BCM不仅仅是IT的事
2017-11-16郭涛
郭涛
美国当地时间10月1日晚,赌城拉斯维加斯发生了美国历史上最严重的枪击案,事件导致至少59死527伤。从拉斯维加斯枪击案到BCM(业务连续性管理),这中间有什么联系呢?拉斯维加斯枪击案的惨痛教训从一个侧面折射出应急管理应如何充分发挥其作用。而BCM关注的是如何避免灾难或意外事件对组织或机构的业务连续性运作造成影响甚至是破坏。应急管理也属于BCM的范畴。
如果在灾难或意外发生之前能够预见,如果在灾难或意外发生之后能够快速响应,及时消除负面影响,如果真能有那么多如果,“9·11”、在美国多地肆虐的飓风,还有火灾、洪水等自然的和人为的灾害,就会因为有了BCM,人们提前认知到危机或灾难,并能在事后采取有效应对手段,就可以大大减轻灾害造成的损失。
在百度百科上,业务连续性管理(Business Continuity Management)的定义是,BCM一项综合管理流程,它使企业认识到潜在的危机和相关影响,制订响应、业务和连续性的恢复计划,其总体目标是为了提高企业的风险防范能力,以有效地响应非计划的业务破坏,并降低不良影响。从该定义可以看出,BCM与业务、流程有关,可以通过一系列管理和技术的手段落地和实现。
但結合上文提到的现实生活中的种种灾难和风险,笔者认为,BCM不应该只是某些企业和机构,或者某些业务领导和技术人员思考的事,而应该是渗透到每个人血液中的一种风险和安全意识。从这个角度说,也许它也可以归入“大安全”的范畴。
中国的企业用户对BCM这个名词应该不陌生,但是BCM在中国的落地情况又如何呢?近日,DRI BJ2017大会在北京召开,笔者带您一起去寻找答案。
DRI(国际灾难恢复协会)作为全球BCM领域最权威的学术组织,已得到国际上开展BCM应用的组织和BCM从业者的高度认可。为增强中国BCM专业人士对DRI的了解,DRI BJ2017将重点放在展示DRI的发展历程和未来规划,以及BCM的应用探索上。
这一会议每两年在中国举办一次,都是依靠志愿者进行会议的策划、组织和执行。由于人手有限,会议的宣传只是通过朋友圈和业内人士口口相传,尽管如此,此次两天的会议,每天都有至少400人参加,而且相当一部分听众一直坚守到会议的最后,下午五六点钟,大家对BCM的关注和热情可见一斑。另外,相关厂商参加演讲也十分踊跃。由于演讲时段有限,据说个别业内知名厂商都没能“抢”到位置。
DRI中国分会(DRI China)总裁于天在整个会议过程中忙前忙后,却乐此不疲。DRI进入中国到今年已经十年,看到BCM在中国客户中扎根、开花、结果,于天当然是最感欣慰的。
成立于1988年的非盈利学术组织DRI,专注于BCM理论体系的建立和方法论的推广,是全球公认的BCM从业者资格认证的权威机构。自2007年进入中国,DRI在中国十年磨一剑,为各行各业BCM实践提供专业指导的同时,也培养了大批BCM专业人才。目前,中国通过CBCP认证的已有400多人,从数量上看,在全球仅次于北美。“十年中,中国用户对于BCM的认知在逐步提高。不过,在BCM项目的落地上,还略显少而慢。”于天表示,目前,金融行业的客户在BCM项目的实施中领先于其他行业。
本次大会的演讲内容精彩纷呈,有两个突出的特点:一是金融行业,主要包括银行和证券公司,仍然是中国BCM的中坚力量,其BCM实践正走向深入;二是互联网企业现身说法,国外的eBay和中国的阿里,都讲述了自己与BCM的不解之缘。
金融业是中国BCM应用的开拓者,尤其是银行,更是中国BCM应用普及度最高的领域。广发银行信用卡中心在高速拓展业务的同时,一直非常重视业务连续性管理体系的建立,是国内第一家获得BCM国家标准GB/T-30146认证的金融机构。在会上,广发银行信用卡中心信息安全经理、资深BCM实践者张桂明介绍了BCM实践,中怡保险分析了风险转移新策略,平安银行和海通证券分享了BCM应用的探索和经验……
说实话,互联网企业对BCM的热衷让笔者稍感意外。企业建立业务连续性管理体系的根本目的并不仅仅是为了合规或监管要求,而是要真正帮助企业提高抗风险能力,使企业临危不乱,持续运营。因此,客观地评价企业BCM真实水平,是指导企业改进和提高的前提。eBay公司亚太BCM经理Nabil Aboulhosn在会上分享了eBay公司在这方面的成功秘诀。
对于“双11”创造的一个又一个销售神话,大家一定不陌生,那么你对“双11”背后的安全应急响应又有多少了解?阿里巴巴集团安全部资深总监张玉东分享了阿里如何保障“双11”这个大规模、高并发、超复杂的系统的安全运行,以及应急响应方面的经验和教训。
在听厂商和行业用户演讲的过程中,笔者有一个很深的感触,中国的厂商和用户在介绍时,习惯性地介绍采用了哪些技术和解决方案,而国外的专家和用户在演讲时,很少直接提及某一技术或产品,而主要讲述的是业务和管理,以及BCM的方法论。
业务和技术是BCM的两个主要支柱,中国用户关注技术和产品选型固然可喜,但千万不能只盯住技术不放,还是要多关注业务本身和管理实践,毕竟BCM并不仅仅是IT的事。当初,让很多人第一次注意到BCM的“9·11”事件,本身是一个社会事件,而非IT。当意外或灾难发生时,考验的不仅仅是企业的IT部门,而是所有的业务和管理部门,还有企业的“一把手”们!不是吗?业务、技术两不误,才能避免陷入BCM的误区。
在本次大会上,还有两项现场签约值得关注。一项是DRI中国与著名的英国标准协会(BSI)在中国的组织BSI中国,签署战略合作协议,积极推动双标准认证。在保证企业业务连续性的实践中,作为两大权威机构,其标准也是相辅相成的,DRI的标准重在实现和实施,而BSI的标准侧重在合规。
另一项是在云灾备领域异军突起的中国本土创新企业——上海英方软件股份有限公司(以下简称英方)与DRI中国签署行业战略合作协议。双方将进一步深化合作,英方将借助DRI的全球资源拓展国内和海外的BCM业务,而DRI中国可以借助英方在国内外成功的案例推广BCM的理论、CBCP认证和相关BCM标准制定发展。英方公司已经有多人通过了CBCP认证,其中就包括英方CEO胡军擎。
于天向笔者介绍说,其实越是企业的高层管理人员越容易通过CBCP的考试和认证,因为培训和认证的内容主要是管理方面的知识,而非技术。据说海通证券的领导连续学习了三天,就顺利通过了认证。
于天表示:“英方不仅在灾备行业具有技术和市场推广优势,而且在云灾备落地、BCM推广方面与DRI拥有一致且正确的价值理念。双方的战略合作可以更好地推动BCM在中国应用。”笔者还了解到,DRI中国在众多灾备厂商中选择英方还有一个重要原因,就是证券行业将成为除银行业之外的下一个BCM热点领域,而英方在证券行业有较好的客户基础和应用实践,这让双方的合作有的放矢。
通过和与会嘉宾的交流,笔者对当前BCM在中国的落地情况有了更深入的了解,同时也对BCM实践中存在的一些问题和误区有了更清楚的认知。
很多人是从DR,也就是灾难恢复的角度开始认识和了解BCM的,因此也就理所当然地把BCM归到DR的范畴内,其实这是一个误解。如果从包含的关系来看,DR其实是BCM的一部分,DR关注的是技术底层和实现,它是实现BCM的一个技术支撑。反而是BCM的外延更广,不仅仅是技术,更重要的是业务和管理。
众所周知,DR需要演练,这样才能在灾难发生时从容应对,做到心中有数。BCM也要有演练,而且公司的管理高层也应该参加,BCM演练涉及的内容和部门更广泛。总之,BCM演练是一个企业所有部门的事,而不仅仅是IT部门。但是现在,中国很多企业的BCM是由IT部门主导的,这就不自觉地把BCM这本经“念歪”了,将BCM变成了一个纯技术的问题,这是片面的。
还有一点特别值得关注,当前中国的BCM应用主要还是集中在金融领域,更准确地说是银行业。因为早在2011年银监会就已经出台了《商业银行业务连续性监管指引》,有章可循,让银行业的BCM实践可以步步深入,踏实稳健。据了解,我国证券领域也要出台类似的规范。标准和规范先行,可以加速BCM在各个行业的落地。
BCM在中国的发展最好是由政府、行业组织和监管机构,以及企业等多方共同努力,营造良好的大环境和氛围,在相关标准和规范的指引下,企业又能准确定位业务、管理和技术的关系,这样才能更有效地提升企业的风险防范意识,保证业务永续。