DoSTOR存储在线 3月27日:阿姆斯特丹斯特拉提克斯集团的爱伦德鲁吉最近针对公司寿命所做的一项调查显示:在日本和欧洲,所有大大小小公司的平均寿命只有12.5年;而在中国,企业的平均寿命只有3-5年。诚然,这其中包含了历史的因素和经济发展阶段的影响,但是在企业发展的不同阶段,对风险的控制、规避以及对突发事件的应对、保障的投入也直接影响了企业的生命周期的长短。特别是对于那些影响着整个国际民生有着重要影响的大型、超大型企业和机后,如何保持企业连续有效的运作,减少和避免非计划事件造成的重大损失和影响是一项十分重要的"命题"。
一。业务连续性的概念
业务连续性并不是一个新鲜的话题,《左传襄公十一年》书中即有"居安思危,思则有备,有备无患" 。忧患意识不仅仅是一个国家一个民族要有,一个企业也必须保持常备不懈才能够在激烈的竞争中在变幻莫测的生存环境中立于不败之地。
现代意义上的企业业务连续的概念始发于20世纪70年代中期,随着计算机系统在企业支持体系中的重要性逐步提高,企业对信息系统的依赖性逐步显现出来,信息系统的信息安全和连续运行保障成为企业持续生存的重点。以信息技术体系保障和恢复为核心的灾难恢复的概念被提出和关注。并开始出现了一批提供信息系统灾难恢复体系建设服务的专业服务公司和组织。像美国的SunGuard公司从1978年开始关注于业务连续和灾难恢复服务,目前已经成为年营业额超过4亿美金,服务于25000个客户的庞大企业,在"9.11事件"中由其直接提供灾难恢复服务的用户就达到400家以上。业务连续管理的理念就是在灾难恢复的基础上扩充和发展起来的。
按照现代企业管理实践,业务连续性管理就是企业管理者在经营过程中主动识别企业在运行、管理过程中可能存在的会对企业的生存发展带来重大负面影响的因素,并从设施、人员、培训、教育、管理体系、制度等方面进行积极改进和提高,建立有效的防范和响应机制,避免企业的服务能力和持续发展过程遭受重大挫折。业务连续性管理涉及了风险管理、灾难恢复、基础设施管理、供应链管理、质量控制、健康与人身安全、知识管理、应急管理、保密、公众联络与公关等众多的专业领域。
二。业务连续性管理的发展
目前,国外的业务连续管理理念经过20多年的发展,已经比较成熟,在一些发达国家,大型企业和重要机构都会建立负责业务连续管理的专门机构和专门人员,在远离生产中心的地方拥有一个甚至多个备用计算中心和其它备用基础设施,那些对于信息系统依赖程度较高的企业往往要拿出IT总预算的7%~15%用于备份系统建设。更多的企业已经开始从IT系统之外的更多领域考虑企业的业务连续管理。
国外的企业和机构在长期的实践过程中积累了大量的成功经验,并形成了国际性的专业组织,推出了以最佳实践为基础的规范和标准,这其中包括业务连续组织(BCI)推出的PAS56(Publicly Available Specification 56 Guide to business continuity management),英国标准组织(BSI)推出的BS25999(PAS56 为最佳实践指南,2006底推出;BS25999为认证规范,2007年底推出)等。BS25999将是第一个业务连续性管理领域的国际标准。在标准和规范建设方面,国内的信息主管机关和行业主管机构也做了很多工作。2003年《国家信息化领导小组关于加强信息安全保障工作的意见》明确要求: 各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定和不断完善信息安全应急处置预案。2005年4月,由国务院信息化办公室主持编制的《重要信息系统灾难恢复指南》(以下简称《指南》)出台,指明了做好信息系统灾难恢复工作的基本思路。去年6月,对《指南》进行解读和补充的《信息系统灾难恢复的规划及实施》正式出版,对灾难恢复相对成熟的理论和方法进行了全面介绍。银行、保险、证券等行业也开始着手依据主管机关的要求和《指南》的要求制定本行业的信息系统灾难恢复的规范。许多国家部委、地方政府、银行、海关、税务等对信息系统依赖严重、关系国计民生的重点行业已经开展了灾难恢复备份系统的设计、规划和实施。
在我国,现代意义上的业务连续和灾难恢复体系建设工作起步较晚,20世纪末的"千年虫"事件应该是中国企业开始关注业务连续和信息系统灾难恢复工作的一个标志性事件。随后的911事件更是让众多的企业开始正视信息系统灾难恢复和业务连续性管理工作的重要意义。虽然,国内许多企业已经认识到了灾难恢复和业务连续的重要性,开展了以信息系统为核心的灾难恢复体系的建设,但是目前国内的灾难恢复和业务连续工作还存在一些问题,例如:对灾难恢复和业务连续体系建设的重要性和必要性认识不足,存在侥幸心理;建设目标不明确,将灾难恢复和业务连续性管理作为技术问题忽略了业务需求和流程建制,混淆了数据备份、灾难恢复和业务连续性的区别;只重建设不重管理,无法保证灾难恢复体系的长期有效性;缺乏统筹规划,重复建设,浪费资源; 建设方案缺乏评估和验证,不能满足相关规范和业务恢复的要求; 缺乏管理流程和制度保证,在灾难性事件发生时无法有效的执行切换和恢复;人员培训和教育不足,缺少专业管理人员,缺乏风险管理的意识,恢复操作的技能和流程生疏等。
国内企业如何利用这些国内外的实践经验和标准,结合本企业的实际情况建设符合企业自身特点和要求的业务连续性管理体系呢?
1。充分利用第三方专业服务,多快好省地建设业务连续性管理体系
在专业领域依赖专业公司的专业服务已经在企业管理和发展的各个方面证实是提升企业管理和服务质量、水平的可靠渠道。在业务连续管理领域也不例外。业务连续性管理体系建设是一个高投入、低产出的领域,它所防范的是能够对企业持续稳定发展造成重大损害的小概率偶发事件,却需要企业持续长期的投入以保证体系的有效性。合理规划、资源共享、规范管理是企业业务连续性管理体系建设的必要原则。利用提供专业服务的第三方资源是企业成功建立业务连续性管理体系的重要手段。
2。利用第三方专业服务可以提高工作工作效率,保证工作结果的可行性和专业性
业务连续性体系的规划包含以下主要内容:
1)在建设初期必须详细了解企业面临的风险和已有的方法措施的有效性,了解企业的业务目标和突发事件可能造成的损失,了解企业现有资源和保障能力,确定企业业务连续管理领域必须遵循的法律和行业规范,确定企业建设业务连续性体系的建设目标和衡量标准。
2) 在确定了总体目标后,企业应当根据总体目标按照总体规划、量力而行、分步实施的原则确定业务连续性体系建设的阶段性目标和建设范围。
3) 在确定了实施步骤和总体要求后,必须规划所需资源的获取策略,业务连续性资源可能包括:人力、基础设施、设备、信息沟通和传输网络、组织流程保障及相关的行动计划、规章制度、文档等。
在规划阶段,企业面临的主要问题包括:
1) 人员的稀缺,目前在国内,业务连续性管理体系建设刚刚兴起,企业几乎无法从国内获得拥有足够业务连续性管理体系建设和管理经验的人员,而从国外获取又面临成本高昂和对国内情况不够了解的问题。甚至在国外,也只有那些大型企业才会安排专职的业务连续性管理的职位和人员。人员和经验不足是目前国内企业建设业务连续性体系的最大障碍之一。
2) 部门间协调困难,业务连续管理体系建设规划必然会涉及不同业务管理、技术管理、后勤保障、财务管理、公共关系协调等部门的需求和资源调用,如何打破原有的部门间条块分割的界限统一的协调需求和资源,是企业现有体系下难于解决的问题。许多企业开展业务连续性体系建设多年无法取得进展,部门、利益团体间难于协调是重要因素之一。
3) 缺少统一的规划方法体系,建设规划必须依据统一的规划标准和方法体系才能够得到科学合理的结果。在缺少专业人员并且难于协调部门间差异的情况下,很难想象通过部门间分工甚至兼职的协作能够执行一个统一的规划方法体系。
而通过专业服务公司就能够很好的解决以上问题。首先,专业服务公司在于公司建立合作前就已经有大量专业人员储备,而且这些专业人员不但获得了基于国外最佳实践方法的严格培训,而且具有国内其他相关企业业务连续性管理体系规划实施的实战经验,可以说既有理论基础又有实践经验,能够大大缩短企业的建设周期,减少不必要的周折和损耗。其次,专业服务公司作为企业外部资源,直接受命于最高管理层,不易受部门间利益体系牵连,具有更好的中立性和权威性。第三,专业服务方掌握了成功、统一的规划方法体系,更容易实现规划方法体系的连贯性和一致性,能够获得更加科学合理的规划结果。
3。利用第三方专业服务可以提高资源使用效率,降低整体拥有成本
由于灾难事件是小概率事件,各企业同时发生灾害性问题的可能性很低,利用社会化资源实现资源共享,降低企业建设使用成本的同时提高资源使用效率,已经被国内外的许多案例证明是建设灾难恢复和业务连续性体系的最佳选择,在《国家信息化领导小组关于加强信息安全保障工作的意见》和国务院信息化办公室主持编制的《重要信息系统灾难恢复指南》中也把资源共享作为重要原则进行了阐述。
利用社会化专业服务资源可以在以下几个方面实现共享:
1) 场地共享,例如:机房场地、办公场地、应急指挥和会议、媒体接待等。
2) 设备共享,例如:环境保障设备、信息处理设备、存储设备、办公设备、通信网络设备等。
3) 服务共享,例如:设备场地巡检服务、恢复支持服务、演习演练支持、会务及通知通讯服务等。
利用社会化专业服务资源实现资源共享具有以下好处:
1) 减少初期投入,灾难恢复和业务连续性体系的建设要求企业必须具备在灾难发生时能够使用的备用资源,包括备用的人力资源、场地设施资源、数据处理能力和设备、通信网络线路等。通过租用的方式获得这些资源可以大大减轻企业一次性投入的资金压力,并且能够在税收、财务报表核算指标方面获得有利的地位。
2) 缩短建设时间,与自建方式相比,利用社会化资源可以通过一次商务谈判来解决,节省了土建、装修、采购、安装、测试等一系列过程,大大缩短了资源建设和准备的时间。
3) 获得高标准服务,社会化资源在长期对外服务过程中形成了标准、规范的服务流程和服务质量管理体系。相对而言,自建设施从建设完成到形成稳定服务能力不论是在时间开销上还是规范性上都有较大差距。
4) 更低的总体拥有成本和更高的使用效率,通过共享不但可以提高资源使用效率,同时还能够分摊使用成本,使企业以更低的总体拥有成本获得专业的服务。
此外,通过社会化、专业化的资源共享还可以降低企业机构复杂度、分摊风险和责任、提高企业自身的专注度和管理效率。
4。利用第三方专业服务有利于促进管理标准、规范的实施和执行
规范管理是企业业务连续性管理保持持续有效的必要保证,在企业获取了相应的资源后,并不意味着企业就具有了防范和应对风险事件的能力,除了资源保障外,企业还必须在组织评估、机构设置、应急响应、灾难恢复活动及流程、演习演练、人员培训、体系维护,审计及改进,企业文化植入等方面建立规范的文档、制度和流程。并根据P(lan)D(o)C(heck)A(ct)的流程进行持续的改进和提高。
虽然,在这些方面已经有很多的最佳实践、规范和标准可以参考(包括前面提到的PAS56,BS25999)等,但是这些最佳实践、规范和标准等都是按照普适性原则开发的,必须依据国内和企业的自身情况进行调整和定制。通过第三方专业服务的协助企业可以大大缩短制度和流程体系的开发周期,并可以在第三方专业服务团队的帮助下完成制度、流程的落地和实施,使企业能够快速的获得灾难性事件的应对及恢复能力,保证企业持续稳定的发展。在此阶段,第三方专业团队可协助企业完成以下工作:
1) 管理体系的规划,第三方专业团队可以利用自己的专业知识和丰富的经验协助企业建立起符合法律规范要求和企业自身特点的业务连续性管理体系框架,保证管理体系框架的完整性和合规性,为企业将来的自我完善和提高打好坚实的基础。
2) 提供较详尽的样例、模版和使用指南,用户可以利用已有的素材在一个相对完备的体系基础上进行个性化的定制和开发,避免了大量的重复劳动和人员开销。
3) 人员的培训和知识技能的转移,可以通过与第三方专业团队的共同工作和相关培训课程完成企业内部专业人员和技能的培养,获得持续改进和提高的能力。
4) 演练指导和执行审计,第三方的专业团队可以为企业提供更加专业的演习演练管理方法和组织人员,帮助企业人员获得实践经验和操作技能,并通过定期的审计,为企业提供更多的改进机会。
5) 意识的教育与统一,业务连续必须表现为全体员工具有统一意识的企业整体意志才能够得到很好的贯彻和执行。第三方专业团队可以提供成熟有效的内部教育素材和手段协助用户完成业务连续性管理理念和企业文化的有机整合。
三。企业在选择第三方专业服务团队时应注意的问题
企业在选择第三方专业服务团队时必须注意以下问题:
1。 专业服务团队的专业和专注,选择的服务方必须具备专业的知识和专业的团队,业务连续性管理涉及了不同领域的多个专业,专业服务团队掌握的知识和技能必须能够充分涵盖并且能够支持业务连续性管理体系的规划和实施。
2。 专业服务团队的服务案例,通过考察服务方的案例,可以增进企业对服务方在专业知识、客户所处行业以及服务能力方面的了解,相关案例的规模与数量直接说明了服务方服务团队的规模和专业服务经验的多寡。
3。 专业服务团队的市场美誉度,企业还应该通过不同的渠道了解服务方的市场反映,有时服务方的宣称和第三方传言并不可信,如果可能,应直接与服务方的客户取得联系,了解实际的情况。
4。 专业服务团队的中立性,由于业务连续性体系的实施可能会带来巨大的投入和长远的影响,专业服务团队应保证其在工作过程中的公正性和独立性,最大可能的代表企业方的长远利益,而与项目利益的直接相关方,例如设备生产商或者个别部门/团体利益代表者等可能会损害这种公正性和独立性。
综上所述,业务连续性管理体系的建设是企业获得持续稳定发展能力以及符合法令规范要求的必要途径,通过选择合适的第三方专业服务可以令企业能够充分利用已有的知识体系和管理经验,缩短建设周期,降低建设和维护成本,拥有规范高效的业务连续性管理体系,保障企业业务目标和社会责任的实现。