业务连续性问与答Q14:业务连续性能力建设与保持(Building and Readiness)(上)
问题:如何建设和保持业务连续性能力?
相关的问题包括:“业务连续性策略具体是什么?怎样确定和选择业务连续性策略?”,“业务连续性策略与业务连续性方案及能力的关系是什么?”,“怎样建设业务连续性能力?能力保持是怎么一回事?”,……
回答:业务连续性能力作为一种组织能力,涉及到组织、资源、流程和人员等多个能力维度,我们采用“分而治之”(divide and conquer)的方法对其进行建设和管理,下面从建设和保持业务连续性能力的主要活动、业务连续性策略和方案、应急组织和程序设计、业务连续性资源建设、人员能力发展和外部能力模块等角度分别进行说明。此外,有朋友专门问及业务连续性策略,实际上,业务连续性策略与核心能力选择、能力建设和保持都有一定关系,也会就此专门说说。
在业务连续性核心能力目标确定后,就进入了业务连续性能力建设和保持环节(当然,能力规划与能力建设和保持活动之间的关系,不是简单的线性推进关系,而是由业务连续性项目集管理团队推动的协调的活动)。
1.建设和保持业务连续性能力的主要活动
业务连续性是一种组织能力,涉及到组织(Organization)、资源(Resource/Technology)、流程(Process)和人员(People)等多个维度,为使这些不同维度的能力要素协调起来生成统一的、满足目标要求的业务连续性能力,首先要从业务视角确定和选择适当的业务连续性策略,并在其基础上确定包含不同能力要素在内的业务连续性方案,然后按组织、资源、流程和人员等能力要素分别进行建设,再进行能力集成、验证和保持,相关活动如下图所示:
业务连续性能力建设和保持示意图
业务连续性策略从业务视角确定和选择适当的业务连续性策略,以此引领业务连续性方案设计、能力要素的建设、能力的集成、验证和保持;
业务连续性方案在业务连续性策略引领下,确定包括组织、资源、流程、人员等能力要素和外部能力模块在内的一揽子业务连续性(能力)方案;
组织设计和建设突发应急事件和运营中断事件处置中组织的不同层级、不同部门之间以及与外部相关方的协调、协同关系的设计和建设;
资源建设(自建) 应急指挥中心、IT 灾备系统、关键生产设备,……,支撑业务连续性运行的关键资源的建设和管理;
流程设计和建设应急处置和业务恢复中的流程、管理制度的编制与发布,在Q15中详述包括综合预案、专项(应急响应、业务恢复、特定时段及特定事件等)预案和现场处置方案在内的预案体系的编制、评审和管理;
人员意识和能力管理人员(高层、中层和基层)、业务和保障人员(在应急响应和业务恢复中有职责的)以及业务连续性管理专业人员(业务连续性经理、协调员/接口人)的能力培养及在组织办公场所工作的所有人员(包括外包服务人员等)的风险和安全意识养成,在Q16中详述;
外部能力模块组织不必要也不可能完全自建和维护所有必需的能力,从外部采购部分能力、外包某些能力或者采取某种协议/安排以在特定时段使用某些外部能力是业务连续性方案的重要组成部分,因此,需要对外部能力模块的采购、外包以及相关的协议/安排进行适当的管理以保障业务连续性能力的集成、验证和保持。
能力集成、验证和保持组织、资源、流程、人员多种能力要素和外部能力模块的集成,对生成的业务连续性能力的验证,以及随着组织环境和结构、关键资源、流程以及人员的变化及时调整保持业务连续性能力始终能够达到保障业务连续性的目标,在Q17中详述作为主要能力集成和验证手段的演练的策划准备、实施和评估改进。
2.业务连续性策略
业务连续性策略的定义
根据著名的《灾难恢复杂志》发布的业务连续性术语(DRJ Glossary of Business Continuity Terms),业务连续性策略(BC Strategy)的定义是:组织为确保在灾难或其它业务中断时的恢复和连续性而选择的方法(An approach selected by an organization to ensure its recovery and continuity in the face of a disaster or other business disruption)。
实务中,业务连续性策略是运用简明的语言或图表,清晰地表述在灾难或业务中断时处置的方法以及如何运用有效资源实现这一方法的说明。通俗地说,就是对应对灾难或业务中断的一种设想,尤其是指对未来业务连续性能力建设和运用的一种构想或规划。业务连续性策略的主要作用就在于构想未来的事件处置蓝图,并且设计达成业务连续性目标的方式方法。
应急、连续性和危机管理的策略
业务连续性管理涉及应急、连续性和危机这三个方面的管理,其中,应急重点关注生命财产安全和公共利益(如环境),目标是零损失和零破坏,达成目标方式是保障零伤亡(底线)、尽力达到零损失和零破坏;连续性重点关注产品和服务提供,目标是在RTO(恢复时间目标)时间内恢复产品和服务提供到MBCO(最小业务连续性目标)水平,达成目标方式是必须达到;危机重点关注组织的声誉、品牌和组织形象,目标是重建信任关系,达成目标的方式主要是沟通(当然,还要有相应的作为);这三者各有不同的关注重点、目标、达成目标方式,并且涉及到不同的业务连续性能力(如下表)。
类别
关注重点
目标
达成目标方式
主要涉及能力
应急
生命、财产、公共利益
零损失、零破坏
有底线;趋向于目标,尽力达到
预防、保护与减灾、监测、预警与警报、应急响应、危机沟通、事后重建
连续性
产品和服务提供
在RTO内恢复产品和服务提供到MBCO水平
必须达到
预防、保护与减灾、监测、预警与警报、业务恢复、危机沟通、事后重建
危机
声誉、品牌、组织形象
重建信任
沟通
预防、保护与减灾、监测、预警与警报、危机沟通
无论是突发应急事件,还是运营中断事件,响应机制都需要考虑分类、分级和分期(具体会在Q15预案部分详述),应急、连续性和危机管理的划分与分期有一定关联(故此处暂不细说),应急和危机管理的分类主要是根据引致事件的主要风险源的性质,如火灾、洪水、地震、断电等,确定响应的主责和参与部门以进行专业化应对;应急和危机管理的分级主要是根据事件对其关注对象造成(或可能造成)影响的大小进行划分,如预警分级(红色、橙色、黄色、蓝色等)或事件响应分级(一般、较大、重大、特别重大事件等),确定所需动员资源的规模;这方面可参考的资料比较多,就不多说了。而连续性策略的分级和分类有相当的不同,以下详细说明。
常见的连续性策略及其分级分类
《商业银行业务连续性监管指引》(简称104号文)中提到,“关键资源应当包括关键信息系统及其运行环境,关键的人员、业务场地、业务办公设备、业务单据以及供应商等。”ISO 22301(和ISO 22331)系列国际标准中提到,“考虑的资源类型应包括,但不限于:人员、信息和数据、物理基础设施(如建筑物、工作场所或其它设施及相关公共服务)、设备和耗材、信息通信技术(ICT)系统、物流运输、财务、合作伙伴与供应商。实务中,我倾向于使用“关键业务要素”而非“关键资源”来表述支撑业务活动正常运行的资源、条件等要素,因此除了上述提及的资源类型外,这些业务要素还可能包括:金融(或其它重监管)行业的牌照、有条件授权使用的工艺或专利等。一般而言,同一个行业中业务活动正常运营所依赖的业务要素类型大致相似,在进行业务影响分析时,每个组织需要确定适用于自己的业务要素类型。
业务活动的正常运行依赖于一系列关键的业务要素,无论哪种风险源造成关键业务要素的不可用都可能导致业务活动运营中断。因此,要保障业务活动持续运营或者及时恢复运营通常只有两类方法:一是为关键业务要素提供备份,根据该业务要素的重要程度可提供1:n直至n:1备份,即为n个该业务要素提供1个备份直至为1个该业务要素提供n个备份;二是当为某关键业务要素提供备份存在因难时(如成本太高或其它条件不许可),即使我们尽可能降低该业务要素不可用的可能性,如通过主动性维护尽可能降低关键生产设备的停机时间,一旦该业务要素不可用,我们就必须通过调整业务活动的流程来保障产品和服务的交付,如将产品或服务外包、或将其转移到组织的其它生产或服务单元。
因此,常见的连续性策略包括:
(1)热站,即同时在多个场所提供产品和服务,如金融业中常提到的“两地三中心”,甚至“三地六中心”;
(2)产品和服务转移,即将生产和服务提供转移到组织的其它设施,适用于有多个生产和服务设施的大型组织;
(3)远程办公,包括“在家办公”,适用于较小型的组织或部分业务单元;
(4)温站,即将产品和服务提供转移到经简单调整即可提供产品和服务的工作场所;
(5)冷站,即将产品和服务提供转移到仅提供基础公共服务的工作场所,需要一定时间准备方可进行生产和服务提供;
(6)互惠协议,即和提供类似产品和服务的机构签署协议,在发生业务中断时由该机构代为提供产品和服务,适用于公共服务机构(如相邻的急救组织)或没有竞争关系的商业机构(如在不同地区经营的商业银行)等;
(7)移动站点,即通过可移动的、临时的措施提供产品和服务,如移动应急通信车、移动银行车等;
(8)事后重建(有保险),即只购买保险,在事后进行重建和业务恢复,适用于损失不大、RTO时间较大的业务;
(9)无策略,适用于低关键性的业务、高风险偏好的组织,也适用于产品生命周期较短的业务;
……。
连续性策略分级是指按照特定策略能满足的RTO范围对连续性策略进行分级,比如将能满足RTO为数分钟到1小时的策略定为A级,将满足RTO为1小时到1天的策略定为B级,将满足RTO为1天到1周的定为C级,……,当然,也可以分为金、银、铜,或1、2、3、4等级别。对这些连续性策略分级进行命名时,要使组织的不同相关方理解分级的依据是满足的RTO时间范围,因此,尽量不要用“重要”、“关键”这些容易引起相关方情绪反应的用语。
连续性策略分类是指按照特定策略适用于业务活动或业务要素的情况进行分类,比如适用于业务活动A、业务活动B、业务活动C,还是适用于人员、信息和数据、物理基础设施、设备和耗材等。下面是ISO/TS 22331:2018中给出的一个交通运输(分类)的分级策略表:
满足的最小恢复时间
连续性策略样例
前提条件
数小时内
向组织提供服务的物流公司的额外服务能力
提前从两或多个公司拿到运输源
确保有合同约定有额外的备用能力
员工乘坐出租车或公交车回家或到其它地点
确保与后备交通提供方有合同
使用多种交通方式交付约定的能力
记录变更交通方式所需的任何变化,如重新打包
请求客户安排运输
考虑与客户达成事前协议
数天内
中断发生后与其它物流供应商签订合同
无
确定和选择业务连续性策略
组织在确定未来一个时期关注的运营中断场景和可能的突发应急场景后,结合当前的业务连续性能力现状,基于能力差距确定和选择业务连续性策略,并在策略引领下建设和保持业务连续性(能力)方案。确定业务连续性策略,即通过对业务连续性策略分级分类,识别出能满足连续和恢复目标要求的策略,并分析实施相关策略的过程(方式方法)和前提条件。选择业务连续性策略,即针对已识别出的可满足连续和恢复目标要求的策略,考虑组织的风险偏好、相关策略的成本(建设成本和维护成本)和收益,选择适当的业务连续性策略进行实施。
组织在建设和保持由核心能力目标确定的多个业务连续性能力时,业务视角的业务连续性策略可用于引领包括组织、资源、流程和人员等能力要素在内的一揽子业务连续性(能力)方案。ISO 22301:2019将ISO 22301:2012 8.3 业务连续性策略(business continuity strategy)修改为业务连续性策略和方案(business continuity strategies and solutions),即明确不止存在一个策略,同时ISO 22301:2019也指出,这些考虑中断前、中断中和中断后应对方式方法的业务连续性战略应通过一个或多个方案来实现。
特别说明:“Business continuity strategy”,有时也可译作“业务连续性战略”,如《商业银行业务连续性管理指引》(104号文)第六条:“商业银行应当根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略”。此处的业务连续性战略(BC Strategy)是组织级的业务连续性性战略,主要涉及组织级的业务连续性目标、为实现该目标建立的组织结构以及相关的风险限额等,一般不会形成一个独立的文件,大多可体现在业务连续性方针(即业务连续性项目集的章程文件)中。而本问与答中的业务连续性策略(BC Strategy)是业务(流程或活动)级的业务连续性策略,主要描述灾难或业务中断时处置的方法以及对如何运用有效资源实现这一方法进行说明,有时也指业务连续性管理中的一个重要过程(或环节),可形成一个独立的“业务连续性策略”文件,对小型组织也可作为业务影响分析报告的一部分。
3.业务连续性(能力)方案
对在能力规划环节已确定的业务连续性核心能力目标,识别并选择可满足核心能力目标要求的、包括组织、资源、流程和人员等能力要素在内的一揽子解决方案(策略和方案)。在选择业务连续性策略和方案时,应考虑到组织特定的环境(地理、经济、社会和文化等方面),以及策略和方案的成本效益。应安排一次正式的会议向业务连续性管理委员会汇报候选的业务连续性策略和方案,逐一介绍候选策略和方案侧重于哪些业务连续性使命领域(预防、保护和减灾、监测、预警和警报、应急响应、业务恢复、危机沟通、事后重建和准备),它们的优缺点、成本效益等,由业务连续性管理委员会和组织的高层管理团队确定业务连续性策略和方案。在策略和方案确定后,就进入业务连续性能力要素建设期,有些策略和方案实施时间短,可以立即实施并投入使用;有些策略和方案实施周期长,需要列入建设规划并持续跟踪进度。选择的业务连续性方案可能需要自行建设,也可能是外包,还可能是调整现有的业务运行方式,或对供应商/合作伙伴提出新的要求等,这些都需要纳入业务连续性项目集进行管理。
美国国防部DOTMPLF-P能力框架
随着上世纪90年代冷战的结束,世界局势发生了很大的变化,地区冲突成为威胁国际和平的主要因素,民族,宗教矛盾、边界冲突等接连出现。在军事技术加快发展的同时,军事技术的扩散也在加剧,使得潜在对手能够相对容易地获取先进技术。美国面临的威胁越来越多元化,当时的军事需求生成系统(RGS)采用的是“基于威胁”的方式,需求多根据具体、特定的威胁分析得到,这种军事需求生成方式面临挑战。为了建立与美国最新军事战略配套的军队发展需求生成机制,2003年美军提出了“基于能力”的需求生成机制,强调利用自身的综合能力来应对不确定的、广泛的威胁,符合该机制的“联合能力集成与开发系统”(JCIDS)替代了旧的“需求生成系统”(RGS)。
DOTMLPF-P能力框架
美联合参谋部在CJCSI3170.01C-G系列指令均在“目标”项中指出,JCIDS的出发点是提高美军联合作战的能力。JCIDS把能力作为其核心概念,采用包括条令、组织、训练、装备、领导和教育、人员、设施和政策的DOTMLPF-P能力框架来确定的集成化军事能力解决方案,其中:
• 条令(Doctrine):作战方式,例如强调机动战和空对地作战;
• 组织(Organization):如何组织战斗;师、空翼、陆空特遣部队(MAGTF)等;
• 训练(Training):如何准备战术;从基础训练到高级个人训练、不同类型的部分训练、联合演习等;
• 装备(Materiel):装备部队使其能有效运作所必需的所有“装备”,即武器、备件等;
• 领导和教育(Leadership and Education):如何使他们的领导(从班长到四星上将)做好准备好领导战斗,专业发展等;
• 人员(People):为平时、战时和各种应急行动提供合格的人员;
• 设施(Facilities):不动产;支持部队的设施和工业设施(如政府拥有的弹药生产设施);
• 政策(Policy)。
DOTMLPF-P这8个方面的因素需要综合协调考虑,最终形成的部队能力发展方案可以落脚在装备上,也可以不在装备上,即可以形成“装备解决方案”或“非装备解决方案”。
美国国防部采用DOTMPLF-P模型描述能力组成要素,北约(NATO)采用DOTMLPF-I模型(I代表“互操作性(interoperability)”),英国国防部采用TEPID-OIL模型(Training训练、Equipment装备、Personnel人员、Information信息、Concepts and Doctrine概念和条令、Organization组织、Infrastructure基础设施、Logistics后勤)描述能力组成要素,澳大利亚国防组织也有类似的能力模型。
军事能力是一种特殊的组织能力,军事能力建设对我们建设和管理业务连续性能力有借鉴作用。事实上,不同行业和类型的组织,其能力构成要素会有差异,我们上面使用的组织(Organization)、资源(Resource)、流程(Process)和人员(People)4要素比较理论化和通用一些,相对而言实用性差一些。在业务连续性管理实务中,可在此基础上结合组织实际环境、行业特点和业务情况扩展形成自己的能力要素构成模型。
……未完待续
============ 精采回顾 ===========
0.业务连续性问与答Q0:大纲 Ver2.0 业务连续性问与答(大纲) Ver1.0,已废弃
第一部分业务连续性是什么?
1.业务连续性问与答Q1:不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗?2.业务连续性问与答Q2:对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系?3.业务连续性问与答Q3:业务连续性管理从哪儿来,又将到哪儿去?(上) 业务连续性问与答Q3:业务连续性管理从哪儿来,又将到哪儿去?(下)
第二部分业务连续性为什么?
4.业务连续性问与答Q4:业务连续性管理有什么价值?我们为什么要做BCM,为什么有人不愿意做BCM?
第三部分业务连续性怎么管?
一般性讨论
5.业务连续性问与答Q5:有哪些主要的业务连续性管理知识体系?(上) 业务连续性问与答Q5:有哪些主要的业务连续性管理知识体系?(下)6.业务连续性问与答Q6:业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么?(上) 业务连续性问与答Q6:业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么?(下)7.业务连续性问与答Q7:当我们谈安全时,我们谈些什么?当我们谈风险时,我们谈些什么?当我们谈韧性时,我们谈些什么?
8.业务连续性问与答Q8:怎么才能说服领导支持业务连续性管理?(上)
业务连续性问与答Q8:怎么才能说服领导支持业务连续性管理?(下)
项目集管理和领导力
9.业务连续性问与答Q9:对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上)
业务连续性问与答Q9:对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(中)
业务连续性问与答Q9:对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(下)
10.业务连续性问与答Q10:领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(组织结构与人事篇)(上)
业务连续性问与答Q10:领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(组织结构与人事篇)(下)
11.业务连续性问与答Q11:领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇)(上)
业务连续性问与答Q11:领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇)(下)
业务连续性问与答Q11:领导让我负责单位的业务连续性工作,我想认真了解一下业务连续性经理的工作?(附)
能力规划
12.业务连续性问与答Q12:如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力?(上)
业务连续性问与答Q12:如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力?(中)
业务连续性问与答Q12:如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力?(下)
13.业务连续性问与答Q13:如何进行业务影响分析和风险评估?(上)
业务连续性问与答Q13:如何进行业务影响分析和风险评估?(中)
业务连续性问与答Q13:如何进行业务影响分析和风险评估?(下)业务影响分析和风险评估进阶篇之一:理解组织及其环境
业务连续性问与答Q13:如何进行业务影响分析和风险评估?(下)业务影响分析和风险评估进阶篇之二:理解业务及业务影响
业务连续性问与答Q13:如何进行业务影响分析和风险评估?(下) 业务影响分析和风险评估进阶篇之三:对业务影响分析和风险评估的再认识及其它
“一个好问题,胜过一百个好答案!”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。
由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。
预览时标签不可点
微信扫一扫 关注该公众号
继续滑动看下一个
轻触阅读原文
业务连续性+
向上滑动看下一个
附件:原文图片
附件:原文图片
原文发表于公众号”业务连续性+” | 原文链接