商业连续性计划课件

Newapproachtothebusinessriskmanagement业务连续性管理(BCM)BuildingatrulyResilientEnterpriseNewapproachtothebusinessrNewapproachtothebusinessr2

现代社会的风险和连续性

BCM(商务

连续性管理)2现代社会的风险和连续性2现代社会的风险和连续性2现代社会的风险和连续性31.

对于现代社会风险的技术PeterF.Drucker(1969)“未来是拿旧理论和电影剧本不可能分析的情况普遍化变化的时代”

UlrichBeck(1986)

“后期近代社会的风险是以完全脱离人类的认识能力的放射性因果分析为基础RichardA.D’Aveni(1994)“推翻原来的状态不断创出暂时优势,最终掌握主导权就是在超竞争环境中要有的战略目标”NassimNicholasTaleb(2004)“不可预测的重大事件;它罕有发生,但一旦出现,就具有很大的影响力.发生后才能说明原因,是不可预测的现像

-BlackSwan”31.对于现代社会风险的技术PeterF.Drucke31.对于现代社会风险的技术PeterF.Drucke42.

商务示例

;Who,What,ResultWHOWHATRESULTPerrier-1991.矿泉水内苯的存在-保健事故,受伤,没有死亡.损坏了形象丧失了可靠性和商务机会Evian让出了领头的位置与

Nestle合并Johnson&Johnson1982.精神病者往胶囊里投放氰酸钾

服用患者数名死亡市场的可靠性和形象向上短期内

再夺回

MS1位WHOWHATRESULTNokia-2000.Philips

因为火灾

RFC供给中断产品生产没有差错.MS1位

维持Ericsson-2000.Philips

因为火灾

RFC

供给中断一些产品生产中断handset事业中断

后与

Sony合并

COMPARISON类似点社内未发生财物损失(火灾,洪水,机器事故

等)在价值链

(ValueChain)内发生的

任意事故(Something)不同点对于发生可能性(Probability)

考察报告命令(Communication),措施(Action),恢复/复原(Recovery/Resilience)能力

差异42.商务示例;Who,What,Result42.商务示例;Who,What,Result53.911恐怖事件和

摩根士丹利恐怖事件次日上午9点30分首席执行官紧急记者招待会内容

-大部分职员生存.(3500女

职员中15名

失踪)-发生不足1亿

美元

损失(保套利交易)-全世界

摩根士丹利

支店

正常早上9店开始营业摩根士丹利的

5大

危机管理计划

-紧急式

对策(ContingencyPlan)-业务连续性

计划(BusinessContinuityPlan)-危机管理

交流(CrisisCommunication)-财务危机分散管理(Hedging&Insurance)-早期警报系统(EarlyWarningSystem)成功的BCM的附加效果

-摩根史丹利的

危机管理系统受全世界瞩目

-既有投资者的信赖和引起新投资者的关心

-24小时以内以迅速地召开记者招待会换取友好的言论摩根士丹利911恐怖事件

发生时通过实时

BCP

运转提供了完善的

客户服务

Source:NYTimes(2002)53.911恐怖事件和摩根士丹利恐怖事件次日上午9点353.911恐怖事件和摩根士丹利恐怖事件次日上午9点3Million(USD)/hrSource:DeloitteBCMpracticereport,Networkcomputing,2001能源通信制造投资金融保险零售制约金融交通使用程序医疗媒体平均4.

营业中断的实时损失全球

企业平均损失额:$1,010,536/hour$16,842/minuteMillion(USD)/hrSource:DeloiMillion(USD)/hrSource:Deloi

5.

现代社会风险和

BCM的进化19901995199920002001200420052008灾害复原计划社会机能复原重要灾难信息业务进程的再设计(BRP)实时网络存储BlackSwan设想地区

大灾害总的商务风险管理管理内部监控器黑天鹅舆论(BlackSwanTheory)大型损失,不容预测,稀有事件(Large-impact,Hard-to-predict,andRareevent)Source:Wikipedia现代社会的风险Y2KWWWWTCTerrorismERM南亚

地震海啸

飙风BCMKobeEarthq.DRPSource:Gartner,BCMToday5.现代社会风险和BCM的进化1990199519995.现代社会风险和BCM的进化1990199519998BCM(业务连续性管理

;BusinessContinuityManagement)为能给利害关系人带来影响的业务中断准备,在限制的时间内(RTO)

重新运营核心的商务机能,(CriticalActivity)树立全社性的的政策及系统(BCP)并履行的经营活动(BCM)

为核心的商务中断准备,

恢复能力

事先改进

业务中断后按照设定好的

目标时间为基准

为了公司的核心业务和

服务的持续性提供

提供重复演戏的方法论

通过被证明的业务中断管理能力,提高企业的形象※过去

IT系统/数据恢复,火灾/自然灾害

预防管理

等

部分领域的局限与例外

现代的

BCM全社员的人力

,资源,为业务对象而做6.BCM的正义8BCM(业务连续性管理;BusinessConti8BCM(业务连续性管理;BusinessConti9Policy(政策)组织文化内BCM体制定制组织的

理解BC战略决

定BCM对应开发

和

具体体现培训

检讨维持管理BCM程序

管理People(组织)Process(业务)Resource(资源)BCPBCM7.BCM国际标准:BS25999-2(2008)

Source:BSI(2008)9Policy组织文化内BCM体制定制组织的理解BC战略B9Policy组织文化内BCM体制定制组织的理解BC战略B10上位

水平的

BCP政策,为全社范围的危机应对和恢复业务的方针Policy

(政策)平时

/危机时

BCM组织

体系

People

(组织)灾害事前预防

及

正常时

BCP运营程序紧急时迅速的业务恢复程序Process

(业务)紧急时为迅速地恢复业务所需要的资源代替人力,代替事业场,装置/设备/需求,信息Resource

(资源)8.BCM的

构成因素10上位水平的BCP政策,为全社范围的危机应对和恢复业10上位水平的BCP政策,为全社范围的危机应对和恢复业11

顾客需求

-供求网管理上导入运营BCM

-DELL,SONY,TOYOTA,GE等全球企业

外包管理上运营

BCM

竞争社

BCM构筑

-日本

制造商

25%(大企业

100%)正在引进BCM或已结束(日本全部投资银行)-BSIBCM认证(’09年

2月

22国家

取得140个公司认证,国内三星生命保险公司,制造业三星SDI最初取得)-顾客选择以稳定经营为基础的竞争社公司损失降低

-通过商务中断时间的缩短来降低损失

-通过危机克服能力的启发来获得顾客的信赖感

风险管理

规定

-ISO/PAS22399-SocietalSecurity指南方针开始实行(2009以后),KS认证

-关于为减轻灾害的

企业自律活动支援的法律(消防防灾厅,2006)9.BCM动机11顾客需求9.BCM动机11顾客需求9.BCM动机11顾客需求9.BC12BIA(BusinessImpactAnalysis;商务影响分析)

导出创造价值高的活动领域内的进程

;

按照运营,支援,战略方面导出

进程的中断带给整个商务的影响度评价

;

低频率,高深度风险的影响推断(例:地震,火灾

等)

选定中断时影响大的进程(CriticalActivity)

设定进程间逻辑结构(先行,后行

等)

进程别中断影响的定量,定性评价

MTPD(MaximumTolerablePeriodofDisruption),RTO(RecoveryTimeObjective)决定

核心进程的允许的最长中断时间（MTPD)推断

核心进程的恢复目标时间（RTO）推断

进程重新开始时复原的优先次序的决定

进程别

核心支援

(CriticalResources)分析

进程复原所需资源（人力，建筑物，设备，信息等）通过价值链(ValueChain)的分析

具体体现10.

组织的

理解

;BIAtoRA12BIA(BusinessImpactAnalysi12BIA(BusinessImpactAnalysi13价值链(ValueChain),供应链(SupplyChain)分析

Layer1:流程Layer2:商业基础设施Layer3:组织,Network创造价值(产品,服务)物流合作公司

Source:CranfieldUniv.–SupplyChainRiskevent10.

组织的理解

;BIAtoRA13价值链(ValueChain),供应链(Supply13价值链(ValueChain),供应链(Supply14Source:Deloitte,200510.组织的理解

;BIAtoRA风险表

(RISKTABLE)14Source:Deloitte,200510.组14Source:Deloitte,200510.组15→回避,频率深度减少→SOP活用→减少,转移,镇压→减少,回避,预防→保留,监控发生可能性影响highlowhighlow

大型火灾,爆炸

卖方,顾客破产

销售产品有缺点

赔偿事故海运搬运事故

小规模盗窃

仓库内库存减少

财物损坏BCMRMSource:Marsh,RiskAlert,2004风险频率/深度分析10.组织的理解

;BIAtoRA15→回避,频率深度减少→减少,转移,镇压→减少15→回避,频率深度减少→减少,转移,镇压→减少1610.组织的理解

;BIAtoRA

Source:Deloittee.–RiskIntelligenceintheAgeofGlobalUncertaintyEvent

飓风

地震

炸弹恐怖袭击

台风,洪水

生物化学恐怖袭击

劫持人质恐怖袭击

社会不安

个人袭击

核攻击飞机劫持

电事故

网络恐怖主义

黑客袭击

车祸

受伤

火灾

……Impact

城市功能丧失

不可接近建筑物

网络中断

通信瘫痪交通瘫痪

供电中断

合作商业务瘫痪

核心人力损失

信息损失BusinessConsequence资产人力

电脑

大楼

通信

顾客/伙伴

财务

销售

制造

产品规划

物流

研究开发

技术

人事

保密

服务

机械设备,动力CoreProcessSupportProcess无限事件有限事件为保护顾客的选择与集中1610.组织的理解;BIAtoRASource1610.组织的理解;BIAtoRASource17Source:BSIBS25999BCM11.

商业恢复(BizResumption)战略代替人力

(People)事业设施

(Premises)备份系统

(Technology)重要信息

(VitalRecords)外包商

(3’rdParty)BCM组织设备恢复,代替事业场灾害恢复系统信息管理合作商连续性管理人力恢复构筑期推进课题BCP运营战略业务恢复时需要的资源其他教育,保险等BCP构筑战略定期运营方案受伤不可接近事业场重要资源损坏系统支援中断业务停止设想合作商支援中断风险识别风险预防组织恢复力事业停止危险因素17Source:BSIBS25999BCM11.17Source:BSIBS25999BCM11.12.

业务连续性规划(BCP)정책

宣言文-BCM定义

控制结构确立

BIA及

RA实行

恢复战略及计划制定

监控及测试

BCM运营组织

BCM战略树立

BCM战略承认及文件化

平常BCM运营活动

危机管理规划

宣布危机,组织开始行动

危机管理交流

恢复业务,灾害恢复活动[GoldStrategic]

高级领导,决策者等

(SeniorManagement)[BronzeOperational]

危机管理组,业务恢复组(ActivityResumptionTeam)[SilverTactical]

BCM专门组织/作用

(BusinessContinuityTeam)危机管理规划业务恢复规划灾害恢复规划BCM政策结构(Structure)内容(Contents)商业连续性规划BCM运营组织使用者等级(Level)Source:BS25999,对象别

BCP文件构成12.业务连续性规划(BCP)정책宣言文-BCM定义B12.业务连续性规划(BCP)정책宣言文-BCM定义BBEFORE?总指挥不在事务支援部IT安全管理室人力支援室보고最初发现者部门长Group长CEO灾害应对

(有关部门)灾害应对

(危机管理组织)最初发现者BCP运营组织应急对策委员会Group长Group长Group长Group长应急对策委员会综合现况室危机管理组业务恢复组基础设施恢复组IncidentCommander有关部门应对中心集中式应对最高决策机构跟有关部门联系危机管理组织构成部门BCP担当者事业场BCP责任者逃生,救命,与有关机关联系逃生命令[改善点]-确立全社报告体系迅速的危及传播及决策

-IncidentCommander

迅速的信息收集及灾害应对

-业务恢复组防止业务中断,保障企业的营业连续性[问题点]-总指挥不在

部门别应对

-没有危急应对程序因灾害的损失扩大

-没有业务恢复程序无法保障企业的业务连续性13.BCM效果报告报告AFTERBEFORE?总指挥不在事务支援部IT安全管理室人力支援室보BEFORE?总指挥不在事务支援部IT安全管理室人力支援室보2014.

风险管理程序KPItimeKPI允许限度BCMKPI目标值预防管理,监控(ProactiveActivity)事故管理(ReactiveActivity)恢复,持久(Resumption,Recovery)

火灾安全

自然灾害

供应网安全

赔偿/召回(Recall)

风险诊断及识别

-ValueChainAnal.-BizImpactAnal.-RiskAssessment

应急计划(singlerisk)

应急manual

危机管理交流

召回程序

事故管理计划

(totalrisk)-风险治理(riskgovernance)

分析

-利害关系者分析

业务恢复战略树立

(BCstrategy)

业务连续性规划

(BCP)

灾害修复规划

(DR)<风险管理程序

>

事故管理程序开发

业务恢复演习(role-playing)程序开发

内审/认证

风险管理政策树立*BCMAuditMandatory2014.风险管理程序KPItimeKPI允许限度BCM2014.风险管理程序KPItimeKPI允许限度BCMNewapproachtothebusinessriskmanagement业务连续性管理(BCM)BuildingatrulyResilientEnterpriseNewapproachtothebusinessrNewapproachtothebusinessr22

现代社会的风险和连续性

BCM(商务

连续性管理)2现代社会的风险和连续性22现代社会的风险和连续性2现代社会的风险和连续性231.

对于现代社会风险的技术PeterF.Drucker(1969)“未来是拿旧理论和电影剧本不可能分析的情况普遍化变化的时代”

UlrichBeck(1986)

“后期近代社会的风险是以完全脱离人类的认识能力的放射性因果分析为基础RichardA.D’Aveni(1994)“推翻原来的状态不断创出暂时优势,最终掌握主导权就是在超竞争环境中要有的战略目标”NassimNicholasTaleb(2004)“不可预测的重大事件;它罕有发生,但一旦出现,就具有很大的影响力.发生后才能说明原因,是不可预测的现像

-BlackSwan”31.对于现代社会风险的技术PeterF.Drucke231.对于现代社会风险的技术PeterF.Druck242.

商务示例

;Who,What,ResultWHOWHATRESULTPerrier-1991.矿泉水内苯的存在-保健事故,受伤,没有死亡.损坏了形象丧失了可靠性和商务机会Evian让出了领头的位置与

Nestle合并Johnson&Johnson1982.精神病者往胶囊里投放氰酸钾

服用患者数名死亡市场的可靠性和形象向上短期内

再夺回

MS1位WHOWHATRESULTNokia-2000.Philips

因为火灾

RFC供给中断产品生产没有差错.MS1位

维持Ericsson-2000.Philips

因为火灾

RFC

供给中断一些产品生产中断handset事业中断

后与

Sony合并

COMPARISON类似点社内未发生财物损失(火灾,洪水,机器事故

等)在价值链

(ValueChain)内发生的

任意事故(Something)不同点对于发生可能性(Probability)

考察报告命令(Communication),措施(Action),恢复/复原(Recovery/Resilience)能力

差异42.商务示例;Who,What,Result242.商务示例;Who,What,Resul253.911恐怖事件和

摩根士丹利恐怖事件次日上午9点30分首席执行官紧急记者招待会内容

-大部分职员生存.(3500女

职员中15名

失踪)-发生不足1亿

美元

损失(保套利交易)-全世界

摩根士丹利

支店

正常早上9店开始营业摩根士丹利的

5大

危机管理计划

-紧急式

对策(ContingencyPlan)-业务连续性

计划(BusinessContinuityPlan)-危机管理

交流(CrisisCommunication)-财务危机分散管理(Hedging&Insurance)-早期警报系统(EarlyWarningSystem)成功的BCM的附加效果

-摩根史丹利的

危机管理系统受全世界瞩目

-既有投资者的信赖和引起新投资者的关心

-24小时以内以迅速地召开记者招待会换取友好的言论摩根士丹利911恐怖事件

发生时通过实时

BCP

运转提供了完善的

客户服务

Source:NYTimes(2002)53.911恐怖事件和摩根士丹利恐怖事件次日上午9点3253.911恐怖事件和摩根士丹利恐怖事件次日上午9点Million(USD)/hrSource:DeloitteBCMpracticereport,Networkcomputing,2001能源通信制造投资金融保险零售制约金融交通使用程序医疗媒体平均4.

营业中断的实时损失全球

企业平均损失额:$1,010,536/hour$16,842/minuteMillion(USD)/hrSource:DeloiMillion(USD)/hrSource:Deloi

5.

现代社会风险和

BCM的进化19901995199920002001200420052008灾害复原计划社会机能复原重要灾难信息业务进程的再设计(BRP)实时网络存储BlackSwan设想地区

大灾害总的商务风险管理管理内部监控器黑天鹅舆论(BlackSwanTheory)大型损失,不容预测,稀有事件(Large-impact,Hard-to-predict,andRareevent)Source:Wikipedia现代社会的风险Y2KWWWWTCTerrorismERM南亚

地震海啸

飙风BCMKobeEarthq.DRPSource:Gartner,BCMToday5.现代社会风险和BCM的进化1990199519995.现代社会风险和BCM的进化19901995199928BCM(业务连续性管理

;BusinessContinuityManagement)为能给利害关系人带来影响的业务中断准备,在限制的时间内(RTO)

重新运营核心的商务机能,(CriticalActivity)树立全社性的的政策及系统(BCP)并履行的经营活动(BCM)

为核心的商务中断准备,

恢复能力

事先改进

业务中断后按照设定好的

目标时间为基准

为了公司的核心业务和

服务的持续性提供

提供重复演戏的方法论

通过被证明的业务中断管理能力,提高企业的形象※过去

IT系统/数据恢复,火灾/自然灾害

预防管理

等

部分领域的局限与例外

现代的

BCM全社员的人力

,资源,为业务对象而做6.BCM的正义8BCM(业务连续性管理;BusinessConti28BCM(业务连续性管理;BusinessCont29Policy(政策)组织文化内BCM体制定制组织的

理解BC战略决

定BCM对应开发

和

具体体现培训

检讨维持管理BCM程序

管理People(组织)Process(业务)Resource(资源)BCPBCM7.BCM国际标准:BS25999-2(2008)

Source:BSI(2008)9Policy组织文化内BCM体制定制组织的理解BC战略B29Policy组织文化内BCM体制定制组织的理解BC战略30上位

水平的

BCP政策,为全社范围的危机应对和恢复业务的方针Policy

(政策)平时

/危机时

BCM组织

体系

People

(组织)灾害事前预防

及

正常时

BCP运营程序紧急时迅速的业务恢复程序Process

(业务)紧急时为迅速地恢复业务所需要的资源代替人力,代替事业场,装置/设备/需求,信息Resource

(资源)8.BCM的

构成因素10上位水平的BCP政策,为全社范围的危机应对和恢复业30上位水平的BCP政策,为全社范围的危机应对和恢复业31

顾客需求

-供求网管理上导入运营BCM

-DELL,SONY,TOYOTA,GE等全球企业

外包管理上运营

BCM

竞争社

BCM构筑

-日本

制造商

25%(大企业

100%)正在引进BCM或已结束(日本全部投资银行)-BSIBCM认证(’09年

2月

22国家

取得140个公司认证,国内三星生命保险公司,制造业三星SDI最初取得)-顾客选择以稳定经营为基础的竞争社公司损失降低

-通过商务中断时间的缩短来降低损失

-通过危机克服能力的启发来获得顾客的信赖感

风险管理

规定

-ISO/PAS22399-SocietalSecurity指南方针开始实行(2009以后),KS认证

-关于为减轻灾害的

企业自律活动支援的法律(消防防灾厅,2006)9.BCM动机11顾客需求9.BCM动机31顾客需求9.BCM动机11顾客需求9.BC32BIA(BusinessImpactAnalysis;商务影响分析)

导出创造价值高的活动领域内的进程

;

按照运营,支援,战略方面导出

进程的中断带给整个商务的影响度评价

;

低频率,高深度风险的影响推断(例:地震,火灾

等)

选定中断时影响大的进程(CriticalActivity)

设定进程间逻辑结构(先行,后行

等)

进程别中断影响的定量,定性评价

MTPD(MaximumTolerablePeriodofDisruption),RTO(RecoveryTimeObjective)决定

核心进程的允许的最长中断时间（MTPD)推断

核心进程的恢复目标时间（RTO）推断

进程重新开始时复原的优先次序的决定

进程别

核心支援

(CriticalResources)分析

进程复原所需资源（人力，建筑物，设备，信息等）通过价值链(ValueChain)的分析

具体体现10.

组织的

理解

;BIAtoRA12BIA(BusinessImpactAnalysi32BIA(BusinessImpactAnalysi33价值链(ValueChain),供应链(SupplyChain)分析

Layer1:流程Layer2:商业基础设施Layer3:组织,Network创造价值(产品,服务)物流合作公司

Source:CranfieldUniv.–SupplyChainRiskevent10.

组织的理解

;BIAtoRA13价值链(ValueChain),供应链(Supply33价值链(ValueChain),供应链(Supply34Source:Deloitte,200510.组织的理解

;BIAtoRA风险表

(RISKTABLE)14Source:Deloitte,200510.组34Source:Deloitte,200510.组35→回避,频率深度减少→SOP活用→减少,转移,镇压→减少,回避,预防→保留,监控发生可能性影响highlowhighlow

大型火灾,爆炸

卖方,顾客破产

销售产品有缺点

赔偿事故海运搬运事故

小规模盗窃

仓库内库存减少

财物损坏BCMRMSource:Marsh,RiskAlert,2004风险频率/深度分析10.组织的理解

;BIAtoRA15→回避,频率深度减少→减少,转移,镇压→减少35→回避,频率深度减少→减少,转移,镇压→减少3610.组织的理解

;BIAtoRA

Source:Deloittee.–RiskIntelligenceintheAgeofGlobalUncertaintyEvent

飓风

地震

炸弹恐怖袭击

台风,洪水

生物化学恐怖袭击

劫持人质恐怖袭击

社会不安

个人袭击

核攻击飞机劫持

电事故

网络恐怖主义

黑客袭击

车祸

受伤

火灾

……Impact

城市功能丧失

不可接近建筑物

网络中断

通信瘫痪交通瘫痪

供电中断

合作商业务瘫痪

核心人力损失

信息损失BusinessConsequence资产人力

电脑

大楼

通信

顾客/伙伴

财务

销售

制造

产品规划

物流

研究开发

技术

人事

保密

服务

机械设备,动力CoreProcessSupportProcess无限事件有限事件为保护顾客的选择与集中1610.组织的理解;BIAtoRASource3610.组织的理解;BIAtoRASource37Source:BSIBS25999BCM11.

商业恢复(BizResumption)战略代替人力

(People)事业设施

(Premises)备份系统

(Technology)重要信息

(VitalRecords)外包商

(3’rdParty)BCM组织设备恢复,代替事业场灾害恢复系统信息管理合作商连续性管理人力恢复构筑期推进课题BCP运营战略业务恢复时需要的资源其他教育,保险等BCP构筑战略定期运营方案受伤不可接近事业场重要资源损坏系统支援中断业务停止设想合作商支援中断风险识别风险预防组织恢复力事业停止危险因素17Source:BSIBS25999BCM11.37Source:BSIBS25999BCM11.12.

业务连续性规划(BCP)정책

宣言文-BCM定义

控制结构确立

BIA及

RA实行

恢复战略及计划制定

监控及测试

B