业务连续性管理 (BCM)实务培训 ppt
合集下载
业务连续性规划培训课件(PPT75张)
BCP和DRP的关系
维持
保护
场所紧急计划 (OEP)
运行连续性计划 (COOP)
计算机事件 响应计划
危机通讯计划
业务连续性计划 (BCP)
恢复/继续
IT应急计划
业务恢复计划 (BRP)
灾难恢复预案 (DRP)
图注: -业务 -IT
-设施 -重要影响
计划
目的
业务连续性 提供重大中断恢复期间维持 计划(BCP) 重要业务运行的规程。
灾难恢复预 提供在紧急事件后在备用站
案(DRP)
点恢复目标系统和应用的详
细规程。
中启航国际教育学院
关注点
组织的业务持续运作,关 注点是组织的业务。
关注点是信息系统,以及 信息系统所支持的业务运 作。
相互关系
DRP是BCP的IT部分 内容。DRP可以单 独成册作为BCP的 附件,也可作为 BCP的一个章节。
报表打 印机
通道延 伸器
磁带机和 磁带库
高端 路由
器
Ethernet
应用服务器: 网上交易,商 业智能,报表
服务
灾难备份中心
磁盘阵列 主机系统
通道延 伸器
报表打 印机
应用服务器: 网上交易,商 业智能,报表
服务
Ethernet
磁带机和 磁带库
高端 路由
器
DDN/FR/ISDN/ INTERNET
数据级容灾
灾难是无法预知的,最好的保护就是做一个好的计划
中启航国际教育学院
直接和间接的损失
间接损失
经济效益
公众声誉
直接损失
数据丢失、设备损坏 人员伤害。。。
法律责任
国家职责
应急预案的业务连续性管理模板课件
详细描述
应急预案是根据组织业务的特点和可能面临的突发事件类型而制定的,旨在预 防和减轻突发事件对组织业务连续性的影响。它具有明确的目标和措施,能够 快速有效地应对突发事件,保障组织的正常运营。
应急预案的制定流程
总结词
应急预案的制定需要遵循一定的流程,包括组织现状 分析、风险评估、预案编制、评审与发布、更新与维 护等步骤。
恢复策略与计划
总结词
制定业务恢复策略和计划,明确恢复目标 、步骤和时间表。
总结词
确定关键资源和外部支持,确保恢复计划 的可行性。
详细描述
恢复策略与计划是针对潜在的业务中断, 制定明确的恢复目标、步骤和时间表,以 确保业务能够快速恢复到正常运营状态。
详细描述
在制定恢复计划时,应确定关键资源和外 部支持,如备份设施、供应商、合作伙伴 等,以确保恢复计划的可行性。
应急预案的评估与改进
总结词
对应急预案进行评估和改进是持续提高应急预案有效 性的关键环节,包括预案的适应性、可行性和时效性 等方面的评估。
详细描述
为了确保应急预案的有效性,需要定期对其进行评估和 改进。评估主要包括对应急预案的适应性、可行性和时 效性等方面进行检验和评价。如果发现预案存在不足或 缺陷,需要及时进行修订和完善。同时,还需要根据实 际情况的变化和新的风险评估结果对预案进行更新和调 整,以保持其针对性和有效性。通过不断的评估和改进 ,可以提高组织的应急响应能力和业务连续性管理水平 ,为组织的稳定发展提供有力保障。
跨部门协作
企业C在灾难恢复过程中 ,各部门紧密协作,共同 应对挑战,确保恢复工作 的顺利进行。
2023
PART 06
总结与展望
REPORTING
业务连续性管理模板的价值与意义
应急预案是根据组织业务的特点和可能面临的突发事件类型而制定的,旨在预 防和减轻突发事件对组织业务连续性的影响。它具有明确的目标和措施,能够 快速有效地应对突发事件,保障组织的正常运营。
应急预案的制定流程
总结词
应急预案的制定需要遵循一定的流程,包括组织现状 分析、风险评估、预案编制、评审与发布、更新与维 护等步骤。
恢复策略与计划
总结词
制定业务恢复策略和计划,明确恢复目标 、步骤和时间表。
总结词
确定关键资源和外部支持,确保恢复计划 的可行性。
详细描述
恢复策略与计划是针对潜在的业务中断, 制定明确的恢复目标、步骤和时间表,以 确保业务能够快速恢复到正常运营状态。
详细描述
在制定恢复计划时,应确定关键资源和外 部支持,如备份设施、供应商、合作伙伴 等,以确保恢复计划的可行性。
应急预案的评估与改进
总结词
对应急预案进行评估和改进是持续提高应急预案有效 性的关键环节,包括预案的适应性、可行性和时效性 等方面的评估。
详细描述
为了确保应急预案的有效性,需要定期对其进行评估和 改进。评估主要包括对应急预案的适应性、可行性和时 效性等方面进行检验和评价。如果发现预案存在不足或 缺陷,需要及时进行修订和完善。同时,还需要根据实 际情况的变化和新的风险评估结果对预案进行更新和调 整,以保持其针对性和有效性。通过不断的评估和改进 ,可以提高组织的应急响应能力和业务连续性管理水平 ,为组织的稳定发展提供有力保障。
跨部门协作
企业C在灾难恢复过程中 ,各部门紧密协作,共同 应对挑战,确保恢复工作 的顺利进行。
2023
PART 06
总结与展望
REPORTING
业务连续性管理模板的价值与意义
BCM业务连续性管理-培训教材20190906
DQS Academy
资料提供人:杨兴文
3
机密信息丢失引发信任危机
▪ 2005年6月1日,瑞士银行集团(UBS)日本分行丢失了一张 存有高度敏感客户信息的磁盘。其中可能包含相当机密的 交易、止损单记录以及公司各类客户的敏感信息。
▪ 2005年6月6日,花旗银行390万客户账户资料在快递途中 的神秘失踪。
$ 0.5
$ 1.0
$ 1.5
$ 2.0
$ 2.5
$ 3.0
Source : Deloitte BCM practice report, Network computing, 2001
DQS Academy
资料提供人:杨兴文
12
BCM对组织带来什么好处?
A. 确保组织对生死攸关的灾难性事件,做出及时响应。 B. 合理的BCM计划既满足规范和应对特殊风险的要求,
DQS Academy
资料提供人:杨兴文
10
现代社会风险和BCM的进化
1990
1995
1999
2000
2001 2004 2005
2008
2018
Kobe Earthq. 社会机能复原 重要灾难信息
WWW 实时网络存储
ERM 管理内部 监控器
BCM 总的商务 风险管理
DRP 灾害复原计划
Y2K 业务进程的再设计 (BRP)
DQS Academy
资料提供人:杨兴文
9
BCM能做什么?
• BCM的目标:
防止业务停顿,以及保护重要业务进程不受重大失效或灾难的影响。 (BS7799定义)
• 预防(Prevent) & 恢复(Recovery)
a)一项综合管理流程,它使企业认识到潜在的危机和相关影响,制订响 应、业务和连续性的恢复计划,其总体目标是为了提高企业的风险防范 能力,以有效的响应非计划的业务破坏并降低不良影响。 b)BCM的出发点在于对潜在的灾难危险加以辨别并进行分析,以确定其 对企业实施造成的威胁,并建立一个完善的连续管理计划来防止或减少 灾难事件给企业带来的损失。
业务连续性管理(BCM)PPT课件
设定进程间逻辑结构(先行, 后行 等) 进程别中断影响的定量,定性评价
MTPD (Maximum Tolerable Period of Disruption), RTO (Recovery Time Objective) 决定 核心进程的允许的最长中断时间(MTPD)推断 核心进程的恢复目标时间(RTO)推断
事业停止 危险因素
风险识别 业务停止设想
受伤 不可接近事业场 系统支援中断 重要资源损坏 合作商支援中断
Source : BSI BS25999 BCM
风险预防 业务恢复时需要的资源
代替人力 (People) 事业设施 (Premises) 备份系统 (Technology) 重要信息 (Vital Records) 外包商 (3’rd Party)
财务
伴
顾客/伙
销售
制造
产品规划
物流
研究开发
技术
人事
保密
服务
机械设备,动力
为保护顾客的选择与集中
Source : Deloittee. – Risk Intelligence in the Age of Global Uncertainty
16
11. 商业恢复 (Biz Resumption) 战略
结构(Structure)
정책 BCM 政策
内容(Contents)
▪ 宣言文-BCM定义 ▪ 控制结构确立 ▪ BIA 及 RA 实行 ▪ 恢复战略及计划制定 ▪ 监控及测试
[Silver Tactical]
BCM 专门组织/作用
(Business Continuity Team)
BCM 运营组织
low
发生可能性
high
MTPD (Maximum Tolerable Period of Disruption), RTO (Recovery Time Objective) 决定 核心进程的允许的最长中断时间(MTPD)推断 核心进程的恢复目标时间(RTO)推断
事业停止 危险因素
风险识别 业务停止设想
受伤 不可接近事业场 系统支援中断 重要资源损坏 合作商支援中断
Source : BSI BS25999 BCM
风险预防 业务恢复时需要的资源
代替人力 (People) 事业设施 (Premises) 备份系统 (Technology) 重要信息 (Vital Records) 外包商 (3’rd Party)
财务
伴
顾客/伙
销售
制造
产品规划
物流
研究开发
技术
人事
保密
服务
机械设备,动力
为保护顾客的选择与集中
Source : Deloittee. – Risk Intelligence in the Age of Global Uncertainty
16
11. 商业恢复 (Biz Resumption) 战略
结构(Structure)
정책 BCM 政策
内容(Contents)
▪ 宣言文-BCM定义 ▪ 控制结构确立 ▪ BIA 及 RA 实行 ▪ 恢复战略及计划制定 ▪ 监控及测试
[Silver Tactical]
BCM 专门组织/作用
(Business Continuity Team)
BCM 运营组织
low
发生可能性
high
IT服务连续性管理ppt课件
董事会
创建业务连续性管理 分配人员和资源 确定连续性管理政策 流程权限定义
高级经理
管理IT服务连续性流程 接受计划,测试报告等 沟通、在组织中维持危机意识 使IT连续性管理与业务连续性管理相整合
管理层
采用IT服务连续性分析 确定IT服务连续性的可交付物 起草服务条约
管理测试、定期评审、连续性保证
团队领 导者及 成员
服务分析 基础设施
8
风险评估
识别业务面临的风险 必须首先采取防护措施 然后针对其他风险制定灾难恢复计划或连续性计划
风险评估 资产
威胁
脆弱性
风险管理
风险
对策 (防护和恢复)
风险分析和管理法(CRAMM)
9
业务连续性策略
组织制定策略时,既要考虑风险降低方案,又 要考虑服务恢复方案,在两者之间达到平衡。
6
第二步:需求分析和策略(Strategy)定义
业务影响分析 风险评估 业务连续性策略 IT恢复方案
7
业务影响分析(Business Impact Analysis-BIA)
在没有IT服务的情况下,业务能运作一段时间
强调:服务的恢复
如果没有IT服务,业务无法运作
强调:防护
建立IT服务连续性可交付物 谈判服务 完成测试,定期评审,连续性保证 建立并实践步骤
在危机发生时的责任
危机管理 做出公司/业务决策
合作并裁决 提供人力,资源和资金
激活服务恢复和连续性机制 领导团队 报告
实施恢复计划
17
小结
灾难会发生并会影响服务 IT服务连续性管理(ITSCM)及业务连续性管理 活动
初始化 需求和策略 实施 运作管理
业务连续性管理培训
业务连续性管理培训一、业务连续性管理概述1. 企业面临的灾难风险与挑战:地震、火灾、洪水、台风等自然灾害,以及信息安全事件、供应链中断等人工灾害。
2. 业务连续性管理的定义和目标:保障企业核心业务的连续运行,减少中断时间,降低损失。
二、风险评估和风险管理1. 风险评估的重要性和方法:对企业内外部的各种潜在威胁进行评估,采用概率和影响的指标来量化风险,并确定优先应对的风险。
2. 风险管理的方法和工具:确定风险承受能力和风险管理策略,建立应急响应计划和业务恢复计划等。
三、业务连续性管理框架1. 业务连续性管理的要素和框架:包括风险评估、业务影响分析、应急响应计划、业务恢复计划等。
2. 框架的四个阶段:准备、应对、恢复和改进。
介绍每个阶段的具体内容和实施步骤。
四、应急响应计划1. 应急响应计划的制定和内容:建立组织和指挥结构、明确各职责和权限,制定应对程序和流程,包括人员疏散、物资供应、紧急事故处理等。
2. 应急响应演练和评估:定期进行实际情景演练,评估响应计划的有效性和完善度。
五、业务恢复计划1. 业务恢复计划的制定和内容:明确核心业务的恢复优先级、恢复时间目标和所需资源,制定恢复策略和操作指南,例如备份数据、备用设备、灾难恢复中心等。
2. 业务恢复计划的测试和验证:定期进行恢复演练和模拟,确保计划的可行性和有效性。
六、维护和改进1. 业务连续性管理的维护:通过定期评估和检查,确保业务连续性管理体系的持续有效运行。
2. 持续改进:根据实际经验和反馈,对业务连续性管理计划和措施进行持续改进和优化。
培训中将通过案例分析、实际操作和小组讨论等形式,让学员更深入地了解业务连续性管理的基本概念和方法,掌握实施业务连续性管理的技能,以提高企业的抗灾能力和业务稳定性。
通过这样一套全面的业务连续性管理培训计划,学员将能够从零基础开始,逐步了解业务连续性管理的理论知识和实践经验,掌握相关工具和方法,能够有效地评估和管理风险,制定适合企业的业务连续性管理框架和计划,并能在应急和恢复阶段快速有效地响应和恢复业务。
业务连续性管理培训教材(PPT 100页)
能最大限度发现低效的业务和平时无法揭露的隐患。
提前采取BCM 预防措施要比临时采取措施所花费的成 本低。
LOGO
BCM过程
BS7799所描述的BCM主要有以下要点:
业务持续计划首先是组织高层管理人员的首要职责,
因为他们被委任保护公司的资产及公司的生存;
制定和实施一个完整的业务持续计划应从理解自身
— 存在的问题 — 应对建议
LOGO
信息收集技术
讨论
调查问卷
访谈
开会讨论能够加速得出分析结论,同时要和各个部门进行激烈 的争论,最终达成一致的BIA结论。
调查问卷能提供大量的BIA分析数据。如果问卷填写不完整,会 降低调查信息的质量。
访谈能提供很好的信息,但是比较费时间,得到的信息的格式 和详细程度变化较大。
返回
LOGO
检测(Detection)
——检测意味着弄清是否出现了恶意代码、文件和目 录是否被篡改或者出现其他的特征;如果是的话,问 题在哪里,影响范围有多大。检测包括软件检测和人 工检测。
软人件工检检测测
—入必—abcde.....侵要面许用在出出用检的对多不非现现户测。今厂活工了了权软天商跃作不不限件的如或时是熟的、软此系间由悉提完件种统有系的升整缺系统文或可类性省 统 管 件 超以繁校账活理或级迅多号动员程用验速复登。创序户软地杂录建。权件检的。的限等测攻账的)桌击对号使面,。用应,系检急但统测响对和软应此邮件工无件(作如法服的杀解务成释毒器功。软的是件病非、毒常。 这f.些W软e件b服通务常器还主可页以或检其测他页出面W被in修do改w。s系统上是否秘密安装了后门 木g.马系程统序日。志出现一段时间的空白或擦除。
业务开始,进行业务影响分析和风险评估;
提前采取BCM 预防措施要比临时采取措施所花费的成 本低。
LOGO
BCM过程
BS7799所描述的BCM主要有以下要点:
业务持续计划首先是组织高层管理人员的首要职责,
因为他们被委任保护公司的资产及公司的生存;
制定和实施一个完整的业务持续计划应从理解自身
— 存在的问题 — 应对建议
LOGO
信息收集技术
讨论
调查问卷
访谈
开会讨论能够加速得出分析结论,同时要和各个部门进行激烈 的争论,最终达成一致的BIA结论。
调查问卷能提供大量的BIA分析数据。如果问卷填写不完整,会 降低调查信息的质量。
访谈能提供很好的信息,但是比较费时间,得到的信息的格式 和详细程度变化较大。
返回
LOGO
检测(Detection)
——检测意味着弄清是否出现了恶意代码、文件和目 录是否被篡改或者出现其他的特征;如果是的话,问 题在哪里,影响范围有多大。检测包括软件检测和人 工检测。
软人件工检检测测
—入必—abcde.....侵要面许用在出出用检的对多不非现现户测。今厂活工了了权软天商跃作不不限件的如或时是熟的、软此系间由悉提完件种统有系的升整缺系统文或可类性省 统 管 件 超以繁校账活理或级迅多号动员程用验速复登。创序户软地杂录建。权件检的。的限等测攻账的)桌击对号使面,。用应,系检急但统测响对和软应此邮件工无件(作如法服的杀解务成释毒器功。软的是件病非、毒常。 这f.些W软e件b服通务常器还主可页以或检其测他页出面W被in修do改w。s系统上是否秘密安装了后门 木g.马系程统序日。志出现一段时间的空白或擦除。
业务开始,进行业务影响分析和风险评估;
业务连续性管理 (BCM)实务培训
时间
11
信息系统的恢复与复原
• 如果业务活动完全依赖于IT系统,则对于IT部门而言:
• 业务部门以业务视角分析出系统的恢复目标MTPD、MTDL;
• IT部门应据此制定信息系统的RTO、RPO。
最新的 数据备份点 突发事件
系统中断、实时数据丢失
恢复关键业务 到最低运营水平
业务复原 到完全运营水平
实施临时变通方案 恢 复 复 原 MTPD MTDL -2 小时 RPO 允许的 数据丢失 事件上报与 初判 启用备用资源 -1 小时 0
应急指挥和组织协调
应急执行层
业务条线与信息技术应急处置工作: • 执行业务部门、信息技部门BCP • 启动应急预案 • • • • 资源保障:人、财、物 秩序维护,安全保障,法律咨询,人员安抚 对外宣告、通报、沟通,对外媒体公关 执行保障部门BCP
应急保障层
15
连续性管理的一般实施过程
分析 (Analysis) 设计 (Design) 连续性策略 制定 实施 (Implementation) 风险处置 验证 (Validation) 连续性管理 改进 业务影响分析 风险评估 连续性演练
IT灾难恢复计划:将中断的IT系统服务恢复到可用状态,通常涉及灾备切换。 应急预案:通常由一组具体的故障恢复场景构成,可能包含导致服务中断的严重故障,也有可 能涉及未导致服务中断的一般故障。
9
业务连续性的恢复要求
• 最长可容忍中断时间(MTPD, Maximum Tolerable Period Of Disruption) 交付产品、服务的业务流程与活动的最长可容忍中断时间。 如果超出此时间限制,带来的负面影响将变得无法承受。 • 恢复时间目标(RTO) 基于MTPD,在组织内部协商后制定的恢复时间目标值。RTO应小于MTPD(30%为宜)。 组织应在假设的最坏场景下,通过演练、测试,验证自身达成RTO的实际能力。 • 最长可容忍数据丢失点(MTDL , Maximum Tolerable Data Lost) 交付产品、服务的业务流程与活动中断后再次恢复时,能够容忍的数据丢失时长。即:将数据恢复到中断前多久的状态。
业务持续管理(BCM)概述及应用讲义
➢确定RTO及RPO
7891...0.认维危与知护机外和及沟部培演通机训练构计业的划务协持调续计划➢➢➢➢➢➢➢➢确 制 开 确设 评 制 验➢➢➢定 定 发 认➢➢➢➢➢建 制计 价 定 证制 与 与确 确 编 贯 建认 各 认 其立 定和 演 维B定 各 外定 定 制 彻 立知 种 知 他C与 与协 练 护和 利 部计计 计 业 执 计与认与教外 外调 结 更演 益 机划划划务行划培知培育部部果新B练相构的编的持业分训与训机C机机B危关、计有制结续务发的培的会C构构机者媒划效计的构计持和目训方协的沟的体的性划要和划续控标计法调演通沟的演的求形计制划和的练计通沟练流式划程工流程划通程序具程序
时间线
事前
事中
事后
应急与业务持续
正常状态
事件发生
正常状态恢复
主体功能能力水平
重建
正常状态
事件发生
业务恢复
非正常态 运行
主体功能能力水平
正常状态恢复 重建
时间
不具备业务持续的应急管理
时间
具备业务持续的应急管理
生产能力/运营能力/服务能力 生产能力/运营能力/服务能力
BCM中的各种计划
业务运行 能力
灾难后能得到全面恢复,还要确保关键 业务功能在中断或灾难事件中,能够迅 速地恢复持续运行
灾难的含义
灾难(Disaster)的一般定义
➢ 一个突发的、非计划的、能够导致重大伤害或损失的严重的 不幸事件
灾难对企业的含义
➢ 突发事件造成企业关键业务功能(或流程)的中断时间超过 企业最大可容忍的程度
➢ 通常由恢复时间目标(RTO)值作为判定是否是灾难的依据 ➢ 通过评估,当预计关键业务功能的中断时间将大于预定的
通常由IT部门牵头规划和建设
业务连续性ppt课件
5
知识子域:业务连续性管理
业务连续性计划
了解业务连续性计划的概念及制定BCP的四个步骤; 理解组织管理在BCP过程中的重要性及BCP组织管理中
的四个要素; 理解业务影响分析在BCP过程中的作用; 了解业务影响分析中确定业务优先级、风险分析及资
产优先级划分的各项工作内容; 了解BCP制定和批准实施工作的内容; 掌握BCP制定中风险降低、风险转移、风险规避和风
业务连续性(BC)
业务连续性(Business Continuity, BC)是组织 对事故和业务中断的规划和响应,使业务可能在预 先定义的级别上持续运行的组织策略和战术上的能 力
业务连续性管理( BCM)
BCM是找出组织有潜在影响的威胁及其对组织业务 运行的影响,通过有效响应措施保护组织的利益、 信誉、品牌和创造价值的活动,并为组织提供建设 恢复能力框架的整体管理过程
确定业务优先级 风险分析 资产优先级划分
业务影响分析完成后,文档化所有的流程!
9
确定业务优先级
业务流程综合列表,按重要性排序 业务功能实际运作需要资源(计算机系统、人员、
通信、物理设备)和服务 确定业务优先级的关键点
业务所需资源的相互关系 对外部组织或其他方的依赖
10
建立在对组织机构各种过程的风险评估之上 关注基础设施功能和资源减少或受限的情况下维
持业务操作 BCP应成为组织管理文化的一部分,企业业务模式
或业务过程变化情况下,应重新设计
7
组织管理
理解业务组织
充分了解组织的体系结构及其组成部分 清晰每个业务流程及相互依赖关系
建立BCP团队
一项综合管理流程,由业务驱动,集合了技术、 管理的一体化动态管理流程
知识子域:业务连续性管理
业务连续性计划
了解业务连续性计划的概念及制定BCP的四个步骤; 理解组织管理在BCP过程中的重要性及BCP组织管理中
的四个要素; 理解业务影响分析在BCP过程中的作用; 了解业务影响分析中确定业务优先级、风险分析及资
产优先级划分的各项工作内容; 了解BCP制定和批准实施工作的内容; 掌握BCP制定中风险降低、风险转移、风险规避和风
业务连续性(BC)
业务连续性(Business Continuity, BC)是组织 对事故和业务中断的规划和响应,使业务可能在预 先定义的级别上持续运行的组织策略和战术上的能 力
业务连续性管理( BCM)
BCM是找出组织有潜在影响的威胁及其对组织业务 运行的影响,通过有效响应措施保护组织的利益、 信誉、品牌和创造价值的活动,并为组织提供建设 恢复能力框架的整体管理过程
确定业务优先级 风险分析 资产优先级划分
业务影响分析完成后,文档化所有的流程!
9
确定业务优先级
业务流程综合列表,按重要性排序 业务功能实际运作需要资源(计算机系统、人员、
通信、物理设备)和服务 确定业务优先级的关键点
业务所需资源的相互关系 对外部组织或其他方的依赖
10
建立在对组织机构各种过程的风险评估之上 关注基础设施功能和资源减少或受限的情况下维
持业务操作 BCP应成为组织管理文化的一部分,企业业务模式
或业务过程变化情况下,应重新设计
7
组织管理
理解业务组织
充分了解组织的体系结构及其组成部分 清晰每个业务流程及相互依赖关系
建立BCP团队
一项综合管理流程,由业务驱动,集合了技术、 管理的一体化动态管理流程
业务连续性管理(BCM)PPT课件
- Black Swan”
3
2. 商务 示例 ; Who, What, Result
WHO Perrier Johnson & Johnson
WHO
WHAT -1991. 矿泉水内苯的存在 - 保健事故, 受伤, 没有死亡. -1982. 精神病者往胶囊里投放氰酸钾 -服用患者数名死亡
WHAT
Nokia
Ulrich Beck(1986) “后期近代社会的风险是以完全脱离人类的认识能力 的放射性因果分析为基础
Richard A. D’Aveni(1994) “推翻原来的状态不断创出暂时优势,最终掌握主导权就是在
超竞争环境中要有的战略目标”
Nassim Nicholas Taleb(2004) “不可预测的重大事件; 它罕有发生,但一旦出现,就具有很大的影响力. 发生后才能说明原因,是不可预测的现像
7
6. BCM的 正义
BCM (业务连续性管理 ; Business Continuity Management)
为能给利害关系人带来影响的业务中断准备,在限制的时间内(RTO) 重新运营核心的商务 机能, (Critical Activity)树立全社性的的政策及系统(BCP)并履行的经营活动(BCM)
类似点 不同点
COMPARISON
-社内未发生财物损失(火灾, 洪水, 机器事故 等) -在价值链 (Value Chain)内发生的 任意事故(Something) -对于 发生可能性(Probability) 考察 -报告命令(Communication), 措施(Action), 恢复/复原(Recovery/Resilience) 能力 差异
New approach to the business risk management
3
2. 商务 示例 ; Who, What, Result
WHO Perrier Johnson & Johnson
WHO
WHAT -1991. 矿泉水内苯的存在 - 保健事故, 受伤, 没有死亡. -1982. 精神病者往胶囊里投放氰酸钾 -服用患者数名死亡
WHAT
Nokia
Ulrich Beck(1986) “后期近代社会的风险是以完全脱离人类的认识能力 的放射性因果分析为基础
Richard A. D’Aveni(1994) “推翻原来的状态不断创出暂时优势,最终掌握主导权就是在
超竞争环境中要有的战略目标”
Nassim Nicholas Taleb(2004) “不可预测的重大事件; 它罕有发生,但一旦出现,就具有很大的影响力. 发生后才能说明原因,是不可预测的现像
7
6. BCM的 正义
BCM (业务连续性管理 ; Business Continuity Management)
为能给利害关系人带来影响的业务中断准备,在限制的时间内(RTO) 重新运营核心的商务 机能, (Critical Activity)树立全社性的的政策及系统(BCP)并履行的经营活动(BCM)
类似点 不同点
COMPARISON
-社内未发生财物损失(火灾, 洪水, 机器事故 等) -在价值链 (Value Chain)内发生的 任意事故(Something) -对于 发生可能性(Probability) 考察 -报告命令(Communication), 措施(Action), 恢复/复原(Recovery/Resilience) 能力 差异
New approach to the business risk management
业务连续性管理培训教材
业务连续性管理培训教材简介业务连续性管理是指企业为保障业务持续运营而制定的一系列策略和计划。
这些策略和计划旨在防止和减轻突发事件对业务运营的影响,同时确保企业能够在紧急情况下快速恢复正常运营。
本教材旨在帮助企业和组织了解业务连续性管理的重要性,并提供相关的培训内容和工具,以帮助组织建立有效的业务连续性管理框架和应对机制。
第一章:业务连续性管理概述概念定义•业务连续性管理的定义及目标•紧急事件的分类与影响•业务连续性管理的相关术语解释业务连续性管理的重要性•业务连续性管理与企业长期发展的关系•业务连续性管理对企业的影响业务连续性管理的原则•以风险为导向•统一策略和计划•全员参与与沟通•持续改进第二章:业务连续性管理框架建立业务连续性管理框架的步骤1.确定业务连续性管理目标和战略2.风险评估与业务影响分析3.制定业务连续性策略和计划4.实施业务连续性计划5.持续监测和改进业务连续性管理框架的组成部分•高层承诺与领导力•组织和资源•风险评估与控制•应急响应和恢复•计划验证和演练•绩效评估和持续改进第三章:风险评估与业务影响分析风险评估的基本概念•风险评估的定义及目的•风险评估的方法与流程商业连续性风险范围的确定•业务连续性风险的分类•业务连续性风险的评估指标业务影响分析•业务影响分析的定义与目的•业务影响分析的方法与流程第四章:业务连续性策略与计划业务连续性策略的制定•风险治理策略•风险传递与共享策略•风险减少与控制策略•风险接受与保留策略业务连续性计划的制定•危机管理计划•应急响应计划•业务恢复计划•业务持续运营计划第五章:业务连续性计划的实施与维护应急响应与恢复•应急响应组织与指挥•应急响应与通信•业务恢复过程与策略验证和演练计划•设定验证和演练计划的目标和策略•验证和演练计划的实施流程绩效评估与持续改进•绩效评估指标的设定•绩效评估的方法与流程•持续改进的重要性与方法结语业务连续性管理是企业保障业务运营的重要举措,它能够帮助企业应对各种突发事件和风险,减轻损失并快速恢复正常运营。
19 业务连续性管理-(BCM)ISO22301实务培训-ppt
• 明确业务活动恢复 的策略(灾备建设 要求、连续性计划 的制定要求);
1. 保障相关资源的配 置。
• 实施、跟踪连续性 风险处置;
• 编制连续性计划 (BCP、IT DRP), 包括:预警、响应、 沟通上报、恢复、 复原。
• 连续性计划培训;
• 排定演练计划;
• 连续性计划测试、 演练。
• 演练总结,识别改 进机会;
制定差别化的业务恢复策略 关键资源恢复、业务替代手段、数据追补和恢复优先级别
BCM策略: •承上(BIA、RA):恢复要求
•关键资源备份、选择恢复方式、恢复优先顺序 •设置应急指挥中心(EOC)场所 •启下(BCP):BCP的总前提、总框架
-
17
银行业务(某国有银行样例)
业务类别 公司金融业务
个人金融业务
信息技术应急响应与恢复(制定信息科技部门BCP、IT 连续性计划)
人力、物力、财力以及安全保障、法律咨询、对外媒 体公关 (制定保障部门BCP)
-
14
“业务连续性治理结构”— 应急组织
应急管理层级 应急决策层
角色 高级管理人员
应急指挥层
BCM主管、执行和保障部门负责人
职责 • 决定运营中断事件通报、对外报告和公告; • 批准启动BCP/总体应急预案
8.5 演练和测试 -
• 第一章 总则 • 第二章 业务连续性组织架构
• 第一章 总则(第九条)
• 第三章 业务影响分析
• 第四章 业务连续性计划与资源建设
• 第六章 运营中断事件应急处置
• 第五章 业务连续性演练与持续改进
• 第七章 监管和处置
-
8
业务连续性与IT服务连续性
业务连续性(Business Continuity): 关注于一个组织提供产品、服务的业务流程、业务活动的持续运行。
1. 保障相关资源的配 置。
• 实施、跟踪连续性 风险处置;
• 编制连续性计划 (BCP、IT DRP), 包括:预警、响应、 沟通上报、恢复、 复原。
• 连续性计划培训;
• 排定演练计划;
• 连续性计划测试、 演练。
• 演练总结,识别改 进机会;
制定差别化的业务恢复策略 关键资源恢复、业务替代手段、数据追补和恢复优先级别
BCM策略: •承上(BIA、RA):恢复要求
•关键资源备份、选择恢复方式、恢复优先顺序 •设置应急指挥中心(EOC)场所 •启下(BCP):BCP的总前提、总框架
-
17
银行业务(某国有银行样例)
业务类别 公司金融业务
个人金融业务
信息技术应急响应与恢复(制定信息科技部门BCP、IT 连续性计划)
人力、物力、财力以及安全保障、法律咨询、对外媒 体公关 (制定保障部门BCP)
-
14
“业务连续性治理结构”— 应急组织
应急管理层级 应急决策层
角色 高级管理人员
应急指挥层
BCM主管、执行和保障部门负责人
职责 • 决定运营中断事件通报、对外报告和公告; • 批准启动BCP/总体应急预案
8.5 演练和测试 -
• 第一章 总则 • 第二章 业务连续性组织架构
• 第一章 总则(第九条)
• 第三章 业务影响分析
• 第四章 业务连续性计划与资源建设
• 第六章 运营中断事件应急处置
• 第五章 业务连续性演练与持续改进
• 第七章 监管和处置
-
8
业务连续性与IT服务连续性
业务连续性(Business Continuity): 关注于一个组织提供产品、服务的业务流程、业务活动的持续运行。
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目标恢复时间 最长可容忍中断时间 MTPD RTO
快速恢复
借助BCM 0
16 24 小时 小时
如果缺乏BCM
业务最低运营要求
• 维持业务运营的最低性能 与容量要求;
• 保证最核心的业务流程/ 活动/产品/服务/职能/区 域恢复运行
• 通常会作为灾备建设依据
5
7
天
天
时间
-
11
11
RTO MTPD
RTO
• 恢复时间目标(RTO) 基于MTPD,在组织内部协商后制定的恢复时间目标值。RTO应小于MTPD(30%为宜)。 组织应在假设的最坏场景下,通过演练、测试,验证自身达成RTO的实际能力。
• 最长可容忍数据丢失点(MTDL , Maximum Tolerable Data Lost) 交付产品、服务的业务流程与活动中断后再次恢复时,能够容忍的数据丢失时长。即:将数据恢复到中断前多久的状态。
事件上报与 初判
执行恢复 启用备用资源
恢 复
复原或重建
-2
-1
小时
小时
0
4小时
6小时
-
业务复原 到完全运营水平
复 原
时间 3天
12
《商业银行业务连续性监管指引》要求的BCM
条款治要求 理结构
日常管理组织架构 • 决策机构:董(理)事会
• 高级管理层、业务连续性管理委员会 • 主管部门:风险管理部门或其他综合管理部门 • 执行部门:业务条线部门、信息科技部门 • 保障部门:办公室、人事、公共关系、财务、法律合规、后勤保
8.5 演练和测试 -
• 第一章 总则 • 第二章 业务连续性组织架构
• 第一章 总则(第九条)
• 第三章 业务影响分析
• 第四章 业务连续性计划与资源建设
• 第六章 运营中断事件应急处置
• 第五章 业务连续性演练与持续改进
• 第七章 监管和处置
-
8
业务连续性与IT服务连续性
业务连续性(Business Continuity): 关注于一个组织提供产品、服务的业务流程、业务活动的持续运行。
IT灾难恢复计划:将中断的IT系统服务恢复到可用状态,通常涉及灾备切换。 应急预案:通常由一组具体的故障恢复场景构成,可能包含导致服务中断的严重故障,也有可
能涉及未导致服务中断的一般故障。
-
9
业务连续性的恢复要求
• 最长可容忍中断时间(MTPD, Maximum Tolerable Period Of Disruption) 交付产品、服务的业务流程与活动的最长可容忍中断时间。 如果超出此时间限制,带来的负面影响将变得无法承受。
• 恢复点目标(RPO) 基于MTDL,在组织内部协商后制定的恢复点目标值。RPO应小于MTDL (30%为宜)。 组织应通过适当的备份机制,确保备份间隔时间小于RPO,并通过演练、测试,验证备份的有效性。
-
10
最低运营要求与完全运营要求
突发
业
事件
务
业 务
运
中
营
断
能
力
目标复原时间 按预期要求复原
最长可接受复原时间 业务完全运营要求
RPO MTDL
信息系统的恢复与复原
• 如果业务活动完全依赖于IT系统,则对于IT部门而言:
• 业务部门以业务视角分析出系统的恢复目标MTPD、MTDL;
• IT部门应据此制定信息系突统发的事R件TO、RPO。
最新的 数据备份点 系统中断、实时数据丢失
恢复关键业务 到最低运营水平
允许的 数据丢失
实施临时变通方案
领导力与承诺
应对风险和 机会的措施
管理承诺
业务连续性 目标和实现计划
方针
资源 能力 意识 沟通
组织角色、 职责和权限
文件化信息
-
实施策划与控制
业务影响分析 和风险评估 业务连续性策略
建立和实施 业务连续性程序
演练和测试
监视、测量、 分析和评价
内部审计
管理评审
不合格项和 纠正措施 持续改进
7
监管指引与国际标准对应关系
织的业务流程运行。
IT服务
(信息系统、IT基础设施)
IT服务连续性(IT Service Continuity): 关注于保障信息系统、IT基础设施持续运行。
IT服务不连续的后果: • 直接表现:IT基础设施瘫痪、信息系统停止服务; • 间接表现:依赖IT系统的业务活动停滞,部分业务切换到人工操作。
业务流程、业务活动
业务不连续的后果: 客户量/业务量减少、产品报废、合同违约、监管违规、财务损失、利益相关方施压、社会谴责 (环境/健康等)、丧失竞争力、破产……
业务连续性计划BCP):从业务层面恢复中断的业务流程和活动。 IT灾难恢复计划(IT DRP)、应急预案通常用于支撑BCP。
技术 支撑 信息化技术越来越多地承载了组
-
4
BCM是一个跨多个专业领域的综合性体系
-
5
BCM标准发展
英国标准
BS25999
理 论 基 础
国际业务持续协会(BCI)
《业务持续管理良好实践指南》
升
级
BCM GPG
理 论 基 础
新加坡标准 SS540
《商业银行业务连续性监管指引》 2011年12月28日正式发布
国际标准
ISO22301
对应
2012年5月15日正式发布
ISO22301:2012 (GB/T30146-2013)
《商业银行业务连续性监管指引》
4 组织环境 5 领导力 6 策划 7.1 资源 7.4 沟通 7.5 文件化信息 9 绩效评价 10 改进 7.2 能力 7.3 意识 8.2 业务影响分析和风险评估 8.3 业务连续性策略
8.4 建立和实施业务连续性程序
中国国家标准 GB/T30146 2013年12月17日正式发布
-
6
ISO22301标准全文结构
计划(Plan)
4.组织环境
5.领导力
6.策划
7.支持
执行(Do)
8.实施
检查(Check)
9.绩效评价
改进(Action)
10.改进
理解组织 及其环境
理解相关 方的需求和
期望
定义BCMS的 范围
BCMS
业务连续性管理 business continuity management (BCM)
培训讲师:周武
-
1
内容提要
-
2
BCM
-
3
何为BCM
业务连续性(Business Continuity): 业务中断事件发生后,在预先确定的可接受水平上持续交付产品或提供服务的能力。
• 业务连续性管理(Business Continuity Management)是一套整体的管理流程,用以: • 识别潜在威胁,以及这些威胁对业务持续运行带来的影响; • 建立有效应对威胁的自我恢复能力, • 保护关键相关方的利益、声誉、品牌和创造价值的活动。