在这个日益互联且瞬息万变的世界中,贵组织持续定期审视业务连续性计划至关重要。某些行动需要采取,某些则应避免。 全球化业务与运营策略的演进,为日益增长的威胁清单增添了新的业务中断风险。当时间紧迫且挑战迫近时,构建具有韧性且可恢复的运营体系将更具挑战性。除设计业务连续性策略时需考虑的各项要素外,成功实施业务连续性计划的关键在于制定周密方案并在全组织范围内进行测试。
本文将概述业务连续性计划的指导原则和关键要素,阐释连续性事件的触发机制,并深入探讨制定业务连续性计划的注意事项。
近期洞察
近年来,威胁企业业务连续性的风险持续攀升。最新研究证实,网络安全事件、业务中断、法规变更以及自然灾害是今年最主要的商业风险。
正如可能扰乱您运营的威胁种类繁多,这些不速之客的事件也可能以多种不同形式展开。这些事件常被称为业务连续性触发器——即可能阻碍企业日常运作的事件——其范围涵盖计划内事件、声誉问题、供应商供应链干扰乃至管理层人员受伤等情形。
最常见的连续性事件触发因素包括:
-
预期或计划中的事件(天气、可能造成干扰的计划活动、大流行病或公共卫生问题)
-
“办公场所”事件(建筑损坏或功能中断、其他运营影响、员工受伤或死亡、职场暴力)
-
针对该公司的公开指控或媒体/声誉问题
-
关键供应商或供货商事件
-
金融市场的重大变化
-
重大信息技术运营或基础设施问题(取决于范围和预计持续时间)
-
基于技术、运营或业务实践的重大信息安全事件或泄露
-
组织领导层成员的伤亡
业务连续性规划指导原则
尽管各行业可能存在不同的要求和独特性,业务连续性计划能为所有企业应对突发状况提供指导。当需要为组织制定业务连续性策略时,请遵循以下步骤并考虑采取这些行动来推进规划流程:
-
关注影响,而非成因。 在应对以下情境时,需确定 具体措施,并指定团队成员领导专项工作组:
–工作场所损失
–技术、安全或供应商中断
–法律、财务或监管影响
–声誉影响
–员工安全 -
采用“全灾种”方法。这意味着 您需要考虑并识别所有可能影响运营的潜在风险,同时评估脆弱性及潜在影响。 全灾种计划涵盖应急资源配置及突发事件发生前后的应对措施,旨在保障人员安全、最大限度减少企业财产损失并消除运营中断。通过全灾种方法,企业可将应急准备提升至更高效、更具可扩展性的水平。
-
确保建立并理解"指挥与控制"体系。 根据北约定义,指挥与控制是指 由正式指定人员对所分配资源行使权力并作出决策,以实现共同目标。
-
确保每个人都清楚自己的职责并做好行动准备。 开展桌面演练是组织团队成员最有效的方式,能确保每个人在紧急情况下都明确自己的责任。
-
优先处理业务流程——要事优先。完成业务影响分析后,应据此评估各部门的关键恢复时间目标(RTO),并全面掌握核心业务需求。
-
制定“可执行”的计划并保持其最新状态。
-
着重于业务连续性,即 各部门在突发事件或中断期间确保所有关键流程持续运行的工作。
-
在整个组织中提高意识并定期锻炼。
业务连续性框架
贵公司的业务连续性框架是其成功的基石。虽然每个企业的框架构成可能各不相同,但其根本目标始终如一:
- 防范中断风险(预防)
- 中断后的恢复操作(响应)
整体业务连续性框架为应急响应、业务持续运营及恢复正常业务运作提供了结构化指引。相关计划采用"全险种"方法制定,重点关注对场所、人员、技术、供应商或声誉的影响。
制定业务连续性计划
您的业务连续性计划(BCP)是构建业务连续性框架的蓝图。该文件应全面详尽,并集中存储于特定位置,确保业务连续性团队成员随时随地都能访问。完善的计划需涵盖所有关键要素,并保持足够频繁的更新频率,以帮助组织持续满足合规要求并适应行业变化。
1. 定义
启动规划流程时,首先需明确组织究竟需要或要求何种计划,随后通过业务影响分析(BIA)对所有关键业务流程进行优先级排序。理想情况下,组织内每个部门都应制定业务连续性计划(BCP),因为每个部门都拥有其特有的重要业务流程。这些部门级计划最终将汇聚成全组织的业务连续性计划。
当然,业务连续性计划的数量和范围取决于组织架构和业务结构,但这一逻辑适用于任何类型的企业。您的战略可能涵盖多个部门,而这些部门也需要制定各自的具体计划,因为每个部门都有其必须考虑的核心业务流程。
2. 优先排序与规划
在此步骤中,请考虑以下操作逻辑:
-
根据业务影响(财务、客户、会员、员工、品牌/声誉、服务交付、合规或监管)对各部门流程进行优先级排序。
-
从业务角度为每个流程确定连续性要求(0-24小时、2-5个工作日、6个及以上工作日)
-
详细说明所有关键日期(非常规日期,可能影响连续性要求)
-
制定业务延续策略(居家办公、替代场所、其他办公地点、暂停或延期)
-
目录连续性要求(人员部署、关键供应商信息及替代方案、技术要求及替代方案、重要记录、特殊设备等)
请记住,业务影响分析(BIA)的结果为制定有效的业务连续性计划奠定了基础,该计划应以业务优先级为核心。
业务连续性计划应提供一份"操作指南",详细说明在正常运营遭遇任何中断时所需采取的业务延续步骤。关于计划内容的制定要点及规划中的禁忌事项,我们建议遵循以下准则:
| 应做事项 | 禁忌事项 |
| 让你的计划切实可行 | 不抱有抱负 |
| 场景无关 | 不依赖于场景 |
| 让你的计划成为指南 | 非程序 |
| 专注于日常业务的持续性 | 并非一项长期复苏计划 |
| 制定持续性策略 | 别再犹豫了 |
完善的业务连续性计划还应包含:
- 业务流程
进程、其优先级以及必须继续运行的时间点,以确保业务持续运转。
- 关键日期
可能影响连续性优先级的定期重要日期。
- 员工部署
每位员工的部署时间和工作地点。
- 连续性任务
需要完成的事项——当天完成、24小时内完成、未来2-5天内完成,或6天以上完成。
- 主要供应商
他们是谁,提供什么服务,如何联系。
- 技术依赖性
需要哪些技术以及何时需要。
- 重要记录
为维持业务运营,需要复制哪些(通常为纸质的)记录?
- 特殊装备
执行优先级进程所需的任何专用设备
3. 验证
组建团队并制定计划后,务必全面验证该战略。
-
公司每位成员都需明确自身职责与责任——切勿想当然地认为他人已知晓。
-
仅关注技术是不够的。
-
验证您的业务连续性策略
-
你能执行你的计划吗?它们有效吗?
-
聚焦于这个问题:“我能否维持企业正常运转?”
-
仅为维持业务运转所需,替代方案极少等。
-
这不是一场及格/不及格的考试;这是一次学习实践……存在差距是好事。
总而言之
如今,推动业务连续性发展的因素日益多元。频发的行业中断事件催生了制定更强韧恢复计划的需求。监管指南现要求明确关键第三方恢复策略,同时使组织成为具备韧性的合作伙伴。 企业对全局治理、风险管理与合规(GRC)的重视度提升,促使组织降低合规成本并提供更精准的风险洞察。依托新技术打造的个性化竞争性产品服务,使客户期待全天候获取产品与服务。监管机构对关键系统停机时间的容忍度也在持续降低。最后,对突发事件的快速识别及内外响应机制,能有效保护并提升品牌价值与声誉。
编者按: 本文章最初发表在 Preparis 业务连续性软件网站上。2024 年 10 月,Mitratech 收购了业务连续性规划和应急响应解决方案的领先供应商Preparis。对内容进行了更新,以反映 Mitratech 扩大的产品范围、行业进步和监管动态。
