· 公众号:业务连续性+ 原文链接 ↗

网络安全和业务连续性管理·业务连续性问与答·Q3(上)

问题: 业务连续性管理 从哪儿来,又将到哪儿去?

简答: 业务连续性管理是人们为应对运营中断风险所做的努力,在古典业务连续性管理时期,保险是主要方式;进入现代业务连续性管理时期,从IT DR到BCP,再到BCM,发展出了业务连续性管理体系(BCMS)方法。 IT DR将向其真正的后续者 – IT连续性管理进化;而业务连续性管理已成为走向组织韧性的桥梁,将支持全面风险管理的真正落地。下面予以详述。

近年来,9.11恐怖袭击、日本9.0级大地震、波及美国三十个州的暴风雪、墨西哥湾的原油泄漏、冰岛火山爆发以及肆虐世界各地的地震、洪水、飓风、恐怖袭击、非典(SARS)、埃博拉(Ebola)、GDPR、贸易战等各类自然灾害、人为灾难和社会事件频繁发生,有的造成了巨大的财产损失和人员伤亡,有的直接造成组织运营中断(包括完全停业和虽然持续营业但业务受损两种情况),从而导致营业收入损失、利润水平下降、股东价值减少、市场份额缩减、市场声誉受损等多种可能损失。

有统计表明,在经历大型灾难而导致业务中断的企业中,有40%再也没有恢复运营,剩下的企业中也有接近35%在两年内破产。而“9.11”后,具有业务连续性管理预案的企业中有84%幸免于难并恢复了全部生产能力。自2001年“9.11”事件以来,国内外学术界和实务界对与运营中断相关的业务连续性管理给予了前所未有的关注,但往前追溯,人们对营业中断风险进行主动管理已有300多年的历史,最初从火灾利润损失保险开始。下面我们从4个方面来谈谈业务连续性管理的过去、现在和未来。(文章约15600字,分上、下两部分发出,各需约30分钟看完,可先收藏再看)。 1. 古典业务连续性管理时期 – 营业中断保险的发展 2. 现代业务连续性管理时期 – 从IT DR到BCM 3. 简要介绍我国业务连续性管理领域的发展与现状 4. 业务连续性管理的未来

古典业务续性管理时期 – 营业中断保险的发展

营业中断保险(Business Interruption Insurance),在英国有时也叫利润损失险(Loss of Profit)或间接损失险(Consequential Loss),在美国被称为营业收入与额外费用险(Business Income and Extra Expense),是对被保险人指定地点的物质财产受到承保风险损毁后,商业活动在一段时间内暂停或受到影响的间接经济损失及必要的费用支出提供保障的保险。

营业中断保险自其产生到现在已有三百多年的发展历史,大致可以分为三个发展阶段。

第一阶段:营业中断保险萌芽发展时期

营业中断险的起源可以追溯至1666年,在当年著名的伦敦大火( 参见后面的小资料:伦敦大火(1666年) )发生后,市场上出现了一种 不仅承保物质财产损失,还承保成品因火灾无法出售而导致的利润损失 的保险。

1797年英国保险公司Minerva Universal正式宣布已经准备好承保利润损失险,但最后并未成功。 1817年“Hamburger Generalfeuerkasse”将营业中断保险作为火灾保险的补充条款,承保租金的损失。 1821年英国Beacon保险公司推出损失保单(Time Loss Policy),赔偿商人因火灾无法开工的损失,这种保险的赔偿以全年的平均收入为基础,按天或按周进行赔偿,但没有考虑季节波动因素。 1857年法国阿尔萨斯出现了Chomage保险,Chomage的英文含义就是闭置、停滞的意思,这是第一份比较正式的营业中断保险。在这种营业中断保险中,火灾引起的间接损失的保险金额为火灾保险金额的一个固定比例,理赔金额也是以火灾保险财产损失的固定比例计算,这种计算方式仅仅考虑了火灾的严重程度,并没有考虑其它影响停业期间长短的因素,但事实上营业中断损失与直接物质财产损失并不一定成比例关系。 1871年,交易利润保险公司(Trade Profit Insurance Company)成立。 1875年皇冠火险公司(Crown Fire Office)开始提供承保“因火灾而实际上发生的利益损失”的保单,但是这些保单仅能满足“制成品已完成、但尚未售出”的制造业被保险人,而无法满足那些因灾停业期间遭受利益损失的被保险人的保障需求。 1880年,美国波士顿的一个保险代理人设计出使用和占用(Use and Occupancy)保单,承保因火灾而致的生产损失,以每天约定投保额为上限,作为未能占用使用的补偿,但补偿有限。 1889年来自苏格兰的Ludovig McLlellan设计了利用营业额的减少来计算营业中断损失的一套系统,作为关键数据的营业额可以取自企业会计报表,这一方法切实可行,不仅在英国得到了广泛认可,还在1906年被引入瑞典。 1910年德国监管当局批准了机器营业中断保险单,成为继火灾营业中断保险后的第二大类营业中断保险。机器营业中断保险和火灾营业中断险的保险范围和除外责任是相同的,区别在于责任范围基础不同,火灾营业中断保险以财产保险(火灾保险)的责任范围为基础,机器营业中断保险以机器损坏险的责任范围为基础。

小资料1:伦敦大火(1666年)

1660年代,伦敦是当时英国最大的城市,估计有50万居民,伦敦生活最令人畏惧的两大隐患,是瘟疫和火灾。在1665年,伦敦爆发了可怕的淋巴腺鼠疫,也就是黑死病。死去的人太多,只能草草丢到坑里。死亡人数高达80000,达到伦敦人口的1/6。此外,伦敦是一个密集拥挤、人口众多、很不卫生的地方,满是狭窄的街巷,老旧的木房子挨挨挤挤,密不可分,城市的建筑布局和木头房子让这个城市存在着极大的火灾隐患。

整个1666年夏天,干旱的天气持续了几个月。9月2日周日凌晨,一条名叫布丁巷的小街上的面包房着火了;开始时火势很小,但当时正刮着东风;大火在大风中迅速蔓延开来,下午人们已放弃将其扑灭的企图。在第四天周三,风终于停了,再加上人们持续不断、毫不留情地炸毁房屋,把大火分割成小块的火,大火熄灭(还有单独的火仍在燃烧)。在接下来的星期天,降雨帮助城市扑灭了火灾。

大 火蔓延到伦敦80%的城区,烧毁了 13200户住宅和87座教区教堂, 包括圣保罗大教堂以及多数市政建筑 , 虽然火灾中的死难者不多,但这场大火造成了数万人无家可归。 损失的货币价值,最初估计为当时货币的100,000,000英镑,后来减少到不确定的10,000,000英镑(相当于2016年的15.5亿英镑)。

配图

伦敦大火纪念碑,高 61米,内部有311级螺旋形台阶

伦敦城的重建用了大约50年的时间,圣保罗大教堂的修复是在1711年才完工。也就是说很多经历过大火的人在城市没有完全改造之前就去世了。英国人在大灾之后进行了深刻的反思,火灾推动了伦敦城市建设的剧烈变革,新房子不再是木屋而都启用了砖块。同时,经过这场惨烈的大火,困扰了英国多年的黑死病(即鼠疫)就此绝迹。据资料记载,当时一位伦敦市民自豪的说:“这不仅是最好的,还是世界上最健康的城市!”

这一变化也波及社会其他领域。1667年,牙科医生尼古莱·巴蓬首先在伦敦开始经营房产火灾保险,开创了私营火灾保险的先例。到1680年共集资4万英镑成立了合股性质的火灾保险所,并按照房租和房屋的危险等级差别收取保险费,对木造房屋收取相当砖瓦结构房屋两倍的保险费。正因为使用了差别费率,巴蓬有“现代保险之父”的称号。

第二阶段:营业中断保险两大模式形成与发展时期

1938年美国发展出营业毛利保单(Gross Earnings Form),标志着被称为营业利润保险的美国模式的形成,1939年英国出现标准火灾利润损失险,这标志着具有营业中断保险标准条款的英国模式的形成。

这两大模式分别构成了美英营业中断保险的核心,在此后的几十年里,美英两国的营业中断保险均以此为蓝本,进行一些局部修改与调整。如美国保险服务局(Insurance Services Office,ISO)在1986年建议以营业利润保险(Business Income Coverage Form)替代和组合了以前两种毛利润保险(Gross Earning Form)(制造业营业利润保险和非制造业营业利润保险)。2000年ISO又对营业中断保险的具体含义,制造型企业的净利润所包括的项目等内容进行了澄清。英国保险人协会(Association of British Insurers,ABI)在20世纪50年代重新制定了“差额计算法”的承保条件,在1989∽1991及1996年推荐了新的营业中断保险保单措辞。

第三阶段:各国营业中断保险融合发展与标准化时期

随着欧盟和全球一体化,未来英国或美国式的保单特征优势将互补融合,欧盟筹划设计欧盟标准营业中断保险单(European Business Interruption Policy)作为模板,会员国可再按个别需要增删内容。对跨国企业集团而言,也需要有一个统一的利润损失保险单,再按个别地区需要另外安排差异保险。

各国营业中断保险业务发展现状

在英美两大营业中断保险模式的影响下,世界上很多国家也引入了相关保单,开展营业中断保险业务。

爱尔兰、澳大利亚、新西兰、法国、德国等多数国家都主要使用英式标准保单。德国在所有的企业财产险当中,保费收入的10%是营业中断险,而工程险当中大约有6%的保费是来自于所谓的利润损失险。

在中南美洲、远东和北欧等受美国商业影响较大的地区,越来越倾向于采用美式营业中断保险保单,加拿大、日本、韩国等国家则在原有的英式营业中断保单基础上融入一些美式保单的元素。

我国大陆、香港和台湾地区的营业中断保险也是借鉴英美两大模式的基础上发展起来的。自20世纪80年代开始,中国香港、台湾和大陆陆续开始推广营业中断保险单。香港目前使用的是营业中断保险条款(2000版)取材于英国保险人协会(ABI)的1990年版本的英式标准保单,台湾目前使用的营业中断保险条款(2002版)则采用美国式营业利润保单。大陆地区80年代初次采用的营业中断保险条款和1995年开始启用的人民银行统颁条款都是以“差额计算法”英式标准保单为基础的,2009年新修订的营业中断保险条款则是英美两大模式的混合产物。

在我国,尽管灾难事件频发,但除了金融行业在灾备方面有所准备,以及极个别的企业外,绝大多数企业要么把“持续经营”当作理所当然的企业经营假设,要么心存侥幸,认为“天灾人祸”不一定会落到自己头上,很少投保营业中断保险。值得关注的案例有:汶川地震保险赔付总额不到20亿,而法国拉法基和香港瑞安集团在华的合资子公司—拉法基瑞安水泥有限公司获赔7.2亿,超过三分之一;无锡SK海力士在2013年火灾后,因投保物质损失一切险及营业中断险,获赔9亿美元。(这两个案例显示,合资和外资企业在这方面做得明显较好)

小资料:SK海力士火灾最终赔付金额确认9亿美元

SK海力士是全球第二大DRAM芯片制造商,全球DRAM市场占有率达到24.6%,仅次于三星的50%,无锡工厂的产量占到了SK海力士总产量的一半。

配图

SK海力士工厂爆炸

2013年9月4日,SK海力士无锡工厂一车间突然发生火灾,事后调查表明,事故是由于该公司生产车间气体泄漏,引发车间屋顶排气洗涤塔管道的保护层着火。到当天傍晚6点,事发现场的明火已全部扑灭。此次事故并未造成大的人员伤亡,从车间疏散出的人员中,1人受轻微外伤,另有10余人到医院进行了呼吸道检查,均无大碍。

但这次火灾造成DRAM生产线全面中断,导致手机和计算机的存储芯片价格在火灾之后猛涨。火灾发生20天后,DRAM存储芯片的价格已大幅上涨42%。根据亚洲最大DRAM存储芯片市场DRAMeXchange的数据,2GB DDR3DRAM芯片的价格上涨至2.27美元,而2013年9月4日为1.60美元。这一价格也创造了两年来芯片价格上涨的新高。

由于SK海力士是苹果、三星、联想、戴尔和索尼等行业巨头的最重要供应商,此次大火导致的停产对苹果等公司的生产进度产生严重影响。SK海力士无锡工厂的停产,也会导致存储芯片短期内严重缺货。而存储芯片是目前智能手机的必需元件,这也可能导致电子类产品供货出现推迟。

报损10亿美元估损9亿美元

此次大火中,SK海力士投保物质损失一切险及营业中断险,被保险人是位于江苏无锡的SK海力士半导体(中国)有限公司,保险期限为2013年8月1日到2014年7月31日,总保险金额为8101533000美元,其中物质损失部分为7271123000美元,营业中断损失部分为830410000美元,另外保单设置了23亿美元的单次事故赔偿限额。原保单由5家公司共保,分别为韩国现代财险占50%,为首席承保人;人保财险占35%;太平洋产险、大地保险、韩国乐爱金财险各占5%。

据具体负责此次查勘的根宁翰公估公司及世界著名经纪公司MARSH相关负责人介绍,SK海力士大火报损约10亿美元,保险估损将达9亿美元。火灾事故发生在2013年9月4日15时40分左右,晶圆厂2层A号无尘室背面区域下方发生爆炸。而后,在距离第一次爆炸点南面约80米处,接连发生两次爆炸,并引发大火。事故导致晶圆制造设备、机器及在制品受到严重损坏。此次事故最大的可能性是,由于施工人员误将氢气管接入氮气管道而引起爆炸及燃烧。

2013年9月27日,根宁翰公估公司及经纪公司MARSH组织了第一次查勘,由于参与该项目的保险人众多,后续还分两批参与了查勘,分别为9月29日及10月8日。据介绍,事故发生后,被保险人采取多项措施进行施救,力争在2013年10月10日恢复了部分生产。经被保险人与保险人、公估人确认,共有约140余台、合计约2.3亿美元的设备被认定为全损,其他设备正在加紧抢修恢复中。此外,按照海力士计划恢复生产的时间计算,营业中断险项下最乐观的损失也会达到2亿美元以上。按照公估人提供的报告,此次事故在扣除免赔后,保险赔付金额至少在6亿美元-9亿美元之间。而在2014年初的合同续转和陆续结案过程中,此次事故的保险赔付已基本确认在9亿美元。

现代业务连续性管理时期 – 从IT DR到BCM

随着近几十年来科技大发展、经济全球化和人员的快速流动,社会环境发生了很大变化,大型企业越来越多,中小型企业和各类社会组织也开始面临前所未有的客户和经营环境,采用单一的风险转移策略(古典业务连续性管理的营业中断保险)已不能满足企业发展的需要,现代业务连续性管理应运而生。

第一阶段:IT灾难恢复的兴起与发展

现代业务连续性管理的历史可以追溯到20世纪60年代,那时业务连续性的思想和方法是包含在风险管理、危机管理理论中,并未作为一门独立的学科来独立研究。那时人们关注的主要是事件本身直接造成的损失,如人和物方面的损失,对事件造成的其他损失并未给予足够重视。随着计算机系统的开发使用,为解决系统持续运行的问题,计算机设计人员对单点故障采用了冗余措施,这是现代业务连续性管理思想的最早应用。

20世纪70年代中后期,当时大多数系统都是面向 批处理 的 大型机 ,在很多情况下,这些 大型机 可能一下子会停机好几天,对组织业务造成重大损害。随着计算机中心管理人员开始认识到对计算机系统的依赖性,1979年,Sun Information Systems(后来成为Sungard Availability Services)在美国费城建立了全世界第一个商业化的灾备中心,对外提供数据备份专业服务,这是灾备行业的标志事件。金融组织,如银行和保险公司大都将备份磁带存储在远离生产中心的备用场所。灾难主要是火灾、水灾、暴风或其他物理损坏。灾备系统主要解决的是信息系统的数据备份问题,重点是减少数据的丢失,而对恢复的时间要求并不高,衡量灾备系统能力的关键指标主要是数据恢复点指标RPO,而不是业务恢复时间目标RTO。

到了20世纪80年代,随着计算机技术的迅速发展与普及,各个行业信息化程度大幅提升,组织运营对信息系统的依赖度越来越高,信息系统风险造成的后果也日趋严重,人们逐渐认识到数据备份虽然是组织业务恢复的基础,但还需要相应的备份数据处理系统和网络系统,灾备中心才能更快、更有效地接管生产系统持续运行,因此产生了应用级灾备的概念。更进一步,人们还认识到只有备用资源还不足以有效应对灾难,还要有相应的组织架构和流程保障,即灾难恢复体系建设,也是从这时开始,灾备系统开始向灾难恢复体系建设进化。1992年,Anaheim会议从技术层面确定了灾难恢复国际标准SHARE 78,标志着IT灾难恢复体系正式确立。

随着 互联网 在20世纪90年代末到21世纪的快速发展,各种规模的组织越来越依赖其IT系统的持续 可用性 ,一些组织为多个关键系统设定可用性指标(如,99.999%)。对IT系统的日益依赖,以及海啸,地震,洪水和火山爆发等大规模灾害的意识提高,进一步催生了IT DR相关的产品和服务,从 高可用性 解决方案到“ 热 站 ”。网络技术和服务的发展使远程服务成为可能,现场恢复变得不那么重要了。

自2010年以来云计算的崛起推进了这一趋势:如今,只要网络本身具有足够的可靠性(现代网络就是按高韧性设计的),提供计算服务的具体物理位置并不重要。“恢复即服务”(RaaS,Recovery as a Service)是云安全联盟推广的云计算的安全功能或优势之一。

技术是IT DR的基础,IT DR的发展离不开技术的进步与突破。从技术角度来看,IT DR灾备是一门综合性的系统工程,涉及到数据复制、数据及应用切换、重复数据删除、数据加密与传输、数据存储、虚拟化与云计算等多种技术的具体应用。IT DR技术体系建设中涉及的典型技术包括: • 数据复制技术 数据复制技术是容灾方案设计中最基础也是最为核心的技术之一,主要分为数据库/应用的复制、基于主机的数据复制、基于存储网络的数据复制、基于存储的数据复制,其中除了基于数据库的数据复制以外,其它的数据复制方式都具有同步和异步两种复制方式。 • 切换技术 切换是指在生产系统故障或异常终止后,能够自动或者手工切换到冗余或备用信息系统的能力。根据具体突发故障的不同,又可以分为:网络切换和应用切换。灾备切换是一系列操作的组合,不是单一的技术动作,并且由于“容灾黑盒”的存在,其切换的决策难度非常大。一是无论生产中心还是灾备中心,彼此的业务之间都有逻辑的联系,服务的启动顺序也有严格的要求;二是灾难的类型多种多样,不是每次灾难都需要启用灾备中心;三是灾备切换需要投入巨大的人才物力。在发生灾难时,首要的是快速判断灾难的类型、可恢复性和后果,然后根据灾备预案来决定是否启用灾备中心。越关键的业务,切换就越需要慎重,可能需要集体决策。 • 重复数据删除技术 基于磁盘的重复数据删除技术已经被大量应用于灾备存储中,该项技术通过寻找不同数据块中的冗余数据,并通过删除这些重复的数据来对数据进行压缩,某些重复数据压缩技术甚至实现了20:1的压缩比,通过重复数据删除技术不但能解决单数据中心多副本占用空间的问题,还可以减少传输备份数据所需要的带宽,重复数据删除技术主要分为基于软件的重复数据删除和基于硬件的重复数据删除两种方式。 • 数据加密与传输技术 数据灾备涉及到数据在网络上的传输,尤其是当前大力发展的云计算方式,因此数据在传输过程或存储介质上的安全性问题也格外突出。 • 数据存储技术 数据备份的过程必然涉及到数据的存储,因此谈灾备,必然要谈到存储。

互联网技术的发展使得IT计算技术和环境也在快速的演进,如云计算与虚拟化技术、开源和超融合,DevOps等受到越来越多的重视和应用,这使得IT DR的发展即将进入一个新的发展阶段。

第二阶段:业务连续性的独立及发展

1983年,美国金融监管机构对信息系统正式提出了运行连续性的要求。这对灾难恢复系统建设提出了新的要求,即不仅要恢复数据,还要支持在预定的时间内恢复业务,这已经是业务连续性要求的早期表述。按照这一要求,灾难恢复系统建设随后调整了重点,既不仅仅要完成保护数据的灾难备份,更重要的是要完成以保护业务为目标的灾难恢复。

但在当时,灾难恢复领域的先驱者们遇到了一个难题:他们很难说服高层管理者把大笔资金投在一件可能永远都不会发生的事情上,这使得他们创造了“业务影响分析(BIA)”这一概念,以吸引管理层的更多关注。BIA最早于20世纪80年代中期在美国得到应用,后来很快传到欧洲(主要是英国)和澳大利亚。人们进一步发现,采用了业务影响分析、作用于信息系统的灾难恢复规划(DRP)方法论完全可以应用于业务上,灾难备份从原来的IT范畴提升到关注业务持续运行的高度,在IT技术之外,加入了业务影响分析、风险评估、灾难备份与恢复策略、恢复预案、演练培训等内容;在恢复过程中涉及了更多业务流程、资源调配、人员组织和策略制定,自然而然,业务连续性的概念就应运而生了。

1986年Ron Ginn在《Continuity Planning》一书中首次使用业务连续性这一概念,该书将灾难恢复方案的方法推广到对业务风险和潜在运营中断的处置当中。也就是说,从20世纪80年代末,业务连续性已开始从灾难恢复中独立出来,业务连续性管理的关注重点是业务持续运营,灾难恢复仍然聚焦于保护信息系统的持续运行。当然,由于“Continuity”比“Recovery”更能吸引(用户)高层管理者的视线,直到今天,仍有大量提供灾难备份与恢复系统(IT产品)的厂商乐于标榜这些产品为业务连续性产品来误导人们。

随着业务连续性的快速发展,为满足业务交流经验和知识的需求,并使技能娴熟的业务连续性专业人士和一般顾问(通常是IT背景的顾问)区分开来,1988年,美国的国际灾难恢复协会(Disaster Recovery Institute International)从业内热门期刊《灾难恢复杂志》(The Disaster Recovery Journal)独立出来,提供培训和认证。同年,英国组织“Survive!”成立,随后发展成为培训、活动和出版物的商业提供商。1994年,在“Survive!”工作小组建议下,国际业务持续协会(Business Continuity Institute)成立。国际灾难恢复协会和国际业务持续协会共同拟定了10种专业实践(Professional Practices),为那些寻求认可或资质的业务连续性专业人员衡量和判断能力的标准,并在随后的独立发展出了DRII Professional Practices和BCI Good Practice Guidelines。

21世纪初的一系列恐怖袭击事件对公共安全和组织正常运营造成了严重影响,业务连续性一词被频繁提及。对于业务运营高度依赖信息系统的组织来说,信息系统灾难恢复体系是保障其业务持续运营的关键,而对于业务运营不依赖或较低依赖信息系统的组织来说,对支持其主要运营活动的关键资源进行风险管控和应急准备,也是保障其业务持续运营的核心。

“9.11”事件是业务连续性管理发展的重要里程碑。该事件的发生不仅让全世界人民感到震惊,更让人们发现灾难性事件离自己如此之近。事件发生后,世贸大厦里金融机构的大量数据化为乌有,这是对所有金融机构的重大挑战,德意志银行早在1993年就制定了严谨可行的业务连续性计划,灾难发生后,德意志银行调动4000多名员工及全球分行的资源,短时间内在距离纽约30km的地方恢复了业务运行,得到了客户和行业的好评。摩根士丹利在办公场所全毁后,半小时内就在灾备中心建立了第二办公室,第二天便恢复了全部业务。与之相反,纽约银行在数据中心全毁,通讯链路中断后,由于缺乏灾难备份系统和有力的业务应急恢复计划,在一个月后不得不关闭部分分支机构,造成巨大损失,给银行经营带来重创。

经历了“9.11”事件,人们在付出沉痛的代价后,深刻地认识到灾难恢复和业务连续性管理的重要性。这种重大灾难事件一旦发生,整个区域的组织都会受到严重打击,有些甚至是毁灭性的,不仅组织本身,与其关系紧密的上下游组织都会受到影响,并间接导致整个行业、乃至整个社会的系统性风险。因此,对组织的业务连续性建设要求不仅仅来自于组织本身,更包括行业联盟和协会、监管部门、政府机构。各国政府还积极推动自身和公共服务部门的运行连续性。

2004年,英国颁布《国民紧急事务法案》(The Civil Contingencies Act 2004),要求第一类响应者制订业务连续性管理安排;第二类响应者属于“响应合作机构”,会严重地卷入到突发事件中,需要与第一类响应者和第二类响应者合作,并共享相关信息。其中,第一类响应者为处于大多数突发事件核心的组织:A. 地方当局;B. 应急服务机构:警察局、消防局、紧急救护中心;C. 医疗卫生机构:全国卫生服务信托基金和健康保护机构;D. 政府部门:环境部门、战略卫生局、海事和海岸保护部门。第二类响应者为:A. 公用事业(水、污水处理、燃气和电力)、电话公司、铁路公司、航空公司、港务局、高速公路公司、旅行社(提供公共运输服务的机构与个人),他们在应急响应和恢复中起作用;B. 潜在响应者:志愿者机构、军队(英国军队主要任务是保卫英国主权、服务北约及其他跨国调度,士兵也可被联合国调用,也适用在其他紧急事务中在法律法规允许下正在从事特殊工作的人员。

如美国联邦紧急事务管理局(FEMA)在2004年6月颁布了联邦准备规章《Federal Preparedness Circular(FPC65)》,该法律要求总统以及各政府机构迅速制订业务连续(Continuity of Operations, COOP)和灾难恢复(IT DR)计划。2007年5月,美国总统签署了《国家安全总统指令》(NSPD)-51/国土安全总统指令(HSPD)-20“国家连续性政策”,以便为联邦政府结构和业务的连续性制定一项全面的国家政策,即单一的连续性协调员负责协调联邦连续性政策和国家基本职能(National Essential Function, NEF)的制定和实施。2008年,根据政策,国土安全部发布了联邦连续性指令(FCD-1,Federal Continuity Directive-1),建立了行政部门的连续性规划要求。FCD-1在2012年,2017年进行了两次更新。新的FCD-1建立了行政部门的最低连续性标准,将其纳入日常操作以确保基本职能(essential functions)的无缝和直接延续。所有联邦行政部门,不论其规模或位置如何,都应根据FCD-1中的要求和原则,拥有可行的连续性能力,以确保在任何条件下的弹性并持续履行其基本职能。

配图

美国联邦机构连续性运行指令

从历史上来看,美国政府的连续性计划可分为三个层面,一是运行连续性(COOP, Continuity of Operation Plan),指各个联邦政府行政部门和机构内部的职能连续性,它不需要部门间协调;二是政府连续性(COG, Continuity of Government Plan),指需要各个政府部门之间进行协调来应对规模较大的灾害事件;三是宪政连续性(ECG, Enduring Constitutional Government),指需要立法、行政和执法部门之间的协调来应对大规模的灾害事件。运营连续性或 政府连续性 计划一直是美国政府运营的一部分,因为 总统 艾森豪威尔 提供(通过行政命令)多项措施 来保障 美国政府 在核战争后仍能继续运行。这些措施包括建造地下设施,如“ Mount Weather ”,一座位于 弗吉尼亚州 东北部、可防御 核武器 的掏空的山体;马里兰州戴维营附近的 Raven Rock Mountain Complex ,可容纳整个 美国国会 。该计划还包括如果关键的公职人员被杀,指定某政府官员接任 内阁 和其他行政部门职位并履行职责的行政令。此外,自1792年以来,美国总统职位一直有正式的继任路线(现见1947年《总统继任法》,美国宪法第19条第3款),从副总统到众议院议长,参议院临时议长,然后按照国会规定的顺序到内阁部长。美国政府的连续性计划不仅限于联邦政府,大多数州都有宪法规定,规定在发生“敌人袭击”时政府的继承。

澳大利亚审计署(ANO)在2000年1月出台了《业务连续性管理的指导方针》(Better Practice Guide Business Continuity Management)的相关制度;新加坡主管国内经济振兴以及标准化工作的贸易产业省下属的“标准、生产力与创新局(SPRING)”,在2003年7月就颁布了“业务持续管理要求”的标准;日本政府在2005年7月对“防灾基本计划”进行修订,明确写明“制订BCP是企业防灾工作的重要一环”的内容。

除了灾难恢复,信息安全对业务连续性管理的早期发展也有推动作用。如英国信息安全标准BS7799(该标准衍变成ISO国际标准ISO 27001),该标准的核心原则中包括了对业务连续性的要求,并根据数据可用性定义了业务连续性,这一提法最初推动了业务连续性管理在组织中的使用,但也造成了不少误解—使得许多IT人员认为业务连续性管理只是信息安全的一个分支,这种观点在那些当时还未形成业务连续性的国家获得了许多支持,例如在亚洲和中欧。直到2013年10月19日,国际标准化组织ISO正式发布《ISO 27001:2013》,将旧版中的业务连续性管理更新为信息安全管理方面的业务连续性管理。

21世纪,在质量、信息安全、环境等管理体系得到了大发展后,业界决心梳理业务连续性并将其归为管理体系标准的一部分。这项工作在开始时参考了一系列的指导标准,如英国的BS 25999-1,美国的NFPA 1600,以及澳大利亚和亚洲的各种指南,包括英国金融服务管理局,澳大利亚审慎监管局(APRA)和美联储在内的各监管机构也开始积极参与这一领域。

2008年4月,英国标准协会(British Standards Institute,BSI)发布了BS 25999标准。在BS 25999中,业务连续性管理被描述为“一个整体的管理过程,它能识别威胁组织潜在的影响,并且提供构建韧性机制的管理架构,以及确保有效反应的能力,以保护关键利益相关方的利益、声誉、品牌和创造价值的活动。”BS 25999是BSI发布的BCM的英国标准,编写成员来自英国电讯公司、电力公司、水务公司等大型企业,还有地铁警察局、消防局、工贸部等政府机构和证券、保险等行业监管部门。随后,BS 25999成为全球第一个获得广泛应用的业务连续性管理的框架标准。

2012年ISO出台了业务连续性管理体系标准(ISO 22301)和实施指南(ISO 22313)。ISO 22301管理体系能够帮助企业制订一套一体化的管理流程,使企业对潜在的风险加以辨别分析,帮助其确定可能发生的冲击对企业运营造成的威胁,并提供一个有效的管理机制来阻止或抵消这些威胁,减少灾难事件给企业带来损失。ISO 22301强调了以下内容的重要性:(1)理解组织的需求及建立业务连续性政策和目标的必要性;(2)组织整体业务连续性风险管理的实施和操作控制;(3)监控和评审BCMS的绩效和有效性;(4)基于目标持续改进的方法。ISO 22301适用于所有行业中的太、中、小型公有及私有组织,并且特别适用于处于高风险和高度监管环境下的行业,例如金融行、IT通信业、制造业等。现在,已有多个国家采用ISO 22301作为国家标准,这标志着业务连续性管理发展到了一个新阶段。

未完待续……

============

======== 精采回顾 ====

================

业务连续性问与答(大纲 ) 业务连续性问与答Q 1 : 不是有应急管理了,怎么又出来个 业务连续性管理 ?它们是一回事吗? 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系?

“一个好问题,胜过一百个好答案!”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(入选均有小礼品赠送) 由于本公众号注册时正处于腾讯政策调整,本公众号未能开通留言功能,希望参与“业务连续性问与答”专辑讨论的朋友,可用微信扫描以下二维码加入知识星球进行深入讨论。

配图

另,本公众号专注于网络安全和业务连续性管理领域的研究和实践,可长按以下二维码进行关注。

配图

原文发表于公众号”业务连续性+” | 原文链接