A Business Continuity Plan(簡(jiǎn)稱BCP����,業(yè)務(wù)連續(xù)性計(jì)劃����,是指組織為應(yīng)對(duì)各種突發(fā)事件、不可抗力事件或?yàn)?zāi)難性事故而制定的一套持續(xù)經(jīng)營方法和流程�����。該計(jì)劃能夠保證組織在災(zāi)難發(fā)生后能夠迅速恢復(fù)正常運(yùn)營,并加強(qiáng)對(duì)未來突發(fā)事件的應(yīng)對(duì)能力�。)/業(yè)務(wù)連續(xù)性計(jì)劃概述了組織在面對(duì)災(zāi)難時(shí)必須遵循的程序和指示,無論是火災(zāi)��、洪水或網(wǎng)絡(luò)攻擊�����。以下是如何創(chuàng)建一個(gè)計(jì)劃�,幫助您的企業(yè)防患于未然。
圖源:DAVOR GEBER(圖片上傳者�����,可以譯為用戶DAVOR GEBER�,或者DAVOR GEBER)?/ SHUTTERSTOCK
過去幾年發(fā)生的動(dòng)蕩事件幾乎影響了每一家企業(yè)。隨著極端天氣事件�����、網(wǎng)絡(luò)攻擊和地緣政治沖突的數(shù)量持續(xù)上升�,領(lǐng)導(dǎo)者們正準(zhǔn)備應(yīng)對(duì)其組織需要應(yīng)對(duì)的影響事件越來越頻繁的可能性。
根據(jù)PwC(PricewaterhouseCoopers Consulting��,普華永道咨詢公司��,國際領(lǐng)先的管理咨詢公司之一。?2002年7月30日�,普華永道咨詢公司被IBM以35億美元的現(xiàn)金和股票形式收購。)的《2023 Global Crisis and Resilience Survey/2023年全球危機(jī)和復(fù)原力調(diào)查》顯示�����,在訪問的1812名商業(yè)領(lǐng)袖中�����,96%的人表示他們的組織在過去兩年中經(jīng)歷了中斷���,76%的人表示他們最嚴(yán)重的中斷對(duì)運(yùn)營產(chǎn)生了中到高的影響����。
難怪89%的高管將復(fù)原力列為他們最重要的戰(zhàn)略重點(diǎn)之一����。
但與此同時(shí)��,只有70%的受訪者表示�,他們對(duì)自己的組織應(yīng)對(duì)中斷的能力有信心。PwC(普華永道)指出���,其研究表明��,太多的組織“缺乏他們走向成功所需的基本彈性要素”����。
一個(gè)堅(jiān)實(shí)的業(yè)務(wù)連續(xù)性計(jì)劃是這些基本要素之一。
Advance(領(lǐng)創(chuàng)智信���,是亞洲領(lǐng)先的大數(shù)據(jù)與人工智能公司���,隸屬于領(lǐng)創(chuàng)集團(tuán),專注于大數(shù)據(jù)����、計(jì)算機(jī)視覺、機(jī)器學(xué)習(xí)和自然語言處理等相關(guān)技術(shù)的深度研發(fā)����,助力金融機(jī)構(gòu)、企業(yè)的智能化數(shù)字轉(zhuǎn)型�����、反欺詐戰(zhàn)略設(shè)計(jì)以及流程自動(dòng)化部署���,服務(wù)領(lǐng)域覆蓋銀行��、各類金融服務(wù)���、金融科技���、零售、電子商務(wù)���、物聯(lián)網(wǎng)���、共享出行等多個(gè)行業(yè)。領(lǐng)創(chuàng)智信的總部位于新加坡��,并在亞洲���、拉丁美洲的多個(gè)國家和地區(qū)市場(chǎng)設(shè)有分支機(jī)構(gòu)辦公室���,匯集全球卓越金融技術(shù)人才,組建了一支既有全球化視野���,又深諳本土化運(yùn)營的專業(yè)技術(shù)與服務(wù)團(tuán)隊(duì)�����,如今已服務(wù)超過800家金融機(jī)構(gòu)與企業(yè)客戶�����。)合規(guī)主管Goh Ser Yoong(高瑟雍)表示:“每個(gè)企業(yè)都應(yīng)該有一種將面臨災(zāi)難的心態(tài)�,每個(gè)企業(yè)都需要一個(gè)計(jì)劃來應(yīng)對(duì)不同的潛在情況�����?����!?。他也是AI和專業(yè)治理協(xié)會(huì)ISACA(Information Systems Audit and Control Association,國際信息系統(tǒng)審計(jì)協(xié)會(huì)�����,是全球公認(rèn)的IT治理�����、網(wǎng)絡(luò)安全、審計(jì)與鑒證�、風(fēng)險(xiǎn)控制、數(shù)據(jù)隱私保護(hù)以及標(biāo)準(zhǔn)合規(guī)的領(lǐng)導(dǎo)組織����,會(huì)員遍布逾180多個(gè)國家,總數(shù)超過150����,000人。)新興趨勢(shì)工作組成員�。
業(yè)務(wù)連續(xù)性計(jì)劃為組織提供了成功應(yīng)對(duì)災(zāi)難的最佳機(jī)會(huì),它提供了關(guān)于誰應(yīng)該以何種方式完成哪些任務(wù)以保持業(yè)務(wù)可行性的現(xiàn)成指導(dǎo)�。
如果沒有這樣的計(jì)劃,組織從事件或事故中恢復(fù)所需的時(shí)間將超過必要的時(shí)間���,或者可能永遠(yuǎn)無法恢復(fù)�����。
1.什么是業(yè)務(wù)連續(xù)性計(jì)劃��?
業(yè)務(wù)連續(xù)性計(jì)劃(BCP)是一種戰(zhàn)略策略���,旨在幫助一個(gè)組織在面對(duì)中斷時(shí)維持或迅速恢復(fù)業(yè)務(wù)功能���,無論該中斷是由自然災(zāi)害���、公民動(dòng)蕩��、網(wǎng)絡(luò)攻擊或任何其他對(duì)業(yè)務(wù)運(yùn)營的威脅引起的��。
業(yè)務(wù)連續(xù)性計(jì)劃概述了組織在此類事件中必須遵循的程序和指示����,以最大限度地減少停機(jī)時(shí)間���,涵蓋業(yè)務(wù)流程��、資產(chǎn)��、人力資源�、業(yè)務(wù)合作伙伴等��。
business continuity plan/業(yè)務(wù)連續(xù)性計(jì)劃與disaster recovery plan/災(zāi)難恢復(fù)計(jì)劃不同����,后者側(cè)重于在危機(jī)后恢復(fù)IT基礎(chǔ)設(shè)施和運(yùn)營��。不過��,災(zāi)難恢復(fù)計(jì)劃是確保業(yè)務(wù)連續(xù)性的總體戰(zhàn)略的一部分���,而業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)告知組織災(zāi)難恢復(fù)計(jì)劃中詳細(xì)說明的行動(dòng)項(xiàng)目。這兩者是緊密耦合的����,這就是為什么它們經(jīng)常被認(rèn)為是結(jié)合在一起的,并縮寫為BCDR�����。
2.為什么業(yè)務(wù)連續(xù)性規(guī)劃很重要
無論您經(jīng)營的是小企業(yè)還是大公司����,留住和增加客戶群都是至關(guān)重要的。沒有比不良事件發(fā)生后的應(yīng)對(duì)措施能更好地考驗(yàn)?zāi)哪芰α?/span>��。
因?yàn)榛謴?fù)IT對(duì)大多數(shù)公司來說至關(guān)重要��,因此有許多災(zāi)難恢復(fù)解決方案可供選擇�����。您可以依靠IT部門來實(shí)施這些解決方案。但是您的其他業(yè)務(wù)職能呢�?您公司的未來取決于您的員工和流程。能夠有效地處理任何事件都會(huì)對(duì)公司的聲譽(yù)和市場(chǎng)價(jià)值產(chǎn)生積極影響��,并能增強(qiáng)客戶的信心���。
此外,如今����,消費(fèi)者和監(jiān)管機(jī)構(gòu)對(duì)企業(yè)安全和連續(xù)性的期望也越來越高。因此�,組織必須優(yōu)先考慮連續(xù)性規(guī)劃,不僅要防止業(yè)務(wù)損失���,而且防止財(cái)務(wù)���、法律、聲譽(yù)和監(jiān)管損失同樣重要����。
例如,被監(jiān)管機(jī)構(gòu)撤銷一個(gè)組織的“經(jīng)營許可證”或合規(guī)性(回顧性或前瞻性)的風(fēng)險(xiǎn)可能會(huì)對(duì)市場(chǎng)價(jià)值和消費(fèi)者信心產(chǎn)生不利影響。
3.制定(和更新)業(yè)務(wù)連續(xù)性計(jì)劃
無論是制定組織的第一個(gè)業(yè)務(wù)連續(xù)性計(jì)劃�,還是更新現(xiàn)有計(jì)劃,該過程都涉及多個(gè)重要步驟�����。
評(píng)估業(yè)務(wù)流程的關(guān)鍵性和脆弱性:專業(yè)服務(wù)公司PwC(普華永道)網(wǎng)絡(luò)風(fēng)險(xiǎn)和監(jiān)管實(shí)踐負(fù)責(zé)人Joe Nocera(喬·諾塞拉)表示���,業(yè)務(wù)連續(xù)性規(guī)劃“首先要了解什么對(duì)業(yè)務(wù)最重要”�。
因此��,建立業(yè)務(wù)連續(xù)性計(jì)劃的第一步是評(píng)估您的業(yè)務(wù)流程����,以確定哪些是最關(guān)鍵的����;哪些最脆弱��,以及會(huì)受到什么類型事件的影響�;如果這些過程持續(xù)一天、幾天或一周��,潛在的損失是什么����。
FTI Consulting(富事高商務(wù)咨詢�,美國商業(yè)咨詢機(jī)構(gòu)���,成立于1982年���,是一家獨(dú)立的全球性商業(yè)咨詢機(jī)構(gòu),致力于在財(cái)務(wù)����、法律����、運(yùn)營、政治與監(jiān)管�����、聲譽(yù)以及交易等方面幫助企業(yè)和機(jī)構(gòu)應(yīng)對(duì)轉(zhuǎn)變�、規(guī)避風(fēng)險(xiǎn)并處理爭(zhēng)議?����?偛课挥诿绹A盛頓特區(qū)。)網(wǎng)絡(luò)安全實(shí)踐的高級(jí)董事總經(jīng)理Todd Renner(托德·雷納)說:“這一步驟基本上決定了你試圖保護(hù)什么�,以及你試圖為系統(tǒng)上什么保護(hù)措施?���!?/span>
由于當(dāng)今混合工作場(chǎng)所的復(fù)雜性、現(xiàn)代IT環(huán)境以及對(duì)業(yè)務(wù)合作伙伴和第三方提供商執(zhí)行或支持關(guān)鍵流程的依賴���,此評(píng)估的要求比以往任何時(shí)候都更高�。
鑒于這種復(fù)雜性��,Goh(高)表示��,全面評(píng)估不僅需要對(duì)關(guān)鍵流程進(jìn)行盤點(diǎn)��,還需要對(duì)支持組件——包括IT系統(tǒng)��、網(wǎng)絡(luò)��、人員和外部供應(yīng)商——以及這些組件所面臨的風(fēng)險(xiǎn)進(jìn)行盤點(diǎn)�����。
這本質(zhì)上是一種業(yè)務(wù)影響分析����。
確定組織的RTO(恢復(fù)時(shí)間目標(biāo))和RPO(恢復(fù)點(diǎn)目標(biāo)):構(gòu)建業(yè)務(wù)連續(xù)性計(jì)劃的下一步是確定組織的恢復(fù)時(shí)間目標(biāo)(RTO/recovery time objective)和恢復(fù)點(diǎn)目標(biāo)(RPO/recovery point objective)�,前者是從故障點(diǎn)到恢復(fù)運(yùn)營之間的目標(biāo)時(shí)間量�����,后者是組織能夠承受的最大數(shù)據(jù)丟失量�。
根據(jù)其業(yè)務(wù)性質(zhì)、行業(yè)��、監(jiān)管要求和其他運(yùn)營因素���,每個(gè)組織都有自己的RTO和RPO����。此外�,Nocera(諾塞拉)說�,企業(yè)的不同部分可能有不同的RTO和RPO,這是高管們需要分別建立的��。
(福建CIO網(wǎng)注:從上圖可以直觀看出�,RPO是 “備份時(shí)間點(diǎn)” 到 “IT系統(tǒng)出現(xiàn)故障” 的時(shí)間長度,RTO是指 “IT系統(tǒng)出現(xiàn)故障” 到 “IT系統(tǒng)恢復(fù)正?����!?的時(shí)間長度。在RPO的這段時(shí)間內(nèi)�,存在一部分實(shí)際數(shù)據(jù)的丟失,所以一般認(rèn)為RPO越小���,丟失的數(shù)據(jù)量就越小�。在RPO+RTO的這段時(shí)間內(nèi)�,本來有預(yù)期的業(yè)務(wù)數(shù)據(jù)增長,但由于IT系統(tǒng)故障需要時(shí)間修復(fù)�����,這部分的預(yù)期增長就損失掉了����。可見RTO+RPO越小�����,對(duì)業(yè)務(wù)營收的損失也就越小�����。因此,越重要的業(yè)務(wù)越需要保證RPO和RTO趨近于0�����,當(dāng)然所需要的投入也就越大����。RPO和RPO也成為衡量災(zāi)難恢復(fù)的最核心指標(biāo)。)
“當(dāng)您遇到業(yè)務(wù)的各個(gè)方面負(fù)責(zé)人時(shí)��,每個(gè)人都說(他們所做的)每件事都很重要��;沒有人想說他們?cè)跇I(yè)務(wù)中的作用不那么重要���,但實(shí)際上����,您必須就什么對(duì)業(yè)務(wù)和業(yè)務(wù)連續(xù)性真正至關(guān)重要進(jìn)行富有挑戰(zhàn)性的對(duì)話和決定�����,”他補(bǔ)充道���?����!?/span>
詳細(xì)說明連續(xù)性的步驟�、角色和職責(zé):一旦完成�,業(yè)務(wù)領(lǐng)導(dǎo)應(yīng)該使用RTO和RPO以及業(yè)務(wù)影響分析來確定需要執(zhí)行的特定任務(wù)、由誰執(zhí)行以及以何種順序確保業(yè)務(wù)連續(xù)性�。
“它是您分析的關(guān)鍵組成部分,設(shè)計(jì)一個(gè)計(jì)劃�,概述角色和責(zé)任,以及誰做什么��。它深入到了你將如何保持公司運(yùn)轉(zhuǎn)的細(xì)節(jié)��,”Renner(雷納)解釋道��。
一個(gè)常見的業(yè)務(wù)連續(xù)性規(guī)劃工具是一個(gè)清單���,包括物資和設(shè)備��、數(shù)據(jù)備份和備份站點(diǎn)的位置���、計(jì)劃可用和應(yīng)擁有計(jì)劃的人員名單,以及應(yīng)急響應(yīng)人員名單、關(guān)鍵人員名單和備份站點(diǎn)提供商的聯(lián)系信息��。
盡管可能影響業(yè)務(wù)運(yùn)營的可能情況似乎很多��,但Goh(高)表示��,商業(yè)領(lǐng)袖不需要編制一份詳盡的潛在事件清單�����。相反�����,他們應(yīng)該編制一份清單���,其中包括可能發(fā)生的事件和具有代表性的事件����,以便他們能夠制定更高可能性的應(yīng)對(duì)措施�,即使在面臨無法想象的災(zāi)難時(shí)也能確保連續(xù)性。
Nocera(諾塞拉)說:“由此�����,即使這是一個(gè)意外事件����,他們也可以從計(jì)劃中提取這些構(gòu)建塊,并將其應(yīng)用于他們面臨的獨(dú)特危機(jī)�����?!?/span>
4.測(cè)試業(yè)務(wù)連續(xù)性計(jì)劃的重要性
制定業(yè)務(wù)連續(xù)性計(jì)劃不足以確保準(zhǔn)備工作;測(cè)試和實(shí)踐是其他關(guān)鍵組成部分��。
Renner(雷納)說���,測(cè)試和練習(xí)提供了一些重要的好處����。
首先���,它們展示了一個(gè)計(jì)劃是否有效或如何有效�。
測(cè)試和練習(xí)有助于所有利益相關(guān)者為實(shí)際事件做好準(zhǔn)備����,幫助他們建立必要的肌肉記憶,以便在危機(jī)期間盡可能快速、自信地做出反應(yīng)�。
它們也有助于確定設(shè)計(jì)計(jì)劃中的差距。正如Renner(雷納)所說:“我所做過的每一個(gè)桌面練習(xí)都讓所有參與者大開眼界����。”
此外����,它們還有助于識(shí)別目標(biāo)可能不一致的地方。例如���,高管們可能已經(jīng)降低了恢復(fù)某些IT系統(tǒng)的重要性�����,但在演習(xí)中會(huì)意識(shí)到這些系統(tǒng)對(duì)支持關(guān)鍵流程至關(guān)重要���。
5.測(cè)試的類型和時(shí)間安排
許多組織每年對(duì)業(yè)務(wù)連續(xù)性計(jì)劃進(jìn)行兩到四次測(cè)試。專家表示���,測(cè)試的頻率以及審查和更新都取決于組織本身——其行業(yè)�����、創(chuàng)新和轉(zhuǎn)型的速度����、關(guān)鍵人員的流動(dòng)率����、業(yè)務(wù)流程的數(shù)量等等。
常見的測(cè)試包括桌面練習(xí)��、結(jié)構(gòu)化演練和模擬�����。測(cè)試團(tuán)隊(duì)通常由恢復(fù)協(xié)調(diào)員和來自每個(gè)功能單元的成員組成����。
桌面練習(xí)通常在會(huì)議室中進(jìn)行,團(tuán)隊(duì)仔細(xì)研究計(jì)劃��,尋找差距�,并確保所有業(yè)務(wù)部門都有代表。
在一個(gè)結(jié)構(gòu)化的演練中����,每個(gè)團(tuán)隊(duì)成員詳細(xì)演練他或她的計(jì)劃的組成部分����,以確定弱點(diǎn)�����。通常����,團(tuán)隊(duì)在進(jìn)行測(cè)試時(shí)都會(huì)考慮到特定的災(zāi)難。一些組織將訓(xùn)練和災(zāi)難角色扮演融入到結(jié)構(gòu)化的演練中�����。應(yīng)糾正任何不足之處��,并向所有相關(guān)工作人員分發(fā)最新計(jì)劃�����。
一些專家還建議每年至少進(jìn)行一次全面的緊急疏散演習(xí)�����。
與此同時(shí)�,災(zāi)難模擬測(cè)試(可能涉及相當(dāng)多)仍應(yīng)每年進(jìn)行一次�。對(duì)于此測(cè)試��,請(qǐng)創(chuàng)建一個(gè)模擬實(shí)際災(zāi)難的環(huán)境�,包括所需的所有設(shè)備、用品和人員(包括業(yè)務(wù)合作伙伴和供應(yīng)商)�����。模擬的目的是確定組織及其員工是否能夠在實(shí)際事件中執(zhí)行關(guān)鍵業(yè)務(wù)職能��。
在業(yè)務(wù)連續(xù)性計(jì)劃測(cè)試的每個(gè)階段��,都要包括測(cè)試團(tuán)隊(duì)中的一些新員工�����。
“雪亮的眼睛”可能會(huì)發(fā)現(xiàn)經(jīng)驗(yàn)豐富的團(tuán)隊(duì)成員可能會(huì)忽視的信息缺口或失誤�。
同樣�����,也應(yīng)持續(xù)不斷地審查和更新業(yè)務(wù)連續(xù)性計(jì)劃���。
“它應(yīng)該是一份活生生的文件�。不應(yīng)該被擱置。這不應(yīng)該僅僅是一個(gè)復(fù)選框練習(xí)���?����!?span style=";padding: 0px;outline: 0px;max-width: 100%;box-sizing: border-box !important;overflow-wrap: break-word !important;font-family: 'Times New Roman'">Renner(雷納)說���。
否則,計(jì)劃就會(huì)過時(shí)����,在需要時(shí)毫無用處。
至少每年召集關(guān)鍵人員一起審查計(jì)劃���,并討論任何必須修改的領(lǐng)域��。
在審查之前��,征求工作人員的反饋意見��,將其納入計(jì)劃���。要求所有部門或業(yè)務(wù)單位審查該計(jì)劃����,包括分支地點(diǎn)或其他遠(yuǎn)程單位��。
此外�����,強(qiáng)大的業(yè)務(wù)連續(xù)性功能要求在發(fā)生實(shí)際事件時(shí)審查組織的反應(yīng)�����。這使高管及其團(tuán)隊(duì)能夠確定組織做得好的地方以及需要改進(jìn)的地方����。
6.如何確保業(yè)務(wù)連續(xù)性計(jì)劃的支持��、意識(shí)
確保您的計(jì)劃失敗的一種方法是對(duì)其重要性采取隨意的態(tài)度��。每個(gè)業(yè)務(wù)連續(xù)性計(jì)劃都必須從自上自下得到支持���。這意味著在制定和更新計(jì)劃時(shí)必須有高級(jí)管理人員的代表�;沒有人可以把這個(gè)責(zé)任委托給下屬��。此外,如果高級(jí)管理層將該計(jì)劃作為優(yōu)先事項(xiàng)�����,花時(shí)間進(jìn)行充分的審查和測(cè)試���,該計(jì)劃可能會(huì)保持新鮮和可行��。
管理也是提高用戶意識(shí)的關(guān)鍵�����。如果員工不知道這個(gè)計(jì)劃��,當(dāng)每一分鐘都很重要時(shí)(緊急情況發(fā)生時(shí))����,他們又該如何應(yīng)對(duì)�?
雖然計(jì)劃的分配和培訓(xùn)可以由業(yè)務(wù)部門經(jīng)理或人力資源人員進(jìn)行,但必須請(qǐng)高層人員啟動(dòng)培訓(xùn)并強(qiáng)調(diào)其重要性�����。這將對(duì)所有員工產(chǎn)生更大的影響,使該計(jì)劃更具可信度和緊迫性����。
作者:Mary K. Pratt(瑪麗·K·普拉特), Ed Tittel(艾德·泰特爾), Kim Lindros(金·林德羅斯)
