级主管,一定要能容忍那些与自己的想法、做法、教育、背景都不一样的人。” 与之截然相反的观点是,国内不少企业老总时时会唠叨,这个人不好管,企业老是不能处于满负荷的运动状态。其实,只是每个人做事的方法和步调不一样罢了,只是企业不能老处于疲劳的状态。当企业的管理固执己见偏守硬性管理,估计这样的企业迟早要被累死,勒紧皮带的转轮必然会崩裂。 中国企业家在管理上热衷于玩艺术,其实也就是所说的权术,当所有的管理都紧紧围绕着所谓的艺术来旋转的时候,未来的管理危险便已经酝酿在这种管理思维之中了。TCL总裁李东生时常说:“管理者一定要用道来管人,不要用术来管人。”但愿国内的企业老总在管理企业的时候都能有所保留和善于弹性思考。 嘉 宾 
曲成义 国家信息化专家咨询委员会委员 中国计算机网络与数据通讯 专委会副主任 
黄守吉 新加坡信息产业部BCP标准制定 委员会委员 
孟亚平 北京信息安全测评中心主任 
左 洪 IBM软件集团大中华区市场总监 
余绍强 BCP亚太区主席 |
||||||||||||||||||||
