BCM不僅僅是IT的事

郭濤

美國當地時間10月1日晚，賭城拉斯維加斯發生了美國歷史上最嚴重的槍擊案，事件導致至少59死527傷。從拉斯維加斯槍擊案到BCM（業務連續性管理），這中間有什么聯系呢？拉斯維加斯槍擊案的慘痛教訓從一個側面折射出應急管理應如何充分發揮其作用。而BCM關注的是如何避免災難或意外事件對組織或機構的業務連續性運作造成影響甚至是破壞。應急管理也屬于BCM的范疇。

如果在災難或意外發生之前能夠預見，如果在災難或意外發生之后能夠快速響應，及時消除負面影響，如果真能有那么多如果，“9·11”、在美國多地肆虐的颶風，還有火災、洪水等自然的和人為的災害，就會因為有了BCM，人們提前認知到危機或災難，并能在事后采取有效應對手段，就可以大大減輕災害造成的損失。

在百度百科上，業務連續性管理（Business Continuity Management）的定義是，BCM一項綜合管理流程，它使企業認識到潛在的危機和相關影響，制訂響應、業務和連續性的恢復計劃，其總體目標是為了提高企業的風險防范能力，以有效地響應非計劃的業務破壞，并降低不良影響。從該定義可以看出，BCM與業務、流程有關，可以通過一系列管理和技術的手段落地和實現。

但結合上文提到的現實生活中的種種災難和風險，筆者認為，BCM不應該只是某些企業和機構，或者某些業務領導和技術人員思考的事，而應該是滲透到每個人血液中的一種風險和安全意識。從這個角度說，也許它也可以歸入“大安全”的范疇。

中國的企業用戶對BCM這個名詞應該不陌生，但是BCM在中國的落地情況又如何呢？近日，DRI BJ2017大會在北京召開，筆者帶您一起去尋找答案。

DRI（國際災難恢復協會）作為全球BCM領域最權威的學術組織，已得到國際上開展BCM應用的組織和BCM從業者的高度認可。為增強中國BCM專業人士對DRI的了解，DRI BJ2017將重點放在展示DRI的發展歷程和未來規劃，以及BCM的應用探索上。

這一會議每兩年在中國舉辦一次，都是依靠志愿者進行會議的策劃、組織和執行。由于人手有限，會議的宣傳只是通過朋友圈和業內人士口口相傳，盡管如此，此次兩天的會議，每天都有至少400人參加，而且相當一部分聽眾一直堅守到會議的最后，下午五六點鐘，大家對BCM的關注和熱情可見一斑。另外，相關廠商參加演講也十分踴躍。由于演講時段有限，據說個別業內知名廠商都沒能“搶”到位置。

DRI中國分會（DRI China）總裁于天在整個會議過程中忙前忙后，卻樂此不疲。DRI進入中國到今年已經十年，看到BCM在中國客戶中扎根、開花、結果，于天當然是最感欣慰的。

成立于1988年的非盈利學術組織DRI，專注于BCM理論體系的建立和方法論的推廣，是全球公認的BCM從業者資格認證的權威機構。自2007年進入中國，DRI在中國十年磨一劍，為各行各業BCM實踐提供專業指導的同時，也培養了大批BCM專業人才。目前，中國通過CBCP認證的已有400多人，從數量上看，在全球僅次于北美。“十年中，中國用戶對于BCM的認知在逐步提高。不過，在BCM項目的落地上，還略顯少而慢。”于天表示，目前，金融行業的客戶在BCM項目的實施中領先于其他行業。

本次大會的演講內容精彩紛呈，有兩個突出的特點：一是金融行業，主要包括銀行和證券公司，仍然是中國BCM的中堅力量，其BCM實踐正走向深入；二是互聯網企業現身說法，國外的eBay和中國的阿里，都講述了自己與BCM的不解之緣。

金融業是中國BCM應用的開拓者，尤其是銀行，更是中國BCM應用普及度最高的領域。廣發銀行信用卡中心在高速拓展業務的同時，一直非常重視業務連續性管理體系的建立，是國內第一家獲得BCM國家標準GB/T-30146認證的金融機構。在會上，廣發銀行信用卡中心信息安全經理、資深BCM實踐者張桂明介紹了BCM實踐，中怡保險分析了風險轉移新策略，平安銀行和海通證券分享了BCM應用的探索和經驗……

說實話，互聯網企業對BCM的熱衷讓筆者稍感意外。企業建立業務連續性管理體系的根本目的并不僅僅是為了合規或監管要求，而是要真正幫助企業提高抗風險能力，使企業臨危不亂，持續運營。因此，客觀地評價企業BCM真實水平，是指導企業改進和提高的前提。eBay公司亞太BCM經理Nabil Aboulhosn在會上分享了eBay公司在這方面的成功秘訣。

對于“雙11”創造的一個又一個銷售神話，大家一定不陌生，那么你對“雙11”背后的安全應急響應又有多少了解？阿里巴巴集團安全部資深總監張玉東分享了阿里如何保障“雙11”這個大規模、高并發、超復雜的系統的安全運行，以及應急響應方面的經驗和教訓。

在聽廠商和行業用戶演講的過程中，筆者有一個很深的感觸，中國的廠商和用戶在介紹時，習慣性地介紹采用了哪些技術和解決方案，而國外的專家和用戶在演講時，很少直接提及某一技術或產品，而主要講述的是業務和管理，以及BCM的方法論。

業務和技術是BCM的兩個主要支柱，中國用戶關注技術和產品選型固然可喜，但千萬不能只盯住技術不放，還是要多關注業務本身和管理實踐，畢竟BCM并不僅僅是IT的事。當初，讓很多人第一次注意到BCM的“9·11”事件，本身是一個社會事件，而非IT。當意外或災難發生時，考驗的不僅僅是企業的IT部門，而是所有的業務和管理部門，還有企業的“一把手”們！不是嗎？業務、技術兩不誤，才能避免陷入BCM的誤區。

在本次大會上，還有兩項現場簽約值得關注。一項是DRI中國與著名的英國標準協會（BSI）在中國的組織BSI中國，簽署戰略合作協議，積極推動雙標準認證。在保證企業業務連續性的實踐中，作為兩大權威機構，其標準也是相輔相成的，DRI的標準重在實現和實施，而BSI的標準側重在合規。

另一項是在云災備領域異軍突起的中國本土創新企業——上海英方軟件股份有限公司（以下簡稱英方）與DRI中國簽署行業戰略合作協議。雙方將進一步深化合作，英方將借助DRI的全球資源拓展國內和海外的BCM業務，而DRI中國可以借助英方在國內外成功的案例推廣BCM的理論、CBCP認證和相關BCM標準制定發展。英方公司已經有多人通過了CBCP認證，其中就包括英方CEO胡軍擎。

于天向筆者介紹說，其實越是企業的高層管理人員越容易通過CBCP的考試和認證，因為培訓和認證的內容主要是管理方面的知識，而非技術。據說海通證券的領導連續學習了三天，就順利通過了認證。

于天表示：“英方不僅在災備行業具有技術和市場推廣優勢，而且在云災備落地、BCM推廣方面與DRI擁有一致且正確的價值理念。雙方的戰略合作可以更好地推動BCM在中國應用。”筆者還了解到，DRI中國在眾多災備廠商中選擇英方還有一個重要原因，就是證券行業將成為除銀行業之外的下一個BCM熱點領域，而英方在證券行業有較好的客戶基礎和應用實踐，這讓雙方的合作有的放矢。

通過和與會嘉賓的交流，筆者對當前BCM在中國的落地情況有了更深入的了解，同時也對BCM實踐中存在的一些問題和誤區有了更清楚的認知。

很多人是從DR，也就是災難恢復的角度開始認識和了解BCM的，因此也就理所當然地把BCM歸到DR的范疇內，其實這是一個誤解。如果從包含的關系來看，DR其實是BCM的一部分，DR關注的是技術底層和實現，它是實現BCM的一個技術支撐。反而是BCM的外延更廣，不僅僅是技術，更重要的是業務和管理。

眾所周知，DR需要演練，這樣才能在災難發生時從容應對，做到心中有數。BCM也要有演練，而且公司的管理高層也應該參加，BCM演練涉及的內容和部門更廣泛。總之，BCM演練是一個企業所有部門的事，而不僅僅是IT部門。但是現在，中國很多企業的BCM是由IT部門主導的，這就不自覺地把BCM這本經“念歪”了，將BCM變成了一個純技術的問題，這是片面的。

還有一點特別值得關注，當前中國的BCM應用主要還是集中在金融領域，更準確地說是銀行業。因為早在2011年銀監會就已經出臺了《商業銀行業務連續性監管指引》，有章可循，讓銀行業的BCM實踐可以步步深入，踏實穩健。據了解，我國證券領域也要出臺類似的規范。標準和規范先行，可以加速BCM在各個行業的落地。

BCM在中國的發展最好是由政府、行業組織和監管機構，以及企業等多方共同努力，營造良好的大環境和氛圍，在相關標準和規范的指引下，企業又能準確定位業務、管理和技術的關系，這樣才能更有效地提升企業的風險防范意識，保證業務永續。