业务连续性问与答Q15:如何编制和管理应急预案(和业务连续性计划)?(上)
问题: 如何 编制和管理应急预案 ( 和业务连续性计划 ) ? 与此相关的问题还有: 应急预案和业务连续性计划是什么关系,我需要都编写吗? 应急预案有哪些内容,怎么编制和管理? 业务连续性计划有哪些计划? 应急预案是制度文件吗?每年还要修订,如果定为制度的话,那每次修订就太麻烦了。 …… 回答: 下面从应急预案和业务连续性计划基础、应急预案体系以及应急预案的编制和管理进行回答。
1.应急预案和业务连续性计划基础
“一案三制”与应急预案体系
“应急预案,有时简称‘预案’,是为控制、减轻和消除突发事件引起的严重社会危害,规范突发事件应对活动而预先制定的方案。应急预案是针对可能发生的突发事件,为保证迅速、有序、有效地开展应急与救援行动、降低人员伤亡和经济损失而预先制定的有关计划或方案”(摘自闪淳昌薛澜主编的《应急管理概论-理论与实践》第380、381页)。《突发事件应急预案管理办法》(国办发[2013]101号)提出,“应急预案,是指各级人民政府及其部门、基层组织、企事业单位、社会团体为依法、科学、有序应对突发事件,最大程度减少突发事件及其造成的损害而预先制定的工作方案”。2003年“SARS”事件之后,我国政府开始建立以“一案三制”(应急预案、应急体制、应急机制、应急法制)为核心的应急管理体系,其中应急体制主要指应急管理的组织体系,应急机制主要是指应急管理的流程体系,应急法制主是指应急管理的规则体系,应急预案则是应急管理的行动体系。行动体系是组织体系、流程体系和规则体系共同作用的产物,应急预案是应急体制、应急机制和应急法制的综合体现。经过多年的建设,基本形成了“横向到边、纵向到底”的应急预案体系,也建立起预案编制、评审、发布、演练、修订等一系列制度。从“一案三制”的实践来看,应急预案直接作用于应急管理,是应急管理政策体系与应急管理具体实践的衔接点,居于应急管理中的中心地位。
全国突发事件应急预案体系
根据《国家突发公共事件总体应急预案》,全国突发公共事件应急预案体系包括:突发公共事件总体应急预案、突发公共事件专项应急预案、突发公共事件部门应急预案、企事业单位应急预案以及重大活动应急预案,其中,总体应急预案是全国应急预案体系的总纲,是国务院应对特别重大突发公共事件的规范性文件;专项应急预案主要是国务院及其有关部门为应对某一类型或某几种类型突发公共事件而制定的应急预案;部门应急预案是国务院有关部门根据总体应急预案、专项应急预案和部门职责为应对突发公共事件制定的预案;地方应急预案具体包括:省级人民政府的突发公共事件总体应急预案、专项应急预案和部门应急预案,各市(地)、县(市)人民政府及其基层政权组织的突发公共事件应急预案;企事业单位应急预案是企事业单位根据有关法律法规制定的应急预案;重大活动应急预案是举办大型会展和文化体育等重大活动时,主办单位制定的应急预案。
《突发事件应急预案管理办法》提出,“应急预案按照主体划分,分为政府及其部门应急预案、单位和基层组织应急预案两大类”,“政府及其部门应急预案由各级人民政府及其部门制定,包括总体应急预案、专项应急预案、部门应急预案等。具体到我们关心的单位和基层组织应急预案,它“由机关、企业、事业单位、社会团体和居委会、村委会等法人和基层组织制定,侧重明确应急响应负责人、风险隐患监测、信息报告、预警响应、应急处置、人员疏散撤离组织和路线、可调用或可请求援助的应急资源情况及如何实施等,全现自救互救、信息报告和先期处置特点”,此外,“大型企业集团可根据相关标准规范和实际工作需要,参照国际惯例,建立本集团应急预案体系”。“对于预案应急响应是否分级、如何分级、如何界定分级响应措施等,由预案制定单位根据本地区、本部门和本单位的实际情况确定。”
业务连续性管理和 业务连续性计划
业务连续性计划,即Business Continuity Plan(简写为BCP),在《ISO 22301:2019》中给出的定义是“指导组织响应 (respond to) 中断并重续 (resume) 、恢复 (recovery) 和还原 (restore) 交付与其业务连续性目标一致的产品和服务的成文信息” (documented information that guide an organization to respond to a disruption and resume, recovery the delivery of products and services consistent with its business continuity objectives)”, 美国联邦执行机构连续性指令(Federal Continuity Directive 1,简写为FCD 1)给出的连续性计划 (continuity plan) 的定义是:“详细说明组织如何确保它能够在影响其正常运作的各种事件中持续履行其基本职能的成文计划” (a documented plan that details how an individual organization will ensure it can continue to perform its essential functions during a wide range of events that impact normal operations) 。
显然,业务连续性计划是在管理业务连续性的过程中用到的重要的成文信息 (documented information,也有译作“文件化信息”或“文档化信息”) ,我们在以前介绍过,作为早期的业务连续性管理方法的业务连续性规划(即Business Continuity Planning)方法的目标就是生成业务连续性计划(business continuity plan)。在业务连续性管理实践中,业务连续性计计划“有不同类型的程序组成” (见ISO 22301:2019 8.4.1) 。事实上,狭义的业务连续性计划就是指用于导团队应对中断、重续基本业务活动的成文程序。英语中的“plan”、“program”和“procedure”在特定情况下都可以译为“计划”,因此,广义的业务连续性计划可包括以下10个计划:
业务连续性计划示意 (1) 风险处置计划 (risk treatment plan),也称为风险缓释计划,是在风险评估后制定的用于缓释风险的预防、保护和减灾措施; (2) 事件响应机制 (incident response system),是对突发应急事件和运营中断事件进行响应的机制安排,主要包括事件分类、分级、分期准则,应急指挥结构,事件升级程序,事件报告制度等; (3) 应急响应预案 (emergency response plan),也称为应急救援预案,是在应对突发应急事件时,用以保护生命财产安全、控制/稳定事态的协调化的程序; (4) IT灾难恢复计划 (IT DR plan),是在信息通信技术(ICT)系统发生中断时,尽快将其恢复运行的协调化的程序,也包括关键人员、设施及外包供应商不可用的安排; (5) 业务恢复计划 (business resume plan),即业务重启计划,是在业务中断后,指导将产品和服务交付恢复到最小业务连续性目标的协调化的程序,也有人称其为业务连续性程序(business continuity procedure); (6) 事后重建计划 (restore plan),即业务重建计划(business restoration plan或business reconstruction plan),是在事件后重建设施,将业务从临时措施中返回正常状态的程序; (7) 危机管理计划 (crisis management plan) 由高管层直接领导的、应对不确定的、可能会对组织声誉、战略方向等产生重大影响的计划; (8) 沟通计划 (communication plan),是面向所有相关方的全过程的沟通计划和安排,即平时也需要对相关方保持及时、有效、可控的沟通,不只是在事件和危机状态需要进行沟通; (9) 培训和意识教育计划 (training and awareness program)即培训和意识教育项目集,通常按年度或跨年度规划,由多个培训和意识教育项目组成,包括面向管理人员(高层管理人员、中层管理人员和基层管理人员)、专业人员(业务连续性管理人员以及各部门的业务连续性协调员)和业务人员(在业务连续性计划中有岗位职责的应急和恢复人员)的定向培训,以及面向组织中所有人员(包括在组织工作场所工作的外包人员)的风险和安全意识教育等; (10) 演练计划 (exercise program) 即演练项目集,与培训和意识教育计划相似,也是按年度或跨年度规划,由多个演练和测试项目组成。
应急预案和业务连续性计划的区别和联系
在进行比较之前,首先需要明确的是我们讨论的“应急预案”是“一案三制”中的应急预案,作为我国应急管理政策和实践体系的核心,它与“emergency plan”和“contingency plan”只是作为正式的程序,从重要性角度看所处地位有很大不同;其次,业务连续性管理方法自引入我国后由于接受度和实践有限,因此业务连续性计划在中文和英文中的理解没有差异。
从主体来看,任何类型的组织都可以制订应急预案和业务连续性计划,但应急预案通常用于应急管理,其目标主要是“预防和减少突发事件的发生,控制、减轻和消除突发事件引起的严重社会危害,规范突发事件应对活动,保护人民生命财产安全……环境安全和社会秩序”等,政府及其部门制定的应急预案用于组织、协调社会资源去应对公共领域的各类突发事件,单位及基层组织(包括大型企业集团)制定的应急预案主要自身所处厂界、社区范围内的各类突发事件;而业务连续性计划通常用于业务连续性管理,其目标主要是“保护关键相关方的利益、声誉、品牌和创造价值的活动”,各类组织制定的业务连续性计划用于在发生中断时将产品和服务交付在预定时间内恢复到预定水平上。
从客体(作用对象来看),应急预案和业务连续性计划明显不同,应急预案面向的是各类突发事件,主要包括自然灾害、事故灾难、公共卫生事件和社会安全事件,业务连续性计划面向的是运营中断事件。任何突发事件都有一定的影响范围和影响程度,可能会对一定范围内的组织产生影响,也可能造成其中的部分组织运营中断;而运营中断的发生可能与突发事件有关,也可能只是某个特殊的意外。
从形式上来看,应急预案和业务连续性计划的相同之处在于:它们都是正式的、文件化的程序,被预先编制出来应对事件,都需要及时进行维护和更新,以保持其持续的适用性和有效性;不同之处在于:应急预案体系可由总体/综合预案、专项预案和现场方案等组成,业务连续性计划可包括风险处置计划、事件响应机制、应急响应计划、业务恢复计划和IT灾难恢复计划等在内的10个计划,但在实践中应急预案的形式要求更加严格,有标准化的编制导则,评审时也有形式要求,而业务连续性计划则相对灵活一些,当然这与其在国内实践较少有一定关系。
从主要内容上看,应急预案和业务连续性计划相同之处较多: (1)它们都包括应急指挥体系,一般情况下,应急预案体系中的总体应急预案还会包括日常管理组织架构,业务连续性计划中则不包含日常管理组织结构(而是放在业务连续性方针文件中描述); (2)它们都包括事件的分类、分级和分期、事件升级机制和事件报告; (3)它们都包括独立的ICT连续性保障计划,在应急预案中大多将其列入保障(专项预案)部分,在业务连续性计划中有独立的IT灾难恢复计划; (4)它们都可以包括重建计划,一般情况下,在应急预案和业务连续性计划中,重建计划都会比较粗略,因为在可以重建时,生命财产已得到保护,社会秩序和公共利益已得到保障,业务方面已恢复产品和服务交付,时间要求并非特别敏感,因此,重建计划中主要界定主要参与方的任务及资金保障即可; (5)它们都可以包括危机管理计划,危机通常是由那些未识别的、或远超预想的规模和强度的风险造成,也可能由多个独立风险叠加出现引起,以至于出现了不可预测的情况,这时就需要创造性地响应,危机管理需要处理那些程序化措施无法处置的复杂情况,因此危机管理计划需要 由高管层直接领导、进行创造性地应对。业务连续性计划中可以有独立的危机管理计划,应急预案则是通过将事件升级到高层领导直接负责来解决,如《商业银行业务连续性监管指引》中的“总体预案通常用于处置导致大范围业务运营中断的事件”也是一种特殊的安排; (6)它们都包括沟通计划,与相关方的沟通是全天候的,应急预案通常包含突发事件时的危机沟通与舆情应对,业务连续性计划中则可以包括日常管理和应急处置时的沟通安排; (7)它们都可以包括培训和意识教育要求,一般情况下,应急预案中会提出培训和意识教育要求,通过其它安排落实,在业务连续性计划中,培训和意识教育计划(program)本身就是业务连续性项目集的一个子项目集,会有相关的一系列项目集文档、程序等; (8)它们都可以包括演练要求,与培训和意识教育计划类似,应急预案中会提出应急预案演练要求,通过其它安排落实,在业务连续性计划,演练计划(program)本身是业务连续性项目集的一个子项目集,会有相关的一系列项目文档、程序等。 应急预案和业务连续性计划在内容方面的不同之处主要有: (1)应急预案可以有预防和准备、预警分级等,但一般不包括风险缓释措施;业务连续性计划则可以包括在风险评估和业务影响分析后制订的风险处置计划; (2)应急预案包括保障生命和财产安全的应急响应(应急救援)预案,这是应急预案的核心内容,一般情况下,业务连续性计划不包括这部分内容;业务连续性计划包括将业务从中断中恢复到预定目标的业务恢复(业务重续)计划,一般情况下,应急预案不包括这部分内容。
从能力管理角度看,应急预案和业务连续性计划都极为重要,它们都处于能力建设和能力运用的衔接点,就能力建设而言,应急预案是应急体制、应急机制和应急法制的综合,业务连续性计划则是组织、人员、流程和技术要系的综合,都包含了能力要素的集成、验证和保持;就能力运用而言,发生突发事件时,紧急措施是根据应急预案做出,发生运营中断时,恢复行动是根据业务恢复预案做出。我们前面提到就地位而言,“一案三制”中的应急预案比业务连续性管理中的业务连续性计划要更重要一些,是因为“一案三制”中的应急预案还包括组织的应急管理目标、日常管理组织架构等,如果对比到业务连续性管理中,可理解为还包含了(部分)业务连续性方针的功能。
综上所述,“一案三制”中的应急预案和业务连续性管理中的业务连续性计划有很多交叉和重叠,也有一定的互补部分。因此,鉴于应急预案在我国有相当的法律法规、标准规范要求和众多优秀实践,业务连续性计划对组织业务运营的重要性,接下来,我们将结合这些理念、方法和实践应用于组织的应急、连续性和危机管理,主要讨论组织应急预案体系的建设和管理,其中将涉及到业务连续性计划的10个功能计划。
============ 精采回顾 ===========
0 . 业务连 续性问与答Q 0: 大纲 Ver2.0 业务连续性问与答(大纲 ) Ver1.0,已废弃
第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )
第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?
第三部分业务连续性怎么管? 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们 谈风险 时,我们谈些什么?当我们谈韧性时,我们谈些什么? 8. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 )
项目集管理和领导力 9. 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 中 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 下 )
业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 上 ) 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 下 )
业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 上 ) 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 下 ) 业务连续性问与答Q 11 : 领导 让我负责单位的业务连续性工作,我想认真了解一下业务连续性经理的工作?(附 )
能力规划 12. 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 上 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 中 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 下 )
业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 上 ) 业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 中 ) 业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估 进阶篇之一:理解组织及其环境 业务连续性问与答Q 1 3 : 如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估 进阶篇之 二 :理解业务及业务影响 业务连续性问与答Q 1 3:如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估进阶篇之三:对业务影响分析和风险评估的再认识及其它
能力建设和保持 14. 业务连续性问与答Q 14:如何 建设和保持业务连续性能力(上 ) 业务连续性问与答Q 14:如何 建设和保持业务连续性能力( 下 )
“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。
原文发表于公众号”业务连续性+” | 原文链接