文/北京威视数据系统有限公司 李泓 侯海波

  保护数据最原始的方式是存储与备份。数据是企业的心脏,能让心脏跳动起来的是业务。一直以来,人们用存储与备份的方式保护数据,后来发现,保护能让心脏活跃起来的业务才是实质。

  业务连续性管理(Business Continuity Management,BCM)就是这样一个激活心脏的战略。

  企业实施BCM,就是要构建一个有效应对危机的管理体系,使危机管理科学化、手段现代化。BCM需要考虑到企业员工、业务流程、企业流程、法律问题等问题,当然也包括如何保证IT系统的正常运行。

  和传统的危机应对策略不同,BCM是在当前企业对信息技术十分依赖的背景下提出的,充分考虑了危机来临时,恢复信息系统的重要性和特殊性。

  同时,BCM不仅仅是单纯的技术行为,其目的是最终实现政府部门和企业的业务的持续运行,而单纯的灾难恢复技术,通常以信息系统的恢复和正常运行为目标。

  现代企业能否在突发性灾难的影响下依然保障业务的持续运行,已经关系到企业的成败。BCM已经成为现代企业应对危机事件的国际通用规则。

  缘何BCM?

     因为风险渐大

  随着社会信息化的发展,现代企业的正常运作越来越依赖于其信息系统的安全运行。然而,信息系统本身的复杂性使其自身的脆弱性大大增强。由于信息系统的失效,造成业务数据丢失、业务系统中断的实例正逐年递增。

  影响企业信息系统和业务存亡的威胁很多,通常包括:自然风险(例如地震、火灾、 水灾、气象、疾病、战争等)、人为风险(例如对系统的错误操作、黑客攻击、病毒发作、员工发泄不满等)、技术类风险(例如设备失效、软件错误、通讯中断、电力失效)等方面。

  国外一项权威调查显示,20%的企业平均每五年就会遇到一些影响公司运营的意外情况。事实上,美国“9·11”事件、“非典”疫情、印度洋海啸、莫斯科大停电、伦敦地铁爆炸等事件都在提醒我们,现代企业面临的风险环境非常严峻。

  另外,普通的断电、缺水、火灾或者交通问题,都有可能影响某个组织的客户服务能力,以及企业的持续经营。

  因为损失剧增

  灾难带来的首先是财务损失。关键业务人员的牺牲、物理资产的损坏、业务数据的丢失,都会带来直接的财产损失。

  另外,损失还包括收入减少、法律赔偿、股票损失、恢复业务附加的花费、恢复工作所增加的费用等等。其他需要考虑的重大损失可能还有员工的士气 、公众对企业的信心、公司的形象 、金融信誉,以及其他不可量化评估的损失等。

  实际上,灾难造成的后果往往是无法用金钱来衡量的。由于现代企业对信息技术的高度依赖,灾难造成的后果往往会关系到企业的生死存亡。

  根据权威统计数据显示,美国在近10年间遭遇过灾难事件的企业中,有55%的企业马上倒闭,因为数据丢失造成业务无法持续,又有29%的企业在两年之内倒闭;真正生存下来的企业仅占16%左右。

  国际权威调查公司Gartner Group的数据也表明,在经历大型灾难事件而导致系统停运的企业中,有2/5左右再也没有恢复运营,剩下的公司中也有接近1/3在两年内破产。

  因为策略落伍

  世界各国的实践表明,在企业关键业务的正常运作高度依赖信息技术的今天,如果不充分考虑到信息系统灾难恢复的特殊性和重要性,传统的业务管理方法及流程往往无法满足业务持续运作的需要,甚至导致业务永久无法恢复,给企业带来灭顶之灾。

  当然,企业可以选择购买保险,降低一部分灾难损失。但是,保险不能挽救所有的损失。例如保险无法找回企业丢失的重要顾客信息和关键的业务数据,而这些重要的资产,往往是业务持续运行所必须的。

  传统的信息安全技术无法抵御大的灾难风险,而灾难恢复技术往往从技术的角度出发,仅仅保证信息系统的快速恢复和重新运行。虽然这些手段都是业务持续运行所必需的,但无法从更高的业务系统层次上保证业务的快速恢复和持续运行。

  因为企业生存

  企业实施业务连续性,首先来自于客户和市场的压力。服务于全球客户的复杂性,以及消费者的高期望值,让企业保持业务永续的状态是当务之急。

  据介绍,是否拥有应对灾难事件的业务连续性计划、是否引入有效的BCM机制,已经成为一些发达国家政府机构与企业选择合作伙伴的一个必要条件。

  在英国,拥有行之有效的BCP计划,已成为企业上市的基本要求;在美国,企业法对BCM的具体措施也有明确要求;在亚洲的新加坡,已经拥有多个保证业务连续性的标准流程和管理规范。

  可以预见,实施BCM会成为未来企业应该遵守的法律准则。

  因为BCM是战略

  由于BCM的出发点是保证企业关键业务的不间断运行,以满足企业符合法令以及客户服务水平需求,因此,BCM的规划和实施不仅仅是IT部门的事务。

  制定和实施BCM战略需要企业各部门的协调,需要在企业整体业务和IT架构下进行整体分析和评估,并在业务成效和总体拥有成本之间谋求平衡,因此,BCM是企业高度的战略。

  企业应该从战略管理的高度制定业务持续计划,实施BCM,以作为企业应对灾难、保证业务不间断运行的基础策略。

  目前,国际上已经有了成型的BCM标准规范。尤其“9·11”事件后,美国政府更是大大加强了BCM机制的建设,其他各国政府也日益重视,亚太地区的BCM机制正在逐渐形成。

  据Meta预测,在全球大型企业中,用于业务连续性计划的投入将会持续上升,到2007年,这笔投入将从现在的占IT预算4%提高到7%。

  相比之下,我国BCM还只是刚刚起步,与国外存在着较大差距。大部分企业还没有建立完整的BCM机制。

  根据国内权威机构的统计数据,目前,在应对危机事件时,90%以上的中国企业存在明显的漏洞,企业对BCM专业知识的普及程度远远不够,专业人士还十分匮乏。

  搭建BCM的四块积木

  BCM,更倾向于建立风险的应急管理机制,而不仅仅是灾难恢复的实现技术。就这一点而言,在业务连续性方面,国内大部分企业只完成了其中部分要素的建设。

  例如,某公司非常重视灾难恢复设施的建设,花费巨大投资建设了灾难恢复的后备中心,后备设备和技术方案也非常完善。当生产场地的主机、网络等设备遭到破坏时,主要的应用系统可以快速地切换到后备中心继续运行。

  实际上,当大的灾难发生后,虽然该IT系统得到及时的恢复,但由于缺乏业务层面的考虑,前台员工的办公场所、开展业务的必要设备(包括打印业务凭证需要的打印机、印章等)无法落实,员工无法实现应急办公,最终会导致业务长时间的停顿和巨大的业务停顿损失,在IT系统上的巨额投资没有起到应有的作用。

  在上面的例子中,灾难恢复设施的建设只是实现业务连续性的一个要素,如果不能从全面的角度考虑,实施业务连续性管理的结果只能是事倍功半。

  实际上,企业实施BCM,应该从战略管理的高度,关注如下四个要素(俗称4P要素):流程(Process)、人员(People)、设施(Product)和计划(Plan)。可以说,实施BCM的四个要素就是搭建BCM的四块积木。这四块积木分别解决了在应对灾难危机时,什么人(或组织)按照什么样的流程操作什么样的资源,而计划正是规范以上要素的文档体现。