· 公众号:业务连续性+

业务连续性问与答Q17:如何做好演练工作?(中)

问题:如何做好演练工作? 回答: 在确定了业务连续性策略,经历了组织建设、预案编制、技术装备、人员训练后,如何验证组织的业务连续性能力达到了预定目标?对投入了重要资源和管理层精力的能力建设和保持来说,这是一个非常重要的问题。俗语说得好:“光说不练假把式”。演练通过创造出一个受控的“现实环境”,让组织展现其应对特定运营中断场景的真实能力,可用于验证业务连续性能力、政策、组织、装备、人员、预案等是否满足规划目标和现实需要。下面从演练的概述、演练活动管理对相关问题进行回答。 类似问题有: “领导对上次做的‘念稿子’式的演练很不满意,觉得投了不少资源和时间,搞得却象儿戏,这次我该怎么办?” “领导让我负责这次演练,但我们的预案写得不行啊,不是说必须有预案才能演练吗?那我怎么办?” “这次演练的主要目的是意识教育,演练剧本怎么写啊?前几次演练大家一点代入感都没有,还那么做能有效果吗?” “什么样的演练才是一个好的演练?” ……

……续上期,接下来按照演练活动前、中、后三个阶段分别说说演练的计划准备、实施和评估改进。

That what does not kill me, makes me stronger. — Friedrich Nietzsche (1844 - 1900)

2.演练前:计划准备阶段

演练计划准备阶段是指组织根据实际情况,依据相关法律法规和应急预案的规定及(跨)年度演练计划,在开展演练前提出工作计划,报请有关领导批准后,进行演练方案设计开发及准备工作至演练正式实施前的阶段。计划准备阶段的主要工作包括:启动项目,制订演练计划;设计方案,编制演练文件;以及综合保障,完成演练准备。

启动项目,制订演练计划

发起项目是全部演练计划准备工作的起点。演练项目的发起一般有两种情况:一是组织按照演练项目集年度计划或业务连续性管理年度计划的安排启动演练项目;二是接受外部相关方(政府、客户或其它组织)的要求启动演练项目。演练计划是指组织根据实际情况,依据相关法律法规和应急预案的规定,对拟举行演练的基本构想及准备、实施等活动的初步安排。业务连续性管理人员根据高层领导的意图、指导和演练项目集重点工作进行演练项目筹备,主要任务包括建立演练组织、分析演练需求和制定演练计划。

• 建立演练组织

建立演练组织是实现演练目的的基础和重要保证。组织应在相关预案确定的业务连续性领导机构或指挥机构下开展演练活动,成立由相关领导及专家组成的演练领导小组,具体负责指导和协调演练计划准备、实施和评估改进工作,根据需要下设演练策划组、演练实施组、演练评估组和演练保障组等工作组,并对各组的工作职责、任务等予以明确。工作组核心成员应来自各相关业务和职能部门,具有不同的专业背景,如下图所示:

(1)演练领导小组 负责演练活动组织领导的临时性机构,审批决定演练的重大事项,一般包括组长、副组长、组员。演练领导小组组长一般由演练主办组织或其上级组织负责人担任,副组长一般由演练主办组织或主要协办组织相关负责人担任;成员一般由各参演单位相关负责人担任。根据需要,可以设立演练执行指挥部,负责具体组织、策划、实施演练相关工作,演练总指挥负责演练实施过程的指挥控制,副总指挥协助演练总指挥对演练实施过程进行控制。如未设立演练执行指挥部,在演练实施阶段,演练领导小组组长、副组长分别担任演练总指挥、副总指挥。 (2)演练策划组 负责演练场景和场景事件开发、演练计划和演练方案编制、演练总结报告编写以及演练文档归档与备案等工作,设组长1人,副组长若干人,组长(即总策划)是演练计划准备阶段各项工作的主要组织者,一般由演练主办组织中具有事件应对处置工作经验的人员担任;副组长(即副总策划)协助组长开展工作,一般由演练主办组织或参演组织的有关人员担任,成员应具有一定的演练组织经验和事件应对处置经验。策划组应独立组建突发事件设计和中断事件设计两个团队,并明确他们不同的组成和任务,突发事件设计团队由熟悉演练事件应对的应急人员组成,中断事件设计团队来自关键业务线、人力资源、公共关系、设施管理、安保和其它演练涉及业务线和部门。突发事件设计团队将深入研究演练“故事”的细节并开发演练初始场景和演练事件发展的时间线,在突发事件的时间线完成后,中断事件设计团队根据突发事件和时间线,开发他们的注入,即从他们的观点如何看待突发事件造成的中断问题、影响及处置。如果演练涉及危机管理,还可单独组建危机事件设计团队。 (3)演练实施组 负责演练实施组织和演练现场的总体指挥调度等工作,设组长1个,副组长若干人,组长(即总导调)是演练实施阶段各项工作的主要组织者,在演练实施过程中,在演练总指挥的授权或直接指挥下,向演练人员传送各类控制信息,引导应演练进程按计划进行;副组长(即副总导调)是总导调的助手,协助总导调开展工作。实施组成员常称为演练控制人员,根据演练方案和现场情况,通过发布控制信息和指令,引导和控制演练进程,最好有一定的演练经验,也可以策划组抽调。 (4)演练评估组 负责设计演练评估方案和编制演练评估报告等工作,设组长1人,成员若干人,其成员一般是应急、连续性管理专家、具有一定事件处置经验或演练评估经验的专业人员,常称为演练评估人员。评估组对演练准备、组织、实施及其安全事项等进行全过程、全方位评估,发现演练中存在的问题,及时向演练领导小组、策划组、实施组和保障组提出意见或建议。评估组可由上级部门组织,也可由演练主办单位自行组织,或邀请第三方专家或机构负责组织。 (5)演练保障组 负责调集演练所需物资装备,购置和制作演练模型、道具、场景,准备演练场地,维持演练现场秩序,保障运输车辆,保障人员生活和安全保卫,以及演练经费和预算等保障工作,设组长1个,副组长若干人。演练保障组可分为技术保障团队和安保后勤团队,其中技术保障团队负责保障演练可能涉及的有线通信、无线调度、视频会议、移动指挥、图像信息管理、应急信息管理系统、现场显示大屏等技术支撑系统的正常运转,并参与演练技术系统调度工作,根据应急演练工作方案拟定应急演练技术支持脚本;安保后勤团队负责制定安保后勤工作方案,负责演练当天交通秩序维护、安全保卫与引导工作,并做好预演和演练期间消防、卫生、供水、餐饮等各项保障工作。

根据需要,还可设置新闻宣传组和综合协调组。新闻宣传组负责与组织内外部宣传部门沟通,编制宣传方案,起草新闻通稿,组织新闻媒体和开展新闻发布,制作演练录像片、画册等宣传资料;设组长1人,成员包括演练主办组织、参演单位新闻宣传部门负责同志及相关媒体工作人员。在演练事件涉及新闻报道时为演练策划组提供专业支持。综合协调组负责与演练涉及的相关组织以及本组织有关部门之间的沟通协调,其成员一般为演练主办单位及参与单位的行政、外事等部门人员。

当然,对于不同类型和规模的演练活动,其组织机构和职能可适当调整。在演练计划准备过程中,演练组织机构的设置、参演单位和分工、人员配备等,可根据实际需要随时调整,在演练方案批准后,演练组织机构得以最终确立。

• 分析演练需求

演练需求包括演练主办组织和参演者为什么要演练、演练什么、怎么演练等问题。梳理并明确演练需求是制定演练计划、设计演练方案和实施演练项目的前提,是正式启动演练项目的首要环节,主要任务包括确定演练目的、界定演练范围和选择演练目标。

确定演练目的 演练的目的是为了验证、评估和提升组织的能力,从根本上说,就是要验证和提升组织及参演者在预防、保护和减灾、检测、预警与警报、应急响应、业务恢复、危机沟通和事后重建等方面的能力。确定演练目的是确定需要通过演练验证和提升的业务连续性能力,即是对为什么演练和所要达到的演练效果进行文字确认,如“为了落实XX组织业务连续性能力目标,提高XX业务的应急处置和业务恢复能力,检验XX应急预案,特举办此次演练”,或“本次业务连续性演练的目的是为了评估和提高如下业务连续性能力:(1)……(2)……”。

界定演练范围 演练范围的核心要素包括:演练事件类型;演练时间与地点;演练业务或职能;参演人员;演练类型以及观摩、宣传等,界定范围是界定演练的核心要素,即聚焦于演练的对象、规模和时空安排。演练范围具体描述如下: (1)演练事件类型:运营中断事件可能是由自然灾害、人为事故或技术故障等引起,要确定触发中断发生的事件(主要事件)及涉及的次生或衍生事件有哪些、达到多大强度、持续多久时间等; (2)演练时间与地点:根据需要可以选择应急指挥中心、会议室、操场或开阔地,以及医院、新闻发布厅等地点,也可以选择一个最容易发生上述事件的地点;根据资源和人员等情况选择合适的演练时间及持续时间(半天、一天或几天); (3)演练业务或功能:运营中断事件应对涉及领导决策、综合协调、应急处置、业务恢复和危机沟通等功能,要确定演练哪些业务中的哪些职能;明确演练业务或功能有助于确定演练对象和目标; (4)参演机构和人员:包括演练的组织者、参演者,以及其他相关人员,其中,参演者可能涉及与应急响应和业务恢复任务有密切联系的组织、部门中的代表,如决策人员(如高层管理者、部门领导)、协调人员(应急办代表、部门副职)、处置人员(专业处置人员、关键业务岗位人员)、外部代表(供应商/外包合作伙伴、客户)等,通常是应急预案明确的相关领导和人员; (5)演练类型:确定演练类型时需要考虑最需要什么样的演练,哪种类型的演练是必须进行的,参演者是否具备相应的经验,想实现什么样的压力程度;演练时长的要求等。可以从基础演练类型中选择一种演练形式,也可以借鉴基本演练形式,组合或创新出一种新的演练形式。 界定演练范围时还应考虑演练面临的限制条件,如演练经费预算,可动用的人员和其他资源,以及有多长的演练准备时间等。

选择演练目标 演练目标是需完成的主要演练任务及其达到的效果,是落实演练目的的工作指标,是后续演练方案设计的具体指针,也是演练评估的重要依据。选择并清楚地表述演练目标,有助于演练主办组织和参演者清楚演练的具体要求及工作方向。演练目标应简单、具体、可量化、可实现(即符合S.M.A.R.T原则),它是对参演者在演练中应表现出的外在行为结果的具体明确的文字表述,一般说明“由谁在什么条件下依据什么标准,完成什么任务,取得什么效果”,如下表所示: 情况 机房UPS市电输入变压器故障,故障恢复时长不确定,蓄电池经UPS对负载供电 标准 20分钟内 谁 数据中心动力运维组 具体行动/效果 完成发电机组启动、倒闸和供电操作 演练目标是在目的确定和范围界定的过程中逐渐清晰、明确的。一次演练一般有若干项演练目标,每一项演练目标都应在演练方案中有相应的事件和演练活动予以体现,并在演练评估中有相应的评估标准判断该目标的实现情况。可根据不同的参演者选择与其相关的演练目标。通常,在小型演练中,可以确定2 ∽ 3项演练目标;在涉及多个地区、多个现场的大型综合演练中可能有多达上百或数百项演练目标。对普通的演练,建议设定10项或更少的演练目标。

简而言之,分析演练需求就是要搞清楚“为什么要做这个演练”,需要了解的关键信息有:高层领导的意图和要求;业务连续性核心能力目标、(跨)年度演练计划及其重点;以往的演练总结报告和改进计划;同业和同一地区的中断事件案例;风险评估和业务影响分析报告;相关方准备和能力评估情况及合作协议;组织的政策、预案和程序以及监管机构的要求等。在充分了解以上信息的基础上,分析清楚组织的总体业务连续性能力要求是什么,当前实际能力与期望能力的差距在哪里,本次演练需要重点解决哪些问题、提高哪些能力、改进哪些工作。

此外,参演者是演练的对象和主体,无论是确定演练目的,界定演练内容和范围,还是选择演练目标,都要考虑参演者的个体需求和实际水平。参演者水平是指参演者之前是否参加过相应的培训和演练、是否具有实际事件处置经验等,具体包括年龄特点、知识水平、事件处置经验和学习能力等。在了解和掌握参演者背景、所在组织的演练需求及事件处置经验的基础上设计场景,不仅会使演练有的放矢、易于达成演练目的和目标,也会使参演者对自己的经验进行重新评价,整合已有知识和新获得的启示和灵感,生成新的知识和体验。分析参演者个体需求一般可以通过召开座谈会、个别谈话、查看档案、阅读预案等方式进行。

• 制订演练计划

演练计划,即演练项目计划,是对拟举行演练的基本构想及准备、实施等活动的初步安排,一般包括演练的目的、范围、目标、组织机构、工作进度、经费预算等, (1)演练目的举办演练的原因、演练需要解决的突出问题和期望达到的效果等。 (2)演练范围根据演练需求、经费、资源和时间等条件的限制,明确演练事件类型、演练时间和地点、演练业务或功能、参演机构及人员、演练形式等。 (3)演练目标根据演练主办组织和参演者的需求、目的等提出一系列演练目标。 (4)演练组织演练组织机构构成、职能及具体人员组成。 (5)进度计划及预算演练各阶段主要任务和完成时限,包括应急演练方案设计、相关文件编写与审定的期限、物资器材准备的期限、演练实施的拟定日期、评估改进报告的时间等;编制演练经费预算,明确演练经费来源及渠道等。

需要说明的是,建立演练组织、分析演练需求和形成演练计划并不是一个简单的线性过程,分析演练需求和建立演练组织的过程可能交织在一起,演练目的、范围和演练目标也互为影响。演练策划组在与各有关方面充分沟通的基础上,起草演练计划,经过修改完善后,上报演练领导小组审核,经批准后成为正式的演练计划。

设计方案,编制演练文件

在演练计划获批后,各小组应严格按照进度计划管理开展工作,任何变更都应有充分理由并报送演练领导小组再次审核比准,并通知整个团队,以避免混乱。演练策划组、实施组和评估组在演练计划的基础上设计演练方案,编制演练文件。

• 设计演练方案

演练方案,也称作演练工作方案或演练实施方案,是对整个演练活动的详细安排。演练活动是在一定假设场景下展开的,这个演练场景 (scenario) 是参演者所要应对处置的假设情景 (situation) 。根据演练需要,有的演练只有一个初始场景,即假设的风险或突发事件在某一时点上的情况;有的演练还有一系列动态情景,即假设的风险或突事件不断发展的情况。演练方案设计的核心是设计演练场景,就是要勾画出假设的事件体系和参演者的预期行动,以及在此基础上的场景信息设计。在实际工作中,这些工作环节往往是交叉的。为便于操作,下面按照设计初始场景信息、设计事件体系、设计预期行动和设计场景信息清单的顺序进行介绍。

• 设计初始场景信息

初始场景信息是对假设事件的时空环境、假设事件及其发生后的初步情况进行的叙述性说明,也是参演者最先面对的事件情况信息。初始场景有两个主要功能:一是启动了假设事件的发生(“出事了”),营造了演练氛围(“出大事了”);二是为后续的系列情况设置了开端,是事件应对处置行动的逻辑起点,将进一步引导后续场景信息和参演者的行动。

初始场景信息既是参演者进行演练的基础性信息,也是演练设计者进行设计工作的基础性信息,其要素可包括自然环境、社会环境、组织运营环境及业务概况、突发事件要素和管理要素等。自然要素包括时间、地点、地理条件和气象条件等;社会环境包括人口、人群、经济、交通等因素;组织运营环境及业务概况包括组织所处行业特点、组织历史及重要业务概况、竞争对手及产业链情况等因素;突发事件要素包括突发事件类型、突发事件发展状况、突发事件影响范围与危害程度等;管理要素主要包括已采取的措施和现有业务连续性能力等。

在真实的中断事件应对处置中,人们通常不可能在事发后第一时间掌握所有的信息,所以提供给参演者的初始场景信息可以是有限的、不完整的,但应是准确和逻辑清晰的;同时,要给参演者留下想象和发挥的空间和余地,事件升级和衍生的信息可以通过后续动态信息逐步传递给参演者;还应用简洁的语言为后续情景事件的出现埋下伏笔。一般情况下,设计初始场景信息时要避免详细描写,不要把全部构想全写进去,文字不宜过多,千字以内为佳。

• 设计事件体系

设计事件体系是以某一初始场景为起点,针对假设事件的发生、发展过程,设计出一系列有逻辑进程关系的次生、衍生事件。所有次生、衍生事件都围绕着初始场景展开,各事件连接起来形成一个树状结构的事件体系。参演者在演练中的决策指挥和处置行动,主要是为应对假设事件及其变化而产生。设计事件体系的目的是有两个,一是统筹安排一系列有逻辑进程而非而随意的次生衍生事件,有助于采取相互关联的应对行动;二是把假想的事件与期望参演者采取的行动联系起来,即通过一系列需要组织开展应对行动的事件,引导演练不断深入下去,从而全面检验演练指标的达成和目标的实现情况。

事件体系设计包括以初始事件为起点的若干 主要事件 (major event) 和一系列 详细事件 (detailed event) 。主要事件指从初始场景的次生、衍生系列事件中筛选出的阶段性的标志性事件,是演练中需要处置的主要问题。通常根据演练目的,分析所有事件中哪些事件的处置有助于检验演练目标,就选择该类事件为主要事件;也可以从演练初始场景衍生出的高潮性事件中筛选主要事件。详细事件作为主要事件的组成部分,是事件树的树叶,是参演者要应对的具体情形。每一个详细事件,都给一个或多个参演者提出了应对任务,需要他们采取一定的行动。在确定详细事件时,可以列出可能伴随主要事件出现的详尽的问题清单,把这些问题转换为详细事件;也可以先确定期望参演者执行的行动(即预期行动),然后列出一系列能触发这些行动且与主要事件相关的问题,再把这些问题转化为详细事件。无论哪种方式,关键是形成了与预期行动密切相关的一系列详细事件。详细事件的多少与详略与演练的要求和总体任务量有关,当总体任务很少时,就没必要区分主要事件和详细事件。

要精心设计每一个主要事件和详细事件,形成书面的事件体系和事件信息清单。

• 设计预期行动

预期行动是指希望由参演者实施的、展示其能力的行动。设计预期行动,就是针对每一个具体事件,为了验证参演者的能力,根据法律法规、应急预案、管理规程等的要求,设计参演者处置该事件时应当采取的行动和决定。预期行动是演练评估的核心和设置评判标准的依据。

预期行动的设计是伴随着事件体系的设计进行的,包括对各个主要事件和详细事件的预期行动设计。针对主要事件的预期行动往往是多个参演者的一系列活动,而针对详细事件的预期行动往往是对于个别参演者的一个具体行动。如: 事件 机房市电供电故障,UPS供电即将耗尽 演练目标 根据预案,数据中心动力运维组在20分钟后启动柴油发电机进行供电 预期行动 完成发电机组启动、倒闸和供电操作

换个角度看,预期行动与演练目标密切关联,可视为参演者采取的实现演练目标的行动。演练目标作为一个整体,决定了参演者总体预期行动。

• 设计场景信息清单

在演练场景的核心内容—事件体系和预期行动确定后,就需要以准确的文字表述演练场景信息。场景信息是演练事件(通常是详细事件)的展开。一个事件通常需要一条或多条场景信息来表达。如,针对数据中心断电的详细事件:UPS和备用柴油发电机将在半小时后耗尽,异地灾备中心在启用中遇到数据库故障无法承载全部应用,可以设计以下场景信息: —业务部门A(纯线上业务)打来电话:我们的业务运行必须保障; —业务部门B(可部分手工替代,RTO=30分钟)打来电话:我们的业务运行必须保障; —业务部门C(主要是线下业务,每天需要1次批处理作业)打来电话:我们的业务运行必须保障; —外包服务商电话确认:支持工程师要1个小时能够赶到灾备中心现场; —……

场景信息清单是包括初始场景信息和后续场景信息在内的表单,它是事件体系内容的具体化,是演练的全部场景信息的集合,由信息单元构成。信息单元是预先设计的,在演练中发送给参演者的信息。一条信息可代表一个事件,或者几条信息能告知参演者一个事件。每条信息都是为了促使参演者开展一个或多个预期行动。一系列信息单元所构成的场景信息清单能够形成可信的、前后连贯的动态事件场景。 场景信息清单 信息编号 时间 事件名称 发布者 接收者 发布方式 信息类型 信息内容 预期行动 备注 1 2 3 4

如上表所示:信息单元一般包括信息编号、时间、发布者、接收者、发布方式、信息类型、信息内容、预期行动、备注等要素,解释如下: 信息编号:信息的顺序编号,也可以结合信息类别进行编号,如1-1表示第1类信息的第1条,2-4表示第2类信息的第4条,等等; 时间:信息的发布时间,与下一信息的间隔时间即为处理该事件需要耗费的时间,也可以标注为开始时间和结束时间; 发布者:信息由哪个模拟角色发布; 接收者:信息由哪个参演角色接收,如应急指挥部、某个部门或某个特定人员; 发布方式:信息由人工递送、还是借助电话、对讲机、视频、传真机等方式递送; 信息类型:描述性信息还是行动性信息,描述性信息是描述基本背景或基础场景的信息,有些描述性信息如灾情情况、中断带来的影响等级等对决策起间接的支持作用;也有些描述性信息是为了营造行动的环境,不需要参演者立即采取行动,因此在不需要标注预期行动。行动性信息是要求参演人员做出决策、采取行动的信息,包括事件发展情况的描述、恢复现场信息、上级指挥部指令等,这些信息直接要求或暗示参演者必须尽快决策或行动; 信息内容:即具体的场景信息,是场景信息单元的核心。根据需要,信息内容最终可能表现为有文本、图表或音像,也可能结合使用; 预期行动:一般以主要事件或详细事件为单位进行表述,即几条信息共享一条预期行动,也可以每一条信息有单独的预期行动; 备注:对演练所需的支持条件加以说明,也可以就某些情况做特殊说明或提醒,比如器材准备、使用等。

根据需要,还可以设计一些具有干扰性的场景信息。由于演练的目的、目标、难度、时长、规模不同,场景信息清单设计的工作量和设计的内容也有所不同。一次简单的研讨式桌面演练可能只需要一页至数页纸的场景信息描述,而一次持续数日的交互式桌面演练可能需要有数百条场景信息来支撑。有时,为了使演练脉络清晰、对各参演方的导调控制更方便,可以为各参演方编制场景信息清单子表。在实际演练中,也有可能根据情况对场景信息进行临时的删减、增加或调整。

一般来说,场景信息设计的依据是风险评估、业务影响分析的结果和演练目的、目标等,但一定要平衡好真实性和虚拟性。可以说,场景吹响了演练的冲锋号,抓住了参演者的注意力,使其将自身精力投入演练,但参演者是否能沉浸其中,是全身心投入、半身心投入,还只是敷衍了事,与场景的真实性及其与参演者自身的关联有直接关系。因此场景信息的思路、来源要真实,如一个演练场景元素可能来自某一个或几个发生过的事件。同时,要达成演练目的和目标,场景信息的整体时间假设和某些细节只能是虚拟的,才能激发预期行动,即需要由策划人员创造出来。

另外,需要说明的是,演练脚本是我国演练实践中常用的一个术语,是演练的详细现场活动描述和参演者台词的设定文本,供演练组织者和参演者共同使用,是展示性演练必不可少的准备内容,如同戏剧艺术中的剧本。而场景信息清单仅供演练组织者,即导调控制人员使用,故与演练脚本有根本区别。

广义的演练方案还应包括演练评估方案和演练宣传方案,演练评估方案将在后面演练评估改进部分涉及,在此不多赘述。演练宣传方案细致考虑宣传目标、宣传方式、传播途径、主要任务及进度安排、技术支持等,应安派专人或专门的团队负责落实。

• 演练设计方法

在演练的设计开发过程中,召开不同主题的会议是重要的工作方法,下面介绍5个重要的会议:首次计划会、计划会、中期计划会、场景信息会和方案终审会,它们代表了演练设计开发的主要里程碑事件。当然,根据演练规划和复杂度的不同,有些会议可以省略或合并;同时,主要的演练设计开发工作是在正式会议之间进行的,会议更多是交流、讨论、确认信息并进行决策的正式活动。

演练策划会议

演练首次计划会 是演练启动前后为勾勒演练项目的粗线条计划而召开的会议。 主要任务:演练首次计划会是演练设计开发的第一个专业性活动,其目的是初步讨论和确定演练的目的、范围和目标。 会议成果:演练首次计划会应达成以下成果: (1)就演练的类型、假设事件、能力需求与演练目的、演练目标与任务,演练希望解决的突出问题及演练涉及的优先重点达成一致意见。 (2)就演练的时间进度表、关键任务和事项、下一次计划会议的日期达成共识。 (3)确定演练策划组成员。 (4)确定参演部门或机构。 演练策划组通常在演练首次计划会后组建,策划组将决定后续计划会议的类型和次数。

演练计划会是 为完善演练范围和目标、形成正式演练计划而举行的会议。对于不太复杂的演练和资源有限的组织,将演练首次计划会和演练计划会合并,只开一次演练计划会就够了;但对于复杂的、参与层次高的演练,往往需要在演练首次计划会后再召开演练计划会。 主要任务:演练计划会的目的是细化演练计划,对演练设计开发、综合准备与演练实施、评估改进等工作提出明确要求。 会议成果:应达成以下成果: (1)确定在演练首次计划会中未确定的演练范围要素 (2)明确的演练目标及相关的业务连续性能力; (3)确定评估目标和评估任务; (4)进一步明确定义演练模拟场景(如威胁情况,危害范围,发生的地点、时间和条件); (5)确定参与演练的组织机构和参演人员与层级; (6)确定演练设计所需的所有文件(如政策、法规和预案等); (7)确定时间进度表、关键任务或事项及后勤事务的职责。 演练计划将在演练计划会后上报给演练领导小组,审批通过后成为正式的演练计划。

演练中期计划会 是设计演练场景及准备安排等的讨论会。如果只安排三次设计开发会议(即演练计划会、演练中期计划会和演练方案终审会),演练中期计划会的后半段应用于讨论详细的演练场景信息。 主要任务:演练中期计划会讨论详细的演练组织和人员配备、假设情景和时间安排、日程、后勤和行政需求的工作会议。 会议成果: (1)全面审查演练概要介绍、参演人员手册等文件; (2)审查演练导调人员手册和评人员手册草稿; (3)审查精心设计的演练初始场景和注入事件(如果不安排演练场景信息会的话); (4)就演练场地达成一致意见; (5)确定演练准备和综合保障要求; (6)确定演练方案终审会议的日期和地点。

演练场景信息会 是确定演练场景信息清单和注入事件的讨论会。复杂的演练需要召开发专门的会议审定演练场景信息。如果不单独召开会议,演练场景信息会可并入演练中期计划会或演练方案终审会。 主要任务:会议的重点是编制演练场景信息清单和注入事件。 会议成果:演练场景信息讨论会应达成以下成果: (1)确定主要场景事件、详细场景事件及其关联排序; (2)确定关键的注入事件及发布时间 此次会议不一定能最终确认演练场景信息清单和注入事件,需要指定相关人员完成后续工作。

演练方案终审会 是为确认审核演练方案的正式会议,是演练计划准备过程的最后一次正式会议。会议前,演练组织团队应收到所有演练文件的最终草稿。会议上,不应当对演练的设计、范围及其支持文件做重大修改。演练方案终审会应确保所保障要求都能得到满足,发现并解决所有明显的问题,使所有的演练文件都在做出必要的最后修改后可以付诸印刷。 主要任务:对演练方案和保障准备情况作最后审定。 会议成果:演练方案终审会应达成以下成果: (1)与会人员清楚地理解并最终批准演练实施方案; (2)批准成形的演练文件和材料 (3)发现并解决临时出现的问题 (4)落实后勤准备工作,包括:视听设备、演练场地布置和设置、日程安排表和餐饮、茶歇等。

• 编制演练文件

演练文件是指导演练实施的详细工作文件,是演练实施和评估中的必备工具。根据演练类别和规模的不同,演练文件可从一个文件到多个文件,编为多个文件时可包括工作人员手册、参演者手册,观摩人员手册和演练方案等,分别发给相关人员使用。对涉密应急预案的演练或不宜公开的演练内容,还要制订保密措施。

工作人员手册 包括导调员手册、模拟员手册和评估员手册,这些手册分别是导调人员、模拟人员和评估人员参与演练工作的辅助文本。工作人员手册的目的是帮助参加演练的导调员、模拟员和评估员有效地引导和评估演练,有助于导调员、模拟员和评估员准确了解他们在演练实施和评估中要发挥的作用与职责,通常包含全部或部分详细的场景信息,描述导调人员、模拟人员和评估人员的职责分工以及他们应遵循的工作程序。工作人员手册只分发给相应的对象。

不同的演练,对于手册的要求不同,演练组织者可以根据需要进行编制。对于简单的演练,其主持人(桌面演练)或导调员(实战演练)可能只需要一页纸的注意事项或工作流程;并且,由于不设模拟员和评估员,也不需要为其编制工作手册。而对于复杂的演练,可能需要厚厚的工作人员手册供参考使用。根据需要,导调员、模拟员和评估员的手册可以合并,也可以分为三个独立的手册,小型演练的手册可以合并,大型演练的手册分开为宜。

导调员、模拟员和评估员手册中共同的内容部分如下: (1)手册的目的和作用; (2)演练目的、范围和目标; (3)导调员、模拟员和评估员的角色、职责和工作流程; (4)演练的初始场景、各种外围条件的假设; (5)相关参演者的角色和职责分工; (6)相关预案或标准化操作程序; (7)演前指导和培训安排; (8)演后热反馈、总结和评估报告等工作安排; 此外,导调员手册还应包括:导调员与参演人员、模拟人员的沟通方式;演练场景信息清单。模拟员手册还应包括模拟人员与导调人员、参演人员的沟通方式。评估员手册还应包括评估注意事项(具体在评估改进部分详述)。

参演人员手册 主要供参演者使用,帮助参演者了解演练基本情况,明确在演练中的角色和职责。简单的演练,参演者手册可能是只有一页纸的注意事项、工作流程或者一份相关的预案;复杂的演练,可能需要厚厚的参演者手册供参考使用。参演人员手册通常不包含详细的场景信息。 下面是一份参演者手册的内容框架,其它演练可参考进行取舍。 (1)演练概述手册的目的和作用,演练目的、范围和目标,演练的初始场景和假设,演练的框架内容和演练流程、演练要求; (2)参演者角色和行为规范参演人员分组及角色描述,行为规范,演练规则; (3)沟通方式参演者之间的沟通方式,参演者与模拟员、导调员的沟通方式; (4)座次分布演练场地布置及参演人员、模拟人员座次分布; (5)附件相关演练角色(参演者、模拟者)的职责分工,相关预案或标准化操作程序。

观摩人员手册 供观摩人员或观察员使用,是帮助观摩人员理解演练基本情况以及自身行为规范的文字依据。 观摩人员手册的内容可参照工作人员手册的内容确定,通常会更简略,其主要内容包括: (1)手册的目的和作用; (2)演练目的、范围和目标; (3)演练的初始场景、各种外围条件的假设; (4)相关参演者的职责分工; (5)演练场景信息清单 (有时会提供) ; (6)相关预案或标准化操作程序 (有时会提供) ; (7)对观摩人员行为的建议或观摩注意事项; (8)观摩人员与服务人员的联系办法; 有时,为了使观摩人员对演练主办组织或参演者有更多了解,手册中还会加入演练主办组织或参演者背景信息介绍。

演练方案 在实践中,当全部演练场景设计和文件开发工作完成后,还要形成一个全面的演练实施方案(也简称为演练方案),其主要内容包括:指导思想、工作原则、演练目的目标、演练场景、演练时间和地点、主办和承办组织、组织体系、参演组织及职责、参演力量排、演练流程、评估标准与方法、后勤保障、安全注意事项及有关附件等, 通常是演练计划、演练场景信息和演练文件开发成果的浓缩合集 。

演练方案由演练策划组、实施组和评估组编制,经策划组审查后报演练领导小组审核批准。演练方案以文字性资料为主,对于方案中涉及的增强演练真实感的辅助手段和措施,如音像资料、必要的道具等可在方案审批通过后由相关保障人员组织资源进行准备。对综合性较强、风险较大的演练,在报批之前,应组织相关专家进行评审,确保演练方案科学、安全、可行,以确保演练活动的顺利进行。对重大综合性展示性演练,还应编写演练脚本,描述演练场景、起止时间、执行人员、处置行动、指令与对白、适时选用的技术设备、视频画面与字幕、解说词等。

综合保障,完成演练准备

演练准备是完成演练计划、演练方案后,正式演练前所有工作的统称。演练不能只发生在想象中,演练的方案、场景、氛围、以及参演者获得的设备和材料越真实,参演者就会越认真对待“假设的”场景和事件,演练的效果就越好。综合演练保障和其它演练准备是将演练方案转换成“真实场景和事件”的途径,也是演练安全、顺利实施的保障。

• 综合演练保障

综合演练保障包括人员保障、经费保障、场地保障、物资和器材保障、技术保障、安全保障等。

人员保障 演练参与人员包括演练领导小组、演练总指挥/副总指挥、总策划、策划人员、导调控制人员、评估人员、保障人员、参演人员、模拟人员等,有时还会有观摩人员等其它人员。演练主办组织和参与组织应合理安排工作时间,确保相关人员参与演练活动的时间;通过组织观摩学习、培训和分解演练,提高参演人员的素质和技能。各类人员应佩戴特定标识,在演练现场给予区分与管理。

经费保障 演练主办组织每年要根据业务连续性项目年度计划编制演练经费预算,纳入该单位的年度财务预算,并按照演练需要及时拨付经费。财务部门应对经费使用情况进行监督检查,确保演练经费专款专用、节约高效。

场地保障 根据演练方式和内容,经现场勘察后选择确定合适的演练场地。桌面演练一般可选择会议室或应急指挥中心等;实战演练应选择与实际情况相似的地点,并根据需要设置指挥部、集结点、接待站、供应站、救护站、停车场等设施与标识。演练场地应有足够的空间,良好的交通、生活、卫生和安全条件,尽量避免干扰公众生活和业务正常运营。

物资和器材保障 根据需要,准备必要的演练材料、物资和器材,制作必要的模型设施等。对于桌面演练,可视情况准备用于场景展示的多媒体视听文件;对于实战演练,可视情况搭建必要的模拟场景及装置设施等。主要包括: (1)信息材料:主要包括应急预案和演练方案的纸质文本、演示文档、图表、地图、软件等,以及演练方案确定的用于增强演练真实感的音像资料等; (2)物资设备:主要包括各种应急抢险物资、特种装备、办公设备、录音摄像设备、信息显示设备等; (3)通信器材:主要包括固定电话、移动电话、对讲机、海事电话、传真机、计算机、无线局域网、视频通信器材和其他配套器材,尽可能使用现有通信器材; (4)演练情景模型:搭建必要的模拟场景及装置设施。

技术保障 演练过程中应急指挥机构、总策划、控制人员、参演人员、模拟人员等之间要有及时可靠的信息传递渠道。根据演练需要,可以采用多种公用或专用通信系统,必要时可组建演练专用通信与信息网络,确保演练控制信息的快速传递。由技术保障组根据演练方案,预先设计技术连续性保障方案,保障演练所涉及的各类技术支撑系统的正常运转。当工作流程发生变化后,技术保障方案也需相应进行调整。

安全保障 演练主办组织应高度重视演练期间的安全保障工作。大型或高风险演练活动要按规定制定专门应急预案,采取预防措施,并对关键部位和环节可能出现的突发事件进行针地性的演练。根据需要为演练人员配备个体防护装备,购买商业保险。对可能影响公众生活、易于引起公众误解和恐慌的演练,应提前向社会发布公告,告示演练内容、时间、地点和组织单位,并做好应对方案,避免造成负面影响。演练现场要有必要的安保措施,必要时对演练现场进行封闭或管制,保证演练安全进行。演练出现意外情况时,演练总指挥与其它领导小组成员会商会可提前终止演练。对于实战演练,应根据需要指派一名安全官,负责从安全角度掌控整场演练。演练当天,安保后勤人员要加强演练现场管控,防止无关人员进入,保障现场安全。若演练涉密可有不宜公开的内容,需要制定严格的保密措施,防止因工作不当出现失泄密事件。

• 其它演练准备

宣传(和对外沟通)准备 重要的演练都会引起媒体的注意。演练设计得越好,越会受到媒体的正面报道,要根据需要制定正式的宣传方案把媒体宣传纳入其中。合理的媒体参与有助于演练赢得支持,提升组织正面形象。

观摩活动准备 演练主办组织可邀请相关单位领导和人员观摩演练,除邀请组织内相关人员观摩外,还可邀请本地区相关组织、客户、供应商和监管机构代表观摩演练,扩大宣传教育效果。需要请上级领导观摩的演练方案被批准后,演练主办组织应根据确定的演练时间安排,提前起草领导活动安排,包括演练名称、主办与协办单位名称、演练时间、地点、参加观摩领导名单、活动议程、主持人、新闻单位、注意事项等内容。

演练中止 :在演练中,尤其是较长时间的演练中,可能会发生真正的突发事件。在某些情况下,比如应急处置的的人手不够或演练妨碍真正的应急处置,需要中止演练来处理真实的突发事件。每一场演练都应该有一个预先计划好的中止程序,从而能够使人员、设备迅速回到正常岗位。中止程序要包括句约定的提示语。导调员和安全官可用这个提示语来提示以下情况:演练已经中止;所有人员应该回到他们的常规职责岗位报到;所有的通信设施将恢复正常使用。在演练之前,中止程序应当通过检测以确认可行。

预演 为保证正式演练效果,在前期培训的基础上,于演练正式实施前,可安排一次或多次预演。对于大型综合性实战演练,可结合年度演练工作计划,按照先易后难、先分解后合练、循序渐进的原则,采取室内桌面推演、现场单项预演、演练场景分阶段推演、现场集体合练等形式,检查验证演练的局部或全部工作环节,强化参演组织与人员的协同配合意识,查找问题和不足,动态改进演练工作方案和脚本。检验性或研究性演练一般不进行预演。

演练的效果建立在坚实的演练计划准备工作基础之上,在制订演练计划启动项目、设计开发演练方案和文件、综合保障完成演练准备之后,接下来讲讲演练实施。

……未完待续

============ 精采回顾 ===========

0 . 业务连 续性问与答Q 0: 大纲 Ver2.0 业务连续性问与答(大纲 ) Ver1.0,已废弃

第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )

第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?

第三部分业务连续性怎么管? 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们 谈风险 时,我们谈些什么?当我们谈韧性时,我们 谈些什么? 8. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 )

项目集管理和领导力 9. 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 中 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 下 ) 10. 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 上 ) 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 下 ) 11. 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 上 ) 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 下 ) 业务连续性问与答Q 11 : 领导 让我负责单位的业务连续性工作,我想认真了解一下业务连续性经理的工作?(附 )

能力规划 12. 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 上 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 中 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 下 ) 13. 业务连续性问与答Q 1 3: 如何进行业务影响分析和风险评估? ( 上 ) 业务连续性问与答Q 1 3: 如何进行业务影响分析和风险评估? ( 中 ) 业务连续性问与答Q 1 3:如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估进阶篇之一:理解组织及其环境 业务连续性问与答Q 1 3:如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估进阶篇之 二 :理解业务及业务影响 业务连续性问与答Q 1 3:如何进行业务影响分析和风险评估? ( 下 ) 业务影响分析和风险评估进阶篇之三:对业务影响分析和风险评估的再认识及其它

能力建设和保持 14. 业务连续性问与答Q 14:如何 建设和保持业务连续性能力(上 ) 业务连续性问与答Q 14:如何 建设和保持业务连续性能力( 下 ) 15. 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计划)? (上) 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计划)? ( 下 ) 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计划)? ( 进阶篇 ) 业务连续性问与答Q 15: 编制和管理应急预案(和业务连续性计划)? ( 参考 ) 16. 业务连续性问与答Q16:如何进行人员能力和意识上的准备?(上 ) 业务连续性问与答Q16:如何进行人员能力和意识上的准备?(中 ) 业务连续性问与答Q16:如何进行人员能力和意识上的准备?( 下 ) 17. 业务连续性问与答Q1 7 :如何 做好演练工作 ?(上 )

“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。

原文发表于公众号”业务连续性+” | 原文链接