业务连续性问与答Q19:业务连续性管理中的评估(下)
问题:怎么评价我们单位的业务连续性及业务连续性管理?(下) 解题: 业务影响分析、风险评估、预案编制、设备采购和运行维护、培训和意识宣教、演练,……,组织建设和保持业务连续性需要持续投入,这些投入是否得到了预期的回报?投入是合理的、不足还是过度了?各项管理工作是否存在可进一步优化的空间?另外,如何从已发生的中断事件及事件应对中汲取教训和吸收经验?这些都是业务连续性评估要面临的问题。下面从评估与业务连续性、业务连续性评估过程和常见的业务连续性评估方法进行探讨。 类似的问题有: “我们刚建设完成了数据中心项目,我们的业务连续性能力达标了吧?” “我们单位请知名的咨询机构辅助建设了业务连续性管理体系,获得了监管机构的认可,目前业务连续性已进入常态化管理:每年进行风险评估和业务影响分析,也有督促及时修订预案、组织培训和演练,还有年度的审计评估,……, 但领导怎么说有时会担心得睡不好觉? ” (问题来自:一家大型机构的业务连续性经理) “我去检查时,他们有风险评估和业务影响分析报告、有预案,也有培训和演练记录,还有第三方的年度审计报告,……, 一切都没有问题。可刚过两个月就出了这么大的事故?!@#¥%……&*,我究竟该怎么检查? ”(问题来自:一管机构的工作人员说)
……接上期
“谁掌握了标准,谁就掌握了话语权”
3.业务连续性管理中的评估流程
和其它项目一样,业务连续性管理中的评估也可以分为具有逻辑关系的三个阶段: (1) 评估规划; (2) 评估实施; (3) 结果应用。 当然,这些阶段之间可以存在明显的交叉部分。特别的,对形成性评估,规划、实施和应用是重复的循环结构。
评估规划
评估规划阶段从评估发起人的一个想法开始,通过一步步的分析和规划工作,逐步落实到正式的评估方案和项目(进度)计划结束,该阶段的主要工作包括识别相关方、确立项目基础;制定评估方案和项目计划。
识别相关方,确立项目基础 每一个评估项目都必须弄清楚“谁(评估主体)、对什么(评估对象)、为什么(评估目的)、依据什么(评估标准)、怎么评估(评估流程)、得到什么(评估结果)”这些基本的问题。在了解到评估发起人提出的初步评估想法(如评估对象、评估目的、可能的参与者等)后,有经验的评估人员要做的第一件事就是识别此评估的利益相关方。在清楚了评估对象的基本情况,并和相关方沟通后,评估人员应能回答以下问题: (1)谁需要及谁支持这次评估了解清楚可能的参与方中是否都支持此评估,如果不是那么哪些参与方不支持; (2)此次评估要解决什么问题因为介入业务连续性管理具体活动和深入程度不同,各相关方的关注点是有差异的,了解清楚各相关方在评估中的关注点,找到“最大公约数”; (3)为什么要做此次评估不同相关方有不同的关注点和优先级考虑,了解清楚此次评估的主要目的是什么,表面原因和真实目的是否一致; (4)是否有合适的评估方法针对要解决的问题,有成熟且获得广泛认可的评估方法(和标准)吗?如果没有的话,是否有类似可供借鉴、改造的评估方法(和标准),这些评估方法是否可靠并能获得专业人士的认可; (5)何时评估?能有多长时间评估?业务连续性项目的相关方通常希望评估能够迅速完成,但评估规划需要在相关方的想法和高质量的评估之间进行平衡,并达成一致; (6)有哪些支持资源除了时间外,限制评估的主要因素就是可用资源的多少,包括可用的预算经费、可使用的人员和已有的数据资料(文件、统计数据、监测数据等)。
评估发起方还必须事先确定此评估由内部还是外部来实施。一般而言,如果评估目的以改进和学习为主,评价人员应非常熟悉实施的评估对象的目标、问题和现状,而且评估建议应易于实施,那最好使用内部评估。如果评估目的以监督和论证为主,那最好使用外部评估。外部评估需要考虑可用资金是否充足,内部评估需要考虑可投入的员工数量是否够用。
在清楚了以上问题后,评估人员就可以确定此评估是否可行,即进行可评估性评估 (evaluability assessment) ,目的是确立此评估项目的合理基础。如果相关方对需求没有共识、没有合适的评估方法(和标准),或者没有足够可用的资源,放弃此评估或者停下来直到这些问题得到解决再开始会比较好,因为在这些情况下,仍然开展评估的话,可能要么会让评估发起方的期望落空,要么无法遵循专业标准。
制定评估方案和项目计划 在评估项目的基础确立后,就要开始准备起草正式的评估方案和项目计划了。
评估方案是对评估的目标和主要问题的具体化,主要包括: (1)评估对象,明确评估对象是业务连续性能力、业务连续性管理工作、中断事件或者它们的不同组合; (2)评估目标和任务,主要明确此评估任务的基本目的、要解决问题的细化及优先级; (3)评估实施方式,明确是内部评估还是外部评估,或者二者结合; (4)评估参与方,明确参与评估的不同部门、团队、小组等,应找出需重点关注的参与方; (5)评估结果,明确评估结果的主要内容及接收方; (6)评估方法,明确主要参考的评估方法和标准; (7)调查设计(可选项),如果评估涉及到调查,明确调查设计方面的考虑,包括如何抽取样本、处理数据等; (8)评估过程,明确如何组织评估活动的过程。 再结合时间进度计划、人员配置安排以及经费预算等,就可以制订正式的评估项目计划。
在制订时间进度计划时,一方面要明确何时可以呈交初步结果、中期报告和最终报告,满足评估发起人对评估时间的要求;另一方面,还要留出时间上的缓冲,以便出现非预期的情况时(如人员访谈或问卷调查需要返工)也能在预定时间完成评估。在人员配置安排时,要明确哪些人应该完成哪些任务,还需要考虑相关方在何时以及以何种规模投入人员进行支持和配合。在做经费预算时,要仔细考虑各种形式的费用以及对费用数额做出尽可能准确的估算。
总体而言,评估项目任务量的大小取决于评估目的、要解决问题的分解、评估对象的复杂程度和可以利用资源的多少。评估方案和项目计划以正式文件的形式,确定了评估的目标、任务、所采用评估方法和各个行动步骤的具体顺序。一经批准,评估项目就可以进入实施阶段。
根据具体情况,评估方案和项目计划可以形成两份独立的文件,也可以合并为一份文件。
评估实施
评估实施阶段从评估方案和项目计划审批通过后开始,到提交评估结果结束,该阶段的主要工作包括开发评估工具和使用指南,以及执行调查计划、分析数据,撰写评估报告。
开发评估工具及使用指南 在把确定的评价方法和标准付诸应用时,需要结合评估项目的实际情况将其转化为评估工具,如调查问卷、访谈提纲、观察表格等,并制定配套的使用指南供评价人员使用。
一般情况下,当要了解的情形不能通过观察直接得到时,评价方法和标准会使用评估指标,比如“重要业务中有备用工作场所的比例”、“重要业务的灾备覆盖率”等。为从评估指标得出有价值的判断,还需要确定指标的“临界值”。比如,在衡量年度宣传教育的效果时,如果95%及以上的人员对业务连续性的特定认知有清晰的认同,就可以确定宣传教育的效果达到了“充分意识”,因为组织的员工存在一定的流动比率,95%的人员认同即意味着该年度的宣传教育已达到充分效果。另外,在用从0(不认同)到10(完全认同)的10级尺度量表来进行测量某种认知时,可以认为8就可以代表很好了,因为在一个目标群体中很难相信所有人员都会完全认同某一想法。
结合评估方法和标准的评估指标及使用标准构成了评估工具、使用指南及示例的主要内容。在评估工具和使用指南正式使用前,应在小范围内进行测试,以了解最终使用者是如何理解调研问题和使用指南的。如果发现最终使用者对其理解不一致,就需要对评估工具和使用指南进行修改。
如果要进行抽样调查,那么还必须确定参与调查的群体,也就是应该在多大程度上对总体进行调查或者从总体中选择样本。对抽样调查需决定使用什么样的抽样方法并且确定样本的代表程度(比如随机抽样、有意识的抽样或随意抽样),并在此基础上确定调查计划。调查计划需要确定:谁、什么时间、在什么样的条件下、调查什么样的数据,要尽可能早地预见到可能发生的困难和风险(比如被调查者是否可以到达、是否准备参加)。
我们知道,评估的质量很大程度上取决于是否能准确得到我们需要的信息,评估的科学性主要体现在信息收集和分析过程中,因此,评估工具及相关调查计划的设计至关重要,专业的评估和日常生活中的评价毕竟不是一回事,要给数据调查的设计和准备多安排一些时间,不要匆忙开始收集资料。
执行调查计划,分析数据,撰写评估报告 数据收集是评估中最复杂、最辛苦,同时也是最需要精心组织和管理的工作。评估人员在评估规划和准备阶段所进行的各种思考、所做出的各种决策、所制订的各种方案,都将在实际的数据收集过程中得到检验和实施。数据收集工作的质量将直接影响到评估结论的质量。
数据调查在很大程度上与社会科学基础研究中的工作方式相同,有三种主要的调查方法:询问法、观察法和非反应式方法。询问法可以简单理解为信息交流双方主动参与问答的过程,主要包括书面方式、小组访谈和口头询问。观察法是指用自己的感官和 辅助工具 去直接观察评估对象,从而获得资料,主要分为隐蔽的和公开的观察方式。非反应式方法是尽可能不依赖于人而是通过使用测量工具进行的获取信息的方式,如测量、文献查询和二手数据利用等。
数据调查方法总览(Meyer 2007),摘自赖因哈德•施托克曼《评估学》
数据调查的质量与所使用的调查方式有着不可分割的关系,原则上没有哪种方法能保证所获得的信息是完美无缺的。信息从拥有者向接收者转化的过程会由双方通过一个感知和解释的过程加以“筛查”并有意识或无意识地在一个或多个不同的方向上“失真”,评价人员可以运用社会科学基础研究的经验和已证明的措施控制与各种调查方式有关的干扰因素。
调查所得的原始资料经过审核、整理和汇总后,还需要进行系统的统计分析。对调查数据的分析主要依赖于所使用的测量工具和它们的标准化程度,其目标是通过对数据的提炼和标准化得出评估结论。在业务连续性相关的评估中,关注点可能是某些评估指标项,也可能是某些评估指标项随时间的变化。
评估报告是反映评估成果的书面报告,它以文字、图表等形式将评估的过程、方法和结果表现出来,其目的是告诉有关读者(不一定只是评估发起人),对于评估问题是如何进行评估的,取得了哪些结果,这些结果对于有哪些方面的意义。对评估项目来说,评估报告是其成果的集中体现。评估报告撰写的好坏,将直接影响整个评估的成果和其对业务连续性工作的作用。
对数据和从数据中得出的结果的描述必须清楚明了,在此基础上进行的评价应该能在各相关方得到普遍的理解,而且评估建议应该是从对结果的分析和解释中按照逻辑推理出来的。当然,评估报告写得好并不能保证这些结果对评估发起方和其它相关方有用。因此,对评估报告的介绍不能仅局限在书面形式,无论如何还要进行口头的陈述。这种陈述能够对主要的结果和建议以简明扼要的形式进行表述,而且可以再次强调重要的观点。再者,还可以借此机会对结果进行详细的讨论和说明。
在以改进目的为主的评估项目中,评估人员应在召开“评估总结会”之前就将评估报告草案(及评估结论)发送给被评估方进行沟通,如果被评估方强烈不认可评估结论并能提出强有力的证据,评估人员就需要重新审视评估过程及相关数据(和证据)。当然,如果评估人员有充足理由相信自己的评估结论,仍可以在与被评估方意见不一致的情况下正式提交评估报告。
在评估实施阶段,评估工具的开发和对数据的处理及运用处于核心地位。同时,实施数据调查和分析、撰写评估报告和陈述评估结果都是评估人员的任务,为此他们必须具备必要的专业知识。在整个评估项目周期内,这一阶段常常要花费大部分时间。
结果应用
作为业务连续性管理活动中重要的反馈环节,必须将评估结果应用起来才能实现其价值。
根据评估项目类型与目的的不同,并非所有的评估报告都要给出改进建议。但要使评估的结果能够得到有效应用,很大程度上取决于评估人员是否在沟通过程中成功地对该结果进行了具有说服力的陈述,以及相关方依据其期望做出的改进措施和承诺。在理想的情况下,这些改进措施可由评估人员和被评估方共同做出,并作为改进建议出现在评估报告中。或者,在提交正式评估报告的“评估总结会”后,由被评估方根据评估结果向业务连续性主管部门提交正式的整改措施(及行动计划)。
组织应建立适宜的制度、机制和文化,让评估结果能够充分发挥作用。
4.业务连续性管理中的评估方法
业务连续性管理中评估的出现源于组织“科学地”获取信息和知识的需要,与组织和相关方积极深入干预运营中断风险以及在业务持续运营方面的承诺密切相关。总体来说,目前业务连续性管理中的评估可以分为三种类型:第一类是对某一方面或多方面业务连续性能力的评估,比如对网络安全事件预警和应急响应能力的评估、对银行启用同城灾备系统接管核心生产系统能力的评估等;第二类是对某一方面或多方面业务连续性管理工作的评估,如对风险评估和业务影响分析工作的评估、对培训和业务连续性演练效果的评估、对年度业务连续性管理工作的评估等;第三类是对中断事件及中断事件应对处置的评估,如对数据中心断电事件的调查等。此外,还有将对业务连续性能力、业务连续性管理工作、中断事件的评估结合起来的组合式评估,如业务连续性准备度 (Readiness) 评估通常结合了对业务连续性能力和相关管理工作的评估,对中断事件应对处置的评估通常还会将相应业务连续性能力及管理工作的评估包括在内。下面简要介绍不同类型业务连续性评估的评估方法。
业务连续性能力的评估方法
业务连续性能力是由人(团队)、系统与装备等结合流程及组织要素形成的组织能力 (capability) ,除了在非常态管理中被组织运用应对中断事件,在日常的常态管理中可以通过实战演练进行验证 (具体参见演练的策划准备、分析和评价) 。当然,考虑到演练的整体成本较高,还有其它方法对业务连续性能力进行评估。
业务连续性能力的构成要素包括人员、技术、流程和组织要素四大类,因此每种特定的业务连续性能力可以通过对能力要素及其集成和保持情况的检查进行评估,比如,对某家商业银行“启用同城灾备系统接管核心生产系统能力” (下表摘自 《业务连续性+·业务连续性问与答·Q12(上) 》 ) 可通过检查其构成要素进行评估:
能力名称 启用同城灾备系统接管核心生产系统能力 能力描述 在核心生产系统不能正常运行时、启用同城灾备系统接管相关核心生产系统的能力 期望结果 在(技术)RTO时间内启用同城灾备系统,核心生产系统处理能力不低于预定的MBCO 主要活动 启用灾备系统,数据追补作业,业务系统运行验证 能力 构成 要素 人员 同城灾备中心业务系统运维人员 同城灾备中心数据库管理人员 同城灾备中心网络管理人员 同城灾备中心存储管理人员 同城灾备中心系统管理人员 同城灾备中心安全管理人员 同城灾备中心基础设施运维人员 装备 (及数据) 同城灾备中心核心系统 同城灾备中心备用数据 物资 同城灾备中心运维人员食宿、办公及交通支持 设施 同城灾备中心基础设施及网络通信服务 计划 (预案、协议、程序) 灾备启用接管预案 数据追补作业预案 业务系统运行证验证预案 关键供应商应急支持协议 组织领导 信息科技部领导及数据中心管理人员,经演练验证过的组织指挥架构 培训 业务系统运维管理培训 网络管理培训 存储管理培训 系统管理培训 安全管理培训 基础设施运维管理培训 演练与评估 启用同城灾备接管核心生产系统演练 效果评估和预案及程序的改进
对特定业务连续性能力的评估可以采用以上方法,但中断事件应对遵循“木桶原理”,通常业务连续性能力中最薄弱的环节决定了事件应对的总体效果,因此在对业务连续性能力进行评估时应强调所需能力的全面性,至少是针对特定类型中断事件所需能力的全面性,比如应对供应链中断事件(或应对网络安全事件)所需的预防、保护与减灾、检测、预警与警报、应急响应、业务恢复、危机沟通和事件重建能力进行综合评估。
业务连续性管理工作的评估方法
业务连续性管理,即实施和保持业务连续性的过程 (ISO 22301:2019 3.1, process of implementing and maintaining business continuity) ,是一个包含多环节、多部门和多领域的复杂体系,因此业务连续性管理评估的对象也是复杂多样的。根据关注重点的不同,可以将评估对象分为输入、输出和过程三类。
关注输入的业务连续性管理评估 所谓输入是指直接或间接提供给业务连续性管理工作的各类投入,如人力资源、设备和后勤保障、资金,以及执行标准、运作流程、训练计划、预案等等。此类评估中典型的是预评估,即在决策前对不同方案进行比较、分析,确定其可行性及优缺点,以供决策者参考,如对各类应急预案的评审。此外,大量业务连续性管理建设项目、业务连续性管理工作计划、业务连续性建设规划以及业务连续性管理专业力量、物资储备、避难空间、备用、场地与设施等的规划等,都需要预先进行评估。
对于业务连续性管理工作环境的评估也属于此类,如风险评估、业务影响分析等。甚至对各业务、分支机构对于业务连续性管理工作的努力程度的评估也属于此类,显然,“态度”也是管理工作的一种输入。
关注输出的业务连续性管理评估 所谓输出是指业务连续性管理工作的结果或效果,是输入和过程共同作用的产物,输出是业务连续性管理工作价值的外在表现,是规范性判断的直接和首要对象。此类评估也可称为后评估,适用于了解、认知某项计划、管理活动或者已执行政策所产生效果的各个方面;或者试图比较这些管理工作客观产生效果与预期效果间的差异。
首先,各类业务连续性管理项目、计划、规划等实施之后效果的评估属于此类。其次,对业务连续性管理工作的综合性评估也属于此类(广义的说,业务连续性能力评估也可归入此类)。因为输出可以理解为一个多目标的集合,此类评估可从多个维度入手,如经济 (economy) 、效率 (efficiency) 和效益 (effectiveness) ,或适宜性 (suitability) 、充分性 (adequacy) 和有效性 (effectiveness) ,这也是评估指标体系在此类评估中受到重视和广为应用的原因。
常见的ISO 22301业务连续性管理体系认证审核、业务连续性管理能力成熟度评估、FEMA的连续性评估工具( CAT,continuity assessment tool) 都是此类评估的典型应用。
关注过程的业务连续性管理评估 所谓过程是指支持或者执行业务连续性管理的相关行动和活动的总和,是居于输入和输出之间的部分。此类评估也可以包含对方案的评估和对结果的评估内容,但更多的注意力集中在业务连续性管理活动或执行的过程方面,不应将此类评估视为是对评估范围的简单扩大化,或者视为超越了方案和结果的评估,虽然在某些情况下,此类评估确实更为全面。因为过程蕴含着业务连续性管理活动的核心逻辑,无论哪种业务连续性管理评估,都需要将注意力集中到管理过程上。当前我国绝大数组织尚处于建设和完善业务连续性管理体系的阶段,只有关注过程、强调实证性,才能逐步改进我们的业务连续性管理工作,提升组织的业务连续性能力。
准备 (Preparedness) 是为保障达成业务连续性目标而对业务连续性能力进行管理而采取的各种活动,所以业务连续性管理有时可以称为业务连续性准备,相应的,业务连续性管理评估也就是业务连续性准备评估(注意,此准备 preparedness 并非准备度 readiness )。
业务连续性管理评估是目前业务连续性评估的主流,可用的方法多也相对成熟。
中断事件的评估方法
无论是中断事件评估还是中断事件应急处置评估,都是一种事后评估,大多可归于案例评估的方法。
中断事件的评估,对于业务连续性管理实践而言,具有不可替代的作用。再好的应急预案、再先进的技术和设施,再优秀的人才,……,不管经过怎样的理论建构、训练、演习,都是有待考验的。只有经过中断事件的检验,才能验证其有效性。要切实从中断事件中吸取经验教训,改进和完善业务连续性管理工作,必须依靠对中断事件及其应对处置的评估,并且也只有通过中断事件的评估,才能对业务连续性管理工作人员进行问责。
对重大中断事件的评估在业务连续性评估中尤为重要。因为重大中断事件具有破坏性大、造成损失严重、发生概率低等特点,这使得重大中断事件相比一般性中断事件具有质的变化,业务连续性管理工作的全部核心是对重大中断事件的预防准备和应急处置。如果不能够很好地从重大中断事件中总结经验、吸取教训,无疑是巨大的浪费,是对组织、股东、员工和关键相关方的极端不负责任。
要有效地对重大中断事件进行总结,只有采取正式评估的方式。单凭事发部门或应急处置部门在日常工作中,分散地、随意地、工作报告式地总结,实际效果等于没有总结。一般而言,中断事件评估报告可包括以下内容: (1)中断事件发生单位概况; (2)中断事件发生经过和应对处置情况; (3)中断事件造成的直接和间接损失; (4)中断事件发生的原因和事故性质; (5)中断事件责任的认定以及对事件责任者的处理建议; (6)中断事件防范和整改措施。 中断事件评估报告应当附具有关证据材料。事件调查组成员应当在评估报告上签名。
对于中断事件的评估不宜延迟,应选择在业务恢复告一段落后立刻进行。因为人们的记忆是短暂的,特别是对于危机和灾难,随着事后重建,各类资料和信息也往往会很快消散。为了更完整、准确地对中断事件进行评估,越早开展越有利。中断事件后立即着手进行评估,也符合各相关方的要求。
中断事件评估的目的可以多样,不应只局限于问责和改进,也不应只局限于对单一能力或单一部门,评估本身一定程度上比评估的目的更重要。当评估以正式、正规、严谨的方式完成以后,这种对中断事件的完整记录本身就具有重要的价值。中断事件评估的应用包括在适当范围内的传播,从长远看,中断事件评估的传播和研究性的价值,远高于它的问责性和改进性。
评估指标、权重体系和综合评分
指标体系是大量评估活动中的核心内容。指标体系的好坏一定程度上直接决定评估的成败。业务连续性管理实践中,因为中断事件本身种类繁多、专业性强、技术问题多,所以无论是针对中断事件的评估,还是针对业务连续性能力、业务连续性管理工作或者业务连续性管理项目的评估,都可以使用指标体系(特别是业务连续性综合性评估),以便有较大的概括性和可比性。
从评估指标体系的思想来说,就是期望将较为复杂和难以理解的概念或目标通过层层分解,转化为比较简单和容易理解的概念或子目标,进而实现较为准确的评价。因此,业务连续性评估指标体系大多包括二级或三级指标。比如,一级指标主要是分类;二级指标是概括性高的定性指标,直接对其进行打分很大程度上依靠主观判断,可操作性有限;三级指标是对具体工作情况的评价指标,内容更加具体,可操作性也更强。总体来说,指标越概括判断的难度越高。有指标体系,还需要配套的权重体系。常用的有专家打分法方式来确定权重,优点是方法简便、直观,便于应用,缺点是对专家评价能力的要求高,专家经验对权重的赋值起到决定性作用。
对于具体指标的评分相对要容易很多。因为给不同指标打分取决于主观判断,所以一般是划定不超过10个的相对等级。一般可由评估人员、一线工作人员或相关专家来打分。然后采用加权法,即∑(得分╳权重),即可得到具体指标的最终评分。对评分进行统计是以评价指标体系为核心的评估中非常重要的步骤,可以把复杂的评估体系转换为清晰直观的数字,从分数中清晰地看出哪些是业务连续性管理中重要的环节,哪些方面的业务连续性管理工作还不够完善,总体的业务连续性能力如何等。不过最终评分只是评估结果的一部分,主要反映了相对结果,具体数字表述了什么含义,在数字中反应了什么问题,还需要评估者深入理解和阐释,如何回答这些问题才是评估的最终价值所在。
在这种评分方式下,即便是很具体的三级指标,通常也需要经验丰富、对指标体系充分了解、对实际情况充分掌握的人员和专家进行判断打分,才能够保证评估的客观性。而如何甄选评估专家,目前的大部分研究只有“邀请相关领域专家”等模糊的描述,没有详细说明专家是通过怎样的程序和标准挑选出来。显然,邀请专家在实践中是很难解决的技术问题,对评估结果的影响可能比指标体系更大。
此外,无论是由组织根据指标体系进行自我评估,还是由专家或者上级部门对组织进行外部评估,确立的总体指标体系反映了评估主体的价值观和指向性,而评估结果的重要性相对会弱一些。
5.简答 问:我们刚建设完成了数据中心项目,我们的业务连续性能力达标了吧? 答:业务连续性能力是否达标,关键要看业务连续性能力的目标是什么,即贵单位的业务连续性能力具体包括哪些能力,这些能力的目标是否量化了,然后可以具体进行测评。一般而言,数据中心属于组织的关键信息基础设施,是业务的关键支撑。数据中心肯定有自己的建设目标,达成这些建设目标会为促进、支撑但并不代表组织业务连续性的达标。 问:我们单位请知名的咨询机构辅助建设了业务连续性管理体系,获得了监管机构的认可,目前业务连续性已进入常态化管理:每年进行风险评估和业务影响分析,也有督促及时修订预案、组织培训和演练,还有年度的审计评估,……,但领导怎么说有时会担心得睡不好觉?(问题来自:一家大型机构的业务连续性经理) 问:我去检查时,他们有风险评估和业务影响分析报告、有预案,也有培训和演练记录,还有第三方的年度审计报告,……,一切都没有问题。可刚过两个月就出了这么大的事故?!@#¥%……&*,我究竟该怎么检查?(问题来自:一管机构的工作人员说) 答:这两问本质是同一个问题,也是当前业务连续性管理实践中的重大误区之一。 在实践中,中断事件及其处置存在相当大的偶然性和随机性,中断事件发生与否、发生的数量多少与频率高低并不与业务连续性管理工作的好坏直接相关,中断事件的应急处置的好坏也不能够充分反映业务连续性管理工作的水平。当然,业务连续性管理工作的好环,会体现在业务连续性能力上,而业务连续性能力的强弱,直接关系到中断事件应对处置的效果。也就是说,业务连续性能力是其中关键的一环,不重视业务连续性能力目标很难将业务连续性管理工作做好。 当前,有不少组织做了大量的业务连续性管理工作,但其中绝大多数并不清楚自己所需的业务连续性能力有哪些,目标又分别是什么,造成的后果就是常态的业务连续性管理工作没有清晰、具体的目标,而相应的监管、检查、评价工作完全围绕业务连续性管理工作进行,不清楚也没有针对业务连续性能力进行评估评价,这样常态的业务连续性管理工作很容易形成为了合规而合规,流于形式(好听的说法是“进入常态化管理”)。因此,强烈建议有能力和危机感的组织将业务连续性能力评估纳入评估框架,以指导、引导业务连续性管理工作的方向。
…End…
BTW:下一个问题简要探讨业务连续性管理审核,是业务连续性问与答系列的第20个问题,也是目前列出的最后1类问题,有关注业务连续性管理的朋友,请继续留言给出你的问题,谢谢!
============ 精采回顾 ===========
0 . 业务连 续性问与答Q 0: 大纲 Ver2.0 业务连续性问与答(大纲 ) Ver1.0,已废弃
第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )
第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?
第三部分业务连续性怎么管? 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们谈风险时,我们谈些什么?当我们谈韧性时,我们谈些什么? 8. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 )
项目集管理和领导力 9. 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(中 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(下 ) 10. 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 上 ) 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 下 ) 11. 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 上 ) 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 下 ) 业务连续性问与答Q 11 : 领导 让我负责单位的业务连续性工作,我想认真了解一下业务连续性经理的工作?(附 )
能力规划 12. 业务连续性问与答Q 12 :如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 上 ) 业务连续性问与答Q 12 :如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 中 ) 业务连续性问与答Q 12 :如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 下 ) 13. 业务连续性问与答Q 1 3: 如何进行业务影响分析和风险评估? ( 上 ) 业务连续性问与答Q 1 3: 如何进行业务影响分析和风险评估? ( 中 ) 业务连续性问与答Q 1 3:如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估进阶篇之一:理解组织及其环境 业务连续性问与答Q 1 3:如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估进阶篇之 二 :理解业务及业务影响 业务连续性问与答Q 1 3:如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估进阶篇之三:对业务影响分析和风险评估的再认识及其它
能力建设和保持 14. 业务连续性问与答Q 14:如何 建设和保持业务连续性能力(上 ) 业务连续性问与答Q 14:如何 建设和保持业务连续性能力(下 ) 15. 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计划)? (上) 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计划)? ( 下 ) 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计划)? ( 进阶篇 ) 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计划)? ( 参考 ) 16. 业务连续性问与答Q16:如何进行人员能力和意识上的准备?(上 ) 业务连续性问与答Q16:如何进行人员能力和意识上的准备?(中 ) 业务连续性问与答Q16:如何进行人员能力和意识上的准备?(下 ) 17. 业务连续性问与答Q17:如何做好演练工作?(上 ) 业务连续性问与答Q17:如何做好演练工作?(中 ) 业务连续性问与答Q17:如何做好演练工作?(下 )
能力运用 18. 业务连续性问与答Q1 8 :如何 应对中断事件 ?
管理评价 19. 业务连续性问与答Q1 9 :如 何 评价业务连续性及业务连续性管理工作 ? (上)
“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。
原文发表于公众号”业务连续性+” | 原文链接