近年来,随着全球气候变暖,气象条件更加恶劣,自然灾害发生的频率增大,再加上人为事故和恐怖事件的威胁也时有发生,迫使人们的风险意识大大加强,从而提高了人们对业务持续管理(Business Continuity Management,BCM)的重视。然而,BCM进入中国的时间毕竟较短,可以说,直到2004年7月15日,中国信息化推进联盟BCM专业委员会成立后,BCM在中国才得到较大的发展,但这也仅仅只有短短不到五年的时间,而BCM在欧美国家以及亚洲的日本、新加坡等国已经发展了二十多年。这就难怪至今国内大部分人还不知道BCM是什么,对BCM了解不深的人还很多,因此,人们难免对BCM还存在着一些认识上的误区。
误区之一——认为BCM理念太超前
大部分对BCM了解不深的人,认为BCM的理念虽然不错,但只有理论框架,缺乏实际操作方法,目前在中国推广BCM的实际应用还为时过早。另外还有人认为BCM只能在灾备系统建好之后才能加以,考虑。抱有这些看法的人主要还是因为对BCM的知识体系缺乏了解,对BCM在国际上的发展现状缺乏认识。
事实上,BCM是一个典型的实践科学,它的理论体系也主要是在实践中总结出来的,因此具有很强的可操作性。并且,欧美等国家在BCM的发展过程中已积累了许多成功的经验。虽然BCM在中国的发展才四、五年时间,但并非不具备实施BCM的基础。首先,中国有许多机构(包括金融、电信、能源、交通、政府等各大行业),都已投巨资建立了灾难备份系统,这正是建立BCM的重要基础。然而,只建灾备系统,而没有BCM规划,则投巨资建立的灾备系统将很难完全实现保持业务持续的目的。对于将要建立灾备系统的机构,事先进行BCM的整体规划,则能使其灾备策略的选择和灾备系统的建设更加合理,也能更好地确保业务持续这一最终目标的实现。另外,政府近年来对建立应急管理体系非常重视,也出台了相关的法律法规,并且还有许多专家学者做了大量的研究,这就为推动BCM建设做好了必要的准备,因为BCM与应急管理是密不可分的,充分的应急响应措施是实施BCM的前提。
另一方面,中国是个自然灾害多发的国家,尤其是近年来各种天灾人祸的发生频率越来越高。有人做过统计,仅2008年,中国平均每个月都有一次重大的灾难事件发生。这就迫使各种组织机构(包括企业和政府等)急需应对灾难的方法和手段,而这正是BCM的用武之地(尽管这点还未被大多数人所认识)。
可见,中国的许多企业和政府机构,既有需要BCM的外部压力(应对灾难的需求),又有实施BCM的客观条件(内部基础设施),缺的只是主观认识。因此,我们认为,BCM理念不是太超前,而是很急需。目前在中国推广BCM应用是完全可行的,关键在于加强BCM的宣传,提高人们对BCM的认识。
误区之二——认为只有企业才需要BCM
许多人认为只有企业才需要BCM,认为BCM(Business Continuity Management)中的Business就是指企业的业务(包括生产活动、商业活动等),所以就将BCM定义中的Organization(组织机构)理解为特指企业,认为只有企业才会有保护资产、信誉、以及业务持续的要求。这种看法是对BCM的片面理解。
虽然BCM在最初的发展阶段,确实主要是在企业中得到较好的应用,但是今天,BCM早已从企业的应用扩展到其他领域(包括政府、社团等组织机构)的应用,而且,Business一词在BCM中也早已不仅是“生产活动、商业活动”等含义,它是指各种组织机构的一切作业和日常运转,我们在此虽然简单地称之为“业务”,但实际上,它的含义要比“业务”一词更为广泛。
事实上,在BCM发展较为成熟的国家(如北美、欧洲、澳洲、新加坡、日本,等等),BCM机制不仅已成为其政府等组织机构自身持续运转的保障(如美国联邦应急管理署发布的关于联邦机构持续运行的预案通告FPC65等),同时,BCM相关标准也是政府及行业监管机构用来规范和监督企业(尤其是那些承担着重大社会责任的公共服务型企业,如银行,电信,电力,水力、燃气,等等)正常经营的有力手段(如美国国家标准NFPA1600,英国标准BS25999等)。
误区之三——把BCM与灾难恢复相混淆
提到BCM,很多人都把它的作用等同于IT领域的灾难恢复或灾难备份,由此认为BCM只能应用于IT系统。这也许是因为BCM是从IT灾难恢复(IT-DR)发展起来的缘故。然而,经过二十多年的发展,BCM已经逐渐形成了一套完整的理论体系,其应用领域也已从IT领域扩展到其他各个领域。
按照当代的BCM理论体系,组织机构(包括企业和政府机构等)在应对灾难事件时的业务恢复全过程应该遵守6R法则(Reduce,Respond,Recovery,Resume,Restore,Return)。BCM理论中的灾难恢复(如灾难恢复程序)是指组织机构进行BCM响应活动时为保证业务持续所提供的技术解决方案(如灾备中心的建立和启用等),虽然灾难恢复活动在Respond(响应)阶段就开始进行准备了,但其主要程序则是在6R法则的Recovery(恢复)过程中完成的。也有一种观点是把6R法则中的Respond、Recovery及Resume三个过程合起来统称为灾难恢复过程。我们认为BCM理论中把灾难恢复对应于Recovery过程,而把业务持续对应于Resume(重启)过程更加合理,这样划分的好处是制定计划和预案(如DRP、BCP、以及其他响应计划)时,能使每个计划的目标和相关人员的责任更加清晰,便于计划的有效贯彻执行。因此,灾难恢复和业务持续都只是BCM的重要组成部分,而不是全部。
由上述可知,对于依赖IT的组织机构(包括企业和政府机构等),灾难恢复程序(如启动灾备中心等)只是其BCM响应全过程的一部分,它只是为组织机构的业务持续做好了准备。还必须完成业务持续程序(Resume)以及灾后的重建程序(Restore,Return),才是完整的BCM过程,才能使组织机构的业务完全恢复并持续发展。
BCM理论中的灾难恢复概念目前也不仅限于IT领域,对于非IT领域(或者更确切地说是其关键业务不依赖IT的业务流程),在整个应对灾难事件的BCM响应活动中,灾难恢复也是不可缺少的重要过程,只不过此时的灾难恢复指的是该业务运行所需的技术准备(例如医院手术室的医疗设备和条件的准备就绪,产品制造的生产设备和环境的准备就绪,等等),它与其他响应程序(如应急响应、业务持续、灾后重建等等)有机的结合起来构成完整的BCM计划,从而使组织机构有效地应对灾难,恢复业务运行。
误区之四——把BCM与应急管理相混淆
BCM在实际应用中,关系最紧密的概念大概就是应急管理了,然而这两者的相互关系却始终不太清晰。有些人将BCM与应急管理混为一谈,甚至夸大BCM的作用,认为它是解决各种灾难问题的“灵丹妙药”,可以取代应急管理。也有人简单地将BCM与应急管理分别看成是用于不同领域应对灾难事件的不同方法,认为BCM只是用来解决企业的灾难应对问题,而应急管理只是用来解决社会公众的灾难应对问题,两者之间没有什么关系。我们认为,这些看法都存在着片面和误解之处。
诚然,BCM确实是侧重于解决组织机构(包括企业和政府等组织)应对灾难事件的管理流程。在为组织机构制定灾难应对计划和预案时,BCM提供一个整体的指导性框架,而在这一指导性框架下制定的各种响应预案(应急管理过程,对应于前述6R法则的Respond、Recovery及Resume过程,其中灾难事件响应预案是应急管理的重点),同时由BCM的指导框架和方法论来保证各种计划和预案(包括应急响应预案、危机沟通计划、灾难恢复计划、业务持续计划,等等)之间的协调性和一致性,从而形成完整的BCM计划来保护组织机构的生存和持续发展。
而在解决公共灾难事件时,应急管理虽然是当然的主力军,但也并非完全孤军奋战,尤其是某些特殊的公共场所,例如医院、商场、机场、车站等等,它们既有着公共场所的特征,同时自身也是相对独立运营的组织机构,也应该具备自己的BCM响应计划。事实上,只有当灾难发生区域内的各种组织机构建立了与公共的应急响应预案相互协调的BCM计划时,才能最有效地应对灾难、减小损失。
大量事实表明,公共灾难事件(如水灾、火灾等)往往可能会引发组织机构的灾难,反之,组织机构的灾难(如爆炸、危险品泄漏等)也可能会成为公共灾难事件,所以,组织机构的BCM计划与公共应急响应预案必须有机地结合起来,才能使组织机构和公共场所都得到安全保障。
可见,BCM和应急管理,二者缺一不可,缺少应急管理的BCM是个空架子,没有实际作用;反之,没有BCM的应急管理,由于缺乏保障组织机构业务持续的统一协调机制,其作用也不能得到充分的发挥。
消除误区,让BCM成为组织机构的保护伞
尽管有些人对BCM在认识上还存在着一些误区,但BCM在中国还是得到了迅速的发展。近几年,关心BCM的人越来越多,尤其是近两年频发的灾难事件在给人们带来重大伤害的同时,也唤醒了人们对BCM的重视。以上种种误区的根源,就是因为人们对BCM的认识不足,重视不够,理解不深。因此,在中国,当务之急就是加大BCM的宣传力度,加强BCM的人才培养,加快BCM的推进步伐。
当然,目前中国还未建立BCM的相关标准和法规,而中国的各种组织机构(包括企业和政府)在没有法规的强制要求下,通常缺乏主动采取安全防范措施的积极性,这无疑是推广BCM所要面临的挑战。而在北美、欧洲、澳洲、日本、新加坡等BCM发展较成熟的国家,不仅已有BCM的相关标准,甚至已有相关法律。例如,美国的国家标准NFPA1600(关于灾难/应急管理与业务持续规划的标准),最近又被提升为国家法律。这些标准和法律无疑对BCM的推动和建设,发挥了重要作用。因此,建立中国自己的BCM标准和法规,对加快我国BCM的建设,具有非常重要的意义。
灾难事件提升了人们的风险意识,现在谁也不敢再抱着侥幸的心理认为灾难不会发生,那么确保组织机构在灾难发生时还能继续生存就是其必备的能力,因此,在当前相关标准和法规不健全的情况下,当务之急就是要尽快消除误区,增强人们的风险意识,加深对BCM的了解,提高组织机构的生存能力,让BCM成为组织机构必备的保护伞。
转自:杜祥东 |