BCM公开课

BC计划编制的8个步骤
项目规划
风险分析与评估
业务冲击分析
BC计划编制 的生命周期
计划维护
策略制定 认知与培训
计划编制
测试与演练 BC计划
业务恢复的6R模型
减小（Reduce） 响应（Respond） 事件发生期间 恢复（Recover）
应急响应和损失评估 恢复关键功能 重启业务运行
DR只是手段，BC才是本质 制定认知和培训计划，提高员工防灾救灾的意识和能力 不断地对预案和计划进行测试演练和维护更新 将BCM理念融入企业的文化中
将DRP集成到BCP之中

确保预案和计划的贯彻实施和维护更新

供应链
案例
March 17, 2000 – Ericsson vs. Nokia
The NDR recovery inventory includes Emergency Communications Vehicles (ECVs) that can establish voice and data connectivity anywhere in the United States. Using a satellite link, an ECV can provide voice and data service within 30 minutes of arriving on site
BCM离我们有多远？
何为“BCM（业务持续管理）”？

“B”——Business，具有价值的活动
“C”——Continuity，持续活动的保障 “M”——Management，提供保障的方法
几乎人人都有“BC”需求

工作中的“BC”需求
生活中的“BC”需求
“BCM”方法是保护我们正常生活和工作的必备手段
Nokia shipments grew by 10.5 percent over the previous year, to 140 million units. Ericsson shipments dropped by 35 percent to 27 million units.
Nokia (32%) Ericsson (12%)
危机管理（CM）：危机事件的演变和处理

主要用于事件的处理
应急管理（EM）：突发事件的应对和处理

主要用于公共事件的应对
灾难恢复（DR）：信息系统的恢复（DRP是BCP的一部分）

主要用于数据和信息系统的保护
业务持续管理（BCM）：灾难中企业的生存

确保在预定的时间内恢复业务运行 综合运用了以上各种方法

救援的主力军（消防、武警、军队、医疗、应急机构等） 主要是针对人员和财产的抢救 用于基础设施重建的赈灾资金 已成为重要的救助力量 赔偿占损失的比例太小（反映了保险意识淡薄） 财保赔偿占总赔偿比例偏小（受大型自然灾害赔偿限制） 缺乏停业保险、责任保险等与企业经营相关的险种 缺乏有效的预案和方法，能力较弱 缺乏系统的科学方法（BCM不够普及）
业务持续管理
（BCM）
概述及应用
V3.0
Gary Liu
中国BCM专业委员会
中国信息化推进联盟BCM专业委员会（China BCM，CBCM）

2004年7月成立，是中国目前唯一权威的BCM组织机构， 至今已有委员50多人及会员单位20多家 致力于中国BCM的应用推广、人才培养、及标准制定 促成了与DRII的合作
时间线
事前
事中
事后
应急与业务持续
正常状态 事件发生
正常状态恢复
正常状态 事件发生
正常状态恢复
业务恢复
重建
非正常态 运行
重建
主体功能能力水平
主体功能能力水平
时间
不具备业务持续的应急管理
生产能力/运营能力/服务能力
生产能力/运营能力/服务能力
时间
具备业务持续的应急管理
BCM中的各种计划
业务运行 能力
▪ 准备 组织架构, 计划，资源，检验 ▪ 执行 搬迁, 特殊情况下的运营
11
业务持续的实质
Business Continuity is NOT
business as usual
所谓业务持续就是不仅要使业务功能在
灾难后能得到全面恢复，还要确保关键 业务功能在中断或灾难事件中，能够迅 速地恢复持续运行
社会捐赠

保险赔偿

企业自救

英国CMI的2010年BCM调查报告
58%造成组织停业的是气候。第一次取代IT 79%被访经理在过去12个月里启动BC计划并有效地减 少了中断造成的冲击 54%被访者报告应用远程工作的方式应对中断 企业的自律是BCM的主要驱动力
计划
进行损失 评估 恢复后备场地 和技术设施
RTO
可容忍的最低 业务运行能力
事前
事中
事后
时间
BCP
企业的BCM规划
安全管理
事件响应
灾难恢复
业务持续
灾后重建
(Restore) (Return)
（Recover） （Resume） （Reduce） （Response）
相应的预案和计划
安全防控计划
应急响应计划
案例- AT&T – 网络灾难恢复
The NDR Team is composed of AT&T managers, engineers, and technicians who have received special training in the physical recovery of the AT&T Network.
灾难恢复计划
业务持续计划
重建/返回计划
BCM成功的决定因素
高管层的重视和支持 组建完善的BCM组织机构 人员、资金和资源的保障 指定拥有适当权力的业务部门代表参与
相关人员应具备全面的业务持续管理知识
任命有能力的BC项目经理

因为时间所限，所以该经理必须具有很强的项目管理能力

10 Minute Fire in Albuquerque Philips Microchip Plant Pre Fire Ranking


Post Fire Ranking

On July 20, 2000, Ericsson reported that the fire and component shortages had caused a second-quarter operating loss of $200 million in its mobile phone division. Total loss $400 million
恢复时间目标（RTO）
中断点
业务功能或应用系统以 最新的正确数据运行
业务功能或应用系统恢复到 其最低可接受的程度
时间
恢复时间目标（RTO） 事前防控 事中应对
业务功能或应用系统从中断点恢复到其最低可接受的 程度所需的时间，从而使中断产生的冲击最小化。
事后重建
10个国际最佳专业惯例
确定BC计划编制的需求 1. 项目启动与管理 获得高管层的支持 2. 风险评估和控制（RA） 建立BCM组织及责任 明确BCM项目的范围 识别可能的不利事件和威胁 制定和贯彻应急响应程序 根据RA和BIA的结果制定策略 3. 业务冲击分析（BIA） 确定计划编制时间表 信息的收集和分析方法 使事件发生后的情形得到稳定 包括企业级策略和部门级策略 确认中断对业务的冲击 4. 制定业务持续策略 确认可能的风险和损害 建立和管理EOC 进行成本效益分析 定量及定性地衡量冲击 确定应采取的控制措施 将BC程序与应急响应程序相集成 5. 应急响应和措施 选择最佳的策略 确认关键业务功能和流程 对所采取的措施进行评价 确定优先级别和互依赖性 6. 编制和贯彻执行业务持续计划 确定RTO及RPO 确定认知与培训的目标 7. 认知和培训计划 确定计划编制的要求 制定各种认知与培训计划 8. 维护及演练业务持续计划 确定计划的结构和形式 开发认知与培训的方法和工具 编制业务持续计划 设计和协调BC计划的演练 9. 危机沟通 确认其他教育机会 制定和演练危机沟通计划 贯彻执行业务持续计划 评价演练结果 建立与外部机构协调的流程 与各利益相关者的沟通 建立计划分发和控制程序 10.与外部机构的协调 制定维护更新BC计划的流程 制定与外部机构的演练程序 与外部机构、媒体的沟通 验证BC计划的有效性 以简明的方式报告结果
灾难事件回顾
2008年南方大雪
2008年5.12汶川大地震 2001年911恐怖袭击
2009年7.5新疆暴乱 2009年台风莫拉克 2005年卡特里娜飓风
灾难的损失与挽救
灾难事件
死亡人数 直接经济损失
保险赔偿 共计约16亿元 人身：9.6亿元（60%） 财产：6.4亿元（40%）
社会捐赠
汶川地震
事件发生之前
预防和控制措施 做好应对准备
重启（Resume）
重建（Restore） 返回（Return）
事件稳定之后
重建永久站点 返回正常运行
业务恢复的生命周期
既要避免反应迟钝，也要避免反应过度！
进行损失评估，判断 是否灾难？ 满足条件：宣布灾难
预防 几分钟或几小时之内 几小时或几天之内 几周或几月之内
事件发生
危机管理计划
启动危机管理中心，进行指挥、控制和沟通
预防和准备
100%
应急响应 计划
挽救生命 和财产 设立 EOC
业务恢复 计划
确保关键业务 的持续运行
重建/返回 计划
返回正常运行
风险减小 计划
减小风险， 避免中断， 或使中断影 响最小化
非常态运行 （满足RTO要求）
重建永久(原) 场地， 灾难恢复 返回正常运行
3
主要内容
灾难事件及其损失和挽救 解决灾难问题的理论和方法 BCM相关概念解释 BCM的知识体系（10个国际最佳惯例） BC计划编制方法论（8个步骤） 业务恢复的生命周期（6R模型） BCM中的各种计划 BCM在企业中的应用 BCM给企业带来的好处 国内外相关法规和标准、以及相关组织机构 BCM在灾难恢复建设中的应用

自律（38%) 商业/客户（31%） 潜在客户（21%） 政府要求（21%） 合同（16%）
33%的指导来自专业机构，28%来自自己 27%有专项资金，48%没有 72%说HR是内部BCM的相关者
解决灾难问题的理论和方法
风险管理（RM）：风险的分析、预防和控制

主要用于风险的预防

真正全球化
11，000 人已被认证 （截至2010年1月底） 遍布95个国家 培训在45个国家开展 BC行业手屈一指的职业教育和资质认证组织
DRI China 是大中华地区DRII唯一授权机构 包括香港，澳门和台湾地区 DISASTER RECOVERY INSTITUTE INTERNATIONAL a non-profit organization
近9万人
超过1万亿元
760亿元
911恐怖袭击
3千多人
பைடு நூலகம்
450亿美元
共计约400亿美元 人身：48亿美元（12%） 财产：352亿美元（88%） 22亿美元 （其中： 停业保险为110亿美元 责任保险为100亿美元）
共计约600亿美元 13亿美元
卡特里娜飓风
1千多人
1250亿美元
我国目前的救灾模式
政府救援
风险管理 vs. 业务持续管理

原因 vs. 影响
减少已知的危险 风险评估 – 对原因的判断 (风险)
▪ 确认威胁 (设施, 环境，气候，地质地貌，人为，商务，技术， 等等） ▪ 建议减小措施
▪ 发生的可能性 ▪ 采取措施的成本
减小冲击后的影响 BCM – 对影响进行处理
▪ 当防范及减小措施失去作用
专心致志和高度的责任感
02-22
BCM在企业中的应用
应用的主要方面

整个企业的应急管理 针对IT的灾难恢复（DRP） 确保高管层的参与和支持 明确各部门的职责，确保全体员工的积极参与
建立完善的危机管理组织机构

制定企业应对灾难的完整预案


既关注人员和财产的挽救，也注重业务的持续 建立分级响应机制，完善控制事件全过程的各项预案
灾难的含义
灾难（Disaster）的一般定义

一个突发的、非计划的、能够导致重大伤害或损失的严重的
不幸事件
灾难对企业的含义

突发事件造成企业关键业务功能（或流程）的中断时间超过
企业最大可容忍的程度

通常由恢复时间目标（RTO）值作为判定是否是灾难的依据 通过评估，当预计关键业务功能的中断时间将大于预定的 RTO值，则视为灾难发生，应该启动相应的预案和计划