談“業務連續性管理”在企業中的應用

那貴昇

（北京泰瑞特認證有限責任公司 北京 朝陽 100015）

談“業務連續性管理”在企業中的應用

那貴昇

（北京泰瑞特認證有限責任公司 北京 朝陽 100015）

業務連續性是指企業有應對風險、自我修復和快速反應的能力，從而可以保證企業業務的連續運行。當有突發事件或災難發生后，能以最快的速度恢復業務運行和主要業務功能。隨著信息化和大數據時代的到來，企業信息數據和業務安全性的要求正在逐步的提高。作為企業風險管理的重要組成部分，業務連續性管理正不斷應用于各行各業的企事業單位。

業務連續性；業務影響分析；最長可接受中斷時間；最小業務連續性目標；恢復點目標；恢復時間目標

1 引言

近年來越來越多的突發事件和自然災害對單位、企業的正常營業造成了破壞和中斷。如2015年天津大爆炸造成周邊企業的歇業，或經常發生的水災、雪災、臺風等自然災害給所在地的生產生活造成巨大損失，這些災難的發生不得不讓人們對企業業務運行的連續性加以重視，從而加強管理。

業務連續性管理其實就是企業或主體組織為了解決突發事件對自身業務造成中斷或其他影響，主動識別潛在威脅以及如果這些威脅真正發生對業務運行造成的影響的一整套管理過程。

2 企業建立業務連續性管理體系的必要性

業務連續性管理系列標準實施的最重要主體是企業或實體組織，企業通過業務連續性管理標準的實施和宣貫，對業務影響進行分析，識別主營業務及存在風險，并對這些風險進行評估，針對識別的風險和評估的結果制定相關策略。從而采取減小業務影響的相關措施，有針對性地做好預防和應急處理工作。業務連續性管理標準在企業的宣貫和實施，會有效地提高企業的連續性保障水平。

建立一個完備的業務連續性管理體系，是保證企業業務連續的重要手段。

3 業務連續性管理體系的建立

根據“GB/T30146-2013公共安全業務連續性管理體系要求”，建立業務連續性管理體系是一個復雜的系統工程。組織不但要有基本的管理體系要素，如文件管理、資源管理、組織結構管理等；還必須進行業務影響分析，以了解其業務中斷產生的影響及造成的后果。在業務影響分析的基礎上，評估可能產生的風險及這些風險對業務連續性的影響。

3.1 業務影響分析

組織通過向客戶交付產品和服務來達成其目的，因此產品和服務（及相關活動）的中斷時間對組織的目標和運行產生的負面影響是非常重要的。故組織應建立一個正式和文件化的業務影響分析（BIA）和風險評估過程。通過BIA和風險評估來了解組織，并確定措施以限制中斷對組織的影響、縮短中斷時間或減小中斷的可能性。

BIA的目的是了解組織的關鍵產品和服務以及交付這些產品和服務的活動，為恢復活動確定優先級和時間，識別為了業務連續性和恢復有可能需要的關鍵資源等。

3.2 風險評估

組織應對其優先活動和支撐這些活動的過程、體系、信息、人員、資產、供應商、和其他資源中斷的風險進行系統的識別、分析和評估。對組織可能的風險需要有一個具體的描述。如什么可能發生以及為什么會發生（風險識別）；可產生什么結果；它們發生的原因（可能性）是什么；是否有辦法可能減緩結果或降低其可能性。

組織了解其活動所要求的資源的威脅和脆弱性，特別是那些高優先級的活動，這些風險可能來自于特定的威脅，如火災、洪災、電力中斷、員工損傷、員工缺勤、電腦病毒和硬件故障等在一點傷中斷資源或活動的事態或活動；中斷事件可產生于資源的脆弱性，如單點故障、消防防護不充分、缺乏后備電力、人員配備水平不足、IT安全水平和彈性地下等等。

3.3 業務連續性策略

基于業務影響分析和風險評估的結果確定業務連續性策略，也就是從業務影響分析和風險評估的發現來識別需要采用的措施并以某種方式滿足組織的業務連續性目標，該措施可能在中斷事件之前、之中、之后都需要。例如：將一條生產線拆分到兩個地點、安裝發電機、通過縮短中斷時間和降低程度來降低中斷事件的總體影響。業務連續性策略的選擇應遵循以下原則：保護優先活動。減少該活動的風險。穩定、連續、重啟和恢復優先活動。緩解、響應及控制影響。

3.4 應急響應管理

組織應建立應急響應機制，利用對事件有職責、權限和能力的人員來建立并實施這樣的機制。這個機制要做到確定相應閥值（即臨界點），從而判斷是否應啟動正式響應；評估中斷事件的性質和程度，或其可能造成的影響，制定措施來關注受影響員工的利益，啟動適當的響應來應對中斷事件，獲得資源來支持相應機制和控制手段，響應機制宜簡單，可快速形成。應急響應管理大致可分為預警和溝通、業務連續性計劃和恢復。

組織應制定書面程序來恢復并將業務運行從事件發生后所采用的臨時性措施返回到支撐正常的業務要求。通過修復事件造成的損害、將業務運行從臨時場所轉移至新建場所等措施來實現業務活動回到正常運行狀態或恢復點目標。

3.5 演練規劃實施管理

組織應演練和測試其業務連續性程序，以確保它們和業務連續性目標一致。演練是經過設計的一系列活動，用來檢驗組織面臨特定的中斷情景時的響應，恢復和持續有效地完成指定業務功能的能力。組織利用演練來確保業務連續性計劃的有效性并做好準備。業務連續性程序在通過演練之前不能被認為是可靠的，除非其得到了及時的維護。演練對于確保充分準備好策略、方針、計劃和程序并滿足業務連續性目標是必不可少的，演練有助于加強團隊協助、能力、自信和知識，演練最好包括那些可能或將要使用這些程序的人。

4 結語

綜上所述，業務連續性管理體系的建立，能夠對企業在應急管理中的預防、應急準備等環節提供相對明確、科學的技術指導，對突發事件的特點分析、影響、可選擇的恢復途徑、業務功能的重建、復原計劃的成本及資源需求等關鍵技術問題給出分析方法的指導，為企事業單位的應急管理提供標準化的技術支撐。

[1]李輝.業務連續性管理從一本書開始.中國財政經濟出版社，2015.

[2]張春林，陳小峰.商業銀行業務連續性管理.機械工業出版社，2016.

[3]KelleyOkolita.構建企業級業務連續性規劃.機械工業出版社，2015.

F272;F832.39 【文獻標識碼】A 【文章編號】1009-5624（2018）01-0200-02