对地震所引发的海啸、核辐射、火灾等衍生灾难进行风险评估、业务影响分析,制定适合的应急预案,并定期开展应急演练是对每一个企业CIO提出的严峻挑战。
2011年3月11日发生的9.0级日本大地震,是一场典型的衍生式灾难:地震引发了海啸、核辐射、高等级余震(4月7日的余震达7.4级)等多种衍生灾难,而且,海啸、核辐射的破坏力要远远大于地震本身。
这次地震带给我们怎样的启示?我们应该如何预防这种衍生式灾难?对我国企业有哪些借鉴?带着这些问题,记者近日采访了中国首位获得国际认证的业务持续运作专家(CBCP),国家标准GB/T 20988 2007《信息系统灾难恢复规范》的第一作者,万国数据服务有限公司副总裁汪琪。
Question 1: 您如何评价日本政府、企业、民众在此次地震中的表现,原因是什么?
汪琪: 总体来看,日本在应对此次地震中的表现是令人赞叹和钦佩的。
由于日本是一个地震、海啸等自然灾难多发的国家,因此,日本在灾难预防及BCP(业务连续计划)体系建设方面做了大量工作,积累了丰富经验:
在灾备意识培养方面,日本具有一套政府主导,企业、个人,包括社区、学校等广泛参与的防灾救灾培训以及防灾演练体系,这使得日本政府、民众在应对一般性灾难时能够比较从容应对。
在政策制定方面,日本很早就已开始以业务连续性计划为主导的应急预案与恢复预案的制定,早在2005年4月,日本经济产业省信息安全政策室就制定了《业务连续计划制定指导方针》;日本内阁府的中央防灾会议在“用民间和市场的力量提高防灾能力的专门调查会”中设置了企业评价和业务连续工作组,从防灾减灾角度推进政府和企业的BCP建设。2005年8月,日本制定了《业务连续计划指导方针》。中小企业厅在2006年2月,以中小企业的防灾为对象,制定了《中小企业BCP制定运用方针》等。
在非政府救灾方面,日本有很多非政府组织和民众,广泛参与到抗灾救灾过程中,对抗灾救灾工作起到了巨大帮助。
另外,在企业方面,日本很多企业也都有灾难恢复预案,例如,丰田汽车公司很早就建立了名古屋港发生地震后的备份运输路线和应急体系,改变平常的零部件和成品车的物流路线,改为东京和大阪的港口,确保地震等灾后的业务持续;另外,有些企业的灾备预案不仅针对企业内部,还包括对整个社会的救助,比如三得利公司在遍布日本大街小巷的自动售货机上都装有相应软件,一旦灾难发生,自动售货机就会停止收银,用于救灾。
因此,整个防灾御灾体系使得日本政府、企业、民众能够在此次地震、海啸灾难发生后坦然面对。
Question 2: 您对日本应对此次灾难的评价非常高,但是在应对此次灾难,尤其是核辐射危机时,日本政府及东电公司的预防、处理措施受到多方诟病,对此您怎么看?从预案的角度我们应该怎样去解读?
汪琪:为什么这次地震会造成这么大的损失,处理起来又如此复杂,从专业的角度看,它是一场衍生式灾难(Rolling Disaster),而不是一次性灾难。
从单纯应对9.0级大地震来看,日本的防灾抗灾措施是非常全面的,除前面提到的防灾体系和救灾措施之外,在基础设施(建筑物)的抗震等级方面,日本在京都大地震之后,显著提高了建筑物的防震抗震标准,航空、电信以及企业数据中心等都采用了多种防震措施,因此,虽然遭遇9.0级大地震,但是并没有造成太多损失和人员伤亡。
但是,这次地震引发的衍生灾难——海啸的破坏力却是空前的,海啸引发的不仅是大量人员伤亡,建筑物损毁,更主要的是导致了一场全球性的核辐射危机。日本东电公司福岛核电站原来进行风险分析和风险防范时,只考虑能够抵御3米多高的海啸,而实际地震引发的海啸高达十几米,远远超出了福岛核电站风险评估时预计的海啸风险防范范围,从而引发了此次核辐射危机。实际上,核辐射危机可以归结为“一场失败的企业风险评估引发的全球性危机”。
从预案制定或技术角度来看,应对地震、海啸、核辐射等衍生灾难是非常难的,因为在灾难真正发生之前,我们很难想象到这场灾难所带来的衍生灾难究竟有哪些,有多大的破坏力——对地震所引发的海啸、火灾等衍生灾难进行适当的风险评估、业务影响分析,制定适合的应急预案,并定期开展应急演练是对每一个企业CIO提出的严峻挑战。
Question 3:那是不是说,我们应对这种衍生式灾难预防就无能为力了?
汪琪:并不是“无能为力”,关键在于如何总结经验、吸取教训。我举个例子,“9•11恐怖袭击”造成3000多人死亡或失踪,并造成300多家世贸中心的企业(总共400多家)在随后的3个月至2年内破产,其余大部分企业也步履维艰。
为什么会造成如此大的人员伤亡?一方面是因为飞机上装满燃油,在撞击后燃油泄露引发衍生灾难——火灾,将世贸中心钢结构体烧毁以致世贸中心彻底倒塌,另一方面是因为,大火使纽约消防局和警察局出动大批人员进行灾场救援,整个建筑物倒塌时,很多救援人员被压在下面。
另外,缺乏对“最坏”情况进行防范也是其中一个重要原因。“9•11”发生之前,没有一个政府或企业以飞机撞击作为一个灾难场景来设计应急预案。但是,在“9•11”之后,这种情况发生了很大转变,很多企业在制定应急预案时往往会以最坏的情况来考虑风险,进行风险分析、业务影响分析及预案制定。
实际上,1993年,在世贸中心停车场曾发生过一起炸弹爆炸,当时造成了上百家公司退出市场。这些公司退出市场不仅是因为炸弹造成了企业信息系统和业务的瘫痪,更因为面向市场提供服务的能力中断了。此后,美国加大了对炸弹威胁的防范。但是谁也没有想到,恐怖分子会利用飞机直接撞击世贸中心,更没有想到飞机撞到世贸中心之后引发的火灾居然将整个大厦烧毁。
“9•11”惊醒了很多企业,在“9•11”之前,很多企业认为,制定恢复预案、进行灾备建设是杞人忧天、庸人自扰;但“9•11”之后,很多企业都开始重视、加强灾备建设。同时,灾备建设内容也发生重大变化,“9•11”之前,企业更关注的是如何恢复自己的数据和信息系统以及业务;“9•11”之后,企业更多的是关注整个供应链,关注危机公关/危机通讯,关注组织架构及人员保障等等,这使得很多企业的灾备建设真正进入到业务连续管理阶段。
因此,每一个威胁,每一个紧急事件,它所带来的这种冲击和引发的衍生灾难,我们都要不断地吸取经验、教训,在未来对它加以防范,做到“居安思危,思则有备,有备无患”。
Question 4:在新闻报道中,我们看到,有的地区通讯中断无法快速掌握受损状况和安排救援;有的地区由于政府组织或政府机构人员伤亡导致虽有应急预案,但是没有人去执行,对此您怎么看?
汪琪:应急预案能不能在灾难发生后发挥作用,体现价值,其实受很多因素影响,比如刚才你所提到的通讯问题就是其中之一。如果通讯中断,没有很好的信息沟通渠道,再好的应急预案也是摆设,因为没有办法快速掌握灾情,进一步安排抗灾救灾工作。
通讯中断情况在我国2008年汶川地震时也出现过,而且越是受灾核心地区,通讯越困难。而在整个灾区,初期获取信息的主要渠道只有阿坝州政府网站。阿坝州政府与受灾地区联系的主要渠道只有少量海事卫星电话。地震发生两天,仍有不少受灾地区通讯中断,而且受灾越严重的地区,所能得到的信息越少,这对救援工作非常不利。因为受灾情况不清楚,所需食品、水、医药等救援物资数量不清楚,整个救援组织体系就无法建立,更无法展开有效的救援措施。这警示我们,未来不管是政府、公众事业单位在应对突发性灾难恢复事件还是企业在做应急预案时,通讯保障是我们首先要考虑的问题,必须做好通信保障。
另外,资源管理和调度问题也很重要,日本政府和非营利组织在此次救援过程中已经做了很多工作,但缺乏一个类似于美国联邦应急管理署(FEMA)的强势部门来统一协调处理抗灾救灾工作。美国联邦应急管理署不仅有自己的雇员,自己的预算,而且有自己的飞机、轮船、汽车以及大量的救援物资,甚至可以调拨国民警卫队,在应急管理方面发挥了巨大作用,实践了全风险管理和全过程管理的应急管理理念。
Question 5:作为业内专家,您对我国行业、企业在灾备建设方面有何建议?
汪琪:中国的行业、企业,尤其是关系国计民生的银行、证券、保险、电力、交通等重点行业企业,制定针对多灾难场景的全应急预案、全恢复预案非常重要。这些行业企业应从日本地震应急处置过程中吸取经验、教训。
在这里,我想强调几点改进方向:
首先是系统备份范围问题,很多行业企业虽然做了灾备,但只是对核心系统进行了系统备份,一旦发生灾难,其恢复能力只是杯水车薪,根本无法承载全面的业务恢复能力。
其次是预案完整度问题,在很多企业中,虽然做了应急预案,但一般都是针对总公司、总行、总数据中心的应急预案,而且针对各种突发性灾难的预案偏少,只解决了有没有的问题,没有扩大风险防范范围,也没有向分子公司拓展,完善应急预案体系。
第三是预案关注度问题,很多企业在制定预案时,考虑的更多的是IT系统和数据,忽视了业务问题、组织架构问题、营业场所问题、人员伤亡问题、供应链影响问题等。因此,预案关注点应从IT方面转向业务连续管理阶段。
最后是演练问题,应急预案能否有效执行必须通过演练不断的检验、改进和完善,在这里需要强调的是,大部分