用BS25999来规范BCM

  • 作者: 潘蓉 www.ciw.com.cn
  • 发布于: 八月 15 2008





用BS25999来规范BCM
潘蓉 www.ciw.com.cn

第 1 页共 2页

应急计划、连续性计划和灾难恢复计划的关系

近年来,恐怖活动、种族冲突、SARS、禽流感、海啸、雪灾、地震等各种天灾人祸,使不少企业陷入困境。面对这些灾难,企业高层和管理人员如何未雨绸缪,妥善应对这些冲击呢?

  简单的灾难备份是远远不够的,答案只有一个:进行业务持续性管理,即BCM。而全球业务持续性管理框架标准——BS 25999为企业提供了构建BCM的指南。

BS 25999把业务持续性管理框架分成六个部分,分别为BCM管理程序、理解组织、决定BCM战略、开发并实施BCM响应计划、演练维护和评审回顾以及把BCM植入企业文化。现以一家虚拟冷冻食品运输企业——FOOD公司来说明BS 25999的方法论。

首先是BCM策略的制定。FOOD公司考虑企业发展战略、股东和相关利益方的要求,制定了策略,那就是确保食品配送业务连续。

BCM管理程序

该部分包括职责的分配,在组织中实施和持续管理。FOOD公司只有100人左右,规模不大,所以在治理架构中明确了BCM的责任人David。David负责制定BCM方针文件,推动实施BCM,与相关的利益方定期沟通,了解要求,汇报状况,持续改进。

了解你的组织

了解组织的产品和服务,识别关键活动,搞清楚其供应链上的依赖关系。企业业务类型不同,所处的自然和市场环境不同,为了评估危机发生时可能面临的冲击,企业必须找出其赖以生存的关键业务。

David进行业务冲击分析,发现FOOD公司的关键服务是冷冻库以及车辆运输,而运输又有部分是依赖于外部的供应商,这些供应商基本都是个体运输者。接着通过风险评估,David发现FOOD面临的最大风险是冷冻机故障和道路中断。由于产品的特点和客户的要求,David得出了可接受的业务恢复目标时间(RTO)为一天。 那么在一天之内是完全恢复供应还是恢复部分超市的冷冻食品供应呢?这取决于公司及客户合约的要求。David对于冷冻机故障采取了处理对策,而对于道路中断通过购买保险转移了风险。

确定BCM战略

找出业务最大容忍的中断时间以及最低可以接受的服务水平,这是非常关键的一步,这不但意味着要满足行业监管和利益相关方的要求,也意味着资源的投入,包括人员、场所、设备、技术、供应商等。

David定义了冷冻机最大容忍中断为4小时,响应的策略包括:建立备用的小型冷库;与冷冻机供应商的合约要求配件的响应时间和冷冻机功能恢复时间;电力供应除了签约更多的供应商外,也准备了自己的发电机。

开发和实施BCM响应

  根据企业规模的大小,可能有一个或多个连续性的计划。针对不同业务的特殊部分或者特殊的场所和情形,计划要详细而不冗长,可读可执行,包括事件的应急处理计划、连续性计划和灾难恢复计划等内容。

第 2 页共 2页

David制定了冷冻机故障的应急计划,包括供应商及时通知修理、停顿超过两小时就启动连续性计划、启用备用的冷库、通知供应商运输线路改变以及斟酌是否告知客户FOOD面临的状况。

演练维护和评审

通过演练证明BCM的计划是有效的,并不断维护保持更新。新的灾难场景和新的业务类型都会造成BCM的改变。

为了模拟冷冻机故障发生的情形,David按照业务连续性计划,首先通告了董事长,通知供应商前来修理。供应商排除了冷冻机机械故障的原因,认为是电力供应的问题。这样就触发了另一个电力中断的应急预案,紧急发电,电力公司反馈两小时内无法恢复供应。于是通知董事长,并决定启用备用冷库,通知本区域运输供应商运输路线更改,都先到故障冷库取货,新送来的食品存入备用冷库。两天后电力供应恢复,但David仍然坚持留在备用冷库把应急储存的食品运输完后,才通知供应商返回原来的冷冻库取货。通过这次演练,David发现柴油发电机的油量储备不够,仅供柴油发电机组运行一个多小时,导致备用库的食品变质。另外,部分供应商没有及时得到冷库位置变更的通知,使得故障冷库的食品没有按照预定时间取完,以上两方面原因造成的损失是部分食品解冻变质。

在这个部分有几个概念,应急计划、连续性计划和灾难恢复计划,它们的目的和作用不同,启动条件也不同。

把BCM植入组织文化

  BCM应对的就是小概率、大灾难事件,必须通过不断的意识培训和演练来加强全体员工的应变能力。BS 25999标准强调,必须要让BCM深入企业成为企业文化的一部分,才能达到企业永续经营的目标。

经过BCM生命周期的策划、执行和演练,FOOD公司已成为当地最值得信赖的冷鲜食品储存和运输商,并且通过收购、租赁和自建相结合,着手建立全国的冷冻库和运输网络,把成熟的业务连续性管理经验复制到全国的网络。

今年的雪灾、地震、暴雨让我们认识到自然的威力,也让原来嘲讽杞人忧天的人们意识到灾难的确会发生。而只有那些未雨绸缪、事先做好应对准备的,当灾难发生时,启用应急计划、业务连续性计划,让关键的业务不会因此中断,进而适时启动灾难恢复计划,让业务水平回到原来状况的企业,才可以成为百年企业。

链接:BS25999标准组成

BS25999标准由英国标准协会(BSI)制定,标准分为两大部分:

BS25999-1为业务持续发展指南,帮助企业建立相应的准备机制。负责该标准制订的技术委员会由来自政府、企业界、学术界等方面的专家组成,成员还包括一系列非盈利组织,如业务持续管理学会(BCI)、持续性论坛、紧急事件应对协会(EPS)、风险管理经理人协会(ALARM)、英国贸工部、内政应急事务办公室、金融服务机构、英国工商业联合会、公司董事学会、英国保险业联合会,以及小企业联合会等。

这一标准建立了业务持续管理的相应过程、原则和术语体系,提供了在企业内贯彻业务持续性理念、发展和贯彻业务持续管理体系的基础,还阐述了业务持续管理的生命周期、过程的评价以及更新文件系统、业务持续管理的选项以及实施业务持续管理的方法和战略。

BS25999-2于2007年11月正式颁布,对标准第一部分所要求的认证过程做出规范。第二部分的所有理念都秉承了第一部分的要求。

目前,第一部分和第二部分的标准正在越来越多地被业界应用。

* BSI中国公司技术专家 潘蓉

Reference Code: RN_EV_CIW_08_15_08_1_CN

 
comments powered by Disqus