業(yè)務持續(xù)性管理(BCM)的發(fā)展趨勢和面臨的問題

 ISO22301 典型案例     |      2019-11-06
業(yè)務持續(xù)性管理發(fā)展總體呈現(xiàn)出如下三個趨勢

1.規(guī)劃部署的一體化:業(yè)務持續(xù)管理的特點是工作覆蓋范疇廣(如下圖),任何一部分的忽略和失誤都可能讓最后的反應和恢復方案功虧一簣。所以業(yè)務持續(xù)管理需要從業(yè)務需求出發(fā)整體上系統(tǒng)地統(tǒng)一規(guī)劃,從而達到管理的全面性和適宜性,即合理的投資回報(ROI)。包括BCM實施也分為自建、共建和外包等策略。所以業(yè)務持續(xù)管理正由科技部門(CIO)主導逐漸向由風險管理部門(CRO)負責甚至在一些單位出現(xiàn)了專業(yè)的職能(CCO)。

2.工作內容的專業(yè)化:由于業(yè)務持續(xù)管理的工作范圍如此之廣,專業(yè)化的分工和合作就必然是個很實際的問題和趨勢。核心的專業(yè)分工如下表所示??傮w來看可分為三個層次:即戰(zhàn)略管理層、戰(zhàn)術實施層和日常維護層。

3.實施方法的標準化:國際上一個很明顯的趨勢就是實施方法的標準化。標準的內容有許多相似性,但比較有影響力的是英國的BS25999和新加坡的SS540。這些標準的共同基礎是國際業(yè)務持續(xù)性協(xié)會(http://www.thebci.org/)發(fā)布的良好實踐指南(GPG2008)。


業(yè)務持續(xù)管理在中國的推廣和發(fā)展過程中有許多誤區(qū)并面臨許多實際的問題:



1.人員意識和認識方面:總體上人們對于小概率大影響的事件偏向于過分樂觀。尤其是華人的社會文化特點是比較忌諱談論“天災人禍” 這些我們不太認為可能發(fā)生在自己身上的事件。這種意識反映在認識方面就是要么認為風險絕對不可能發(fā)生,要么設定業(yè)務絕對不可以中斷(MTPD=0和RPO=0)的不合理或不現(xiàn)實持續(xù)目標。

2.實施驅動力方面:中國的主要經(jīng)濟實體是國有企業(yè),而國有企業(yè)的最大特點就是國家負責一切(老外語:The state looks after everything)。這樣企業(yè)實施BCM的動力并不大。政府不得不加大重點行業(yè)(金融、電信、電力、民航、鐵路、海關、稅務等)在BCM方面的立法強度,強調企業(yè)的經(jīng)濟行為和社會責任雙重角色。否則最后的結果就是政府承擔責任并買單。

3.實施策略方面:許多人認為業(yè)務持續(xù)管理(BCM)就是容災(DRP)。而且許多單位容易忽略本地設施的保護和管理來進一步提高IT服務的可用性和可靠性。最后業(yè)務持續(xù)管理就變成了建立同城異地災備中心的代名詞。這種從資源(IT基礎設施)投入到業(yè)務需求的反向而非整體性規(guī)劃的最終結果往往是投入巨大但效果很差。

4.維護運行方面:“重建設,輕運維” 這是大家對業(yè)務持續(xù)管理現(xiàn)狀的共識。殊不知業(yè)務持續(xù)管理很重要的工作就是通過日常的持續(xù)維護和不斷演練,才能實現(xiàn)“有備無患”而不是“有備無換”。(來自:行業(yè)研究報告)