“生于忧患，死于安乐”，两千多年前孟子所讲的做人哲理放到现在仍然适用，做人必须要有忧患意识。其实，不仅做人如此，对企业而言，忧患意识也同样重要。

    社会的进步、科技文明的高度发展大幅提高了企业的生产能力和效率，但与此同时，也让企业严重倚重这些科技文明，比如，电脑系统的宕机导致业务中断几天，数据的遗失导致企业的破产，对今天的人们来说已经不鲜见。

    从某种程度上说，科技进步不是让企业更坚强，反而让企业更脆弱了。当然，聪明的人们绝对不会坐视这种情况的存在，人们可以通过预先分析各种可能危机企业经营活动的灾难，并制订出紧急预案，从而让企业再次强壮起来，这正是业务连续性管理（Business Continutity Management，BCM）所要达到的目标。

    何谓业务连续性管理

    尽管每个人都不愿意提及灾难，更不希望灾难降临，但灾难常常不期而至，大到天灾小至人祸，并不以人们的意志为转移。比如，2008年春节前夕，我国南方遭受到一场50年一遇乃至100年一遇的特大雪灾，这场雪灾导致南方大部分地区供水、供电、运输和通信中断，不仅影响了当地企业的正常经营，甚至危及到人们的生命安全，其波及面之广、损失之大是绝大多数人所始料未及的; 还有彻底改变美国人生活的9·11恐怖事件、伦敦地铁爆炸、日本东京的毒气事件也让人记忆犹新。

    对于一个现代企业而言，一旦发生了上述大的灾难该如何应对，这是一个必须事先考虑的问题。事实上，在面对可能导致业务中断的意外事件或重大灾难时，保持业务的持续运营，是一个想“基业长青”的企业的基本要求。

    当企业真正面对突发事件和对正常业务发生巨大影响的干扰情况时，比如突然的停电、病毒、火灾、自然灾害、罢工等，一个重要的解决方案就是启动为这些灾难性事件预先建立的应对机制。

    业务可持续性管理的概念就是在这一背景下提出的，它关注企业在突发事件后的恢复能力，包括如何应对灾难事件以及在事件之后如何恢复正常的运转，还包括应对措施的演练和组织的每一个成员如何贯彻“持续性”的理念。
    根据国际业务持续协会2007年发布的《最佳实践指南》给出的定义，业务连续性管理是一个整体性的管理流程，它能识别对组织构成威胁的潜在冲击，提供一个建立快速恢复能力和有效反应能力的框架，从而保证组织有关方的利益和组织的名誉、品牌和创造价值活动。

    “BCM 无法解决灾害到来时企业遇到的所有问题，但是，它至少可以为企业提供一个减少损失的备选方案。”在日前由中国国家认证认可监督管理委员会、英标管理体系认证（北京）有限公司（BSI）和中国信息化推进联盟BCM专业委员会共同举办的“中国业务持续管理（BCM）研讨会”上，BSI中国区董事总经理刘墨渊谈到业务连续性管理时说，“BCM系统可以对机构和组织在遭遇灾难时提供很多的支持，包括交通运输、公共事业部门以及供水供电部门。比如在今年年初南方遭遇的这次雪灾中，供水和供电系统就出现了很多的问题，如果预先实施了BCM的话，会有很大帮助。”

    刘墨渊所说的这种帮助之一就体现在，通过之前对暴风雪袭击进行情境的模拟和测试，从而对各种设施进行改进，最终把损失降到最小。实际上，在BCM系统的执行中，针对不同情境进行模拟和测试是非常重要的，因为只有这样，才能保证BCM系统真实可靠。

    概括起来，BCM可以为企业带来以下好处:

    ● 加强企业的资产保护，降低企业潜在的经济损失;

    ● 向客户保证服务不会中断，提高组织的市场竞争能力;

    ● 加强公司治理，提高客户和股东对组织的信心;

    ● 塑造一个为灾难做好准备的良好企业形象。

    业务连续性管理与灾难备份

    提起 BCM，人们往往和信息系统的灾备联系起来，这是一个很自然的逻辑。因为IT已经成为很多企业经营活动的重要支撑。不过，BCM绝不仅仅是灾备系统，它是涉及组织整体的管理过程，而灾备系统只是BCM的一部分。从管理架构和实施范围来说，两者也有很大的区别，BCM的管理需要放到整个企业的管理框架中，它的实施和管理需要企业的高级管理层直接参与和负责。BCM不是一个一次性的项目，实施时需要考虑的方面，也不仅仅是信息系统，而是要从场地、人员、技术、设备、供应链甚至包括上下游企业等方方面面来考虑，而灾备计划主要由IT部门来负责组织和实施。

    以下案例能比较清楚地说明这二者的区别和联系。张经理所在的企业是一家在全国范围内提供服务的大公司，张经理所负责的IT系统在这个公司的业务经营中发挥着不可缺少的作用。不久前，张经理接到公司领导下达的任务—负责组织实施BCM。作为IT部门的负责人，他对IT系统非常了解。在全面分析了IT系统和业务的关系，并评估关键的IT系统和其依赖的软硬件之后，他决定建立一个异地的灾备中心，以预防万一发生的灾害。由于领导的重视，预算很快通过，灾备中心很快建好了。一切顺利，似乎公司的经营活动就可以高枕无忧了。

    可世事难料，负责为公司提供原材料的仓库遭到火灾，半个月之内无法正常开展业务。公司只好赶紧再找其他的合作伙伴，仓促之间要找一家具有同样交付能力的合作伙伴并不容易，公司的业务一时陷入停顿之中。

    这个案例中，张经理所完成的实际上是信息系统的灾备计划，而并不是一个真正的业务连续性管理，因为他没有把上下游的利益相关方考虑在内。实际上，这也是很多不熟悉BCM的人常常容易混淆的地方，因为与业务连续性管理相比，信息系统的灾备计划人们更熟悉。

    据了解，目前很多大型组织都已经建立了大型灾备系统。比如在英国，有66%的组织已经有了灾备计划方案，而在中国也有22%的大型组织有灾难备份的计划。我国发布的《信息系统灾难恢复规范》也已明确了数据备份系统及相关网络、基础设施及运行维护管理能力的要求。幸运的是，信息系统的灾备计划的建立并非对 BCM没有帮助，它可以作为BCM的一个良好基础。

    如何进行业务连续性管理

    关于如何实施BCM，目前已经有了一些最佳实践。2007年年底BSI推出的BS 25999就明确提出了实施BCM的6个步骤，分别是BCM管理程序、理解组织、决定BCM战略、开发并实施BCM响应计划、演练、维护和评审回顾以及把 BCM植入组织文化（参见链接）。其中全面而准确地进行业务冲击分析和风险分析是前提，而制订BCM响应计划则是核心。

    业务冲击分析主要是识别出企业的关键业务活动和企业对这些关键业务活动所能容忍的业务最大中断时间，并对这些业务所依赖的要素，包括供应商和外包商进行分析，最后按照恢复的优先级排序并确定出关键活动。而风险分析则关注关键活动及其支持资源所面临的外部威胁和自身脆弱性，并明确当威胁降临导致业务中断时可能给企业带来的影响。

    BCM响应方案是整个BCM的核心。BCM响应方案由一系列计划组成，如事件管理计划、危机管理计划、灾难恢复计划等。在实施BCM时，除了制订出详细、可操作的计划之外，还需要指定专人来负责意外发生的响应，他需要有控制局面的能力和沟通协调的能力，他是决定启动BCM响应方案、进入应急响应状态的最终决策人。

    和很多项目一样，人的因素对BCM的支持非常重要。因为BCM不只是关于资金、设备、器材的，也是关于人员，适当的人员配置的，足够的人员培训也必不可少。特别值得一提的是， BCM的成功需要企业高层对BCM的大力支持，因为要保证BCM的成功，就要把BCM融入企业日常运营管理中，各阶层员工要给予BCM全力配合，高度重视。更为重要的是，要认识到应急响应计划是一个有生命的计划，而不是一个一次性的项目，其维护和实施一样重要。
    目前，对于大多数企业来说，BCM还是一个新鲜事物，要自己实施BCM有一定的难度，幸好已经有一些第三方机构可以提供帮助企业实施BCM的服务。在国际上，为了推动BCM的部署与实施，有些组织已经制订出相关标准，比如BSI去年年底推出的BCM的标准——BS 25999，目前在全球已有6家国际企业率先通过这个认证。

    事实上，认证对企业很有帮助，企业通过参加 BCM标准的认证不仅可以对本企业的业务持续保障能力有一个全面的估量，同时还可以对企业实施BCM有着很大的促进作用。因为认证可以使组织在短时间内目标明确、全体动员、资源充分而且集中精力地解决一个问题。正在准备进行BCM认证的交通银行数据中心总经理高军就表示:“通过认证可以在相对短的时间内提供在组织内进行这项活动的动力，保证工作的顺利开展。”

    “目前，中国关键业务系统的BCM建设正在快速发展，但仍然面临着诸多挑战，而BS 25999标准将为我们提供重要的借鉴。”刘墨渊说。

    链接:BS 25999标准与BCM认证

    检验企业是否达到了业务连续性管理的要求，或者说，推动企业进行业务连续性管理的有效办法之一是通过BCM认证。而BS 25999就是这样的一个标准。

    BS 25999是英国标准协会（BSI）颁布的。它包括两个部分，即BS 25999-1和BS 25999-2。第一个部分是最佳实践指南，发布于2006年12月，它用于帮助企业建立相应的准备机制。这一部分阐述了业务连续性管理的相应过程、原则和术语体系，提供了在企业内贯彻业务连续性管理体系的基础。同时，它还阐述了业务连续性管理的生命周期、过程的评价以及更新文件系统，业务连续性鼓励的选项，以及实施业务连续性管理的方法和战略。

    2007年11月，BSI发布了标准的第二部分—BS 25999-2，它提供了一个管理体系的规范，主要用于审核和认证。

    BSI对这个标准的发布非常重视，在纽约、伦敦、东京同时举办了盛大的发布会。今年的4月9日，BS 25999在中国正式发布。

    BS 25999标准提出了实施业务连续性管理的6个步骤，它包括:

    BCM管理程序: 主要是关于职责的分配、在组织中实施和持续管理等。

    了解组织: 通过对组织进行业务冲击和风险分析确定企业的核心任务面临的风险，评估恢复优先权。

    确定BCM战略: 通过选择可行的策略在业务的最大容忍时间内恢复关键的业务活动，以及确定恢复所需要的资源。

    开发和实施BCM响应计划: 针对不同业务的特殊部分或者特殊的场所和情形，制订详细而不冗长、可读可执行的计划。

    演练维护和评审: 通过演练证明BCM的计划是有效的，并不断地维护保持更新，因为新的灾难场景和新的业务类型都会造成BCM的改变。

    把BCM植入组织文化: 教导和培养所有的人员—员工、客户、股东和所有利益相关者的BCM意识。

    对于BCM相关的从业者来说，BS 25999标准的发布标志着BCM行业一个新的开端。相信随后不久，对组织的BCM能力鉴定和个人的认证将很快发展起来。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。