|
问题:对业务连续性的管理涉及哪些关键步骤与活动?如何对其进行组织?(中) 简答:业务连续性实务框架涉及2个层次,5个活动组,共包括30项业务连续性管理活动,以下详述: 写完这一问答之前,已哭晕倒多次,原本按计划20来个问题,差不多一周一个,半年也就写完了。谁知......,过了元旦,开始写这一部分时,一时兴起(发晕),用了过去的近1个月时间,将原来的业务连续性实务框架升级到了2.0, 所以,这篇问答难产了这么久才出来;所以,本来20多个问题,一个萝卜一个坑基本已填满,新的框架出来后,粗略想了想,又给自己挖了不少坑得填,算了,不哭了,明天就开始算算有多少坑要填,自己挖的坑,咋也得自己填完。希望能多听到些反馈,好进一步完善这个贝塔版,准备留言的同学去星球留言吧(星球还有几十个名额,我准备到一定名额时就开邕限制了,先说一下。) ……上期回答了一个好和业务连续性管理框架应符合5个原则,以下回答接上期内容: 2. 业务连续性实务框架Ver2.0介绍 根据以上提出的5个原则,下面介绍业务连续性实施导图Ver2.0(β版,正式版可能会有修订)。 业务连续性实施导图将组织内的业务连续性相关管理活动分为2个层次、5个活动组和30项活动,2个层次指从项目集角度将其分为项目集管理和项目集组件两个层次,其中项目集组件层次可按照组织能力发展过程组织为4个活动组:能力规划、能力建设、能力应用和能力评估,30项活动是指对业务连续性的管理共涉及30项活动,如下图: 业务连续性实务框架 Ver2.0β · 项目集管理 从项目管理视角看,组织对业务连续性的管理是项目集管理,在业务连续性项目集层面的活动,包括组织环境分析、相关方识别和管理、确定范围和目标、业务连续性治理、业务连续性方针、项目集计划和路线图、项目集组件管理以及项目集维护和改进共8项活动,这些活动主要由业务连续性管理团队(包括业务连续性指导委员会和业务连续性经理)负责和推动。 组织环境分析 对组织内外部环境、业务战略和业务连续性驱动因素等进行分析,这些外部环境包括但不限于政治、法律和监管环境,相关的社会文化、金融、科技、经济、自然和竞争环境,供应链及关联环境,影响组织目标和关键趋势和主要风险等;内部环境包括但不限于产品和服务、业务流程和活动、资源、供应链和相关方关系,组织拥有的与知识和资源相关的能力,信息系统、信息流及决策过程,内部相关方,风险管理目标和偏好,业务机会和优先级,价值观和文化,组织架构等;业务战略包括未来的业务目标、战略假设和限制条件、战略定位、业务优先级和风险偏偏好等;业务连续性驱动是指推动组织进行业务连续性能力建设的主要驱动因素。 相关方识别和管理 相关方代表所有对组织的业务连续性决策或活动产生影响、受到影响、或认为被影响的个人或组织。相关方可能存在于组织内部或外部,他们可能积极或消极地影响业务连续性结果,所以需要被识别、研究、分类和跟踪。人们有抗拒来自非直接管理者直接管理的倾向,所以对相关方很难直接“管理”,业务连续性管理团队需要直接和间接与相关方沟通,通过关注目标协商、寻求一致的收益、对资源的承诺以及持续不断地给予支持,来获得并保持相关方对业务连续性目标、收益和结果的认可。收益登记册主要收集和记录业务连续性项目集的计划收益,在业务连续性项目集过程中可以使用收益登记册来度量和传递这些收益的交付情况。 确定范围和目标 明确业务连续性及其作用范围、以及希望达成的目标,并确保就这些范围和目标与组织内外部的相关方进行适当的沟通,这里说的范围主要包括业务连续性需应对的风险种类(自然灾害、事故灾难、供应链、信息科技……)、过程(事前/事中/事后)、工作重点(应急/连续性/危机管理)等,作用范围指业务连续性能力作用到的业务流程和活动、部门、地理范围等。 业务连续性治理 业务连续性治理指组织用于确保业务连续性项目集(在可行的范围内)被有效和持续管理而实施的实践和流程。大多数组织通过建立业务连续性指导委员会确保适宜的业务连续性治理。通常情况下,业务连续性指导委员会由来自决策层的相关方作为发起人,包括支持业务连续性重要活动的职能和业务团队的负责人,用这种方式组织指导委员会可以使业务连续性治理易于发挥作用,并能随时有效解决在业务连续性项目集执行过程中出现的问题或疑问。组织的愿景和目标为推动业务连续性项目集提供了基础,业务连续性指导委员会在此基础上为业务连续性定义愿景和目标(从而有效地支持组织的愿景和目标),对项目集的建议进行评审和决策(如项目集组件的批准、签署和启动,项目集筹资等),具体工作涉及审批业务连续性计划和路线图(如业务连续性年度工作计划),周期性的“健康检查”,问题升级流程,批准业务连续性管理实施方案和计划,项目集组件管理,报告与控制过程,质量标准,监督进展与变更需求,阶段关口与其它决策点评审等。 业务连续性方针 业务连续性方针是业务连续性项目集的核心文件,主要内容包括业务连续性范围和目标,业务连续性工作的总方向和原则,业务连续性管理工作的组织架构、运作模式,以及如何评价和考核业务连续性管理工作等。本质上,业务连续性方针是一个承上启上的文件,由最高管理层批准和签署,涵盖了最高管理层对业务连续性的所有期望、要求和考核方式(如目标、总方向、原则、组织架构、运作模式以及评价和考核等),为设计和制定业务连续性项目集提供框架,并展现最高管理层实施业务连续性方针的承诺;组织中的其它相关方(包括业务连续性指导委员会、业务/职能/保障部门、业务连续性经理等)在业务连续性方针的指导下开展工作。发布方针是为了就组织期望的业务连续性原则和相关方(包括适当的外部相关方)沟通,它应当简要扼要。业务连续性方针一旦通过,组织就可以以此为基础启动项目集工作来开展实施业务连续性方针所必需的活动。 项目集计划和路线图 业务连续性(项目集)计划定义了每个项目集组件追求项目集目标的方式和时间安排,为即将启动的子项目集、项目和相关活动提供授权,并为监管和管理子项目集、项目和相关活动提供框架。业务连续性(项目集)计划还应当包括项目集成功的定义,衡量标准和度量方法,其最终目标是确保业务连续性(项目集)管理始终与组织战略保持一致,确保项目集组件交付预期的收益。业务连续性(项目集)路线图是业务连续性(项目集)计划的图示版,它有利于按时间顺序展示项目集预期方向,有利于建立项目集活动与预期收益之间的关系,描述主要里程碑之间的关键依赖,为关键里程碑和决策点提供高层面的视角。业务连续性(项目集)计划和路线图也可以表示关键时间点的目标、关键挑战和风险,它的要素和项目进度计划有相似之处,适用为规划和制定更加详细的时间表勾勒出主要的项目集事件,可以展示项目集的主要阶段或模块如何组成,但它并不包括具体项目集组件内部的详细细节。业务连续性年度(或跨年度)计划是业务连续性(项目集)计划和路线图的主要体现。 项目集组件管理 业务连续性项目集的项目、子项目集组件(如RA、BIA、演练和培训等)被不断规划、整合和管理,以促进业务连续性项目集期望收益的交付。业务连续性管理团队为项目集组件的成功完成提供监管与支持,这些组件工作和活动(涵盖成本管理、范围管理、进度管理、风险管理、资源管理等)在项目集组件层面制定,在项目集层面整合,以保持与项目集的方向一致从而交付项目集收益。业务连续性经理需要持续地监管组件,并且在必要时重新规划合适的组件整合,以获得采用单独的方式管理而无法获得的收益。每个项目集组件都需要完成组件规划和授权、组件监管与整合、组件移交和收尾等工作。 项目集维护和改进 组织业务连续性所面临的内外部环境、业务战略和目标、业务驱动因素、组织架构和项目集组件实际执行情况会随着时间而不断发生变化,业务连续性项目集管理团队需要根据监视、评估这些变化,并及时在项目集层面进行维护、更新和改进,以保持业务连续性能力的适用性、充分性和有效性。 主要方法:项目集治理和管理(Program Governance and Management)。 主要文档及工具:组织环境分析,相关方映射图,收益登记册,业务连续性方针,业务连续性年度计划和管理评审等。 · 业务连续性能力规划是指采用“情景-任务-能力-目标”的规划方法,分析并确定业务连续性核心能力及目标的活动组,具体包括规划业务连续性能力框架,风险评估,业务影响分析,重要任务分析,业务连续性能力分析,以及核心能力及目标设定共6项活动。 情景-任务-能力-目标分析过程 规划业务连续性能力框架 应急管理侧重于生命财产、社会秩序和公共利益(如环境保护)等,业务连续性管理侧重于在可接受的时间内能以预定的水平持续为客户交付产品和服务,危机管理侧重于保护组织的声誉、品牌以及长期性的战略决策,在突发事件应对处置过程中,可能会涉及这三者的全部或部分。但由于监管要求、行业特性、组织内部结构和管理的不同,每个组织的业务连续性管理涵盖的范围都不大相同,如银行业的业务连续性管理强调关注信息科技风险导致的运营中断,制造业的业务连续性强调关注安全生产和供应链问题导致的运营中断,……,因此能力规划的第一件事就是根据业务连续性项目集确定的范围和目标,分析组织业务连续性在应急、连续性和危机管理方面的侧重,并在此基础上根据涉及到的使命领域(mission area)规划业务连续性能力框架。 风险评估 风险评估是风险识别、风险分析和风险评价的整个过程,而风险是不确定性对目标的影响,由于应急、连续性和危机管理目标的不同,所采用的风险评估方法也不尽相同,其中业务连续性的风险评估是对组织的重点业务和支撑这些业务的过程、系统、数据、人员、资产、供应商和其它可能导致中断的风险进行识别、分析和评估;如业务连续性能力框架集成了应急和危机管理时,还需要选用与之相适宜的风险评估方法。 业务影响分析 组织通过向客户提供产品和服务来达成其目的,清晰地理解这些产品和服务(及相关业务)随中断时间对组织目标和运行产生的影响非常重要,业务影响分析就是分析业务中断可能带来影响的过程。业务影响分析识别支持组织交付关键产品和服务的业务,评估随中断时间的推移对业务和关键相关方带来的影响,具体输出包括:产品、服务和业务及其恢复优先级,恢复目标(MBCO、RTO/RPO)、重要依赖关系和支持资源等。 重要任务分析 基于风险评估和业务影响分析的结果,我们可以分析评估现实的威胁和可能的未来灾难情景,并筛选、分析出需要准备的应急和连续性事件情景清单;再依据得到的事件情景清单,对不同使命领域需完成的任务进行分析,得出应急、连续性和危机管理任务框架和重要任务清单。 业务连续性能力分析 根据得到的重要任务清单,进一步分析完成这些任务所需要的应急、连续性和危机管理目标能力(target capabilities)。将这些能力进行必要的合并和规范化处理,得到业务连续性能力清单。 核心能力及目标分析 根据当前的形势及现有能力情况,从业务连续性能力清单中进一步筛选出当前和今后一个时间重点加强的核心能力,并为每一个核心能力确定定性或定量的能力目标。 主要方法:基于能力的规划(Capabilities-Based Planning,CBP)。 主要文档及工具:组织业务连续性能力框架,风险评估报告,业务影响分析报告,事件情景清单,重要任务清单,业务连续性能力清单,核心能力及目标。 · 业务连续性能力建设是在能力规划的基础上,通过在组织、业务和执行层面,以及组织环境、人员与组织架构、制度流程和程序、技术装备和数据、场地等不同方面的建设和系统化地整合建立起业务连续性能力的步骤,具体包括应急组织和程序设计,预案编制、评审和发布,关键资源建设,ICT连续性建设、意识和培训、以及演练共6项活动。 应急组织和程序设计 应急、连续和危机管理中的事件处置不仅复杂,而且涉及不同领域和不同管理阶段的能力,需要必要的专业人员、业务/保障部门推动和实施。应急响应和业务恢复过程中的指挥控制结构和程序设计直接影响到业务连续性管理工作的实施和效果,需要结合组织中现存的指挥链和突发事件应对的任务安排来设计应急组织和程序。 预案编制、评审和发布 预案是指为有效预防和控制可能发生的事故、最大程度减少事故及其造成损害、快速恢复业务到预定水平而预先制定的工作方案。组织应根据风险评估、业务影响分析的结果和核心能力情况,设计预案体系,组织编制应急和连续性预案。在预案编制时应注重系统性和可操作性,做到与外部机构预案相衔接。预案编制完成后,应组织评审(内部评审或外部评审)。经评审合格后,由相关负责人签署、发布,并按照要求备案管理。 关键资源建设 “巧妇难为无米之炊”,应急响应和业务恢复程序的有效实施依赖于有效的资源保障,需要根据设定的核心能力及目标做好关键资源建设工作,这些关键资源可能包括:关键生产设备,关键信息系统和场地等,可以通过新购、对现有资源改造、租用、互惠协议等多种方式实现。业务连续性经理需要与关键资源建设项目经理保持沟通,及时了解关键资源建设进度,并支持对关键资源建设项目中重要问题的解决和重要风险的应对。组织需要设立统一的应急指挥中心场所,用于应急决策、指挥与联络、对外沟通等工作,并配备办公与通讯设备以及指挥执行的文档、联系资料等。在突发事件处置过程中,决策指挥人员可以在应急指挥中心与现场指挥部沟通,指挥事发现场的应急处置和救援,以及事发现场或后备场地的业务恢复,安排对外信息发布和沟通。 ICT连续性建设 也可以称为ICT Resilience(ICT韧性)建设。信息系统和信息科技是保障现代组织高效运营的重要基础。做好ICT连续性包括两方面的工作,一是保障ICT持续运行,使其能始终有效地成为组织高效运营的支撑,而不要因信息系统中断导致组织运营中断,这需要从IT架构规划(如系统解耦和应用解耦)、事件管理(分级响应、快速处置)和灾备能力建设等多方面做起;二是在突发事件处置过程中,提供ICT方面的支持,如做好应急通信和技术保障等。 意识和培训 风险意识的增强、应急处置和业务恢复技能的提高,是增强组织业务连续性能力的重要方面,意识教育和培训是基本手段。管理人员(高层管理人员、中层管理人员和一线管理人员)、专业人员(应急管理、风险管理、安全生产、网络安全、安全保卫等)和业务人员,不同层次、不同岗位需要接受不同层面的意识教育和培训演练。业务连续性经理应和人力资源部门、业务连续性协调员一起建立意识和培训计划(项目集),并支持、督促意识和培训计划的有效推进。 演练 演习和演练起源于军队,为提高军队的战斗力,确保战争的胜利,从历史到现在,许多军队都在不断地进行军事演习和演练。在业务连续性能力建设领域,演练可以用于人员训练,锻炼队伍,熟悉预案,磨合机制和科普宣教等目的,起到帮助集成并形成业务连续性能力的作用。业务连续性经理应在业务连续性指导委员会的支持,根据业务连续性(项目集)计划、路线图和核心能力目标,建立(跨)年度的演练计划(项目集),并和业务连续性协调员一起推动、参与、支持和督促演划计划的有效推进。(当然,演练也是能力评估的重要手段。) 主要方法:能力要素(组织能力参考模型BMIS等)。 主要文档及工具:应急组织和程序,10个业务连续性计划(及预案体系),预案编制、评审和发布,关键资源建设计划,应急指挥中心,ICT Resilience,意识和培训计划,演练计划等。 · 业务连续性能力运用是指将业务连续性能力运用于突发运营中断事件的预防和应对处置涉及的活动组。业务连续性使命领域(mission area)或者阶段的划分,目前在学术界和实务中并没有统一的标准,结合国内外研究与实践经验,本框架将运营中断事件的应急、连续性和危机管理分为预防、减灾和准备,监测和预警,应急响应、业务恢复,事后重建,危机管理和沟通6个部分,需要指出的是,这些使命领域在时间上并不是完全按顺序排列,而是存在一定的重叠关系。 业务连续性管理使命领域 预防、减灾和准备 预防是为了避免事件发生所开展的各种活动,目标要么是降低突发事件发生的可能性,尽可能避免事件的发生;要么是将其潜在后果降低到一个可接受的水平,从而使它们可以通过日常的操作程序得到处理,而不用启动应急响应和业务恢复行动。减灾是为了减轻事件影响而采取的有利于在事件发生后提供被动保护的各种行动,减灾与脆弱性紧密相关,其措施的最终效果是降低脆弱性(提升鲁棒性),体现在事件发生后系统受到破坏后其功能保持的百分比,即系统的鲁棒性。减灾与其它使命领域的区别在于它寻求降低风险的长期解决方案,而不是放任后果的发生,或者仅为事件发生后对这些后果的响应和恢复准备。准备是为了减轻事件损失而采取的有利于在事件发生后提供主动保护或应对策略而采取的各种行动,它的特殊性在于它表示已有充分的能力完成业务连续性管理各使命领域工作任务的能力,它包括预防、减灾、监测预警、应急响应、业务恢复和事后重建各个环节的准备,目的是通过持续改进的准备过程建立和保持各项使命所需要的能力。考虑到预防、减灾和准备这三个使命领域都是从日常工作状态启始、独立于事件管理过程,因此将其放在一个活动组中。 监测和预警 监测是对可能引发突发事件的威胁和危险源的特征参数进行人工观测或自动监测,以了解事态的发展变化趋势。预警是指已经发现可能引发突发事件的某些征兆,或者事态发展到事先设定的预警临界点时,立即发布相关信息以便采取防范措施。防范措施可能包括人为的行动,如停止操作、人员疏散、紧急避险等,也可能是系统的自动操作,如列车和危化装置的紧急刹车、核电站反应堆自动停止运转等。由于事态的发展通常有一定的过程,通常根据突发事件发生的紧急程度、发展态势和可能造成的危害,将即将发生的突发事件划分为不同的预警级别,分别采取不同的应急措施。目前,一般将预警级分为四级:Ⅰ级(特别严重)、Ⅱ级(严重)、Ⅲ级(较重)、Ⅳ级(一般),分别用红色、橙色、黄色和蓝色标示。不同类别的突发事件其预警指标和标准各不相同,一般由相关专业部门制定预警级别的划分标准,并且在相关预案中对预警后需采取的措施做出明确规定。监测预警使命领域的任务包括对不同类别突发事件的独立监测和预警,以及综合各种来源的信息并考虑不同事件之间的相互影响之后的综合预警。 应急响应 是指在事件即将发生前、发生期间或紧随其后,为抢救和保护生命、保护财产与环境、满足人类基本需要、清除现场的危害因素而立即采取的行动,还包括对事件响应活动的管理与协调活动。突发事件基本都是发生在某一个或一些特定的地理位置,对发生地的一些个体或社区造成生命、财产和环境的损害或影响,因此我国应急管理采取“属地管理”为主的体制,所在地的个人、组织和地方政府是事件的第一响应人和责任者。当组织内发生突发事件后,组织需要按内部预案进行响应,如事件超出组织的应对能力,可能或者已造成生命、财产和环境的损害,则需要地方政府的支持,事件的指挥权力也可能随之转移。具体的分级响应形式及组织与地方政府及外部机构的预案衔接,需要按照法律、法规和地方政府预案要求进行。 业务恢复 是指组织为在预定的时间内使业务恢复到最低可接受水平之上开展的各种活动,也就是让受到中断事件影响的组织在尽可能短的时间内能够恢复到基本的运营状态。组织应根据业务影响分析的结果,合理安排任务,有效使用资源,优先恢复那些对组织使命至关重要的业务。应急响应结束和业务恢复开始的时间点并不容易确定,通常两者之间存在一定的重叠,特别的,对有异地恢复准备的组织,可以通过应急决策指挥人员(在应急指挥中心)的指挥、协调,同时在事发现场进行应急响应,在异地灾备场地进行业务恢复。 事后重建 是指将业务状态从最低可接受水平恢复到正常或更好水平的各种活动,重建工作可能会涉及房屋重建、人员安置、设备修复、供应商联络和重新规划业务等相关的决策,业务恢复和事后重建都存在复杂的沟通协调工作,但在事后重建时,时间已不是最关键因素,明确重建原则、规划、责任人/部门、时间要求并配置充分的资源即可。 危机管理和沟通 突发事件和中断可能会严重影响组织的声誉、品牌、形象、市场份额、营业能力或与关键相关方的关系,此外,也有些突发事件和中断的复杂性和影响程度超过了预案所能应对的范围,这些涉及组织形象、关键相关方关系或复杂性危机的应对处置是组织最高管理层的当然责任,需要最高管理者直接处理和应对。突发事件和中断过程中也需要最高管理层对内外发布真实信息,传递信心,在日常就一直进行的相关方沟通在危机时刻会发挥出重大价值。 主要方法:应急决策和指挥(可参考NIMS和ICS) 主要文档及工具:预防、减灾和准备,(事前)监测和预警,(事发)应急响应,(事中)业务恢复,事后重建,危机管理和沟通。 · 业务连续性能力评估是指为推动业务连续性管理工作的开展、促进业务连续性能力的建设、督促和检查组织业务连续性管理体系中各主体的工作、查找业务连续性工作中存在的问题并提供改进机会进行的监督、评价而开展的活动组,具体包括监视和测量,内部审核,能力和能力要素评估以及事件评估共4项活动。(业务连续性管理相关评估,如风险评估、业务影响分析等业务连续性管理工作涉及的特殊的评估,以及预案评估、演练评估等特定业务连续性管理工作环节的评估不包含在这里。) 监视和测量 监视指可以定性的,并较难定量判断的一种验证方式,可采取检查、观察、审核、调查、评审、评价等方式,通常得到定性的结果,监视适用于业务连续性管理的所有过程和因素。测量指可以定量的,是通过一定的测量手段,依据其测量的结果来验证过程或被测量物是否符合规定的要求,如测量过程的完成量,恢复时间等,可以得出定量的结果。监视和测量需要不间断地进行 内部审核 有时也称第一方审核,或内审,是组织内部人员(或代表组织的人员)有计划的、按照既定的时间间隔定期执行,对业务连续性管理体系符合性的自我评估和检查。业务连续性内部审核的内容包括确定业务连续性管理体系的控制目标、控制措施、过程和程序是否符合相关要求、得到有效的实施和保持、按预期执行。内部审核对业务连续性的维护和改进起着核心的作用,内部审核的结果是最高管理层对组织的管理体系的适宜性和有效性做出判断决定的一个关键输入。管理层应能从内部审核的结果(或内部审核报告文件),获得管理体系的一个公平的、准确的和全面的景象。内部审核可作为组织符合性自我声明的基础。 能力和能力要素评估 业务连续性管理工作开展的好环,主要体现在业务连续性能力方面。因为突发事件和中断及其处置存在相当大的偶然性和随机性,突发事件和中断发生与否、发生的数量多少以及频率高低并不与业务连续性管理工作的好坏直接相关,突发事件和中断处置的好坏也不能够充分反映业务连续性管理工作的水平,因此业务连续性能力或能力要素方面的评估,需要格外重视,也是推动业务连续性管理工作开展、促进业务连续性管理体系建设的重要工具。业务连续性能力或能力要素评估的对象是业务连续性管理能力和业务连续性管理工作,主要是组织应对突发事件和中断的能力及其常态业务连续性管理工作的开展情况。能力评估的目的是监督、检查、考核和推动组织业务连续性管理工作的开展,促进业务连续性能力的提高。通过业务连续性能力或能力要素评估,可以指出组织业务连续性管理工作中的薄弱之处,为业务连续性管理工作指出需要加强的方向,督促、检查和推动业务连续性常态管理工作的开展,同时为业务连续性管理工作部署和相关决策提供参考,为业务连续性管理总结和奖惩提供依据。 事件评估 事件评估的对象直接与突发事件或中断相关,既包括事件发生的经过、原因、人员伤亡情况、业务恢复时间和直接经济损失等,也包括突发事件事前、事中、事后全过程的应对处置工作。事件评估又分类两个子类,一是针对突发事件和中断本身的,以事件定性、责任认定、损失补偿为目的的,二是针对突发事件和中断应急处置和业务恢复的,目的在于改进应急响应和业务恢复的各个环节,包括预案设计、组织体制、程序流程、预测预警、善后措施、保障准备以及其他相关工作。业务连续性管理工作的最终效果体现在突发事件和中断处置过程中,所以事件评估是业务连续性评估的核心。一方面,相当一部分突发事件和中断的发生往往与某种错误、过失甚至违规操作或破坏行为相联系,对事件本身的评估,不仅是进行事故性质认定、责任追究必备的基础和依据,也是完善组织管理工作、杜绝或预防类似事件再次发生的有效手段。另一方面,对于突发事件和中断处置的评估,对于业务连续性管理团队总结经验、吸收教训、修订预案、完善业务连续性管理体制和机制有着重要的价值,评估结果也可以作为责任追究、工作评比等多方面工作的辅助参考。 原因调查、事件总结报告等可以归为对突发事件本身的评估;总结突发事件应急和业务恢复工作经验教训属于对突发事件应急处置的评估。法律责任及奖励和处罚规定中涉及对事件及处置的调查,既包括对事件本身和对事件应急处置的调查评估,也包括对业务连续性管理能力和业务连续性日常工作的评估。 主要方法:能力评估(可参考绩效评价和成熟度评估方法) 主要文档及工具:监视、测量、分析和评价,内部评审报告,能力评估报告,事件评估报告。(管理评审归入项目集管理层,故不在此出现) ……(未完待续,下一部分给出业务连续性实务框架与ISO22301、NFPA 1600等的交叉参考) =================== 精采回顾 =================== 第一部分 业务连续性是什么? 1.业务连续性问与答Q1:不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2.业务连续性问与答Q2:对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3.业务连续性问与答Q3:业务连续性管理从哪儿来,又将到哪儿去?(上) 业务连续性问与答Q3:业务连续性管理从哪儿来,又将到哪儿去?(下) 第二部分 业务连续性为什么? 4.业务连续性问与答Q4:业务连续性管理有什么价值?我们为什么要做BCM,为什么有人不愿意做BCM? 第三部分 业务连续性怎么做 一般性讨论 5.业务连续性问与答Q5:有哪些主要的业务连续性管理知识体系?(上) 业务连续性问与答Q5:有哪些主要的业务连续性管理知识体系?(下) 6.业务连续性问与答Q6:业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么?(上) 业务连续性问与答Q6:业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么?(下) 7.业务连续性问与答Q7:当我们谈安全时,我们谈些什么?当我们谈风险时,我们谈些什么?当我们谈韧性时,我们谈些什么? 项目集管理 8.业务连续性问与答Q8:怎么才能说服领导支持业务连续性管理?(上) 业务连续性问与答Q8:怎么才能说服领导支持业务连续性管理?(下) 9.业务连续性问与答Q9:对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上) “一个好问题,胜过一百个好答案!”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。
|
|
|
