· 公众号:业务连续性+ 原文链接 ↗

一篇文章讲明白业务连续性管理政策——结合2个行业,8家机构的样例分析

业务连续性管理政策,即Business Continuity Management Policy(BCM Policy),有时也称作业务连续性政策(Business Continuity Policy,或BC Policy)。1

有人说,BCM政策是业务连续性管理体系中最高层的”纲领性”文件。

也有人说,BCM政策中,最重要的是要提出企业自己的”口号”(还真有从业者,在编写BCM政策时找我了解其他企业的”口号”)。

还是有人说,我在金融行业,直接照抄104号文不香吗?

……

业务连续性管理政策,是业务连续性管理体系的核心文件之一,作为企业开展业务连续性管理工作的”起手式”,必须理解清晰,认真对待。“架子”起得不好,是一定会走弯路的。

咏春起手式

咏春起手式

下面简要讨论一下BCM政策文件的定位,并结合一些实例介绍其主要构成内容。

一、BCM政策的定位

“BCM政策是业务连续性管理体系中最高层的’纲领性’文件”,这个说法没问题,是站在业务连续性管理体系角度的看法。

我们知道,业务连续性管理体系只是”组织整个管理体系的一部分”2,那站在组织整个管理体系的角度来看,更全面的表述是,BCM政策是一个”承上启下”的文件,它建立起了组织最高管理层和业务连续性管理活动之间的正式连接。

“所谓’承上’,是指它由最高管理者批准和签署,涵盖了最高管理者对业务连续性管理的所有期望、要求和考核方式,为设计和实施业务连续性项目集提供了框架,并展现了最高管理者落实BCM政策的承诺。可以说,最高管理者对业务连续性管理活动的构想、管理方式已全部在BCM政策中明确。在多数情况下,最高管理者并不需要了解业务连续性管理活动的执行细节,如不需要知道风险评估和业务影响分析具体怎么实施,但他们能够确定谁在负责业务连续性项目集,以及提出期望获得什么样的风险评估或业务影响分析并对其进行评价。”3

“所谓’启下’,是指组织中的其他相关方(包括业务连续性管理委员会、业务/职能/保障部门、业务连续性经理等)都在BCM政策的指导下开展工作,如治理和管理结构指明了业务连续性管理活动的主要参与者(业务连续性管理委员会、项目集管理团队、各业务部门和员工等)的角色和职责,运行方式指明了业务连续性管理活动由谁、在何时何地、以什么频率执行并被考核和评价,……在理想情况下,最高管理者能够控制在业务连续性项目集中发生的所有事情。”4

显然,这里的”启下”和”BCM政策是业务连续性管理体系中最高层的’纲领性’文件”的说法是相容的。

换句话说,“最高管理者通过签署和发布BCM政策表明他们希望通过业务连续性管理得到什么,并授权项目集管理团队使用组织资源管理业务连续性项目集”。5

《业务连续性管理实务》

《业务连续性管理实务》,人民邮电出版社,2022年4月

以上内容,主要摘录自《业务连续性管理实务》6,接下来,我仍然引用其中的文字阐释BCM政策文件的定位:

“从项目集管理角度来看,业务连续性政策实质上是业务连续性项目集章程和治理计划的合集,它正式表达了最高管理者的意图和承诺,为业务连续性项目集建立了框架,并授权业务连续性经理管理和监控项目集组件(子项目、子项目集)和相关活动,是项目集管理计划的重要输入。业务连续性方针被批准意味着业务连续性项目集可以正式启动。组织应尽早任命业务连续性经理,最好在制定业务连续性方针时就任命,这样业务连续性经理就可以参与制定业务连续性方针,对项目集需求有基本的了解;最晚也必须在项目集管理计划开始实施之前任命。“7

二、BCM政策的主要构成

为使BCM政策能起到”承上启下”的作用,它的主要内容可以包括”BCM的范围和目标、总方向和原则、组织架构,以及如何评价和考核业务连续性管理工作等”。简要归类一下,BCM政策文件的构成可以分为4个部分(8个要素):

  1. 政策声明(含BCM目标、适用范围、管理环境、相关声明、术语定义);
  2. 治理和管理结构
  3. 管理框架主要构成
  4. 其它

以下结合5家图书馆和3家半导体企业的BCM政策样例分析进行介绍(更详细分析,可参考本文的附件1和附件2,另外,可到知识星球下载附件1、2的分析表及原样例文件)。

首先,在政策声明部分,主要包括1-BCM目标、2-适用范围、3-管理环境、4-相关声明以及5-术语定义,简要说明如下:

1-BCM目标,即企业开展业务连续性管理工作希望实现的目标,在存在多个目标的情况下,可以把这些目标按优先级进行排列,如:

伦敦公共图书馆(London Public Library,简写为LPL)明确列出,其业务连续性目标是:

  • 保障LPL员工、志愿者、承包商和租户,公众成员,以及其他在图书馆出现的人员在紧急情况/中断的响应和恢复期间的健康和安全;
  • 确保第一响应人员的健康和安全;
  • 保护图书馆的资产,包括但不限于:物业、基础设施、系统、藏品、技术设备,装备和家具;
  • 将服务和运营中断降至合理水平。

台积电公司(TSMC)的业务连续性管理体系的目标是:

  • 最大限度的减少营运中断事件的冲击,并确保营运持续性;
  • 保护人员、技术、信息与实体资源等资产;
  • 将财务损失最小化;
  • 确保法律和法规的符合性;
  • 确保准确且可靠的利益相关者沟通,以维持信任和信心;
  • 强化营运韧性。

2-适用范围,指BCM政策的作用范围,如澳大利亚新南威尔士州图书馆(The Library of New South Wales)的政策文件指出”本政策适用于图书馆理事会、高管层和所有工作人员”,微芯(MicroChip)的文件指出”本文件适用于MicroChip Technology股份有限公司的所有生产场所”。根据企业开展业务连续性管理工作的目标、资源投入和优先级安排等,确定适用范围时可以选择先在企业的一部分进行试点然后再全面推广。

3-管理环境,指企业的业务连续性管理工作所处的管理环境,如与其它相关专业领域(全面风险管理、安全与健康、信息网络安全和隐私保护、危机管理、应急管理等)的关联和协同关系,以及需要符合的法律法规、监管要求,需要遵循的国际/国家/行业/团体标准和最佳实践等。澳大利亚新南威尔士州图书馆的这一部分内容比较全,可以参考。

4-相关声明,这是政策声明中除BCM目标外的其它声明部分,包括企业对其业务连续性管理环境的认识、对相关方和目标的承诺、管理原则,采用的BCM方法,以及假设条件和限制因素等。澳大利亚新英格兰大学图书馆和英特尔公司的样例内容可以参考。

5-术语和定义,考虑到业务连续性管理涉及范围广,而不同地域、不同行业对术语使用偏好差异较大,如果公司规模较大,在不同区域/国家运营,有多种产品和服务,最好能对所使用的主要术语采用统一的定义,其内容可以放在术语和定义部分,5个图书馆和MicroChip公司的样例均可参考。

其次,在治理和管理结构部分,主要明确企业内业务连续性管理活动的主要参与者在日常管理和事件处置中的角色和职责,同时,可建立日常汇报关系和应急指挥链。如澳大利亚新南威尔士州图书馆的政策文件中,明确了图书馆长和首席执行官、运营/基础设施总监和首席财务官(BCM负责人)、各部门总监、安全经理(事件主管)、规划和项目负责人(IRT协调员)、媒体与沟通经理、客户服务和支持经理、物业和建筑基础设施经理、人力资源经理、藏品保护经理、信息和访问经理、各经理和主管以及所有工作人员的职责。

当然,如果公司规模比较大,这一部分也可以比较简略,更详细的内容在其它文件(如业务连续性计划或分计划)中明确。如台积电公司只是在BCM政策中指明”营运持续管理委员会负责策略方向及指导营运持续计划的制定和实施,营运持续管理乃公司经营团队与全体员工的共同责任”,MicroChip公司在文件中明确了”现场职责”和”预案启用”时的角色和职责,以及业务连续性管理委员会的组成。

第三,在管理框架主要构成部分,主要描述企业采用的业务连续性管理方法的运行方式,如主要包括几个组成部分,它们是如何运行并如何关联起来的。如苏格兰国家图书馆(National Library of Scotland)的文件中指出,其业务连续性规划过程包括4个步骤:商定原则和高层级目标,分配职责,在图书馆建立和实施业务连续性管理,以及持续管理,并详细描述了这4个步骤的具体工作和不同角色在其中的具体职责。在加拿大拉纳克高地图书馆的文件中指明,其业务连续性计划涉及综合应急管理的4个不同阶段:风险缓解,准备,响应和恢复。英特尔公司在文件中除了指出其业务连续性管理方法的特点是”侧重于影响,不会针对地震、火灾……制定业务连续性计划”和”专注于预防和减轻任何类型危机的影响,确保能够在对员工、客户、供应商和股东几乎没有影响的情况下持续经营”外,还解释了其方法包括7个部分。

第四,在其它部分,是以上未列入的、但作为正式文件所应具备的部分内容,如BCM政策文件审查/修订方面的安排,最高管理者的签署,以及版本管理情况等。

在企业制定BCM政策时,政策声明部分是必备内容,其中1-BCM目标、3-管理环境和4-相关声明这3个要素重要性高;治理和管理结构以及管理框架主要构成(即要素6和要素7)也很关键,但根据需要可以编制到其它文件。台积电公司的BCM政策简洁精炼,可供参考。

最后,再摘录《业务连续性管理实务》中的相关内容,对BCM政策和业务连续性项目集架构管理的关系进行介绍。

一般而言,企业在开展业务连续性管理工作时,首先进行”商业论证”,即考虑成本估算、风险及收益预测等因素,明确开展业务连续性管理的正当理由(即为什么要做业务连续性管理,不做业务连续性管理究竟会有什么样的损失等);在商业论证获得认可后,企业开始制定业务连续性管理政策(或BCM方针);然后编制(跨)年度的项目集管理计划。

“对业务连续性项目集而言,商业论证为其奠定了存在基础,BCM政策为其建立了目的及目标、治理和管理框架以及提供了资源承诺,年度项目集管理计划为其确定了未来一段时间的工作计划。这3份文件被认可和获批,标志着业务连续性项目集架构管理的建立和完善。”8

“要记住,项目集架构的制订和修订是可迭代的活动,业务连续性项目集需要根据其运行环境及执行情况不断更新。组织只有在更新请求经变更控制过程被控制和批准后,才能正式更新项目集架构”。9

附件1:图书馆的业务连续性管理政策样例

5家图书馆分别是:

  1. 澳大利亚新南威尔士州图书馆(The Library of New South Wales)
  2. 澳大利亚新英格兰大学图书馆(University of New England Library)
  3. 伦敦公共图书馆(London Public Library)
  4. 苏格兰国家图书馆(National Library of Scotland)
  5. 加拿大拉纳克高地公共图书馆(Lanark Highlands Public Library)

图书馆BCM政策样例1

图书馆BCM政策样例2

图书馆BCM政策样例3

图书馆BCM政策样例4

图书馆BCM政策样例5

附件2:半导体企业的业务连续性管理政策

3家半导体企业是台积电(TSMC)、微芯(MicroChip)和英特尔(Intel)。

半导体企业BCM政策样例1

半导体企业BCM政策样例2

半导体企业BCM政策样例3

半导体企业BCM政策样例4

半导体企业BCM政策样例5

关于”Policy”的翻译: 有专家在涉及ISO27001信息安全管理体系的讨论时,建议将信息安全管理体系文件中居于最高层的、唯一的Information Security Management Policy文件译为信息安全管理方针,而对信息安全管理中对不同领域进行专项管理的Policies文件(可能有多个,如BYOD Policy、Third-Party Access Policy,所以用取复数形式)则译为政策。但在企业管理实践中,所谓”最高层的、唯一的”策略管理文件与管理层级和管理范围相关,如企业将业务连续性管理体系纳入全面风险管理体系(Enterprise Risk Management)时,从业务连续性管理体系角度来看,BCM Policy是”最高层的、唯一的”,但从全面风险管理体系这个”更高层”的管理视角来看,与BCM Policy同层级的策略性文件可能不只一个,似乎译作”方针”和”政策”都有道理。因此,在本文中,我将Policy统一译为”政策”,但认为”政策”和”方针”可以等同使用,不再进一步区分。

原文发表于公众号”业务连续性+” | 原文链接

Footnotes

  1. 业务连续性管理体系(BCMS),见ISO 22300:2021 3.2.21 的定义。

  2. 见《业务连续性管理实务》第118、119页。

  3. 见《业务连续性管理实务》第119页。

  4. 见《业务连续性管理实务》第118页。

  5. 《业务连续性管理实务》,人民邮电出版社,2022年4月。

  6. 见《业务连续性管理实务》第121页。

  7. 见《业务连续性管理实务》第122页。

  8. 见《业务连续性管理实务》第122页。

  9. 见《业务连续性管理实务》第122页。