业务连续性+·业务连续性问与答·Q11(上)
问题:领导已决定启动/加强/改进业务连续性管理工作,我该怎么着手推动呢?(项目集管理活动篇) 回答:业务连续性项目集在架构管理和组件管理方面,分别需要重点做好三件事(另附业务连续性经理的能力要求)。以下详述:
为了成功地实现组织确定的目标,业务连续性项目集的管理活动可分为两个主要方面,项目集架构管理和项目集组件管理。项目集架构管理主要包括为业务连续性项目集获得批准以及为达成预期收益开发项目集管理计划而开展的项目集活动,项目集组件管理主要包括根据项目集管理计划开展的各项业务连续性活动和维护工作。与一般的项目集管理类似,业务连续性项目集管理也包括变更管理、沟通管理、财务管理、信息管理、采购管理、质量管理、资源管理、风险管理、进度管理和范围管理等多种管理活动,但 在架构管理和组件管理方面, 分别需要 重点做好三件事 。
1.架构管理方面重点做好三件事:商业论证,业务连续性方针,以及项目集管理计划。
项目集架构管理的主要目标包括:(1)阐述业务连续性要解决的问题和总体目标,确定预期的项目集成果和收益,寻求项目集获批和投资;(2)在沟通和深入了解相关方情况的基础上,建立组织业务连续性的治理和管理结构;以及(3)结合组织业务连续性的总体目标、相关方的需求和期望、资源投入和阶段性工作重点等因素,制定项目集管理计划。简而言之,架构管理的目标包括为组织业务连续性奠定存在基础、建立框架及制定年度工作计划,这将通过完成商业论证、业务连续性方针和年度工作计划来实现。 (此处提到的商业论证、方针和管理计划都是业务连续性项目集层面的,就项目集组件而言,如风险评估、业务影响分析、预案编制、资源建设、演练和培训等,需要建立项目集组件层面的商业论证、章程/治理和管理计划、以及管理计划。)
商业论证 商业论证是一份书面的经济可行性研究,是对组织业务连续性开展的原因以及在考虑 成本估算、风险及收益预测 等因素的情况下,组织业务连续性开展的正当理由的阐述。商业论证的编制可能基于一个或多个原因,如市场需求、客户要求、技术进步、法律要求、组织需要和社会需要等。商业论证可以是抽象和高层级的,也可以是详细和全面的,它通常描述业务连续性的预期收益和约束、限制条件等,如组织的业务连续性目标、主要构想、高层级风险和机会评估、关键假设、业务和运营影响、成本收益分析、替代方案、财务分析、潜在收益、社会需求、法律影响、限制条件以及与组织战略和意图一致性方面的内容。商业论证描述了组织业务连续性驱动因素背后的意图和权威,以及业务连续性需求的商业基础。
商业论证回答了“为什么我们要实施业务连续性?”的问题 ,它将组织的战略和意图与业务连续性项目集连接起来,通过明确业务连续性项目集的预期成果如何支持组织的战略和目标来证明业务连续性项目集的必要性,并在最大化价值的同时平衡资源的使用,商业论证是对组织业务连续性投资有效性的证明。在业务连续性项目集被批准之前,最高管理层需要确认组织对业务连续性的投资是有价值的、值得的。商业论证从商业角度提供必要的信息,用于确定组织业务连续性交付收益的有效性,为最高管理层提供决策依据,决定组织业务连续性是否值得投资。
商业论证可以作为组织业务连续性预期交付价值的正式声明,以及使用所需资源的正当性证明。商业论证的主要内容包括对组织业务连续性收益的明确要求,发起组织在认可商业论证之前是不应该在业务连续性项目集中投入资源的。在后续工作中,发起组织需要定期审核商业论证,持续比较分析业务连续性项目集投入成本和收益的实际和预估情况,以确定“继续实施”还是”放弃/中止”业务连续性项目集。商业论证还应包括业务连续性项目集的主要风险,最高管理层可能会因为特定的风险因素而得出业务连续性项目集不可行的结论。商业论证中还必须包括所有可能影响组织业务连续性实施与否的因素。
在业务连续性项目集定义早期,组织可以指派一个发起人负责监督和管理,并批准用有限时间和资金开发商业论证。发起人的主要职责还包括挑选负责实施和管理业务连续性项目集的业务连续性经理。一旦商业论证获得认可,实际的业务连续性项目集就获得了“准生证”。应尽早任命业务连续性经理,并明确其角色、职责和组织接口,因为需要业务连续性经理实际负责推动项目集定义阶段的工作。为展示组织业务连续性将如何交付预期的组织收益,发起组织、发起人和业务连续性经理需密切合作:研究和估算范围、资源和成本;进行初步风险评估,以及编制业务连续性方针和项目集管理计划。
作为用商业语言建立组织业务连续性收益有效性的正式的经济可行性研究,商业论证为业务连续性项目集奠定存在基础,可以用作业务连续性方针和项目集管理计划的输入。
业务连续性方针 方针是“由组织最高管理者正式发布的意图和方向”(ISO 22301:2012 3.38)。业务连续性方针则是由最高管理层正式发布的、业务连续性项目集的意图和方向。在商业论证获得认可后,最高管理层需要签署和发布业务连续性方针表明他们希望通过业务连续性得到什么,并授权项目集管理团队使用组织资源执行业务连续性项目集。业务连续性方针的关键要素包括业务连续性项目集的范围、假设、限制条件、高层级的收益和风险、目标、一般原则、关键利益相关方、项目集治理和管理组织、项目集成功标准和评价方式等。最高管理层签署和发布业务连续性方针,展示了他们对业务连续性项目集的承诺和支持,确立了业务连续性项目集的正式地位。
业务连续性方针源于商业论证,是一个“承上启下”的文件,建立起了最高管理层和业务连续性活动之间的正式连接。 所谓“承上”,是指最高管理层在业务连续性方针中明确了业务连续性项目集的范围、目标、一般原则、治理和管理组织、运行方式、成功标准和评价方式,可以说,最高管理层对业务连续性活动的构想、管理已全部在业务连续性方针中明确,多数情况下,最高管理层并不需要了解业务连续性活动的执行细节,如不需要知道风险评估或业务影响分析的详细信息,但他们已能够确定谁负责业务连续性项目集管理,以及期望什么样的风险评估或业务影响分析并对其进行评价。所谓“启下”,是指整个组织都在业务连续性方针的指导下进行开展业务连续性活动,如治理和管理结构指明了业务连续活动的主要参与者(业务连续性管理委员会、项目集管理团队、各业务部门和员工等)的角色和职责,运行方式指明了业务连续性活动由谁、在何时何地、以什么频度执行并被考核和评价,……,理想情况下最高管理层能够控制业务连续性项目集中发生的所有事情。
综合多项业务连续性标准规范和良好实践,最高管理层根据组织的目标和责任确定业务连续性方针,并确保业务连续性方针: a) 符合组织的使命(与组织的规模、性质和复杂度相适应并反映组织的文化、依赖关系和经营环境),与组织的战略方向保持一致 (显然你不能简单地复制一家制造业公司的方针文件给软件公司用 ); b) 明确业务连续性项目集的范围,由于大部分组织主要的成功标准在于产品和服务交付,业务连续性方针通常通过明确纳入哪些产品和服务来确定范围。一般情况下,如果一种产品或服务被纳入,交付它的工作场所、支持它的活动都必须被纳入。如果组织的关键产品或服务使用了外包服务,或有关键物料从外部采购,外包服务商和供应链的连续性也应被纳入。组织可决定采用何种方法来确定业务连续性的范围,如参考法律和监管要求、国际/国家标准和一些良好实践等。有关范围的决策可提供给外部(如客户、审核员或监管者)评审; c) 为目标 (至少包括两个层面的目标,一是业务连续性项目集的目标,与业务连续性如何帮助达成组织战略有关;二是产品或服务的业务连续性目标,如RTO/RPO、MAO/MTPD和MBCO等) 的制定提供框架,也就是说,业务连续性方针需要明确目标如何提出、如何审批以及如何检查; d) 包含实施业务连续性的一般原则,如风险偏好、响应优先级等; e) 包含最高管理层满足相关方要求并持续改进业务连续性的承诺,如配备足够的人员,提供资源和财务支持; f) 包含项目集的治理和管理结构,具体可参阅第10个问与答“组织结构和人事篇”; g) 包含运行方式、成功标准和评价方式等,如业务连续性活动业务连续性活动由谁、在何时何地、以什么频度执行,成功的明确定义和测量标准、测量方法; h) 在组织内部被传达和理解(也应向适当的外部相关方沟通),并指定人员负责沟通;除了最高管理层需要积极展现其在业务连续性方面的领导力外,其他各级管理层对业务连续性方针的支持也至关重要,他们应向其下属宣传业务连续性的重要性和相关性,并将业务连续性活动整合到组织的业务流程中; i) 被定期评审,作为业务连续性项目集管理的重要部分,组织运营的内外部环境的任何重大变化都可能需要正式评审业务连续性方针; 业务连续性方针还可以包括:关键术语、所参考的其它方针、实施业务连续性的要求,演练和保持业务连续性项目集有效性的承诺等内容。鉴于业务续性方针的主要目的是沟通,因此它应当简明扼要。对于大型组织,业务连续性方针可以组织成多个独立的文件。
从项目集管理角度来看,业务连续性方针本质上是业务连续性项目集章程和治理计划的合集。它正式表达了最高管理层的意图和承诺,为业务连续性项目集建立框架,并授权业务连续性经理管理和监控项目集组件(子项目、子项目集)和相关活动,是项目集管理计划的重要输入。业务连续性方针被批准意味着业务连续性项目集的正式启动。应尽早确定并任命业务连续性经理,最好在制定业务连续性方针时就任命,这样,业务连续性经理就可以参与业务连续性方针的制定,对项目集需求有基本的了解,最晚也必须在项目集管理计划开始之前。
项目集管理计划 项目集管理计划是说明业务连续性项目集将如何执行、监督和控制的一份文件,一般按年进行编制(也可以参考企业战略规划跨年度编制)。项目集管理计划按时间顺序展现未来一段时间关键的业务连续性活动,建立起业务连续性活动与预期收益之间的关系,并为关键决策里程碑和决策点提供高层级的视角。项目集管理计划根据组织的战略规划、年度计划、业务连续性项目集的商业论证和业务连续性方针等进行制定,其要素包括项目集的长远目的和目标、成功标准和测量方法,按时间顺序的业务连续性活动、它们之间的依赖关系、面临的挑战和风险、预期成果、测量标准和资源投入等。项目集管理计划可以采用图示化的格式,可以是概括的或详细的(具体详细程度取决于组织的要求和习惯),通常并不包括具体项目集组件内部的详细细节。
项目集管理计划是管理业务连续性项目集执行和评估预期收益进展的重要工具,并且可以作为期间内业务连续性活动的基本依据。项目集管理计划为即将启动的业务连续性项目组件提供授权和资源保障,当然,该期间内业务连续性活动需要与项目集管理计划保持一致。项目集管理计划也是向相关方沟通业务连续性工作情况的有效方式。
年度项目集管理计划经业务连续性管理委员会认可、并获得最高管理层批准后,就应获得相应的预算和其它资源投入。业务连续性经理在预算范围内使用资源推动业务连续性活动时,只需获得业务连续性管理委员会批准。在实务中,一些组织忽视年度项目集管理计划的重要性,也未建立起正式的年度项目集计划制度,造成业务连续性经理缺乏充足的人员和资源开展业务连续性活动,使得组织的业务连续性工作无法有效支持组织战略实施。当然,业务连续性活动涉及到组织的方方面面,部分预算可能直接划拨给相关方(部门),或者相关方(部门)根据要开展的业务连续性活动独立申请并获批了预算,无论是哪种情况,业务连续性经理需要将这些业务连续性活动纳入项目集管理计划进行监控和管理,并将其成果/收益整合起来。
对业务连续性项目集而言,商业论证为其奠定了存在基础,业务连续性方针为其建立了目标、治理和管理框架、以及资源承诺,年度项目集管理计划为其确定了未来一段时间的工作计划,这三份文件被认可和获批,标志着业务连续性项目集架构管理的建立和完善,接下来要考虑组件管理方面的重点工作。但是也要记住,项目集架构的开发和修订是迭代的活动,业务连续性项目集需要根据组织运行环境及执行情况不断更新。而更新请求需经由经变更控制过程进行控制和批准后,才能正式更新项目集架构。
再谈program和policy
在业务连续性领域的标准规范和良好实践中,经常出现program和policy这两个关键术语,下面我们简要探究一下。
先看看术语和定义:program(也可拼写为programme),在ISO 22301:2012中3.17 business continuity programme的定义是“ongoing management and governance process supported by top management and appropriately resourced to implement and maintain business continuity management(由最高管理者和适当的资源所支撑的,为实施和保持业务连续性管理所进行的持续不断的管理和治理过程)”,国际灾难恢复协会(DRII)和国际业务持续协会(BCI)的术语表均直接采用该定义,我国国家标准GB/T 30146-2013 (等同采用ISO 22301:2012)译为“业务连续性方案”。在本系列问与答中,我将program译为“项目集”,business continuity program译为“业务连续性项目集”(在ISO/DIS 22301,即新版ISO 22301的草案中,删去了该术语)。Policy,在ISO 22301:2012中3.38 policy的定义是“intentions and direction of an organization as formally expressed by its top management(由组织最高管理者正式发布的意图和方向)”,国际灾难恢复协会(DRII)的术语business continuity policy statement解释为“a BCM policy sets out an organization’s aims, principles and approach to BCM, what and how it will be delivered, key roles and responsibilities and how BCM will be governed and reported upon(BCM方针声明阐述组织关于BCM的目标、原则和方法、它实现什么和如何实现、关键的角色和责任、如何管理BCM和汇报),国际业务持续协会(BCI)的术语business continuity policy的定义为“the key document that sets out the scope, and governance of the BCM programme and reflects the reasons why it is being implemented(阐述BCM项目集范围、治理并说明其实施原因的关键文档)”。
再看看标准规范和良好实践中的program和policy的使用:国际灾难恢复协会(DRII)的10个专业惯例(Professional Practices)中的第1个就是“program initiation and management(项目集启动和管理)”,国际业务持续协会(BCI)良好实践指南的6个专业实践(professional practices)的第1个“policy and program management(方针和项目集管理)”。ISO 22301:2012第5部分leadership(国标译为“领导力”,其实译为“领导作用”似更贴切),第5.3 policy(方针)给出了BCMS(业务连续性管理体系)中方针的要求。
在BCM问与答系列文章中我曾介绍过ISO high level structure(ISO高层级结构),指出ISO通过高层级结构描述的管理体系方法是一种管理组织能力的有效方法(Policy是管理体系的关键要素)。以高层级结构为内核的“管理体系(management system)”方法已经IP(intellectual property)化了,现在只要提到ISO人们就会想到管理体系,提到管理体系也会想到ISO。今年即将发布的ISO 22301:2019(目前还是草案)删去business continuity program术语,仅在exercise(演练)和audit(审计)部分用到了program,我对此的理解是,ISO会进一步强化管理体系(management system)这个IP,而尽可能少提项目集(program),这样的话,ISO会也会尽可能少用charter(章程,项目集方法的要素)术语,而多用policy(方针)。
对业务连续性这个组织能力而言,program(项目集)方法是另一个有效的管理方法,专业组织DRII和BCI都在使用program术语,但毕竟其焦点侧重于业务连续性活动,如RA、BIA、预案编制、演练等,对program强调不太多。同时,虽然PMI和PRINCE2在推广program(项目集/项目群)方法,但对业务连续性专业人员影响还不够。从实务出发,建议准备长期从事业务连续性管理的专业人员也要多了解program(项目集)方法,以弥补管理体系方法在实践中的不足。
……(未完待续,下一篇内容是组件管理重点做好三件事:收益和组件整合管理,相关方争取,以及关键组件活动的参与)
4月份花 了 整整两周时间 组织“默战无声”II型网络安全兵棋推演活动,导致 公众号没有更新, BCM问与答系列已到了第11个问题, 5月份争取保持公众号更新频度,希望在今年第3季度完成该系列问答;目前已开始准备下一个系列的选题,可能会与“评估(evaluation)”、“能力(capability)”、“项目(program)”这几个主题相关,有好的建议请给我留言。
============= 精采回顾 ============
0 . 业务连 续性问与答Q 0: 大纲 Ver2.0 业务连续性问与答(大纲 ) Ver1.0,已废弃
第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )
第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?
第三部分业务连续性怎么管? 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们 谈风险 时,我们谈些什么?当我们谈韧性时,我们谈些什么?
业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 中 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 下 )
项目集管理和领导力 9. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 )
业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 上 ) 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 下 )
“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。
原文发表于公众号”业务连续性+” | 原文链接