· 公众号:业务连续性+

王曙 | 浅谈业务连续性管理

作者丨王曙 网络信息安全和业务连续性管理专家

2020年3月28日一篇关于供应端停产的报道。当疫情发生,直接造成供应中断,迫使全球超一百家汽车工厂停产。

2021年11月,关于芯片的案例。由于生产芯片的断货,导致特斯拉在海外部分车辆中减少了USB端口。

2021年第三季度,关于苹果电脑的报道。受供应商制约的影响,苹果7-9月份丧失了60亿美金的销售机会。苹果CEO蒂姆·库克预测称,10-12月影响将进一步扩大。

从这些案例中可以看到,由于供应链等业务连续性相关问题,造成了方方面面的影响,同时很多问题也会浮现出来。

有人解释说,业务连续性管理是对业务进行连续性的管理。这样的解释不能说错,但是只能说是中国人对文字拆字的解读方法。在我看来,业务连续性管理是从西方引进的,要理解的话还需要寻找它的本源,回到英文语境中去。

业务连续性管理,其实要从Business (业务) 、Continuity (连续性) 、Management (管理) 、System (系统) 四个单词整体去理解。真正要理解清楚业务连续性管理,需要理解三个词,分别为:BC (业务连续性) 、BCM (业务连续性管理) 以及BCMS (业务连续性管理体系) 。

依据广为接受的国际标准,业务连续性 (business continuity,BC) 的定义是:在扰断期间,组织在可接受的时间范围内以预定的 (生产/服务) 能力持续交付产品和服务的能力 (capability) 。也就是说, 业务连续性是一种组织能力,是一种结构化、体系性的综合能力。

业务连续性管理 (BCM) 的定义是识别对组织潜在威胁以及这些威胁一旦发生可能对业务运行带来影响的 一整套管理过程 (process) ,该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉品牌和创造价值的活动。这是一个比较早期,同时也获得广泛共识的业务连续性管理的定义。在最新版的国际标准里,该定义简化为:实施和保持业务连续性 (这种组织能力) 的过程。

在国际标准中,也指出这一整套管理过程包括六大类:运行的策划和控制、业务影响分析和风险评估、业务连续性策略和解决方案、业务连续性计划和程序、演练方案,以及业务连续性文档和能力的评估。这六大类管理过程加起来叫做业务连续性管理。

业务连续性管理体系 (BCMS) 是组织整个管理体系的一部分,用于建立、实施、运行、监视、评审、保持和改进业务连续性。简单来说,业务连续性管理体系就是 用于管理业务连续性(这种组织能力)的一个特定的管理体系。 管理体系包括组织结构、方针、策划活动、职责、程序、过程和资源等,也就是说,管理体系包含有管理过程。相应地,业务连续性管理体系包含了业务连续性管理。

图1 ISO 22301 BCMS的双循环结构

ISO22301 BCMS的核心框架 (图1) 是一个双循环结构,外循环用于建立、实施和运行、监视和评审、保持和改进一个特定的管理体系,内循环则用于建立、实施、运行、监视、评审、保持和改进业务连续性。

这两个循环结构,外循环是面向管理体系的;内循环是为了得到业务连续性能力,之所以把业务连续性管理 (BCM,即内循环涉及的管理过程) 外面套上一个管理体系,是为了让管理业务连续性的工作可控、可评估和可持续改进。

综上所述,业务连续性是一种组织能力,业务连续性管理 (BCM) 是实施和保持业务连续性的一整套管理过程,业务连续性管理体系 (BCMS) 是用于管理(即建立、实施和运行、监视和评审、保持和改进)业务连续性的一个特定的管理体系;换言之,业务连续性管理 (BCM) 和业务连续性管理体系 (BCMS) 都是用于管理业务连续性的方法。

事实上,我们日常口语中的业务连续性管理并不是专业人员所说的“business continuity management”,而是“managementof business continuity”,即对业务连续性这种组织能力的管理,包括了BC、BCMS以及其它的管理业务连续性的方法。

另外,可以认为ISO 22301 BCMS是被ISO定制并“IP”化的一种特定的项目集 (program) 管理方法,是当前业务连续性管理良好实施的集大成者。

如何理解业务连续性管理?需要从社会安全体系角度看,一个社会安全体系由三部分组成:组织安全、个人和家庭安全,以及公共安全。这三者之间有很大的关联,但是彼此之间主体不一样。公共安全一般是政府和公共部门负责牵头;组织安全由企业自己来做;个人和家庭安全是个人和家庭的事。因此,业务连续性管理是组织安全和风险管理的重要组成部分,不是个人和家庭安全考虑的范围。公共安全对它可能会有要求,但是本质上公共安全考虑的是公共 (public) 安全问题,而业务连续性一定是组织 (private) 自身的问题。

下面是风险 (安全) 管理的领结图 (图2) 。左边是风险源,中间是风险事件,右边是承载体和事件发生的后果。

图 ‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍ 2 企业风险(安全)管理领结图

图3 企业风险(安全)管理 把领结图具象化后可以得到 (图3) ,即企业会遇到火灾、水灾、洪水、核心系统中断、大停电、台风……种种事件。企业保护的目标通常可分成五类:生命与财产安全、社会秩序、公共环境/公共利益、业务持续运营、声誉和品牌。前三类事件一般是公共安全考虑的,政府会要求企业必须做到,如果企业不能够保证生命财产安全,或者企业发生的事件影响到了社会秩序,政府可能会马上要求企业停业 (整顿) 。但企业不可能只做政府要求做的,后两类目标是企业生存和发展必须保障的。

图4 业务连续性、应急和危机管理的关系

在企业内部,业务连续性、应急和危机管理的关系如图4所示。应急管理主要关注工作场所事故、小型火灾、炸弹威胁等;业务连续性管理主要关注机器故障、服务器出错、供应商扰乱等;危机管理主要关注生产污染、金融违规行为、行为不当指控等。

在交叉1的部分,假如发生火灾干扰到生产,但是没有影响市场份额和收入,那么这个问题既是应急管理问题,也是业务连续性管理问题;在交叉2的部分,假如由于供应商问题造成重大财务损失,这种情况既是业务连续性管理问题,也是危机管理问题;在交叉3 的部分,假如发生火灾时,对火灾反应不当导致死亡,这既是应急管理问题,又是危机管理问题,但是跟业务连续性管理无关。

在最中间交叉的部分,假如火灾破坏了生产设施,对市场份额和收入产生重大的影响,既是应急管理问题,又是业务连续性管理问题,还是危机管理问题。所以企业在建设自己的管理体系时,要想清楚它的涵盖范围到底是什么。比如,华为的业务连续性管理体系包含了突发事件应急管理 (图5) 。

图5 图4 业务连续性、应急和危机管理的不同视角

应急管理关注的问题主要与地理位置相关,业务连续性管理更多是从分部或业务单元、业务流程视角来看待问题,而危机管理由于更多考虑企业的品牌、声誉以及战略执行问题,所以它更多是在组织和战略层来考虑问题。所以,应急管理更多是现场视角,业务连续性管理更多是业务流程视角,危机管理更多是全组织视角。

图6 华为的业务连续性管理体系

总之,BCM和BCMS是用来管理业务连续性 (这种组织能力) 的两种不同的方法。业务连续性管理是组织安全和风险管理体系的重要组成部分,同时也是公共安全应急管理和组织安全和风险管理当前急需加强的一环。业务连续性管理是业务过程视角的组织安全 (和风险) 管理工具,是管理层面对不确定性的必然选择。

任何一项业务活动一定依赖于一系列业务要素,如场地、设备、人员、原材料、供应商、经营环境、经营牌照等等,无论什么原因造成这些关键的业务要素不可用,业务活动就可能被中断/扰乱。

为了做好业务连续性管理,我们可以使用BCM方法以及BCMS方法。ISO 22301BCMS的目的是为了建设、保持和改进业务连续性能力,而业务连续性能力可被我们运用过来应对、处置扰断 (中断或扰乱) 事件。

现代业务连续性管理是从上个世纪七十年代开始,最早人们对业务连续性的认识是技术,主要采用了IT DR方法;后来,人们认识到要做好业务连续性还需要考虑流程,八十年代后,拿来了ERP (Emergency Response Plan,应急预案) ,八十年代末,形成了是BCP (Business Continuity Planning,业务连续性策划) 方法。业务连续性策划是一个管理流程,其唯一目的是生成应急预案;再后来,人们认识到还需要考虑人员和其它要素,到了九十年代中期,出现了业务连续性管理,这是一整套的管理过程;2000年以后,为了让业务连续性管理可控、可评估和可持续改进,又把源于ISO 9000的管理体系方法融合进来,形成了业务连续性管理体系方法。

图7 业务连续性管理方法的演变 也就是说,随着人们对业务连续性这种组织能力的认识越来越深刻,从技术维度、流程维度、人员维度到组织维度,人们逐步采用了越来越综合的管理方法。到了ISO 22301 BCMS阶段,不仅考虑技术、流程,还要考虑人员和整体的组织管理。

那要做好扰断事件应对,企业需要具备哪些能力? (图8) 要有预防事件发生的能力、全过程的保护和减灾能力、全天候全方位的情报和监测能力。既然有了情报和监测,也要做好预警和警报,以及发生事件时进行什么样的应急响应,危机沟通和业务恢复等等。还要具备准备能力,准备能力实质上就是管理业务连续性的能力。

图8 业务连续能力的“8+1”框架

图9 基于能力的规划

要具备适宜的业务连续性能力?首先要做好能力的规划工作 (图9) 。先做情境分析,即分析未来可能会遇到什么样的情景?经过情景分析,得出情景清单。然后考虑在这些事件情景中,组织必须完成哪些任务,得出通用任务清单;而为了做好这些任务,又必须具备哪些能力,这样会得出业务连续性能力清单;把能力清单与组织当前能力进行比对之后,可以确定下一个阶段需要建设和改进的核心能力及其目标。从情景分析、通用任务分析、业务连续性能力分析,再到核心能力和目标设定,这是一个标准的基于能力的规划 (CBP) 过程。

大家常提到的风险评估和业务影响分析,属于情景分析部分。风险评估是风险识别、风险分析和风险评价的全过程,不但关注会发生什么事件,还关注事件发生的可能性和后果;而业务影响分析关心随着中断或扰乱时间的增长,对业务和组织的影响如何变化。如图10,把风险评估和业务影响分析整合起来,关注点从危险/威胁对风险资产的影响转变到了危险/威胁对业务和组织的影响 (经由其业务要素) ,联系风险的定义“不确定性对目标的影响”,整合后的风险评估和业务影响分析是一个更全面的业务级的风险评估过程。

图10 风险评估和业务影响分析的整合

能力建设之后如何运用?如图11,这是关于应急指挥的一个标准过程。当发生事件的时候,先 (阶段一) 要做好初始响应;阶段二确定目标;阶段三拟定方案;阶段四下达指令;阶段五执行方案,然后不停循环,直到所有目标全部达成。在应急预案编制完成后,我们可以依据应急预案建设和保持相应的能力。当发生真实的事件时,因为事件不可能象我们预想的那样发生发展,也就不可能完全按照应急预案去执行,但经过应急预案建设和保持的业务连续性能力却是实实在在的。

图11 能力运用的“P”过程

图12 俱胝一指禅 业务连续性实务框架 (BCMPF) 和业务连续性管理体系如何融合?借用《传灯录》中的“俱胝一指禅” (图12) 这个公案故事可以清楚,业务连续性管理方法就是故事中的“一指”,而业务连续性能力才是所求的“佛法”。毕竟,业务连续性管理体系,业务连续性管理或者其它任何业务连续性管理方法,最终都是为了建设、保持和改进所需的业务连续性能力。但如果不清楚业务连续性能力目标是什么、能力由哪些要素构成、如何建设和保持、如何有效运用以及如何进行管理评价,那不管采用何种业务连续性管理方法,都可能只是在管理工作中迷失 (偏离了最终目标,为了管理而管理) 。所以,业务连续性管理体系方法,需要和能力中心的业务连续性实务框架融合起来,才能更好地围绕业务连续性能力展开所有管理活动,基于“8+1”能力框架分解能力目标,进而结合业务连续性能力函数进行建设和保持,这才是管理业务连续性的可靠方案。

业务连续性管理是一个新兴的管理领域,与传统的风险和安全管理、运营管理、数字化这些相对成熟的学科不同,它并没有坚实的理论基础,主要是围绕着:

(1)尽量别发生扰断; (2)当扰断发生后尽快恢复运营并尽可能降低扰断带来的影响这两个目标所总结出来的各种实践。

围绕着以上两个目标,业务连续性管理更多采用“拿来主义”的态度,从不同学科拿来了一系列工具,如风险评估、应急预案、培训和意识教育、演练等等。因此,对业务连续性管理专业人员而言,工具包 (Toolkit) 很关键,你要搞清楚,在你的工具包里有哪些工具?你能熟练运用哪些工具?它们是否能帮助你达到目标?所以,在业务连续性管理实践中,应更多强调问题导向,“从实践中来,到实践中去”,丰富、优化自己的工具包,而不是抱住一个所谓的理论和最佳实践不放。

安全和风险管理、运营管理和数字化,是支撑业务连续性管理的三大支柱。业务连续性管理发展到今天,正在往运营韧性 (Operational Resilience) 转型。

数字经济将占据我国经济重要地位并成为主要增长点,下面我们看看与其高度关联的信息科技风险。

图13 信息科技风险的三层视角

这是美国国家标准给出的看待信息科技风险的三层视角,最下面是战术风险,主要是信息系统层,往上是业务过程层,最上面是组织层的战略风险,其中的业务过程层其实主要是业务连续性管理。

下面这个Cyber Europe 2014网络安全演练就全面检验了技术、业务过程和战略层的网络安全能力。

业务连续性管理方法给组织的非常态管理提供了新的运营和经营视角,解决的不是企业长期战略 (“人设+价值”) 问题,它面对的是组织在非常态下的生存 (“过日子”) 问题。

在后疫情 (后全球化) 时代,所有组织都必须面临两大趋势:全球供应链重构和数字化转型,可能是机会,也可能是危险。

强调“问题导向”和“拿来主义” 的业务连续性管理方法可以应用于多种场景,比如每个行业对业务连续性和韧性的认知不同,在面临供应链重组 (或数字化转型等) 时,需要分析清对业务的影响有多大,有什么可选的策略和方案,然后结合企业战略,通过业务 (过程) 层面将这些策略和解决方案融入到企业的日常管理工作中。业务连续性管理方法可以提供大量组织治理和管理实践对以上工作进行支撑,当然,也可能会有很多新的问题需要进一步探索。

业务连续性管理是站在业务流程视角来看待组织的安全和风险问题,它的管理方法适用于、也将会用到方方面面。在未来,每个人都应该想着把业务连续性管理用到你的行业中,去解决自己面临的特定问题。

这就是我今天分享的内容,如果大家需要更深入的交流,可关注公众号“业务连续性+”。谢谢大家。 (完)

《业务连续性管理实务》, 王曙 , 人民邮电出版社 ,2022-04

——END——

苇草智酷简介—— 苇草智酷(全称:北京苇草智酷科技文化有限公司)是一家思想者社群组织。通过各种形式的沙龙、对话、培训、丛书编撰、论坛合作、专题咨询、音视频内容生产、国内外学术交流活动,以及每年一度的互联网思想者大会,苇草智酷致力于广泛联系和连接科技前沿、应用实践、艺术人文等领域的学术团体和个人,促成更多有意愿、有能力、有造诣的同道成为智酷社区的成员,共同交流思想,启迪智慧,重塑认知。

苇草智酷好文推荐 段永朝 | 驾驭复杂世界的底层逻辑 — 《业务连续性管理实务》序言

原文发表于公众号”业务连续性+” | 原文链接