6、BCM战略/策略; 7、适用性声明; 8、培训计划; 9、事件管理计划; 10、业务连续性计划;
11、SLA、合同和其他依据。
业务连续管理(BCM)十大最佳实践标准 收藏 1.项目启动和管理
确定业务连续性计划(BCP)过程的需求,包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。 2.风险评估和控制
确定可能造成机构及其设施中断和灾难、具有负面影响的事件和周边环境因素,以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。 3.业务影响分析
确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相关性以便确定恢复时间目标。 4.制定业务连续性策略
确定和指导备用业务恢复运行策略的选择,以便在恢复时间目标范围内恢复业务和信息技术,并维持机构的关键功能。 5.应急响应和运作
制定和实施用于事件响应以及稳定事件所引起状况的规程,包括建立和管理紧急事件运作中心,该中心用于在紧急事件中发布命令。 6.制定和实施业务连续性计划
设计、制定和实施业务连续性计划以便在恢复时间目标范围内完成恢复。 7.意识培养和培训项目
准备建立对机构人员进行意识培养和技能培训的项目,以便业务连续性计划能够得到制定、实施、维护和执行。
8.维护和演练业务连续性计划
对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果。制定维持连续性能力和BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证BCP的效率,并使用简明的语言报告验证的结果。 9.公共关系和危机通信
制定、协调、评价和演练在危机情况下与媒体交流的计划。制定、协调、评价和演练与员工及其家庭、主要客户、关键供应商、业主/股东以及机构管理层进行沟通和在必要情况下提供心理辅导的计划。确保所有利益群体能够得到所需的信息。 10.与公共当局的协调
建立适用的规程和策略用于同地方当局协调响应、连续性和恢复活动以确保符合现行的法令和法规。
制定完备的业务连续性计划
《世界商业评论》ICXO.COM ( 日期:2004-04-27 18:03)
四、指标定义
在危险评估和业务影响分析阶段之后,保持业务连续的基础业务就已经显现出来。我们在上面已经说过,按照业务术语可将企业的业务功能分成4类,即关键业务、基础业务、必要业务和有利业务。
这种分类可以让业务连续的优先顺序十分清晰,这样,业务恢复的目标就可以用下面的指标进行量化: ●恢复的时间目标(RTO)——最大可允许中断时间
●恢复的时点目标(RPO)——数据损失可允许的最远回溯时点 ●由于引进了BCP的评测指标而导致的企业性能退化 ●实施BCP的成本 【第二部分】 技术需求
一、可用的技术选择 A.存储与服务器解决方案
●传统备份——就是对服务器数据进行备份,然后将备份磁带送至一个安全的备选场所 ●RAID——是一种有效的冗余解决方案。根据需要,可以选择适当级别的RAID。
●远程日志——是搜集各种工作记录和日志并将它们传送到一个远程场所的处理过程。这一过程可以实时进行,即同步传送纪录,也可以将记录存档然后定期传送。这一过程不会更新数据库,只是传送日志,因此恢复就能够回溯到最近的传送时点。这几乎意味着没有数据损失。远程日志并不是一种独立的方法,它需要一个起点,亦即应用到日志的那个点。
以下几个部分本报在以前的报道中有过充分的描述,此处不再赘述。
●异地备份
●磁盘复制(镜像和映射) ●后备系统
●虚拟存储(NAS和SAN) B.网络解决方案
●Hot Network Nodes——即在备选场所拥有一个可运营的网络。
这个网络可以经常进行功能监控,因而能够节省灾后设置和测试网络的时间。
●VPN——可用于远程恢复。VPN在公用网络上运行,并允许接入企业网络。一旦接入企业网络,它的特性就像是在Internet上的企业的Intranet。当灾难发生时,VPN允许恢复团队甚至在尚未到达备选场所之前就可以开始在恢复服务器上进行恢复工作。 二、实施
不同类型的IT系统或业务流程也将决定实现BCP目标的技术手段。根据业务影响分析制定出实际的技术方案是很重要的。
1台式电脑——虽然它们通常对BCP不会产生影响,但如果必要,台式机也应该包括进BCP中。应当指导台式机用户备份他们的数据。如果这不是可以接受的方式,那么就可以使用网络磁盘。网络磁盘可以经常进行备份,然后将备份介质送达至某个异地存储场所。
2软件及其许可证——这些资源因为最初是花了不少的投资获得的,因此必须加以备份并保存到异地存储场所。
3 LAN——复原要求网络配置以及所有的设备都必须记录在案。在主要场所被破坏后,后备场所的LAN应该与原来的LAN设置保持一致。
4服务器——服务器一旦遭受损失,后果是极为严重的。所以应采取异地备份、RAID、远程日志、虚拟存储等方法。
5网站——网站很容易受到黑客的攻击,所以必须实施安全控制。网站的文档、配置、应用代码都需要快速恢复。恢复过程中,有可能需要具有不同IP地址的后备网站,因此在进行网站设计时就应该考虑到这一点。 6业务流程——在进行业务流程设计时应该考虑冗余设计。比如银行系统除了柜台交易外,还应该设计好电话银行和网上银行。构建冗余系统需要额外的成本,所以企业主要应该为其最经常使用的业务或最赢利的业务流程实施冗余设计。
有关支持BCP的技术保障措施,请读者参阅本专刊的《BC基石论》。
【第三部分】 如何制定一个BCP 一、典型内容
下面我们给出一份较典型的业务连续性计划大纲。业务连续性计划既可以分成几个单独的计划:即预防、响应、业务接续、业务恢复和复原计划,也可以由每一个这样的计划构成总的计划书中的不同章节。 1.基本项目 ●目的
制定计划的目的必须加以说明。还应该说明即划分几个阶段试时,每个阶段所要实现的目标是什么。 ●范围
说明有哪些部门和运营业务需要实施BCP。如果一个BCP只针对某些灾难而非全部灾难,则需要针对这些特殊灾难制定专门的实施处理脚本。 ●必备条件/前提条件和限制因素
形成一份BCP的前提条件需要在此说明。在某些情况下,还须说明BCP成功的必备条件。比如说,服务器的数据备份间隔不得超过多少小时,受过训练的运营恢复团队必须呼之即来,备选场所必须在灾难发生之后多少小时之内一切准备就绪等等。
如果BCP计划的执行还存在一些限制条件的话,也应在此列出。 ●团队
BCP团队的组织/负责人选、下属哪些分支团队、团队的作用和责任等,都必须在此说明。 ●指标
作为一种策略,企业必须由用于恢复的RPO和RTO指标,以及性能指标等,这些指标应该在此加以说明,并向客户和股东说明。 2.预防保护
作为BCP中的一个实施部分,预防措施需要在此说明。这些措施可以概括如下: ●监督 ●访问控制
●身份认证 ●防病毒 ●过滤
●入侵检测系统 ●备份计划 3.紧急响应 ●响应的准备
在响应阶段需要哪些资源应当在此列出,同时详细申明这些资源的配置和所需数量。如果还需要一些文档和记录的硬拷贝,也必须在此申明。 ●告知树 ●危险评估 ●何时对外宣布 ●激活BCP的关键标准 4.业务接续
从紧急响应阶段到业务接续阶段如何进行衔接是需要在这里说明的。有关业务接续运营的决策过程、在哪里以及怎样进行业务接续、需要采取什么行动,以及接续哪些业务到何种程度等等,都需要在此加以说明。还要为BCP团队中的各个小组指定各自应该采取的行动,每个小组要完成指定的任务。BCP中的这一部分也称为业务接续计划(BRP)。 5.业务恢复
执行业务恢复的程序在此加以说明。BCP的这一部分也可称为灾难恢复计划(DRP)。
这一部分计划文档的组织可以有很多种方式。一种方式就是简单地列出所有的恢复目标(按照RPO、RTO、目标服务器/网络等来列)。根据每一目标进行计划分解,同时明确相应的团队/负责人以及任务。还有一种方式就是按部门来组织。无论采用哪种方式,都应确保所有的BCP目标都能覆盖到。
计划的这一部分必须编排得像一本操作手册,由一系列简单明确的指令构成,恢复团队完全可以按照这些指令进行恢复操作。各种操作之间的相互关系也必须加以明确说明。所有的指令和说明必须明白无误,以免因可能引起误解或不明了而导致时间损失。
6.复原
为业务运营复原原有场所应采取的步骤在此加以说明。需要标明每个团队/负责人的责任和任务。 二、BCP的测试
制定好的BCP需要进行适当地测试才能投入使用。这一过程必须经常周期性地进行。省略了这一过程就意味着BCP只能等灾难实际发生之后进行实地测试,这样做的风险太大,恐怕任何一家企业都不敢做这种尝试。 规划一次BCP测试需要规定以下事项:
●测试脚本——将可能发生的灾难定义为测试的一个部分。
●测试计划——定义检查程序、各种测试脚本、任务的类型、任务的参与者,比如说主要团队或者主要团队与预备团队的混合行动。
简而言之,在测试BCP时,需要执行下列行动
●准备一份测试计划,选择测试脚本,说明预期要达到的结果。 ●执行该计划 ●记录测试结果
●评估测试结果,报告存在差距 ●将测试结果和报告向团队公布 ●确认需要做何改进以弥补差距 ●培训团队 三、BCP的维护
一个BCP必须周期性地加以检查和维护。一旦有新的系统、新的业务流程、或者新的商业行动计划加入企业的生产系统或者信息系统,引起企业整体系统发生变化时,就更应该强制启动这种检查程序。除此之外,像联系人名单的更改这样微小的变动都可能触发BCP计划的更新。
每一次在进行这种检查程序时,最好是与对BCP的改进相互结合。例如,在测试过程中发现的问题、企业为了实现连续性对机构所作的调整,或者在保持业务连续性测试时发现了更好的行动方式和计划等等。因此,BCP的维护应该是变化和改进的结合与不断促进。
每一次对BCP计划所作的改动都应该及时通知所有的BCP团队,并具体落实到每一次的培训和测试过程中去。
最后,与业务连续性相关的资源——人和设备——也会受到维护的影响。人员会通过培训和测试程序受到影响,设备会通过维护程序受到影响。只有当这些资源始终处于良好状态,才能在危机发生时成为可靠和可依赖的资源。
用BS 25999来规范BCM
2008-12-17 10:28:47 业界 | 评论(0) | 浏览(146)
近年来,恐怖活动、种族冲突、SARS、禽流感、海啸、雪灾、地震等各种天灾人祸,使不少企业陷入困境。面对这些灾难,企业高层和管理人员如何未雨绸缪,妥善应对这些冲击呢?
简单的灾难备份是远远不够的,答案只有一个:进行业务持续性管理,即BCM。而全球业务持续性管理框架标准——BS 25999为企业提供了构建BCM的指南。 BS 25999把业务持续性管理框架分成六个部分,分别为BCM管理程序、理解组织、决定BCM战略、开发并实施BCM响应计划、演练维护和评审回顾以及把BCM植入企业文化。现以一家虚拟冷冻食品运输企业——FOOD公司来说明BS 25999的方法论。
首先是BCM策略的制定。FOOD公司考虑企业发展战略、股东和相关利益方的要求,制定了策略,那就是确保食品配送业务连续。 BCM管理程序
该部分包括职责的分配,在组织中实施和持续管理。FOOD公司只有100人左右,规模不大,所以在治理架构中明确了BCM的责任人David。David负责制定BCM方针文件,推动实施BCM,与相关的利益方定期沟通,了解要求,汇报状况,持续改进。
了解你的组织
了解组织的产品和服务,识别关键活动,搞清楚其供应链上的依赖关系。企业业务类型不同,所处的自然和市场环境不同,为了评估危机发生时可能面临的冲击,企业必须找出其赖以生存的关键业务。
David进行业务冲击分析,发现FOOD公司的关键服务是冷冻库以及车辆运输,而运输又有部分是依赖于外部的供应商,这些供应商基本都是个体运输者。接着通过风险评估,David发现FOOD面临的最大风险是冷冻机故障和道路中断。由于产品的特点和客户的要求,David得出了可接受的业务恢复目标时间(RTO)为一天。 那么在一天之内是完全恢复供应还是恢复部分超市的冷冻食品供应呢?这取决于公司及客户合约的要求。David对于冷冻机故障采取了处理对策,而对于道路中断通过购买保险转移了风险。 确定BCM战略
找出业务最大容忍的中断时间以及最低可以接受的服务水平,这是非常关键的一步,这不但意味着要满足行业监管和利益相关方的要求,也意味着资源的投入,包括人员、场所、设备、技术、供应商等。
David定义了冷冻机最大容忍中断为4小时,响应的策略包括:建立备用的小型冷库;与冷冻机供应商的合约要求配件的响应时间和冷冻机功能恢复时间;电力供应除了签约更多的供应商外,也准备了自己的发电机。 开发和实施BCM响应
根据企业规模的大小,可能有一个或多个连续性的计划。针对不同业务的特殊部分或者特殊的场所和情形,计划要详细而不冗长,可读可执行,包括事件的应急处理计划、连续性计划和灾难恢复计划等内容。
David制定了冷冻机故障的应急计划,包括供应商及时通知修理、停顿超过两小时就启动连续性计划、启用备用的冷库、通知供应商运输线路改变以及斟酌是否告知客户FOOD面临的状况。 演练维护和评审
通过演练证明BCM的计划是有效的,并不断维护保持更新。新的灾难场景和新的业务类型都会造成BCM的改变。
为了模拟冷冻机故障发生的情形,David按照业务连续性计划,首先通告了董事长,通知供应商前来修理。供应商排除了冷冻机机械故障的原因,认为是电力供应的问题。这样就触发了另一个电力中断的应急预案,紧急发电,电力公司反馈两小时内无法恢复供应。于是通知董事长,并决定启用备用冷库,通知本区域运输供应商运输路线更改,都先到故障冷库取货,新送来的食品存入备用冷库。两天后电力供应恢复,但David仍然坚持留在备用冷库把应急储存的食品运输完后,才通知供应商返回原来的冷冻库取货。通过这次演练,David发现柴油发电机的油量储备不够,仅供柴油发电机组运行一个多小时,导致备用库的食品变质。另外,部分供应商没有及时得到冷库位置变更的通知,使得故障冷库的食品没有按照预定时间取完,以上两方面原因造成的损失是部分食品解冻变质。
在这个部分有几个概念,应急计划、连续性计划和灾难恢复计划,它们的目的和作用不同,启动条件也不同。 把BCM植入组织文化
BCM应对的就是小概率、大灾难事件,必须通过不断的意识培训和演练来加强全体员工的应变能力。BS 25999标准强调,必须要让BCM深入企业成为企业文化的一部分,才能达到企业永续经营的目标。
经过BCM生命周期的策划、执行和演练,FOOD公司已成为当地最值得信赖的冷鲜食品储存和运输商,并且通过收购、租赁和自建相结合,着手建立全国的冷冻库和运输网络,把成熟的业务连续性管理经验复制到全国的网络。
今年的雪灾、地震、暴雨让我们认识到自然的威力,也让原来嘲讽杞人忧天的人们意识到灾难的确会发生。而只有那些未雨绸缪、事先做好应对准备的,当灾难发生时,启用应急计划、业务连续性计划,让关键的业务不会因此中断,进而适时启动灾难恢复计划,让业务水平回到原来状况的企业,才可以成为百年企业。
业务连续性计划的编制
各位大侠,我在这里发这个东西,主要是抛一块砖,至于飞过来的是玉还是板砖都无所谓,只是最近在做业务连续性计划,觉得这是实施ISO27001的最后一个大BOSS。希望获得大家的指点,下面是我编制时参考的一些资料,首先申明很多是剽窃来的,感谢原作者的贡献,我只是把它再传播了一下。 浅谈应急预案的编制、维护和管理
1、现状及剖析
应急预案是应对突发事件的行动指南,是应急指挥过程中的决策依据。完善的应急预案是防止事件发生、缩小事件的影响范围、降低事件损失的有力措施和重要保证。
纵观国内应急预案的编制、维护和管理,或多或少存在着一些问题,有些组织甚至没有应急预案,这种现象在企业中尤为普遍。在预案的编制上,许多地方基本上实行“拿来主义”,将他人的预案改头换面,就成为自己的预案,预案内容不仅与自己的实际情况相去甚远,而且大多是华而不实。这样的应急预案既缺乏具
体的操作内容,又没有执行的细节,除了应付上面的检查,基本上没有实用价值。预案的管理流于形式,更缺乏对预案的维护。在欧美等西方发达国家,任何一个组织的预案,都具有很强的针对性。他们的预案都会经过事先分析,结合组织的特点、能力、资源等实际情况编制而成,预案力求简洁、实用;对预案的管理不求复杂,但求有效;他们对预案的维护更新尤为重视,以确保预案的实用价值。
对此,一些专家学者认为,这是由于东西方文化的差异造成的:
西方讲究的是“解决之道”,东方习惯于“化解之道”;西方崇尚“法”,东方崇尚“理”;西方判断问题的标准是“对与错”,而东方的衡量标准是“好与坏”。体现在应急预案上,西方的应急预案就事论事,不在乎预案的薄厚,而在乎预案是否有针对性、是否实用;而我们的应急预案洋洋洒洒、长篇大论,看似面面俱到,却缺乏实质内容。另外,中国传统文化中的 “塞翁失马焉知非福”、“以不变应万变”、“是福不是祸、是祸躲不过”等思想深入人心,许多人认为应急预案这个计划赶不上实际情况的变化,在思想深处对应急预案没有足够的重视,自然就不会下大力气编制预案,更疏于预案的维护和管理。
这种观点有一定的道理,但是,这不是造成这种现状的根本原因。我认为,不清楚如何编制、维护和管理应急预案,才是采取“拿来主义”、造成预案华而不实、或者根本就没有应急预案的根本原因。
2、应急预案的编制
应急预案的编制是一项系统性的工作,预案是应对突发事件的行动指南,不是“八股文”,因此,在编制应急预案时,只要围绕着预案对象,清晰地勾画出解决问题的可行之道就足以了。
预案编制包括以下几个阶段: 图 原编制的6个阶段
2.1 风险评估
风险评估是预案编制的基础。全面的风险评估包括内部和外部两个方面,缺一不可。评估的内容包括但不仅限于:
自然的、人为的、技术的或政治层面的风险 可以控制的与来自外部的不可控的风险
可能造成企业业务停滞的致命风险与影响企业业务发展的风险 有先兆的和没有先兆的风险 ……
风险评估技术比较成熟,有很多成熟的风险评估模型可供借鉴,组织可以参照这些评估模型和方法,建立自己的评估模型。对于大型组织,建议选用一款风险评估专业软件,以便提高风险评估的效率和准确度。如有必要,可以考虑引入外脑,协助自己完成风险评估。
对于识别出的风险,按照风险发生的概率、影响程度等进行风险排序和分类,确定主要风险,找出预防风险的防范措施和减缓风险的控制措施,同时要注意分析每个风险可能引发的衍生风险。比如,建筑物的火灾隐患,可以通过改建、加固等措施,降低火灾发生的概率;通过增加消防设施、调整设施布局等措施,控制火灾的范围,减轻火灾的损失。此外,火灾可能会引起人员伤亡、重要设施损毁、关键资料和数据的毁坏等衍生灾难。防止和减缓只能减少火灾发生的概率和损失,并不能完全消除火灾的发生,因此,针对火灾制定的应急预案,除了火灾事故应急响应预案、火灾事故应急救援预案之外,还需要制定针对衍生灾难的应急预案,如人员伤亡应急预案、数据恢复预案等一系列的应急响应、恢复与重建预案。
2.2 业务影响分析
完成主要风险识别后,还需要分析这些风险对组织业务的影响程度。
业务影响分析是确定由于中断和预期灾难可能对组织造成的影响,以及对这些影响的定量和定性分析,确定关键环节的相关性、恢复优先顺序,以便确定恢复的时限。业务影响分析包括:
2.2.1 对中断后果、中断对业务的影响和中断造成的损失的评估
中断的后果
中断后果评估内容包括:资产(人员资产、数据和信息资产、有形资产和无形资产)损毁或损失、提供产
品或服务的能力中断、违反法律法规、引起公众关注。 中断对业务的影响
包括经济影响、客户和供应商的影响、公共关系和组织信誉的影响、法律方面的影响、对环境的影响、对组织运作的影响、对人力资源的影响、对其他资源的影响。 对损失的定量和定性分析
定量分析包括:财产损失、收益损失、罚款、现金流、法律责任、人力资源、额外支出。
定性分析包括:人力资源、员工士气、对组织的信息和忠诚度、法律、组织的社会形象、在银行、证券等金融市场的信誉等级。
2.2.2 业务影响分析
数据收集
确定适合本组织的数据收集方法,如问卷、会谈、研讨会等。 确定量化和评估潜在的财务或非财务影响的方法。 确定对非量化的影响信息的需求。 设计调查问卷,完成问卷调查。 确定数据分析的方法(手工或计算机) 业务影响分析报告
业务影响分析报告是预案编制的基础,组织可以根据自己的实际情况确定报告的种类和报告内容,不同组织的报告格式和分发标准各不相同。
2.2.3 业务影响分析的结果
不同的组织因其业务特点不同,其关注点也各不相同。金融业关注的重点是数据的安全性及可恢复性;制造业关注的重点是生产安全和快速恢复生产;发电企业关注的重点是发电机组的正常运转;电网公司关注的重点是送电线路的通畅;政府部门关注的重点是社会的和谐稳定;……。尽管关注点各有不同,但对人员生命安全的关注,任何组织、在任何时候都应该将其放在首位。通过业务影响分析,组织应该对以下问题给出确切的答案:
哪些环节容易造成业务中断
中断对人员安全的威胁程度
组织中各业务功能的关键程度及优先顺序 恢复时限范围和最小资源需求 业务间的相互依赖关系 流程、设施和技术的依赖关系 ……
业务影响分析结果的正确与否,直接关系到各种预案的有效程度。为了保证业务影响分析的准确性,很多组织引入外部的专业机构,借助专业的工具软件(如Strohl Systems的BIA Professional)。外脑的使用,是为了提升专业水平;软件的应用,是为了提高分析的效率和精度。但是,无论采取哪种方式,都必须关注到组织中的每一个环节,尤其不能忽视细节,小小的细节引发大灾难的教训,比比皆是。
2.3 预案规划
包括应急策略制定,预案分类与框架,资源管理等。
2.3.1 应急策略
所有的策略、流程,都应该围绕着降低业务中断发生的概率、快速恢复以减少业务中断造成的损失、控制业务中断的影响范围、维护社会的和谐与稳定等目的。在制定这些策略、流程时,不能局限于组织内部,要有大局观,这是因为,有些业务中断事件的发生,受影响的不仅是组织内部,可能还会蔓延到周边地区,甚至会对国家的发展造成影响,有的还会引起国际争端。应急策略是应急的基本原则。应急策略应该包括:
事件分类分级原则:国家应急法律法规中,按照事件的发生过程、性质和机理将事件分为自然灾害、事故灾难、公共卫生事件和社会安全事件四大类,按照事件的性质、严重程度、可控性和影响范围等因素将事件分为四级:I级(特别重大)、Ⅱ级(重大)、III级(较大)和IV级(一般)。组织可以参考该分类分级原则,制定符合本组织特点的事件分类分级原则。分类分级是出于管理和处置的需要,定义要准确实用,避免歧义。
事件处置原则:包括应急响应处置原则,应急救援处置原则,以及恢复与重建处置原则。应急响应处置原则包括事件报告、现场紧急处置、现场事件初步评估等原则和处理流程,这是编制应急响应预案的基准。最大限度地降低人员的伤亡,是应急救援处置最基本的原则。尽快恢复关键流程、设施,以实现业务的早日正常化,是恢复与重建的原则。这些原则是编制各种应急预案的基准。
事件升级与上报原则:不同级别的事件的处理流程、权限、范围是不同的,因此,在事件分类分级的基础上,要明确每一类事件的升级标准,升级流程,以及升级后指挥权的移交。同样,对每一类事件的上报流程要做出规定:什么情况下逐级上报?什么情况下同时向各级上报?什么情况下越级上报?上报内容至少包含的要素有哪些?……。这些原则的建立,有利于事件的快速控制与处置。
备用场所与设施:是否需要备用场所?备用场所应该具备哪些条件?如何启用备用场所?哪些设施需要备份?备份数量?存放地点?备用设施启动原则?……。备用场所应具备在非正常状态时满足基本业务功能的条件,包括电力、通信、给排水、人员安置、基本设施等。备用设备、设施是保证基本业务快速恢复运转的必要备份。备用种类、数量应科学论证,即保证紧急状态之需,又避免浪费。此外,要制定备用场所、设备设施的维护保养计划,确保其发挥应有的作用。
事件发布原则:事件发布包括组织内部的事件通报、与供应商和客户的沟通、媒体信息发布。事件发布要及时、准确、透明,必须由专人/部门发布,切忌多渠道发布。对于容易引起社会问题的事件,应建立信息发言人制度,并密切关注网络传播的动向。对负面的或恶意信息如何应对,更需要事先制定出应对之策,以避免临时决策可能出现的失误。
事件损失评估原则:不同类型、不同级别事件的影响如何评估?谁来评估?评估报告的内容和格式?评估的时限要求?评估结果提交给哪些部门?评估结果的复核?……。及时、准确的评估报告,是现场指挥的决策依据,是灾后恢复与重建的重要参照,是保险理赔的重要凭证。因此,有些评估还需要考虑到评估结果的法律效力。
以上是应急策略的主要部分,组织在确立这些原则时,应设计出相应的表格,以规范和方便使用。要注重使用中的反馈意见,不断修正和完善这些原则和表格。
2.3.2 预案分类与框架
结合国家的法律法规,行业管理规定,以及企业内部的相关规定,结合事件类型,对预案进行分类。一般来说,预案可以分为:
现场事件处置预案 应急响应预案 应急救援处置预案 关键设施中断处置预案 关键业务流程中断处置预案 应用系统中断处置预案 危机管理预案 恢复与重建预案 媒体信息发布预案
针对每一类预案,规定预案的框架,即预案包含哪些内容,排列顺序,附件要求等等,实际上规定了每一类预案的目录,并对每一章节的内容进行简要的描述,最好还包括每一章节的布局以及预案整体的布局要求。
预案分类便于预案的管理,预案框架保证预案内容的规范和完整。
2.3.3 资源管理
资源是应急预案中不可或缺的组成部分。资源涵盖因事件造成损毁的资源和应急救援所需要的资源。前者是救援、恢复和重建的对象,后者是救援、恢复和重建所需要的保障。事实上,应急管理中的资源管理,是大部分组织的薄弱环节,这是因为组织资源的分散管理,资源信息和数据分布在不同的业务系统中,造成应急管理办公室难以获取全部的资源信息和数据,更难以得到最新的数据信息。由于资源管理的缺失或不完整,造成预案中相关内容的缺失或不准确,使得事件发生后不能迅速组织起有效的救援,从而造成事
件损失的进一步扩大。
欧美等西方发达国家十分重视应急过程中的资源管理,他们借助专业的工具软件,将所有与应急有关的资源全部纳入到应急管理系统中。应用最广、专业程度最高的就是Strohl Systems的LDRPS——实时灾难恢复规划系统。借助于这类专业软件,可以实现这些资源数据与组织中其他业务系统对应数据信息的即时交互,将分散在组织各个层面的、应急需要的所有资源如实导入到应急系统中,并随业务系统数据的更新而更新。因此,在预案编制、维护过程中就能够了解资源的真实情况,合理地利用资源;在应急指挥过程中,能够及时调配和调用资源。
应急过程中的资源管理包括了组织的绝大部分资源,也可能包含应急需要的组织外部的资源(如专业救援团队、公安、消防、医疗、气象等)。除了资产、设备等常规的资源,文档、合同、图纸、布局图等重要文件也是资源的一部分。资源包括:
资产:组织的固定资产。
设备:支撑企业运营的设备,如个人计算机、打印机、传真机、电话机等办公设备,磁带机、磁盘阵列等存储设备,视频会议设备,交换机、路由器等网络设备等。 软件:支持业务只能的通用软件,如操作系统、办公软件等 耗材:如电池、打印纸等低值易耗品。
电信:所有的通讯线路,包括电话线路、传真线路、微波、数据中继等。
关键记录:如供应商的供货与维护合同、保单、设备图、使用手册等等,这些记录可以是纸质的,也可以是存放在电脑、光盘、磁带中的电子文档。
工作场所:每一个工作场所的位置、功能、配备的设备等明细。
资源管理不仅要保证资源信息的准确,还要保证资源数据的安全。对资源信息安全等级的划分与管理,也是资源管理的重点。LDRPS在资源安全性方面,给管理者提供了非常灵活的安全管理模式,组织几乎可以设置到每一种资源的安全权限。
2.4 预案编制
预案的编制过程,是预案规划的落实过程。预案的编制遵循组织的“应急策略”,预案内容严格按照“预案分类与框架” 中的规定,预案中需要的资源来自“资源管理”中的数据。在编制预案之前,先明确以下问题,在预案编制过程中,要时刻检查这些问题是否得到落实:
目标是否明确? 任务安排是否合理? 团队职责是否清晰? 人员能力是否能够胜任? 资源配备是否合理?
使用的数据和信息是否最新的? 相互之间的依赖关系是否准确?
相对于预案规划来说,预案编制过程要简单许多。计划编制人员只需遵循预案规划中的预案编制原则,对每一项预案的目的、地点、任务、团队、资源等进行逐一落实,并指明关键组件之间的相互关系就可以了。预案编制过程既是对预案规划的落实,也是对预案规划的验证,发现问题应及时反馈给预案规划团队,以便对预案规划不断完善。
一般来说,预案由以下内容组合而成:
2.4.1 确定预案的基本信息
预案的基本信息包括预案的目的和目标、预案适用的范围、制定本预案的假设条件、本预案的执行策略、启动本预案的条件和程序、预案维护与测试说明,以及预案编制团队及人员分工。
预案的目的和目标描述的是预案付诸行动后,预期的结果是什么。如果有可能,还应包括应该恢复的区域以及这个预案需要处理的各种场景。同时还应描述如果该预案没有成功实施会造成什么样的后果。
预案适用的范围指定了该预案将要保护和恢复的资源或地点范围,以及应该响应的事件。清楚地界定计划的限制,描述如果事件的影响超出了计划的范围,由谁、如何上报该事件。
确认该预案范围所基于的假设条件,如具备有经验的雇员、资源支持或技术,进入备选地点的途径,当地政府的支持,相关计划的成功执行等。如果假设条件发生变化,预案的内容可能需要随之调整。
预案的执行策略描述如何有效地响应事件以及如何减轻或者控制突发事件的影响程度。确认当突发事件发生时,计划能以多快的速度实施。
启动预案的条件和程序给出了什么情况下、何时、由谁负责启动本预案的详细说明。这一点是非常重要的,一定要做到简洁明了,易于判断和执行。
预案维护说明描述了本预案在什么情况下必须进行维护,如有可能,应制定出预案维护日程安排表。
预案测试说明描述了如何对本预案进行测试,测试的目的及手段。如有可能,应制定出预案测试日程安排表。
预案编制团队及人员分工给出了每一个成员在预案编制中的责任,如专家负责提供专家意见和指导,预案编制员负责编写计划,预案负责人对预案的进度和质量负责,预案审核员负责预案内容的初审,预案评审员负责预案的最终审定。根据需要,每个职位可以安排一个或多个人员。
对于关键组件,如关键流程、关键设施和关键应用系统的恢复,除了要确定由哪些团队、哪些人执行哪些任务外,还需要明确这些关键组件与其他关键组件的依赖关系,例如:为了恢复内部办公系统,首先必须恢复内部网络;要恢复内部网络,必须先恢复内部网络服务器、网关等硬件设施。勾画出这些相关关系,将保证恢复工作有条不紊地开展。
2.4.2 预案中的地点、任务及团队
明确该预案针对的所有地点,为实现预案目标所必须执行的任务,执行这些任务的团队和人员,以及对人员能力的要求。
地点:几乎所有的应急预案都是针对某一特定地点的,这个地点可大可小,大到城市、办公大楼,小到房间、工位。地点信息包括地点名称、具体地址、用途、人员数量、负责人、GPS经纬度、布局图、疏散指南等内容,这些信息对人员疏散、救援是非常重要的。如有可能,尽量说明该地点有哪些设备、资产,存放了哪些重要文件和文档等信息,这些信息不仅是灾难损失评估的依据,而且在应急救援过程中可以知道那些必须抢救的东西有哪些?放在什么地方?有利于救援过程中的搜寻;在恢复重建过程中,这些信息能够帮助我们将该地点迅速复原到事件发生前的状态。
任务和子任务:任务是实现预案目标的步骤,是为完成一个目标而进行的一系列工作。子任务是对任务的进一步细化,以保证任务目标的顺利完成。指定完成该任务的团队,并为每一个子任务指派负责该子任务的团队职位,确保每个任务和子任务都有人负责。对每一个任务,还要说明该任务的优先权和规定完成的时间,对每一个子任务,同样要规定完成时间。
组建团队:团队是由几个人组成的、为完成一个共同的目标而一起工作的组织,是执行应急预案中的任务和子任务的小组,一个预案中可以有若干个团队。要明确团队中每个职位的责任,以及该职位对人员的要求,以确保每一个任务和子任务的顺利完成。
指定人员:为团队中的每个职位指派人员,负责完成分配给该职位的任务或子任务,实现责任到人。可以给一个职位指定多个人,比较关键的职位还应该有备用人选,以确保任务的顺利完成。这里的人员,不局限于组织内部的员工,可以根据需要安排外部(如供应商、客户、协作组织、专业团队等)人员。所有的人员必须具备该职位所要求的能力。
可以在人力资源库中用人员属性表示人员的能力。一个人员可以有多个属性。编制预案时,可以根据预案要求在人力资源库中搜索符合特定属性的人员。例如:在应对暴风雪灾害的应急预案中,需要调集有四驱越野车的人员执行救援任务,可以在属性中搜索“拥有四驱越野车”的人员;因地面交通瘫痪,只有那些乘坐地铁上班的员工才能担负起值守的任务,在属性中搜索“乘坐地铁”的人员;等等。人员属性在应急中的作用很大,建议大家在预案编制时充分利用这一信息。同样,在应急救援过程中,人员属性对指挥中心临时调集人员也有很大的帮助。
2.4.3 预案中的资源
不论是哪一类预案,在实施过程中都离不开资源的支持。事先明确每个预案中将要用到的资源是非常有用的。比如:在火灾应急预案中,我们要知道有哪些灭火装置?这些装置放在什么地方?参与救援的人员需要哪些防护设备?这些设备由谁负责保管?如果这些设备数量不足,可以从哪里调集?如果由供应商提供,该供应商的供货能力?最快多长时间能运送到现场?如果该供应商不能及时供货,还有哪些备用供应商可用?……。预案中不仅要列出所需资源的类型,还需要列明每个资源的名称、型号、用途等详细信息,以及所需资源的数量。
根据预案的目标,确定实现这一目标必须完成的任务和子任务;根据任务和子任务的特点,确定需要的资源及数量。任务与资源是相辅相成的,任务有变化则需要调整资源,资源不足则需要调整任务,最终做到资源与任务的匹配。
2.4.4 呼叫列表
与惯常使用的“联系方式”的不同之处是,呼叫列表不仅有每个成员的联系方式,还包含了成员彼此之间在沟通上的主次关系。
预案的实施由预案团队中的每一个人员执行分配给各自的任务来完成。为了保证预案中的所有人员能够及时有效地沟通,建立呼叫列表是非常必要的。
首先,定义呼叫列表的目的和用途,然后,建立呼叫列表的树状结构。每一个呼叫列表都有一个启动该呼叫列表的人,位于树状结构的顶端,一般称为“根呼叫人”,“根呼叫人”启动呼叫,并呼叫主干上的人员,这些人员称为“被呼叫人”。“被呼叫人”下面可能还会有位于分支上的“被呼叫人”。
树状结构可以清晰地看出信息沟通的路径与每一个呼叫节点的责任。为了确认呼叫成功,可以要求呼叫确认。还可以安排呼叫列表的被呼叫人启动另一个呼叫列表,例如,如果当一个灾难发生时,指挥中心负责人激活了应急小组负责人的呼叫列表,然后这些小组负责人再去启动各自团队的呼叫列表。这样一来,所有的呼叫列表就显得职责清晰、简洁明了,而不至于像蛛网般错综复杂。
将上述内容填写到预案框架中的对应位置,就完成了预案的编制工作,只要通过评审,就可以上报和下发了。
预案讲究的是实用,只要认真完成了以上内容,确保以上内容的完整性、细节的准确性、信息的实时性,就可以了。预案不需要华丽的修饰,过多的修饰反而会淹没主题。
2.5 预案评审
预案编制完成后,提交评审人员对预案内容进行评审,评审的目的是检查预案是否按照指定的标准编写。
预案提交评审之前,应先确认:
组织是否建立了正式的预案评审政策,并确认评审时间、参与评审的人员及评审流程都是正确的。 确保每个参与预案评审的人员能够及时收到预案评审的相关通知。
确保预案的状态和要进行的评审类型是相符的。例如,不要提交预案草案进行最终的评审。
预案评审通过后,才能正式发布。
2.6 预案发布
预案发布,实际上就是将评审通过的预案送到有权限查阅、使用该预案的人员或组织的过程。在该过程,应该注意以下问题:
确保预案的安全。预案中的信息可能是专用的或保密的,必须确保预案副本的安全性。 应该把预案副本分发给那些在灾难响应和恢复过程中需要这些预案的人员。 确保无论任何时候,只要预案发生改变,这些人都可以获得最新的预案。
在一个安全的地方保存预案的副本。无论保存在什么地方,都要确保这些文件免受火灾、洪灾或者其它灾难的破坏,并且在灾难过后能够迅速拿到。
确保合理的处理过时记录,并且销毁所有保密或者敏感的信息。
3、预案维护
保证预案中使用的信息、数据是最新的,这一点很重要。因此,只要这些信息或数据发生变化,哪怕是很微小的变化,只要有可能影响到预案的实时性、实用性或完整性,就必须对预案进行更新。对于任何一个组织,变化是司空见惯的,所以说,预案维护的工作量是非常大的。
根据预案的性质和类别,预案的维护可以分为定期维护、不定期维护两种形式。
定期维护:根据预案针对的突发事件种类的不同,其维护时间表也不同。例如,沿海城市可能在台风季结束后需要进行预案的维护,有的地区可能会在每一个季度前进行预案的维护。
不定期维护:当业务流程、关键设施、重要数据等发生变化时,必须立即对预案进行更新维护。
在每一个预案的基本信息中,都已经对本预案的维护提出了具体的要求,有的还给出了维护日程安排,一般情况下,只要执行每个预案的维护计划就可以了。特殊情况下,可安排预案的例外维护。如果纯人工维护,要保证每个预案都能得到及时地维护是非常困难的,因此,西方发达国家普遍使用的LDRPS系统,采用了模块化的设计,让预案维护工作变得简便易行,并且可以在设定的时间自动提醒预案维护人员应该去做哪些维护工作。
4、预案管理
预案管理由组织中的应急管理办公室或相关部门负责。预案管理团队的主要职责是协调各方的关系,检查每个过程的交付成果,负责与组织高层的沟通,以确保预案规划、编制、维护全过程的顺利进行,并负责制定预案培训计划与演练方案。预案管理要实用、有效,不要复杂化,更不能为了管理而管理。预案管理大致包括:
预案规划管理:审定预案规划中制定的各种标准和流程,根据实际情况不断修订和完善这些标准。根据这些标准和流程,制定各类预案的编制指南。
预案编制管理:审核各预案编制小组成员的资格,监督预案编制的进程,检查预案编制的质量,并负责预案的最终审核与签发。
预案发布管理:制定预案的发布制度,审定预案的密级,监督预案的发放,检查预案的保管,负责预案副本的安全管理。
预案维护管理:制定预案维护制度,监督预案维护执行情况。
预案的培训和演练:制定培训计划和演练方案,做好培训的组织和检查,做好演练的协助与监督。通过培训和演练,让相关部门和人员了解自己在各种事件中的职责和任务,密切各部门之间的配合,熟知各种事件正确的应对之法,真正发挥预案的作用。通过培训和演练,还可以检验预案的可行性,对不合理的地方及时做出调整。
5、应急预案编制、维护和管理的工具
应急预案的编制、维护和管理是一个系统的、长期的工作,既不能一蹴而就,也不可能一劳永逸。借助适当的软件工具,是一个不错的选择。
LDRPS——实时灾难恢复规划系统(Living Disaster Recovery Planning System),是美国Strohl Systems公司1988年推出的、用于制定和维护危机管理、应急响应、现场事件管理、灾难恢复等计划的工具软件。该软件已经被引入中国,由东方实拓科技发展(北京)有限公司负责推广和技术支持。
2008年3月,东方实拓委托清华大学信息技术研究院数据安全研究所对LDRPS功能的完整性、数据的安全性、系统容错能力,以及是否适应中国国情、满足国内客户的要求等进行了综合测试。经过6个多月的应用与测试,包括对选定的几个企业的定向试用及研讨,研究所的结论是:该软件能够有效地帮助组织编制和维护应急计划和预案,实现应急计划和预案的科学管理,并且能够对应急指挥中心的决策起到有力的支持作用,大大提高企业应急管理能力和水平。其向导化的编制方法,使得应急预案的编制变得简便又全面;模块化的设计,使得应急预案的维护变得轻松又严谨;结构化的设计,使得应急预案的管理变得科学
又便捷。LDRPS的使用,可以有效地提高突发事件响应和救援的效率,从而减少突发事件带来的损失,使企业和组织在应急管理和业务持续迈上一个新台阶。
LDRPS历经20年的发展,已成为当今业务持续管理(BCM)和应急管理的行业标准,行销世界100多个国家和地区,用户数量过万,全球500强中过半企业在使用该软件制定和维护自己的各种业务持续计划和应急预案,客户遍布金融、能源、航空航天、制造、物流、IT、教育、政府机构等所有领域,得到全体用户的肯定与赞同。
因篇幅问题不能全部显示,请点此查看更多更全内容