您现在的位置:ITGov-IT治理研究中心>> 研究>> 信息安全管理>>正文内容
BCM:修补企业的基因(1)
发布时间:2004年11月25日点击数: 作者:赵铭 来源:www.ccidnet.com
【字体: 收藏 打印文章 查看评论( 0 )】
摘要:
满则溢、过则不及。企业抱着小病不理、大病敷衍的观念,早晚会病入膏肓而悔之晚矣。亡羊补牢为时不晚,经营企业者必须将业务中断的风险降低到最低程度。BCM(业务持续管理)正是自动修复企业病痛的基因。 绷紧安全的弦 安全的隐患往往是肉眼难以发觉的。只有心里常绷紧着弦,安全才能有所保障;反之,一旦撤了警戒线,那么企业将时时濒临危险境界。 郭旭 9·11事件、非典疫情所带来的损失是触目惊心的。上述事件过后,企业开始关心如何能保持业务处变而不变。迄今为止,BCM对很多人来说还是个陌生的概念。那么,企业该如何正视BCM呢? 曲成义 此言不虚。甚至也有不少人把灾难恢复计划(DRP)、业务持续计划(BCP)和业务持续管理(BCM)混为一谈。其实BCM理解起来并不难,它特指一种整体管理流程,该流程的目标在于及早确定可能发生的冲击及对企业运作造成的威胁,能够提供合理的架构有效阻止或抵消不确定事件造成的威胁,保证企业日常业务运行的平稳有序。 黄守吉 事实上,BCM是一个提升的概念,DRP是BCM的一个重要组成部分。DRP和BCP两者的目标是基本一致的,但二者又有明显的区别。DRP是基于假定灾难发生后造成业务停顿,指导企业该如何去恢复业务。 孟亚平 相对来说,BCM是一个综合的概念,一个能够识别一个单位潜在威胁安全因素的整体管理过程,而不单单是灾难恢复、危机管理、风险控制或者技术恢复。它不是一个专门的学科,而是由业务自身驱动的一个综合学科。 余绍强 在灾难恢复的流程中,DRP侧重于恢复过程中的技术方面。BCP则是基于一个基本原则,即无论发生任何意外事件,甚至像9·11事件、非典疫情这样的灾难,组织的关键业务也不能中断。而这种计划需要进行管理,于是BCM被提上日程。从这个意义上来看, BCM提出了更高的要求。 左洪 对于IBM来说,我们更倾向于业务服务管理(BSM),这也和IBM的理念相一致。在现实当中,企业在日常运作中,更多要面对的是业务整体保持可用性、无故障性,并且在常态的运作过程中能够对非常态做出快速反应。但并不代表IBM不重视BCM。 郭旭 可见,BCM是一种管理方式。那么这种管理方式能够给企业带来什么样的变化呢? 曲成义 我们要知道,企业业务方向的不断转换以及科技的快速发展,必然导致业务模式的变化,所以变更、重组、竞争的加剧已成为企业的家常便饭。如何保证这种变革的顺利进行,而不对企业造成伤害呢?这便是BCM存在的意义。 黄守吉 BCM的出发点在于,对潜在的灾难危险加以辨别并进行分析,以确定其对企业运作造成的威胁,并建立一个完善的持续管理计划来防止或减少灾难事件给企业带来的损失。这相当于人体内的白细胞、淋巴细胞,建立起防御体系以保护整个机体的健康。 左洪 从顾客的角度来说,期待在所有情况之下都能够不间断业务,这是最理想的状态。企业要想保持这种状态,投入BCM无疑等于买了一份保险。 余绍强 从企业股东的角度看,期望管理层在任何情况下都能全程控制企业走向,并且在任何危机环境下都可以继续处理业务。BCM无疑等于给股东吃了一颗定心丸。 孟亚平 此外,公司的名誉和品牌肯定要面临风险,这也是国际监管机构的要求。多元化的问题导致企业对技术及业务的变革产生迫切的需求,导致了BCM在各国的迅速发展。 郭旭 那么该如何把BCM有效地融入企业的管理机制当中呢? 黄守吉 世界各国的事例表明,传统的业务管理方法及流程,在遭遇灾难事件时常常不堪一击,甚至可能随时崩溃。但是在灾难尚未降临之前,人们的警惕性都不高,仍没有看到BCM的重要性。庆幸的是,越来越多深受灾难事件影响的企业和机构已开始认识到,只有通过更加切实的手段,借助更便捷的信息技术,构建真正有效应对危机事件的管理体系,并且使管理科学化、手段现代化,才能保证业务的连续运行,才能保证各类应用系统和数据的完整性。 孟亚平 从国际成功经验来看,那些及时引入BCP、BCM的企业和机构,之所以能够在灾难事件面前处乱不惊、化险为夷,主要在于他们能够借助先进的业务持续管理解决方案,有效地保护其核心业务的持续运行。时至今日, BCP、BCM已成为应对危机事件的国际通用规则。 左洪 过去,企业的管理没有考虑到资源的有效再分配。对于一个庞大的企业来说,业务管理难免过于纷呈复杂,没有多余的时间和精力思考如何经济、可调度的进行管理。BSM可以让企业尽可能少浪费资源去实现管理的目的,这才是现代的管理手段。 9.11事件给未实施BCM的企业造成了灾难的损失 业务指挥应用 无论企业形态如何千变万化,业务自始至终是企业持续发展的核心。脱离了业务的轨道,所有的管理都是风马牛不相及,在IT、管理等方面的投入也形同虚设。 郭旭 由于实施BCM的复杂性,企业难免会存在来自各方面的阻碍。那么该如何解决呢? 曲成义 值得一提的是,企业业务模式不尽相同,那么服务需求也不尽相同,直接影响企业的管理需求和最后IT状况不尽相同。领导者的难处在于决心难下,找不到能够与业务紧扣的切入点,况且系统维护艰难。还有企业往往偏于重视基础架构的建设,忽略了架构的管理以及应用。不光是企业领导层,绝大多数人对BCM的了解还不够深入,意识不到BCM的重要性,而且缺乏相关的经验以及从事相关工作的尖端人力资源,没有相关的基础和经验,不懂得如何开发BCM。 孟亚平 一般情况下,实施BCM是小概率、高风险、高投入和低效率,系统建设不成问题,关键是系统维护困难。认识的不足容易产生观念上的误区,自认为有足够好的硬件平台就可以解决一切问题,对硬件的投入大于对管理本身的重视,从而忽视了应用管理。过多的、盲目的硬件投入,使得IT项目实施效果并不理想。 余绍强 难点在于观念的转变。要教导和提醒所有人员,包括员工、客户、供应商和股东,不断地对他们灌输理念。此外,演练、测试、维护和审核也是在所难免。在实施阶段,如果缺乏有效的管理,必然会放任、流失和浪费资源,结果用户不接受变动,使得整个项目作废。 左洪 其实,业务是指挥棒,所有的IT应用都只是伴奏,BCM只有随着企业业务的节奏才能翩翩起舞。如果违背了这一宗旨,那将会背道而驰。 郭旭 企业该如何把握自己的业务需求呢? 曲成义 首先,企业要正确把握自己的防范需求,是属于自然灾害、技术灾害、环境灾害还是自然和人为灾害?如果仅仅是基于IT的应急响应,那还容易解决;如果是基于业务连续要求,那就不单纯是信息安全本身所引发的需求,还要进行详细的分析。 左洪 企业首先要熟悉自己的业务流程,通过对业务风险的分析,以确定企业的核心任务及资源,评估恢复优先权,分析可导致业务中断或企业信誉损坏的风险因素。持续性是注意的策略,选择可行性策略以降低损失,同时,针对业务环境分析相关优势,及其在保持企业关键职能之时可能发挥的效果。 余绍强 从企业的产品和服务方面来讲,BCM的三个主要目标分别是重建基础设施、恢复经营活动、顾客服务,并且要保证三者的连续性能够维系在一个可接受的水平。所以BCM对业务中断的承受力更具韧性,从而达到持续业务的目的。 郭旭 可见BCM是一个错综复杂的管理过程。这种一体化管理都包含哪方面的内容? 曲成义 实施BCP必须提供必要的业务运行流程,不是仅仅关注IT,它涉及业务过程以及相关的IT基础设施。而BRP提供立即恢复业务运行的流程,涉及关键机构的核心使命,基本由企业总部来制定IT。 黄守吉 另外有支持连续性计划,它提供恢复主应用或通用支撑系统的流程和能力,涉及防范IT系统破坏,而不关注业务过程。还有危机沟通计划提供事件信息公布所需流程,只涉及相关人员,不关注IT。 余绍强 还有计算机事件响应计划,它提供检测响应、控制恶意计算机事件战略,直接影响系统和网络事件。最后是灾难恢复计划(DRP),为帮助在备用站点实现能力恢复提供详细流程,极度关注IT,它针对破坏持续影响较大部分。此外,应急计划开发也很重要,通过改进流程及实践降低风险,实施确定的业务策略,启用风险金融措施(包括保险)并建立BCP。
分享到:
点击按钮自动加关注代码——新浪微博 点击这里给我发消息
相关文章
    没有关键字相关信息!
推荐文章
订阅
  关于ITGov | 联系ITGov | 收藏本站 | 服务条款 | 隐私保护 | 人员招聘 | 网站地图

京ICP备06004481号   Copyright 2002 - By ITGov.org.cn, All Rights Reserved

 

我要啦免费统计