以BCM为核心理念.doc

以BCM为核心理念，强化政府行业管理职能BCM专业委员会 孟亚平人类社会正经历史上第四次社会革命-“信息革命”信息技术的飞速发展与广泛应用，为人类社会的生存与发展构建出新的生态环境，使得人类社会的传统秩序与运转的正常维护，不得不高度依赖于以互联网为典型特征的信息技术应用，且这一趋势不断呈现出难于调控的演变趋势。“信息技术是一把双刃剑”，这一史训提醒人们，第四次革命在给世界带来变革的同时，亦会衍生出新的社会问题和违背人类意志意愿的隐性难题，如：美加大停电、美国“9.11”恐怖袭击事件、日本东北部地区九级大地震、2008年中国南方冰雪灾害、汶川地震等，如此举世瞩目的灾难性事件的频发出现，让世界各国高度关注，并不断加快针对抗灾减灾领域的研究与治理工作进程，力图从应急响应、灾难备份、危机管理、业务续管理（Business Continuity Management，BCM）等不同技术途径积极探索与实践。一、 BCM实践的全球化，深刻折射出风险管理需求的内在变化著名的摩尔定律揭示了信息技术的更新速度及对人类社会文明进程的影响程度。显而易见，信息技术引发的人类社会革命，已经从国家关系、社会形态、经济发展、生活方式等各个方面，冲击并改变着世界。在国家安全领域，信息安全成为各国国家安全战略框架的重要内容，随着信息安全、社会安全、经济安全、产业安全等诸多安全观念的产生与发展，使得传统安全观的内涵更加丰富，外延不断拓展。由于人类社会对信息技术的高度依赖，人们在享受信息科技文明的同时，也日益受到因其频频引发的各种安全问题的困扰。而且这些困扰和特质已经呈现从科学学科的单一性、威胁的局部性，向多学科、综合复杂性、跨区域跨国界蔓延的趋势。追溯风险管理理念的产生发展及当前BCM实践历程的发展沿革，不仅可以充分证实这一观点，而且有利于让人们进一步深刻反思和审视，致力于BCM实践，对保护人类社会的和平稳定与可持续发展该是如此重要。截止到目前，人们应对危机活动的研究与实践大致经历了五个发展阶段，其理念内涵不断变化：数据备份阶段，起步于上个世纪60年代，人们关注的是数据的价值，并针对数据的可用性开展备份和保护，着重解决计算机技术应用故障带来的数据损坏和丢失，这些数据有的是纸介质形式，有的是电子数据，人们将其副本放置在另一个相对安全的地点（即现在我们说的灾备中心的雏形）存放，以达到数据安全的目的；灾难备份阶段，到上世纪70年代，随着信息系统及其网络技术形态的出现，人们开始关注IT设备及相关信息系统的可靠性，并将备份保护的重点扩展为对IT设备及相关信息系统的备份保护，同时开展针对信息系统备份技术的研究应用，1979年，美国SunGard公司在美国费城建立的全世界第一个灾难备份中心标志着灾难备份概念及其行业应用开始出现；灾难恢复规划阶段(DRP)，此阶段，当基于数据和IT系统备份的理念发展到了灾难恢复规划阶段时，其内涵得到进一步丰富扩展，增加了灾难恢复预案、资源需求、灾难备份中心管理等功能性内容，灾难恢复概念出现，涉及备份与管理多种因素的综合关联性分析研究，成为影响指导这一领域实践活动的重要成果；业务持续规划阶段(BCP)，基于灾难备份与恢复的理念内涵得到进一步提升，人们把关注视角从IT向业务延伸，用业务来考量灾难恢复目标。研究对象涉及IT设施及其相关业务，从IT、业务两个维度，以及两者间的相互关系和影响指导应用，内容更加深入，涉及到业务影响分析、策略制定、业务恢复预案等更多内容；业务持续管理阶段（BCM），美国“9.11”事件之后，人们将灾难恢复、业务连续规划的实践应用，上升到了业务连续规划管理的高度，除了面向业务持续管理目标外，还对突发事件紧急响应、危机公关和供应链危机管理等内容提出要求。概念得到进一步深化，形成了一套理念更加成熟、内涵更加丰富、要素更加全面、措施更加有效的体系化科学管理思想，其深化完善的结果，使得业务持续管理的适用范畴具有了普遍意义，视角更加宽泛，外延向社会各个领域延伸。综上所述，BCM理论实践的形成，历时近四十余年，经历了以IT为对象，围绕IT属性、规律及关联要素从事研究应用，到以业务持续管理要求为目标，围绕业务特点、运行规律、相关因素及社会属性开展研究实践的发展轨迹。如今，BCM内涵日趋完善，外延更加广泛，人们已将关注视角延伸到各业务应用领域。不仅应对来自于火灾、地震、全球气候异常等自然灾害带来的需求，还包括恐怖主义、黑客攻击等人为因素造成的影响；而由于企业的业务更多地受到紧急事件的威胁，同样需要业务持续管理。由此可见，不断进化形成的业务持续管理理论、方法与实践，将继续受到人类社会实践活动进程发展变化的严峻考验，其复杂性、可控性、可预见性、衍生性还在不断向人类管理能力提出新的挑战。二、运用正确的风险管理理念指导实践自风险管理理念指导人们开展社会实践以来，应急响应、灾难备份、业务持续管理（BCM）等专业理念，相继引导或影响着人们从事风险防范与危机应对的实践活动。由于这些概念是在一些特定历史背景下产生的，因而决定了其内涵具有一定的应用局限性。因此，准确地理解有关风险控制管理理念，掌握不同理念下的风险控制管理方法，正确解读应急响应、灾难备份、业务持续性管理三者间的辩证关系，对于有效开展风险控制管理工作，指导风险控制管理实践，实现安全目标，十分必要。应急响应因莫里斯蠕虫病毒案件而产生，其标志着大众对计算机网络本身的脆弱性的突然觉醒。应急是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。应急响应的对象是针对计算机或网络所存储、传输、处理的信息的安全事件。强调的是事前准备与事后处置遏制两个过程状态，要求反应时效快，处置能力强，控制措施有力，具有时段性特征。灾难备份（恢复）是基于自然灾害或人为误操作，可能给企业信息应用系统造成故障或瘫痪的基本判断而提出和付诸实践的。灾难备份强调的是通过采取对重要数据与关键信息系统的备份措施，实现对业务健壮性的保护要求。侧重基于信息系统及其应用的恢复重建准备（规划及计划）以及一系列过程管理的动态循环过程，强调构建关键业务IT资产的生存弹性，以提高其在重大灾难发生期间的生存概率。表现为“小概率、高风险、高投入和高度专业性”，具有长态化，持续性特征，投入较大。业务持续管理是灾难恢复的延续和深化。是业务自身驱动的，围绕业务持续要求及相关要素，开展的全生命周期管理实践，是一项综合的体系化系统管理工程。灾难恢复提供了BCM的技术保障，而业务持续则保证了关键业务功能或流程在灾难发生时的持续运行。业务持续管理涵盖了灾难恢复管理，灾难恢复管理是业务持续管理的组成部分。风险管理实践，是经济社会成熟发展的较高安全需求，也是历史发展的必然。追溯风险管理产生发展的过程，反映出风险管理实践与业务存在的四个特征因素密切相关，人们开展风险评估、确定风险管理策略、进行风险规划计划，采取防范措施、实施灾难应对等实践活动，直接受到业务的形态、业务所处阶段、多业务关联关系及社会承载属性等因素影响。业务初创期或单一业务形态，对业务持续性要求较低，所采取的危机管理策略和实践相对简单，易于把握。对于发展成熟阶段的关键业务，因其业务持续性安全目标要求较高，且由于重要性，复杂性、广泛性和历史性原因，在风险管理范畴的确定、策略的制定、建设投入、资源匹配、恢复重要时效、体制流程等诸多内容方面，不仅要全面统筹规划，而且需要较为专业的知识技能，较大的建设投入、较高的管理水平，持续的维护演练来完成。两者对风险目标的要求、策略制定以至恢复重建的时效要求有着本质的不同。只有充分认识灾难事件对业务影响的产生机理和作用规律，才能深入了解并正确运用风险管理理念指导实践。近年来，国家对灾难备份和应急响应工作十分重视，分别下发了国家信息化领导小组关于加强信息安全保障工作的意见、国家信息安全战略报告、国家信息安全“十一五”规划等纲领性指导文件，陆续出台了关于做好重要信息系统灾难备份工作的通知、关于印发“重要信息系统灾难恢复指南”的通知等政策性指导文件，国家发展改革委和原国务院信息化工作办公室联合开展了“信息系统国家灾难恢复体系建设有关问题的研究及建议”，国家信息化专家咨询委员会组织进行了“国家重要信息系统灾难恢复体系研究”，相继颁布了信息系统灾难恢复规范，信息安全应急响应计划规范，信息技术服务运行维护第三部分应急响应规范等国家标准，为灾难恢复建设工作奠定了政策基础和执行原则。但是，指导这一领域有序发展的政策法规标准还需进一步完善，针对以BCM实践为内容的相关政策法规标准出现缺位，在应急响应、灾难备份、业务持续管理三者之间的概念界定及关系把握方面，缺乏刚性指导意见，面向应急响应、灾难恢复、业务持续管理等概念的三者的应用，该如何定位需求，投资建设，应用管理实践，缺乏系统的风险管理思想体系指引和与之相适应的法规标准遵从。由于政府管理指导下的应急响应建设工作开展，使得应急响应应用范畴，在某种意义上较为宽泛，导致业内对三者之间的应用缺乏一致的概念理解，没有形成主题明确的结构化行业发展态势。鉴于国家信息化建设的飞速发展与深化应用，在各种恶性灾难事件的频繁发生伴随着社会信息化放大了灾难效应的现实面前，注重构建国家意志下的非战争风险管理战略，建立规范可持续发展的管理思想体系，界定解构应急响应、灾难备份、业务持续管理等概念内涵、应用边界及其方法途径，使之在科学统一规范的框架下，开展风险管理的探索实践活动，是风险管理获得长治久安长远安全目标的重要基础。三、 进一步强化政府管理职能，将BCM实践纳入政府管理范畴国内关注这一领域，虽历时不到十年，但成绩明显，发展迅速。特别是2008年国家正式成立国务院应急管理办公室，标志着我国将应对重大风险灾难事故管理工作正式纳入了国家政府管理职能。以应急响应理念为主要内容，相继建立了国家、省、市三级政府应急管理体制，应急指挥系统、组织编制应急预案，实施应急演练、建设应急队伍、指导各级政府、行业开展应急响应工作等，由此表明国家应急响应工作已进入常态化机制运行。纵观这一领域发展状况，灾难备份作为风险管理的一项重要内容，在国家相关法规标准和指导性文件引导下，行业投资建设发展迅速，专业服务队伍和机构成熟较快。但是，该领域现行面临的政府部门多头管理状态，不利于行业的长期健康发展，需要统一明确的政府部门加强行业发展指导，并实现真正意义上的行业归属管理；应急响应领域，政府应急响应指挥体制化建设强势推进，在政府政策环境的主导下，市场需求逐渐呈现，行业应用水平不断提高。作为政府管理职能和工作内容，更多围绕政府部门及相关领域开展，这一情况的限定，间接造成整个行业发展环境状况不均衡，缺乏面向社会各个层面的广泛应用；业务持续管理领域，作为风险管理理念更加成熟，内涵更加丰富，外延更加宽泛，并被许多国家应用实践所证明的灾难备份和业务持续管理工作，目前未能及时纳入政府管理视线，尚未成为政府管理社会实践建设的主旋律。其只能以学术研讨、技术沙龙或企业宣传的形式开展。由此可见，灾难恢复和BCM实践，还处于政府管理主体的边缘地带，缺乏“体制意义”上的真正归属。然而，以安全为命题的风险管理内涵外延范畴不断扩大，危及人类社会生命财产安全的恶性灾难事件明显呈破坏程度加深、波及范围广泛、涉及专业领域复杂的趋势发展，常常不是某个部门、某个地区、甚至不是一般国家力量所能控制和应对。在我国国力日益强盛，经济飞速发展的今天，强化风险意识，增强抗击风险能力，减少灾难损失，已被上升到保护国家安全，保护经济安全、保护社会安全的高度来认识。面对社会发展的高安全需求和风险控制能力的极限挑战，在防灾减灾工作日益显现的社会属性情形下，进一步理顺管理体制，强化政府管理职能，运用BCM综合性体系化管理思想，将应急响应、灾难备份、业务持续管理等风险管理理念予以规范化体系化研究，充分发挥CN/CERT、B