业务连续性管理讲义
合集下载
业务连续性规划培训课件(PPT75张)
BCP和DRP的关系
维持
保护
场所紧急计划 (OEP)
运行连续性计划 (COOP)
计算机事件 响应计划
危机通讯计划
业务连续性计划 (BCP)
恢复/继续
IT应急计划
业务恢复计划 (BRP)
灾难恢复预案 (DRP)
图注: -业务 -IT
-设施 -重要影响
计划
目的
业务连续性 提供重大中断恢复期间维持 计划(BCP) 重要业务运行的规程。
灾难恢复预 提供在紧急事件后在备用站
案(DRP)
点恢复目标系统和应用的详
细规程。
中启航国际教育学院
关注点
组织的业务持续运作,关 注点是组织的业务。
关注点是信息系统,以及 信息系统所支持的业务运 作。
相互关系
DRP是BCP的IT部分 内容。DRP可以单 独成册作为BCP的 附件,也可作为 BCP的一个章节。
报表打 印机
通道延 伸器
磁带机和 磁带库
高端 路由
器
Ethernet
应用服务器: 网上交易,商 业智能,报表
服务
灾难备份中心
磁盘阵列 主机系统
通道延 伸器
报表打 印机
应用服务器: 网上交易,商 业智能,报表
服务
Ethernet
磁带机和 磁带库
高端 路由
器
DDN/FR/ISDN/ INTERNET
数据级容灾
灾难是无法预知的,最好的保护就是做一个好的计划
中启航国际教育学院
直接和间接的损失
间接损失
经济效益
公众声誉
直接损失
数据丢失、设备损坏 人员伤害。。。
法律责任
国家职责
应急预案的业务连续性管理模板课件
详细描述
应急预案是根据组织业务的特点和可能面临的突发事件类型而制定的,旨在预 防和减轻突发事件对组织业务连续性的影响。它具有明确的目标和措施,能够 快速有效地应对突发事件,保障组织的正常运营。
应急预案的制定流程
总结词
应急预案的制定需要遵循一定的流程,包括组织现状 分析、风险评估、预案编制、评审与发布、更新与维 护等步骤。
恢复策略与计划
总结词
制定业务恢复策略和计划,明确恢复目标 、步骤和时间表。
总结词
确定关键资源和外部支持,确保恢复计划 的可行性。
详细描述
恢复策略与计划是针对潜在的业务中断, 制定明确的恢复目标、步骤和时间表,以 确保业务能够快速恢复到正常运营状态。
详细描述
在制定恢复计划时,应确定关键资源和外 部支持,如备份设施、供应商、合作伙伴 等,以确保恢复计划的可行性。
应急预案的评估与改进
总结词
对应急预案进行评估和改进是持续提高应急预案有效 性的关键环节,包括预案的适应性、可行性和时效性 等方面的评估。
详细描述
为了确保应急预案的有效性,需要定期对其进行评估和 改进。评估主要包括对应急预案的适应性、可行性和时 效性等方面进行检验和评价。如果发现预案存在不足或 缺陷,需要及时进行修订和完善。同时,还需要根据实 际情况的变化和新的风险评估结果对预案进行更新和调 整,以保持其针对性和有效性。通过不断的评估和改进 ,可以提高组织的应急响应能力和业务连续性管理水平 ,为组织的稳定发展提供有力保障。
跨部门协作
企业C在灾难恢复过程中 ,各部门紧密协作,共同 应对挑战,确保恢复工作 的顺利进行。
2023
PART 06
总结与展望
REPORTING
业务连续性管理模板的价值与意义
应急预案是根据组织业务的特点和可能面临的突发事件类型而制定的,旨在预 防和减轻突发事件对组织业务连续性的影响。它具有明确的目标和措施,能够 快速有效地应对突发事件,保障组织的正常运营。
应急预案的制定流程
总结词
应急预案的制定需要遵循一定的流程,包括组织现状 分析、风险评估、预案编制、评审与发布、更新与维 护等步骤。
恢复策略与计划
总结词
制定业务恢复策略和计划,明确恢复目标 、步骤和时间表。
总结词
确定关键资源和外部支持,确保恢复计划 的可行性。
详细描述
恢复策略与计划是针对潜在的业务中断, 制定明确的恢复目标、步骤和时间表,以 确保业务能够快速恢复到正常运营状态。
详细描述
在制定恢复计划时,应确定关键资源和外 部支持,如备份设施、供应商、合作伙伴 等,以确保恢复计划的可行性。
应急预案的评估与改进
总结词
对应急预案进行评估和改进是持续提高应急预案有效 性的关键环节,包括预案的适应性、可行性和时效性 等方面的评估。
详细描述
为了确保应急预案的有效性,需要定期对其进行评估和 改进。评估主要包括对应急预案的适应性、可行性和时 效性等方面进行检验和评价。如果发现预案存在不足或 缺陷,需要及时进行修订和完善。同时,还需要根据实 际情况的变化和新的风险评估结果对预案进行更新和调 整,以保持其针对性和有效性。通过不断的评估和改进 ,可以提高组织的应急响应能力和业务连续性管理水平 ,为组织的稳定发展提供有力保障。
跨部门协作
企业C在灾难恢复过程中 ,各部门紧密协作,共同 应对挑战,确保恢复工作 的顺利进行。
2023
PART 06
总结与展望
REPORTING
业务连续性管理模板的价值与意义
BCM业务连续性管理-培训教材20190906
DQS Academy
资料提供人:杨兴文
3
机密信息丢失引发信任危机
▪ 2005年6月1日,瑞士银行集团(UBS)日本分行丢失了一张 存有高度敏感客户信息的磁盘。其中可能包含相当机密的 交易、止损单记录以及公司各类客户的敏感信息。
▪ 2005年6月6日,花旗银行390万客户账户资料在快递途中 的神秘失踪。
$ 0.5
$ 1.0
$ 1.5
$ 2.0
$ 2.5
$ 3.0
Source : Deloitte BCM practice report, Network computing, 2001
DQS Academy
资料提供人:杨兴文
12
BCM对组织带来什么好处?
A. 确保组织对生死攸关的灾难性事件,做出及时响应。 B. 合理的BCM计划既满足规范和应对特殊风险的要求,
DQS Academy
资料提供人:杨兴文
10
现代社会风险和BCM的进化
1990
1995
1999
2000
2001 2004 2005
2008
2018
Kobe Earthq. 社会机能复原 重要灾难信息
WWW 实时网络存储
ERM 管理内部 监控器
BCM 总的商务 风险管理
DRP 灾害复原计划
Y2K 业务进程的再设计 (BRP)
DQS Academy
资料提供人:杨兴文
9
BCM能做什么?
• BCM的目标:
防止业务停顿,以及保护重要业务进程不受重大失效或灾难的影响。 (BS7799定义)
• 预防(Prevent) & 恢复(Recovery)
a)一项综合管理流程,它使企业认识到潜在的危机和相关影响,制订响 应、业务和连续性的恢复计划,其总体目标是为了提高企业的风险防范 能力,以有效的响应非计划的业务破坏并降低不良影响。 b)BCM的出发点在于对潜在的灾难危险加以辨别并进行分析,以确定其 对企业实施造成的威胁,并建立一个完善的连续管理计划来防止或减少 灾难事件给企业带来的损失。
业务连续性课件V4.2
力资源
❖ BCP的合规性要求
▪ 法律法规合规性、合同的合规性
7
业务影响分析
❖ 确定组织持续运行的关键资产、针对这些资产的 威胁、评估每种资产出现的威胁及对业务的影响
❖ 提供量化度量以确定投入资源的优先顺序 ❖ 工作内容
▪ 确定业务优先级 ▪ 风险分析 ▪ 资产优先级划分
业务影响分析完成后,文档化所有的流程!
资源等
37
准备 检测 遏制 根除 恢复 跟踪总结
第二阶段 — 检测
❖ 工作目标
准备
▪ 检测并确认事件的发生
▪ 确定事件性质和影响
检测
❖ 工作内容
▪ 进行监测、报告及信息收集
遏制
▪ 确定事件类别和级别
▪ 指定事件处理人,进行初步响应
根除
▪ 评估事件的影响范围
▪ 事件通告(信息通报、信息上报、信息披露) 恢复
响应流程、应急响应保障措施和附件
28
应急演练与演习
❖ 检验应急响应预案的有效性、应急准备的完善性 、应急响应能力的适应性和应急人员的协同性
❖ 演练方式
▪ 桌面演练、模拟演练、实战演练
❖ 演练深度
▪ 数据级演练、应用级演练、业务级演练
29
信息安全应急演练的操作流程
❖ 应急事件通报 ❖ 确定应急事件优先级 ❖ 应急响应启动实施 ❖ 应急响应时间后期运维 ❖ 更新现有应急预案
▪ 了解计算机取证的概念及取证的过程; ▪ 理解计算机取证过程中准备、保护、提取、分析和
提交五个步骤的工作内容。
❖ 信息安全应急响应管理过程
▪ 了解应急响应管理中准备、检测、遏制、根除、恢 复和跟踪总结六个阶段工作的内容和目标
26
应急响应预案
❖ BCP的合规性要求
▪ 法律法规合规性、合同的合规性
7
业务影响分析
❖ 确定组织持续运行的关键资产、针对这些资产的 威胁、评估每种资产出现的威胁及对业务的影响
❖ 提供量化度量以确定投入资源的优先顺序 ❖ 工作内容
▪ 确定业务优先级 ▪ 风险分析 ▪ 资产优先级划分
业务影响分析完成后,文档化所有的流程!
资源等
37
准备 检测 遏制 根除 恢复 跟踪总结
第二阶段 — 检测
❖ 工作目标
准备
▪ 检测并确认事件的发生
▪ 确定事件性质和影响
检测
❖ 工作内容
▪ 进行监测、报告及信息收集
遏制
▪ 确定事件类别和级别
▪ 指定事件处理人,进行初步响应
根除
▪ 评估事件的影响范围
▪ 事件通告(信息通报、信息上报、信息披露) 恢复
响应流程、应急响应保障措施和附件
28
应急演练与演习
❖ 检验应急响应预案的有效性、应急准备的完善性 、应急响应能力的适应性和应急人员的协同性
❖ 演练方式
▪ 桌面演练、模拟演练、实战演练
❖ 演练深度
▪ 数据级演练、应用级演练、业务级演练
29
信息安全应急演练的操作流程
❖ 应急事件通报 ❖ 确定应急事件优先级 ❖ 应急响应启动实施 ❖ 应急响应时间后期运维 ❖ 更新现有应急预案
▪ 了解计算机取证的概念及取证的过程; ▪ 理解计算机取证过程中准备、保护、提取、分析和
提交五个步骤的工作内容。
❖ 信息安全应急响应管理过程
▪ 了解应急响应管理中准备、检测、遏制、根除、恢 复和跟踪总结六个阶段工作的内容和目标
26
应急响应预案
业务连续性管理(BCM)讲义
8
7. BCM 国际标准: BS25999-2(2008)
Policy (政策)
People (组织)
Process (业务)
内B C M 化
文
组织的 理解
织
组
体
制
定
制
培训 检讨 维持管理
BCM 程序 管理
BC战略 决定
Resource (资源)
BCM 对应 开发 和 具体体现
BCP
Source : BSI(2008)
- Black Swan”
3
2. 商务 示例 ; Who, What, Result
WHO Perrier Johnson & Johnson
WHO
WHAT
-1991. 矿泉水内苯的存在 - 保健事故, 受伤, 没有死亡. -1982. 精神病者往胶囊里投放氰酸钾 -服用患者数名死亡
WHAT
Nokia
成功的BCM的附加效果
- 摩根史丹利的 危机管理系统受全世界瞩目 - 既有投资者的信赖和引起新投资者的关心 - 24小时以内以迅速地召开记者招待会换取友好的言论
Source : NY Times(2002)
5
4. 营业中断的实时损失
能源 通信 制造 投资金融 保险 零售 制约 金融 交通 使用程序 医疗 媒体 平均
设定进程间逻辑结构(先行, 后行 等) 进程别中断影响的定量,定性评价
MTPD (Maximum Tolerable Period of Disruption), RTO (Recovery Time Objective) 决定 核心进程的允许的最长中断时间(MTPD)推断 核心进程的恢复目标时间(RTO)推断 进程重新开始时复原的优先次序的决定
7. BCM 国际标准: BS25999-2(2008)
Policy (政策)
People (组织)
Process (业务)
内B C M 化
文
组织的 理解
织
组
体
制
定
制
培训 检讨 维持管理
BCM 程序 管理
BC战略 决定
Resource (资源)
BCM 对应 开发 和 具体体现
BCP
Source : BSI(2008)
- Black Swan”
3
2. 商务 示例 ; Who, What, Result
WHO Perrier Johnson & Johnson
WHO
WHAT
-1991. 矿泉水内苯的存在 - 保健事故, 受伤, 没有死亡. -1982. 精神病者往胶囊里投放氰酸钾 -服用患者数名死亡
WHAT
Nokia
成功的BCM的附加效果
- 摩根史丹利的 危机管理系统受全世界瞩目 - 既有投资者的信赖和引起新投资者的关心 - 24小时以内以迅速地召开记者招待会换取友好的言论
Source : NY Times(2002)
5
4. 营业中断的实时损失
能源 通信 制造 投资金融 保险 零售 制约 金融 交通 使用程序 医疗 媒体 平均
设定进程间逻辑结构(先行, 后行 等) 进程别中断影响的定量,定性评价
MTPD (Maximum Tolerable Period of Disruption), RTO (Recovery Time Objective) 决定 核心进程的允许的最长中断时间(MTPD)推断 核心进程的恢复目标时间(RTO)推断 进程重新开始时复原的优先次序的决定
业务连续性管理培训
业务连续性管理培训一、业务连续性管理概述1. 企业面临的灾难风险与挑战:地震、火灾、洪水、台风等自然灾害,以及信息安全事件、供应链中断等人工灾害。
2. 业务连续性管理的定义和目标:保障企业核心业务的连续运行,减少中断时间,降低损失。
二、风险评估和风险管理1. 风险评估的重要性和方法:对企业内外部的各种潜在威胁进行评估,采用概率和影响的指标来量化风险,并确定优先应对的风险。
2. 风险管理的方法和工具:确定风险承受能力和风险管理策略,建立应急响应计划和业务恢复计划等。
三、业务连续性管理框架1. 业务连续性管理的要素和框架:包括风险评估、业务影响分析、应急响应计划、业务恢复计划等。
2. 框架的四个阶段:准备、应对、恢复和改进。
介绍每个阶段的具体内容和实施步骤。
四、应急响应计划1. 应急响应计划的制定和内容:建立组织和指挥结构、明确各职责和权限,制定应对程序和流程,包括人员疏散、物资供应、紧急事故处理等。
2. 应急响应演练和评估:定期进行实际情景演练,评估响应计划的有效性和完善度。
五、业务恢复计划1. 业务恢复计划的制定和内容:明确核心业务的恢复优先级、恢复时间目标和所需资源,制定恢复策略和操作指南,例如备份数据、备用设备、灾难恢复中心等。
2. 业务恢复计划的测试和验证:定期进行恢复演练和模拟,确保计划的可行性和有效性。
六、维护和改进1. 业务连续性管理的维护:通过定期评估和检查,确保业务连续性管理体系的持续有效运行。
2. 持续改进:根据实际经验和反馈,对业务连续性管理计划和措施进行持续改进和优化。
培训中将通过案例分析、实际操作和小组讨论等形式,让学员更深入地了解业务连续性管理的基本概念和方法,掌握实施业务连续性管理的技能,以提高企业的抗灾能力和业务稳定性。
通过这样一套全面的业务连续性管理培训计划,学员将能够从零基础开始,逐步了解业务连续性管理的理论知识和实践经验,掌握相关工具和方法,能够有效地评估和管理风险,制定适合企业的业务连续性管理框架和计划,并能在应急和恢复阶段快速有效地响应和恢复业务。
业务连续性管理培训教材(PPT 100页)
能最大限度发现低效的业务和平时无法揭露的隐患。
提前采取BCM 预防措施要比临时采取措施所花费的成 本低。
LOGO
BCM过程
BS7799所描述的BCM主要有以下要点:
业务持续计划首先是组织高层管理人员的首要职责,
因为他们被委任保护公司的资产及公司的生存;
制定和实施一个完整的业务持续计划应从理解自身
— 存在的问题 — 应对建议
LOGO
信息收集技术
讨论
调查问卷
访谈
开会讨论能够加速得出分析结论,同时要和各个部门进行激烈 的争论,最终达成一致的BIA结论。
调查问卷能提供大量的BIA分析数据。如果问卷填写不完整,会 降低调查信息的质量。
访谈能提供很好的信息,但是比较费时间,得到的信息的格式 和详细程度变化较大。
返回
LOGO
检测(Detection)
——检测意味着弄清是否出现了恶意代码、文件和目 录是否被篡改或者出现其他的特征;如果是的话,问 题在哪里,影响范围有多大。检测包括软件检测和人 工检测。
软人件工检检测测
—入必—abcde.....侵要面许用在出出用检的对多不非现现户测。今厂活工了了权软天商跃作不不限件的如或时是熟的、软此系间由悉提完件种统有系的升整缺系统文或可类性省 统 管 件 超以繁校账活理或级迅多号动员程用验速复登。创序户软地杂录建。权件检的。的限等测攻账的)桌击对号使面,。用应,系检急但统测响对和软应此邮件工无件(作如法服的杀解务成释毒器功。软的是件病非、毒常。 这f.些W软e件b服通务常器还主可页以或检其测他页出面W被in修do改w。s系统上是否秘密安装了后门 木g.马系程统序日。志出现一段时间的空白或擦除。
业务开始,进行业务影响分析和风险评估;
提前采取BCM 预防措施要比临时采取措施所花费的成 本低。
LOGO
BCM过程
BS7799所描述的BCM主要有以下要点:
业务持续计划首先是组织高层管理人员的首要职责,
因为他们被委任保护公司的资产及公司的生存;
制定和实施一个完整的业务持续计划应从理解自身
— 存在的问题 — 应对建议
LOGO
信息收集技术
讨论
调查问卷
访谈
开会讨论能够加速得出分析结论,同时要和各个部门进行激烈 的争论,最终达成一致的BIA结论。
调查问卷能提供大量的BIA分析数据。如果问卷填写不完整,会 降低调查信息的质量。
访谈能提供很好的信息,但是比较费时间,得到的信息的格式 和详细程度变化较大。
返回
LOGO
检测(Detection)
——检测意味着弄清是否出现了恶意代码、文件和目 录是否被篡改或者出现其他的特征;如果是的话,问 题在哪里,影响范围有多大。检测包括软件检测和人 工检测。
软人件工检检测测
—入必—abcde.....侵要面许用在出出用检的对多不非现现户测。今厂活工了了权软天商跃作不不限件的如或时是熟的、软此系间由悉提完件种统有系的升整缺系统文或可类性省 统 管 件 超以繁校账活理或级迅多号动员程用验速复登。创序户软地杂录建。权件检的。的限等测攻账的)桌击对号使面,。用应,系检急但统测响对和软应此邮件工无件(作如法服的杀解务成释毒器功。软的是件病非、毒常。 这f.些W软e件b服通务常器还主可页以或检其测他页出面W被in修do改w。s系统上是否秘密安装了后门 木g.马系程统序日。志出现一段时间的空白或擦除。
业务开始,进行业务影响分析和风险评估;
业务连续性运营管理
业务连续性运营管理目录•引言•背景•业务连续性运营管理的重要性•业务连续性运营管理的原则•业务连续性运营管理的步骤•业务连续性运营管理的关键考虑因素•结论引言在当前竞争激烈、环境变化迅速的商业环境中,保障业务连续性运营对企业的稳定发展至关重要。
业务连续性运营管理是指在面临各种突发事件或灾难时,企业能够保持商业运营的能力,并尽可能快速地从中恢复。
本文将介绍业务连续性运营管理的重要性、原则、步骤以及关键考虑因素。
背景在数字化时代,企业面临的风险和挑战日益增多,如自然灾害、恶意攻击、供应链中断等。
这些突发事件或灾难可能会导致企业的业务中断,无法正常运营。
因此,业务连续性运营管理成为了企业管理的重点之一。
业务连续性运营管理的重要性业务连续性运营管理对企业的重要性不可忽视。
首先,它能够确保企业在面临突发事件或灾难时能够迅速响应并恢复业务,减少损失和影响。
其次,通过建立业务连续性计划,企业能够提前规划和预防潜在的风险,保障持续运营的能力。
此外,业务连续性运营管理还能够提高企业的声誉和客户信任度,增加竞争力。
业务连续性运营管理的原则在进行业务连续性运营管理时,需要遵循以下原则:1.完整性:业务连续性计划应覆盖所有关键的业务功能和流程,确保企业的整体运营能力。
2.稳定性:业务连续性计划应基于稳定可靠的技术和设备,并定期进行测试和评估,确保其有效性。
3.适应性:业务连续性计划应能够适应不同类型的突发事件或灾难,并根据实际情况进行调整和改进。
4.持续性:业务连续性计划应定期进行维护和更新,保持与企业运营的一致性。
业务连续性运营管理的步骤实施业务连续性运营管理通常包括以下步骤:1.需求分析:了解企业的业务需求和关键功能,确定对中断的容忍度以及恢复业务的时间要求。
2.风险评估:评估现有的风险和威胁,确定潜在的业务中断风险,并进行风险优先排序。
3.业务连续性计划的制定:制定详细的业务连续性计划,包括应急响应措施、业务恢复策略、通信计划等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
袭击 •劫持人质恐怖
袭击 • 社会不安 • 个人袭击 • 核攻击 • 飞机劫持 • 电事故 • 网络恐怖主义 • 黑客袭击 • 车祸 • 受伤 • 火灾 •…
• …无限事件
Impact
• 城市功能丧失 • 不可接近建筑 物 • 网络中断 • 通信瘫痪 • 交通瘫痪 • 供电中断
• 合作商业务瘫 痪 • 核心人力损失 • 信息损失
BCP
学识习创改造S变未o命来ur运c,e知: BSI(2008)
BCM
业务连续性管理讲义
8. BCM的 构成因素
Policy (政策)
▪ 上位 水平的 BCP 政策,为全社范围的危机应 对和恢复业务的方针
People (组织) ▪ 平时 / 危机时 BCM 组织 体系
Process (业务) ▪ 灾害事前预防 及 正常时 BCP 运营程序 ▪ 紧急时迅速的业务恢复程序
Resource (资源)
▪ 紧急时为迅速地恢复业务所需要的资源 代替人力, 代替事业场, 装置/设备/需求, 信
学习改变命运,知 识创造未来
业务连续性管理讲义
9. BCM 动机
顾客需求 - 供求网管理上导入运营BCM - DELL, SONY, TOYOTA, GE 等 全球企业 外包管理上运营 BCM 竞争社 BCM 构筑 - 日本 制造商 25%(大企业 100%)正在引进BCM 或已结束(日本全部投资银行) - BSI BCM 认证(’09年 2月 22国家 取得140个公司认证,国内三星生命保险公司, 制造业三星SDI 最初取 - 顾客选择以稳定经营为基础的竞争社 公司损失降低 - 通过商务中断时间的缩短来降低损失 - 通过危机克服能力的启发来获得顾客的信赖感 风险管理 规定 - ISO/PAS22399 - Societal Security指南方针开始实行(2009 以后), KS认证 -关于为减轻灾害的 企业自律活动支援的法律(消防防灾厅, 2006)
商业 连续性规划
▪ BCM运营组织 ▪ BCM战略树立 ▪ BCM战略承认及文件化 ▪ 平常BCM运营活动
进程别 核心支援 (Critical Resources) 分析 进程复原所需资源(人力,建筑物,设备,信息等)
学习改变命运,知 识创造未来
通过价值链(Value Chain)的分析 具体体现
业务连续性管理讲义
10. 组织的理解 ; BIA to RA
价值链(Value Chain), 供应链(Supply Chain) 分析
全球 企业平均损失额: $ 1,010,536 /hour $16,842 /minute
Million (USD)/hr
学习S改ou变r命c运e ,:知 Deloitte
识创造未来
BCM
practice
report,
Network
computing,
业务连续性管理讲义
5. 现代社会风险和 BCM的进化
摩根士丹利的 5大 危机管理计划
- 紧急式 对策(Contingency Plan) - 业务连续性 计划(Business Continuity Plan) - 危机管理 交流(Crisis Communication) - 财务危机 分散管理(Hedging & Insurance) - 早期警报系统(Early Warning System)
学习改变命运,知 识创造未来
业务连续性管理讲义
7. BCM 国际标准: BS25999-2(2008)
Policy (政策)
People (组织)
Process (业务)
内B C M 化
文
组织的 理解
织
组
体
制
定
制
培训 检讨 维持管理
BCM 程序 管理
BC战略 决定
Resource (资源)
BCM 对应 开发 和 具体体现
- Black Swan”
业务连续性管理讲义
2. 商务 示例 ; Who, What, Result
WHO Perrier Johnson & Johnson
WHO
WHAT
-1991. 矿泉水内苯的存在 - 保健事故, 受伤, 没有死亡. -1982. 精神病者往胶囊里投放氰酸钾 -服用患者数名死亡
业务连续性管理讲义
6. BCM的 正义
BCM (业务连续性管理 ; Business Continuity Management)
为能给利害关系人带来影响的业务中断准备,在限制的时间内(RTO) 重新运营核心的商务 机能 ,(Critical Activity)树立全社性的的政策及系统(BCP)并履行的经营活动(BCM)
业务连续性管理讲义
学习改变命运,知 识创造未来
2021年2月28日星期日
现代社会的风险和连续性 BCM(商务 连续性管理)
学习改变命运,知 识创造未来
业务连续性管理讲义
1. 对于现代社会风险的技术
Peter F. Drucker(1969) “未来是拿旧理论和电影剧本不可能分析的情况 普遍化变化的时代”
业务连续性管理讲义
3. 911 恐怖事件和 摩根士丹利
摩根士丹利 911 恐怖事件 发生时通过实时 BCP 运转 提供了完善的 客户服务
恐怖事件次日上午9点30分首席执行官紧急记者招待会内容
- 大部分职员生存.(3500女 职员中15名 失踪) - 发生不足1亿 美元 损失(保套利交易) - 全世界 摩根士丹利 支店 正常早上9店开始营业
有限事件
Support Process Core Process
人力
Business Consequence
资产
电脑 大楼 通信
财务
伴
顾客/伙
销售
制造
产品规划
物流
研究开发
技术
人事
保密
服务
机械设备,动力
为保护顾客的选择与集中
学识习创S改造o变未ur命来c运e,知: Deloittee. – Risk Intelligence in the Age of Glo业b务al连U续nc性e管rt理ai讲n义ty
→ 保留, 监控
仓库内库存减少 财物损坏
→ 减少, 回避, 预防
low
发生可能性
high
low
学识S习创o改造u变未rc命来e运:,知Marsh, Risk Alert,2004
业务连续性管理讲义
10.组织的理解 ; BIA to RA
Event
• 飓风
• 地震 • 炸弹恐怖袭击 • 台风,洪水 • 生物化学恐怖
11. 商业恢复 (Biz Resumption) 战略
事业停止 危险因素
风险识别 业务停止设想
受伤 不可接近事业场
系统支援中断 重要资源损坏 合作商支援中断
学识习创改造变未命来运S,o知urce : BSI BS25999 BCM
风险预防
组织恢复力
业务恢复时需要的资源
BCP构筑战略
代替人力 (People) 事业设施 (Premises) 备份系统 (Technology) 重要信息 (Vital Records) 外包商 (3’rd Party)
业务连续性管理讲义
BCM组织 人力恢复 设备恢复, 代替事业场 灾害恢复系统 信息管理 合作商连续性管理 其他教育, 保险等 BCP 运营战略 构筑期推进课题 定期运营方案
12. 业务连续性规划(BCP)
使用者等级(Level)
结构(Structure)
内容(Contents)
[Gold Strategic]
学习改变命运,知 识创造未来
业务连续性管理讲义
10. 组织的 理解 ; BIA to RA
BIA (Business Impact Analysis ; 商务影响分析)
导出创造价值高的活动领域内的进程 ;
按照运营, 支援, 战略方面导出
进程的中断带给整个商务的影响度评价 ;
低频率, 高深度风险的影响推断(例: 地震,火灾 等)
1990
1995
1999
2000
2001 2004
2005
2008
Kobe Earthq. 社会机能复原 重要灾难信息
WWW 实时网络存储
ERM 管理内部 监控器
பைடு நூலகம்
BCM 总的商务 风险管理
DRP 灾害复原计划
Y2K 业务进程的再设计
(BRP)
WTC Terrorism Black Swan 设想
南亚 地震海啸 飙风
WHAT
Nokia
-2000. Philips 因为火灾 RFC 供给中断
Ericsson
-2000. Philips 因为火灾 RFC 供给中断
RESULT
-损坏了形象 丧失了可靠性和商务机会 -Evian让出了领头的位置与 Nestle合并 -市场的可靠性和形象向上 -短期内 再夺回 MS 1位
RESULT
-产品生产没有差错. -MS 1位 维持 -一些产品生产中断 -handset 事业中断 后与 Sony 合并
类似点
不同点
学习改变命运,知 识创造未来
COMPARISON
-社内未发生财物损失(火灾, 洪水, 机器事故 等) -在价值链 (Value Chain)内发生的 任意事故(Something) -对于 发生可能性(Probability) 考察 -报告命令(Communication), 措施(Action), 恢复/复原(Recovery/Resilience) 能力 差异
地区 大灾害
Source : Gartner, BCM Today
现代社会的风险
学习改变命运,知 识创造未来
袭击 • 社会不安 • 个人袭击 • 核攻击 • 飞机劫持 • 电事故 • 网络恐怖主义 • 黑客袭击 • 车祸 • 受伤 • 火灾 •…
• …无限事件
Impact
• 城市功能丧失 • 不可接近建筑 物 • 网络中断 • 通信瘫痪 • 交通瘫痪 • 供电中断
• 合作商业务瘫 痪 • 核心人力损失 • 信息损失
BCP
学识习创改造S变未o命来ur运c,e知: BSI(2008)
BCM
业务连续性管理讲义
8. BCM的 构成因素
Policy (政策)
▪ 上位 水平的 BCP 政策,为全社范围的危机应 对和恢复业务的方针
People (组织) ▪ 平时 / 危机时 BCM 组织 体系
Process (业务) ▪ 灾害事前预防 及 正常时 BCP 运营程序 ▪ 紧急时迅速的业务恢复程序
Resource (资源)
▪ 紧急时为迅速地恢复业务所需要的资源 代替人力, 代替事业场, 装置/设备/需求, 信
学习改变命运,知 识创造未来
业务连续性管理讲义
9. BCM 动机
顾客需求 - 供求网管理上导入运营BCM - DELL, SONY, TOYOTA, GE 等 全球企业 外包管理上运营 BCM 竞争社 BCM 构筑 - 日本 制造商 25%(大企业 100%)正在引进BCM 或已结束(日本全部投资银行) - BSI BCM 认证(’09年 2月 22国家 取得140个公司认证,国内三星生命保险公司, 制造业三星SDI 最初取 - 顾客选择以稳定经营为基础的竞争社 公司损失降低 - 通过商务中断时间的缩短来降低损失 - 通过危机克服能力的启发来获得顾客的信赖感 风险管理 规定 - ISO/PAS22399 - Societal Security指南方针开始实行(2009 以后), KS认证 -关于为减轻灾害的 企业自律活动支援的法律(消防防灾厅, 2006)
商业 连续性规划
▪ BCM运营组织 ▪ BCM战略树立 ▪ BCM战略承认及文件化 ▪ 平常BCM运营活动
进程别 核心支援 (Critical Resources) 分析 进程复原所需资源(人力,建筑物,设备,信息等)
学习改变命运,知 识创造未来
通过价值链(Value Chain)的分析 具体体现
业务连续性管理讲义
10. 组织的理解 ; BIA to RA
价值链(Value Chain), 供应链(Supply Chain) 分析
全球 企业平均损失额: $ 1,010,536 /hour $16,842 /minute
Million (USD)/hr
学习S改ou变r命c运e ,:知 Deloitte
识创造未来
BCM
practice
report,
Network
computing,
业务连续性管理讲义
5. 现代社会风险和 BCM的进化
摩根士丹利的 5大 危机管理计划
- 紧急式 对策(Contingency Plan) - 业务连续性 计划(Business Continuity Plan) - 危机管理 交流(Crisis Communication) - 财务危机 分散管理(Hedging & Insurance) - 早期警报系统(Early Warning System)
学习改变命运,知 识创造未来
业务连续性管理讲义
7. BCM 国际标准: BS25999-2(2008)
Policy (政策)
People (组织)
Process (业务)
内B C M 化
文
组织的 理解
织
组
体
制
定
制
培训 检讨 维持管理
BCM 程序 管理
BC战略 决定
Resource (资源)
BCM 对应 开发 和 具体体现
- Black Swan”
业务连续性管理讲义
2. 商务 示例 ; Who, What, Result
WHO Perrier Johnson & Johnson
WHO
WHAT
-1991. 矿泉水内苯的存在 - 保健事故, 受伤, 没有死亡. -1982. 精神病者往胶囊里投放氰酸钾 -服用患者数名死亡
业务连续性管理讲义
6. BCM的 正义
BCM (业务连续性管理 ; Business Continuity Management)
为能给利害关系人带来影响的业务中断准备,在限制的时间内(RTO) 重新运营核心的商务 机能 ,(Critical Activity)树立全社性的的政策及系统(BCP)并履行的经营活动(BCM)
业务连续性管理讲义
学习改变命运,知 识创造未来
2021年2月28日星期日
现代社会的风险和连续性 BCM(商务 连续性管理)
学习改变命运,知 识创造未来
业务连续性管理讲义
1. 对于现代社会风险的技术
Peter F. Drucker(1969) “未来是拿旧理论和电影剧本不可能分析的情况 普遍化变化的时代”
业务连续性管理讲义
3. 911 恐怖事件和 摩根士丹利
摩根士丹利 911 恐怖事件 发生时通过实时 BCP 运转 提供了完善的 客户服务
恐怖事件次日上午9点30分首席执行官紧急记者招待会内容
- 大部分职员生存.(3500女 职员中15名 失踪) - 发生不足1亿 美元 损失(保套利交易) - 全世界 摩根士丹利 支店 正常早上9店开始营业
有限事件
Support Process Core Process
人力
Business Consequence
资产
电脑 大楼 通信
财务
伴
顾客/伙
销售
制造
产品规划
物流
研究开发
技术
人事
保密
服务
机械设备,动力
为保护顾客的选择与集中
学识习创S改造o变未ur命来c运e,知: Deloittee. – Risk Intelligence in the Age of Glo业b务al连U续nc性e管rt理ai讲n义ty
→ 保留, 监控
仓库内库存减少 财物损坏
→ 减少, 回避, 预防
low
发生可能性
high
low
学识S习创o改造u变未rc命来e运:,知Marsh, Risk Alert,2004
业务连续性管理讲义
10.组织的理解 ; BIA to RA
Event
• 飓风
• 地震 • 炸弹恐怖袭击 • 台风,洪水 • 生物化学恐怖
11. 商业恢复 (Biz Resumption) 战略
事业停止 危险因素
风险识别 业务停止设想
受伤 不可接近事业场
系统支援中断 重要资源损坏 合作商支援中断
学识习创改造变未命来运S,o知urce : BSI BS25999 BCM
风险预防
组织恢复力
业务恢复时需要的资源
BCP构筑战略
代替人力 (People) 事业设施 (Premises) 备份系统 (Technology) 重要信息 (Vital Records) 外包商 (3’rd Party)
业务连续性管理讲义
BCM组织 人力恢复 设备恢复, 代替事业场 灾害恢复系统 信息管理 合作商连续性管理 其他教育, 保险等 BCP 运营战略 构筑期推进课题 定期运营方案
12. 业务连续性规划(BCP)
使用者等级(Level)
结构(Structure)
内容(Contents)
[Gold Strategic]
学习改变命运,知 识创造未来
业务连续性管理讲义
10. 组织的 理解 ; BIA to RA
BIA (Business Impact Analysis ; 商务影响分析)
导出创造价值高的活动领域内的进程 ;
按照运营, 支援, 战略方面导出
进程的中断带给整个商务的影响度评价 ;
低频率, 高深度风险的影响推断(例: 地震,火灾 等)
1990
1995
1999
2000
2001 2004
2005
2008
Kobe Earthq. 社会机能复原 重要灾难信息
WWW 实时网络存储
ERM 管理内部 监控器
பைடு நூலகம்
BCM 总的商务 风险管理
DRP 灾害复原计划
Y2K 业务进程的再设计
(BRP)
WTC Terrorism Black Swan 设想
南亚 地震海啸 飙风
WHAT
Nokia
-2000. Philips 因为火灾 RFC 供给中断
Ericsson
-2000. Philips 因为火灾 RFC 供给中断
RESULT
-损坏了形象 丧失了可靠性和商务机会 -Evian让出了领头的位置与 Nestle合并 -市场的可靠性和形象向上 -短期内 再夺回 MS 1位
RESULT
-产品生产没有差错. -MS 1位 维持 -一些产品生产中断 -handset 事业中断 后与 Sony 合并
类似点
不同点
学习改变命运,知 识创造未来
COMPARISON
-社内未发生财物损失(火灾, 洪水, 机器事故 等) -在价值链 (Value Chain)内发生的 任意事故(Something) -对于 发生可能性(Probability) 考察 -报告命令(Communication), 措施(Action), 恢复/复原(Recovery/Resilience) 能力 差异
地区 大灾害
Source : Gartner, BCM Today
现代社会的风险
学习改变命运,知 识创造未来