业务连续性问与答Q15:如何编制和管理应急预案(和业务连续性计划)?(进阶篇)
问题:如何编制和管理应急预案(和业务连续性计划)? 与此相关的问题还有: 应急预案和业务连续性计划是什么关系,我需要都编写吗? 应急预案有哪些内容,怎么编制和管理? 业务连续性计划有哪些计划? 应急预案是制度文件吗?每年还要修订,如果定为制度的话,那每次修订就太麻烦了。 …… 回答: 下面从应急预案和业务连续性计划基础、应急预案体系以及应急预案的编制和管理进行回答。
……续上期(先说说前述应急预案体系中的Bug):
在前述的应急预案体系中,专项预案包含有应急响应(应急救援)预案和业务恢复预案等类型,这些专项预案可以帮助组织在遇到突发应急事件和运营中断事件时“迅速、有序、有效地开展应急与救援行动、降低人员伤亡和经济损失”,“按照预定的业务连续性目标持续交付产品和服务”,但有一个例外,即遇到严重扰乱组织工作秩序的情况,组织(总部)无法履行其应急决策、指挥和协调职能时,组织的应急响应和业务恢复活动就无法有效开展。比如,2008年汶川地震时,受灾最重的北川县政府部门大量干部遇难和受伤,政府主导的应急预案无法运转。 简而言之,“应急响应”的连续性运行也需要保障。
处理这个“Bug”的方式其实很简单,即将应急响应视为组织必须持续运行的一项基本活动(或基本职能,essential function),和其它优先活动一样,需要考虑可能导致其中断的主要威胁,指挥链及关键人员的续任计划,必要的备用通信能力,足够的设施、装备和所需物资,以及周密的准备计划(如启用后备应急指挥中心时如何转移的计划)等。至于这个特定的预案具体放在应急预案体系的哪一部分,是作为综合应急预案的一个章节?还是放在某个可能造成该职能中断的专项预案中?或者其它方式,可在具体设计应急预案体系时根据组织实际情况斟酌确定。
假如还有人关心业务恢复专项预案无法执行的情况,这个已在前面考虑过了,请往前查阅确定和选择业务连续性策略的过程。
4.事件分类、分期和分期:应急预案的管理学基础
不同类型事件发生的原因、导致危急状态的程度和范围、对组织造成影响的严重程度有很大不同,从而使得组织应对的措施和手段也有所不同。此外,相同类型事件的不同阶段对组织应对措施的要求也都不同。然而,组织很难为各类可能出现的事件制定出一一对应的管理方案并提供相应的物质和人力储备。因此,深入分析各种表现形式不同的突发应急事件和运营中断事件,抓住其本质特征,对事件进行分类、分级与分期,建立应急预案的管理基础是完善的应急管理体系的基本要求。
事件分类
不同类型的事件,造成的后果和对组织产生的影响不同,但都必须进行专业化的应对。比如面对地震、台风、设备故障或供应链中断事件,我们肯定会采用不同的、专业化方法进行处置。对事件予以科学分类,是应急管理的首要基础。组织可以参考突发公共事件的分类,并结合区域、行业特点和组织实际情况对事件进行分类。
类型 事件示例 自然灾害 水旱灾害,台风、冰雹、雪、高温、沙尘暴等气象灾害,地震、山体崩塌、滑坡、泥石流等地质灾害,森林火灾和生物灾害等 事故灾难 企业安全事故,交通运输事故,供水、供电、供油和供气等城市生命线事故以及通讯、信息网络、特种设备等安全事故,核辐射事故,环境污染和生态破坏事件等 公共卫生事件 传染病疫情,群体性不明原因疾病,食品安全和职业危害,动物疫情,以及其他严重影响公众健康和生命安全的事件 社会安全事件 重大刑事案件、恐怖袭击事件、涉外突发事件以及群体性突发事件等 突发公共事件类型及示例
一般情况下,对突发应急事件的分类主要基于事件发生的来源和诱因,对运营中断事件的分类主要基于业务活动。比如一家组织将需要应对的突发应急事件分为外部突发应急事件和内部突发应急事件。外部事件按政治、经济、自然灾害、公共事件等来分类,政治方面引发的事件,如政局不稳、罢工、游行示威、社会骚乱、恐怖活动等引发;经济方面引发的事件如经济危机、汇率突变、经济政策变动等引发;自然灾害引发的事件,如地震、洪水、台风、沙暴、雷击等引发;公共事件引发的事件,如电力中断、基础设施中断、公共卫生事件(如SARS)、危险品泄露等引发。内部事件按供应链事件、安全生产事件、设备故障、网络安全事件、外部服务中断、产品质量缺陷等方面进行分类。
当然,各类事件彼此并不是截然割裂的,而是相互联系、相互影响,相互之间往往呈现多元和共时的特征,在特定的情景下可能还相互转化,即产生次生、衍生事件及其耦合事件,形成灾害链或复合式灾难,带来“涟漪效应”。另外,还有些事件很难说是由于自然原因、人为原因或者其他原因造成的;一些事故灾难(如有毒物质的泄露),也可能导致生态破坏。
事件分类帮助明确不同类型事件应急和恢复管理的牵头部门和单位,即确定该类型事件的 “Owner” ,其它有关部门和单位在事件应对处置中提供必要的支持和协作。
事件分级
同一类型的事件,由于其影响范围、紧急程度和损失后果不同,需要组织投入的应急和恢复能力也不同。将事件划分为不同的级别,从而采取不同强度的应急措施,是应急、连续性和危机管理的共同经验。对于可预见的事件,还可以建立预警制度,并划分等级。如我国将突发公共事件按照其性质、严重程度和影响范围等因素分为四级,I级(特别重大)、II级(重大)、III级(较大)和IV级(一般);根据预测分析结果,对可能发生和可以预警的突发公共事件按可能造成的危害程度、紧急程度和发展态势,分为四级,I级(特别重大)、II级(重大)、III级(较大)和IV级(一般),依次用红色、橙色、黄色和蓝色表示。
预警等级
影响事件分级的要素复杂众多,可以从主客观两个方面考虑,客观要素包括影响范围、危害/损失程度、持续时间以及资源保障程度,影响范围包括组织各相关业务部门和相关方所受的影响,也包括危害的扩散速度;危害/损失程度包括经济损失,信用损失等;持续时间,主要指事件可能持续的时间;资源保障程度包括人力,设备等,资源的范围包括事件发生前组织已经储备的应对事件的资源和外部可利用的资源。主观因素包括认知程度,社会影响程度以及应对能力强弱,认知程度依赖于现有的科学知识水平以及对以往经验的总结,对事件发生机理,以及处理机制的掌握情况;社会影响程度包括事件对组织及其产品和服务在公众和股东中的形象和信心的影响程度。
事件分级的重要性在于,事件的级别水平将直接决定预警信息的发布、预案的启动级别、响应级别、处置规模与手段的选择等问题。在级别的指标方面,要以组织的应急和恢复管理能力为中心,综合其它要素。一般情况下,只有事件的规模和破坏程度超出了直接受事件影响组织的处置能力的时候,才由上一级组织介入。当然,具体到特定组织,应急响应和预警是否分级、如何分级、如何界定分级响应措施等,由组织根据本单位的实际情况确定。
事件分期
每一个级别的事件,都有发生、发展和减缓的阶段,需要组织采取不同的应急措施。因此,按照危害和影响的发生过程将事件进行阶段性分期,可以作为组织采取应急措施的重要依据。总体上,可将事件应对划分为预警期、爆发期、缓解期和善后期四个阶段:预警期的主要任务是预防和阻止事件的发生,或者把事件控制在特定类型以及特定的区域内,其关键在于预防、保护和减灾、监测以及预警;爆发期的主要任务是及时控制事件并防止其蔓延,其关键在于应急响应和沟通,对大多数组织,重在信息报告,先期处置,人员疏散和自救互救;缓解期的主要任务是逐步降低应急措施的强度并尽快恢复正常的功能和业务;善后期的主要任务是从临时恢复措施返回到正常业务状态,并对整个事件处理进行调查评估并从事件中获益,其关键在于事后重建和善后学习。 分期 发生阶段 能力要求 主要任务 预警期 事前 预警防范 预防、阻止防范事件的发生、尽可能控制事态发展 爆发期 事中 应急响应 及时控制事件并防止其蔓延 缓解期 事中 业务恢复 降低应急措施的强度并尽快恢复正常的功能和业务 善后期 事后 重建学习 从临时措施返回到正常业务状态,对事件处理进行调查评估并总结经验教训 事件分期重点
事件分期涉及应急和恢复的微观问题,通过建立一个“全过程”的事件管理模式,科学地界定不同参与方在各个阶段的应对措施和工作重点。
组织应急、连续性建设的目标是根据各类事件的发生过程、性质和机理,在分类、分级、分期的基础上,结合应急管理组织机构的设置情况,充分实现能力建设和能力运用的有机结合,建立一个全面整合的管理模式,从而不断提升组织的预警防范能力、应急响应和业务恢复能力。
5.简答 问:应急预案和业务连续性计划是什么关系,我需要都编写吗? 答:“一案三制”中的应急预案和业务连续性管理中的业务连续性计划有很多交叉和重叠,也有一定的互补部分。可 以根据组织实际情况和需要,编制组织自己的应急预案体系。 问:应急预案有哪些内容,怎么编制和管理? 答:见前面文字。 问:业务连续性计划有哪些计划? 答:见前面文字。 问:应急预案是制度文件吗?每年还要修订,如果定为制度的话,那每次修订就太麻烦了。 答:应急预案体系要发挥效力,就需要有类制度的强制力和问责制的实施,也就是说,应有相应的“责任与奖惩”条款;同时,应急预案从本质上是组织实施非常态管理的、程序化的工作方案,需要结合组织面临的风险环境、自身的应急和连续性能力现状进行灵活调整。实务中,建议将类制度化的部分通过《应急预案管理办法》或其它类似文件制度化,将应急预案体系中的专项预案、现场方案主要作为程序化的工作方案使用,至于综合应急预案是否需要制度化,可根据组织情况确定。
至此,应急预案和业务连续性计划部分已完成,如果你在这方面还有问题没有解决的话,请继续给我留言。接下来,【业务连续性问与答】系列将转入培训和意识教育、演练部分,欢迎朋友们继续关注和提问题。
============ 精采回顾 ===========
0 . 业务连 续性问与答Q 0: 大纲 Ver2.0 业务连续性问与答(大纲 ) Ver1.0,已废弃
第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )
第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?
第三部分业务连续性怎么管? 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们谈风险时,我们谈些什么?当我们谈韧性时,我们谈些什么? 8. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 )
项目集管理和领导力 9. 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 中 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 下 ) 10. 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 上 ) 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 下 ) 11. 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 上 ) 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 下 ) 业务连续性问与答Q 11 : 领导 让我负责单位的业务连续性工作,我想认真了解一下业务连续性经理的工作?(附 )
能力规划 12. 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 上 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 中 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 下 ) 13. 业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 上 ) 业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 中 ) 业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估 进阶篇之一:理解组织及其环境 业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估 进阶篇之 二 :理解业务及业务影响 业务连续性问与答Q 1 3:如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估进阶篇之三:对业务影响分析和风险评估的再认识及其它
能力建设和保持 14. 业务连续性问与答Q 14:如何 建设和保持业务连续性能力(上 ) 业务连续性问与答Q 14:如何 建设和保持业务连续性能力( 下 ) 15. 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计 划 )? (上) 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计划)? ( 下 ) 业务连续性问与答Q15:编制和管理应急预案(和业务连续性计划)?(进阶篇) 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计划)? ( 参考 )
“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。
原文发表于公众号”业务连续性+” | 原文链接