从IT认证角度,谈BCM导入 TUV NORD经理,古智仲
直接介绍BCM的内容我们已经听了很多,今天我们试着从其它的角度来讲将关于BCM的实现。今天的讲座有两个话题。第一个话题是讨论BCM是在讲什么,什么是BCM。第二个话题是怎么建制BCM,建制过程中有哪些工具,这里的工具大多是指标准。
了解您的组织
我们的企业、公司,有很多的部门,这些部门之间有很多的沟通,我们把这些称为process。公司内的各部门和服务之间有很多的联系,这些联系涉及的不仅仅是公司,还有合作伙伴。
EMC的管理、流程分为3个层次:组织层面、操作流程以及基础设施建设。第一层,关于组织层面的管理方式。我们经常看到的ISO9000的标准就是这一层面的。我们实施这样的标准,因为我们要跟国际接轨。标准是企业之间最好的交流方式。第二层,关于操作流程。企业管理中有众多的流程,有例如BIA这样的方法。第三层,关于基础建设。基础建设包括办公环境等等,所以说不仅IT企业需要基础设施的建设,所有的企业都需要。
假设有一个叫FUTURES的公司,公司系统瘫痪,如果是你们公司,你们要怎么做呢?一般来说,这些CEO,CIO之类的都要被叫去开紧急会议。出了这样的问题,CIO们有麻烦了。这个时候CIO就会说,没关系,我们有备用的方案。
针对现况,我们会找出立即恢复供应链管理系统的运作的解决方案。为了避免下次再发生,我们应该加强”风险管理”。
我们要预防风险,但是,风险不一定要靠IT来防范,还有别的方法,比如说有风险保险。
风险管理
针对风险管理,我们有例如BS2559这样的标准。BS2559分两部分,第一部份的内容就是叫你怎么做BCA,第二部分叫SPECIFICATION,讲的是怎么验证。第二部分在今年10月分会公布。
BCM分为哪几部分呢?BCM包括Risk Management(风险管理)、EmergencyManagement(突发事件管理)、IT Disaster Recovery(IT灾难恢复)、FacilitiesManagement(设备管理)、Supply Chain Management(供应链管理)、QualityManagement(质量管理)、Environmental Management(环境管理)、Health& Safety(人身安全)、Knowledge Management(认知管理)、HumanResources(人力资源)、Security(安全性)、Crisis Communications&PR(危机交流)。现在知道了这些,我们还有一个问题,BCM涵盖了这么多的内容,如果你是企业负责人,你要怎么做呢?
我们只知道刚刚所讲的那些范围都有可能在你的考虑范围之内。
我们期望将BCM的观念带到所有的企业。这些步骤,计划建立BCM、实现运行BCM、检查修改BCM、维护该竟BCM系统,这是一个循环。我们知道了这些之后,要搞清楚两点。业务的需求和期望是什么?需要了解的是,我们的期望是什么?
首先看看企业的需求,客户的期望。从BCM的角度来看,我们可能想到的有很多,不如说,能不能把我们的服务分成不同的等级呢?或者我们把服务分成不同的阶段。BCM就是讨论这些内容。需要考虑的是,有的时候政府会有关于标准的一些要求。
对于一个IT的供应链的企业,对系统会有什么样的要求?稳定性、安全性、可恢复性、反应时间、期望恢复时间、期望恢复点等等,我们对这些都会有期望。
既然有期望,所以提出了避免关键业务中断與降低损失,数据恢复的概念,BCMlifecycle。首先,了解我们的业务,他有什么样的需求,然后我们可以确定我们BCM的策略,下一步我们实现这样的BCM计划,然后在企业中建立嵌入一个BCM的文化,再下一个步骤是BCM演习和维护。中间的和每一步都相关的是BCM程序管理。
介绍一下在这个流程中的一些名词:LBC(业务连续性的等级)、BIA(业务影响分析)、RA(风险评估)、BCP(业务连续性计划)、CMP(危机管理计划)、ITDR(信息技术灾难恢复)等等。
要执行这样的系统,那么怎么执行?对内,我们需要把BCM应用到每一个职员,对外,我们要满足对客户的服务承诺。
BS25999标准的内容。谈到了计划业务连续性管理系统、对BCMS的实现和操作、修改、维护等等。
BIA和RA的流程。首先,只要是任何的标准,是管理系统,必须有政府或组织去推动,去承诺。然后,找到各种可能的损失、影响,有经济上的、操作上的等等。找出来这些之后我们要进行定性定量的分析,从而找出关键流程。接下来,设置风险的管理指标。
业务连续性计划
BCP(业务连续性计划)包括了:解决方案、基于时间的目标、为了达到基于时间的这些目标需要作的事情、程序流程、信息、结构、组织。
当业务流程改变的时候,要重新做一次BIA。
BCM前期评估的方法论和实践标准有哪些呢?第一,BCM相关的标准。关于怎么样执行的标准,例如BS25999,分成两个部分。第二,IT相关的标准。ISO/IEC是一个很厚的标准,大概超过2700页。第三,风险管理的方法和工具。
业务风险分析
风险分为软、硬两种。硬风险是直接的,例如,经济上的损失、违反法律规则或者标准、不能达到承诺过的服务标准、增加了工作的成本这些。软的风险是指间接的冲击,例如,政治上或者合作上或者私人遇到的阻碍、失去了竞争的优势、失去了可信性等等。
风险评估
2005版本的ISO/IEC,讲到了IT风险管理。有评估,有处理方法,然后才能做风险管理。IT的管理和风险相关,但是IT的风险评估很难。
做了风险评估之后,可以参照各种各样的标准,来找到我们的解决方案。这些都可以做一个规划。
在2005版本的ISO/IEC中,A.14讲的是业务连续性管理。除了ISO之外,还有别的一些标准。例如S6.9有95个方法,有些我们又可以参考S6.12。
2005版本的ISO/IEC,还讲到服务管理,其中定义了这么几个process:服务交付方法、放弃处理、决定方法、关系处理、控制方法。
BCM的好处
BCP可以改善组织面对关键目标失效的恢复能力、提供组织回复能力之演练方法、展现保证管理业务中断能力,以保护组织商誉与品牌。BCP对企业的管理一定是有好处的。英国标准协会花费精力把它写成标准一定是有他的道理的。当然,执行起来也是有很多的困难的。需要考虑管理层的认识深度和重视程度、平衡人与技术,平衡BCP与企业文化,要知道如何确保计划的连续性和有效性,怎样保持投入资金与业务永续的平衡,BCP执行力度又是怎样的水平。
有3个重要的环节可以改进我们的业务。首先是人,有技能、受过很好培训的职员。第二是流程和方法,我们需要定义好各个目标之间的关系才能找出更好的流程和处理方法。第三是技术,包括我们使用的工具和设备。
我所在的公司提供与安全相关的测试、评估、证明、支持等领域的服务。
我们认为IT相关的服务分成两个部分,一个是关于security,一个是关于safety。系统最底层是IT的产品结构,上面一层是系统,最上面是组织和管理系统。
Q&A
1、问: 连续性管理和风险管理之间有什么关系?
回答: 风险管理是从企业经营的角度看连续性管理这个问题,它是以BIA的方法来实现。这个问题答案不是很确定,企业管理是很大的话体,看你从哪个角度看。
2、问: Safety和 security能不能更多的解释一下。
回答:汽车的胎压测量 safety
只要何人的生命相关的都是safety,别的,IT相关的管理都是security
3、问:hard直接 应该有量化的来计算,那么对于间接 的 有么可由可以参考的衡量标准?
回答:过程中我们都会在描述中量化,分级之后就可以量化。我们可以量化,只是不是很科学。毕竟是管理系统,他是活的,很难去很科学地量化他。BIA是一个assement,很主观的,没有任何的条件能够正真量化出来。企业中我们总是很多人拍脑袋来决定的。
4、问:实际应用中系统需要我们提供一个量化过的数据
回答:实际上,我们总是会设定一些优先级来帮助我们的量化
听众建议1:对每个function进行讨论,讨论在各种情况下是否成立,什么情况下是临街状态。
听众建议2:根据实际业务中的数据来测试、确定我们量化的function.
|