BCM是一套一体化的管理流程,能够对潜在的灾难加以辨别分析,帮助企业确 定可能发生的冲击对企业运作造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来损失,在冲击发生的前、中、后采取相应的 措施,使其对业务的影响最小化。BCM提供了建立一个弹性企业的框架和有效响应能力来保护企业股东的利益、企业的名誉、品牌和创造的价值,还能够为企业增 强它对于业务中断及恢复提供战略和操作层面的框架。总的来说,BCM含盖了危机管理、风险管理、灾难恢复、设施管理、供应链管理、质量管理、安全管理、知 识管理、应急管理、沟通和公关、人力资源管理、环境管理等内容。值得注意的是,BCM不是一项单一的技术,而是由业务自身驱动的综合技术、管理的系统工程
一体化流程
BCM是一个一体化的动态管理流程,它必须根据情况适时更新并保持有效,其生命周期可用以下六个阶段来描述。
第一阶段:BCM项目管理
确定业务持续管理过程的需求,向高级管理层汇报并获得高级管理层的批准;建立一个BCM指导委员会和危机管理小组(CMT),确定角色和职责、 机构的类型以及成员;制定BCM项目计划和预算;协调和组织管理BCM项目使其符合时间和预算的限制;制定BCM程序管理的有关规定、标准和指导方针,以 对项目进行有效评估、控制和审计,使BCM项目管理贯穿于整个BCM过程。
第二阶段:熟悉和理解业务
明确业务目标,识别关键业务流程,以及业务流程得以实现的关键因素;进行风险分析(RA),识别可能造成关键业务中断的灾难、具有 负面影响的事件等因素,可控的风险与控制范围以外的风险,确定由这些风险可能造成的直接经济损失;确定业务系统的弱点,明确防范控制风险种类的技术和管理 措施;确定业务中断的影响程度,进行业务冲击分析(BIA),识别关键业务以及业务的优先级,识别由于业务中断造成的直接和间接后果,确定可以接受的损失 范围,关键业务恢复的优先顺序以及恢复时间目标(RTO)。
风险控制的模式
恢复时间目标(RTO)
第三阶段:制定业务持续策略
确定和指导业务恢复运行策略的选择,以便在恢复时间目标范围内恢复业务和信息技术,并维持机构的关键功能,应该强调的是灾难恢复时间目标RTO 必须考虑成本,确定当前系统恢复能力与恢复时间目标的差距;结合风险分析和业务冲击分析的结果确定灾难恢复所需的各种资源,结合技术手段、投 资成本、管理方式、获得的收益等多方面因素确定不同的解决方案和措施,形成组织BCM策略、过程层面BCM策略、资源恢复BCM策略三个层次的业务持续策略。
灾难恢复的目标(RTO)必须考虑成本
第四阶段:开发并执行业务持续计划
确定计划制定的需求,识别和定义主要计划要件的格式和结构,建立计划分发和控制规程,根据制定的策略,设计、制定和实施一系列的业务持续性计划 以便在恢复时间目标范围内完成恢复。包括业务持续计划(BCP)、危机管理计划(CMP)、资源恢复计划(RRP)、灾难恢复计划(DRP)、业务恢复计 划(BRP)、危机通信计划(CTP)、场地撤离计划(FEP)、应急反应计划(ERP)、人力资源计划(HRP)等等(不仅限于此),每一项计划的侧重点不同,可以彼此作为附件,要根据具体情况因地制宜开发,其核心都是有效的保障业务持续运行。
开发并执行业务持续计划
第五阶段:建立并形成BCM文化
确定意识培养和培训的目标,制定针对管理层、关键岗位、新员工岗前和现有员工意识培养计划,提供专业会议和课程、出版物和相关的互联网站点等各种类型的培训项目,建立对机构人员进行意识培养和技能培训的项目,将BCM融入常态管理,以使业务持续性计划能够得到制定、实施、维护和执行。
第六阶段:计划演练、维护和审计
对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果,检验企业的BCM能力及水平,并不断改进,确保BCM及水平保持着有效及实用性并符合业务的要求。通过与适当标准的比较来验证BCM的效率,并使用简明的语言报告验证结果。