BCM不僅僅是IT的事

郭濤

美國(guó)當(dāng)?shù)貢r(shí)間10月1日晚，賭城拉斯維加斯發(fā)生了美國(guó)歷史上最嚴(yán)重的槍擊案，事件導(dǎo)致至少59死527傷。從拉斯維加斯槍擊案到BCM（業(yè)務(wù)連續(xù)性管理），這中間有什么聯(lián)系呢？拉斯維加斯槍擊案的慘痛教訓(xùn)從一個(gè)側(cè)面折射出應(yīng)急管理應(yīng)如何充分發(fā)揮其作用。而BCM關(guān)注的是如何避免災(zāi)難或意外事件對(duì)組織或機(jī)構(gòu)的業(yè)務(wù)連續(xù)性運(yùn)作造成影響甚至是破壞。應(yīng)急管理也屬于BCM的范疇。

如果在災(zāi)難或意外發(fā)生之前能夠預(yù)見，如果在災(zāi)難或意外發(fā)生之后能夠快速響應(yīng)，及時(shí)消除負(fù)面影響，如果真能有那么多如果，“9·11”、在美國(guó)多地肆虐的颶風(fēng)，還有火災(zāi)、洪水等自然的和人為的災(zāi)害，就會(huì)因?yàn)橛辛薆CM，人們提前認(rèn)知到危機(jī)或?yàn)?zāi)難，并能在事后采取有效應(yīng)對(duì)手段，就可以大大減輕災(zāi)害造成的損失。

在百度百科上，業(yè)務(wù)連續(xù)性管理（Business Continuity Management）的定義是，BCM一項(xiàng)綜合管理流程，它使企業(yè)認(rèn)識(shí)到潛在的危機(jī)和相關(guān)影響，制訂響應(yīng)、業(yè)務(wù)和連續(xù)性的恢復(fù)計(jì)劃，其總體目標(biāo)是為了提高企業(yè)的風(fēng)險(xiǎn)防范能力，以有效地響應(yīng)非計(jì)劃的業(yè)務(wù)破壞，并降低不良影響。從該定義可以看出，BCM與業(yè)務(wù)、流程有關(guān)，可以通過一系列管理和技術(shù)的手段落地和實(shí)現(xiàn)。

但結(jié)合上文提到的現(xiàn)實(shí)生活中的種種災(zāi)難和風(fēng)險(xiǎn)，筆者認(rèn)為，BCM不應(yīng)該只是某些企業(yè)和機(jī)構(gòu)，或者某些業(yè)務(wù)領(lǐng)導(dǎo)和技術(shù)人員思考的事，而應(yīng)該是滲透到每個(gè)人血液中的一種風(fēng)險(xiǎn)和安全意識(shí)。從這個(gè)角度說，也許它也可以歸入“大安全”的范疇。

中國(guó)的企業(yè)用戶對(duì)BCM這個(gè)名詞應(yīng)該不陌生，但是BCM在中國(guó)的落地情況又如何呢？近日，DRI BJ2017大會(huì)在北京召開，筆者帶您一起去尋找答案。

DRI（國(guó)際災(zāi)難恢復(fù)協(xié)會(huì)）作為全球BCM領(lǐng)域最權(quán)威的學(xué)術(shù)組織，已得到國(guó)際上開展BCM應(yīng)用的組織和BCM從業(yè)者的高度認(rèn)可。為增強(qiáng)中國(guó)BCM專業(yè)人士對(duì)DRI的了解，DRI BJ2017將重點(diǎn)放在展示DRI的發(fā)展歷程和未來規(guī)劃，以及BCM的應(yīng)用探索上。

這一會(huì)議每?jī)赡暝谥袊?guó)舉辦一次，都是依靠志愿者進(jìn)行會(huì)議的策劃、組織和執(zhí)行。由于人手有限，會(huì)議的宣傳只是通過朋友圈和業(yè)內(nèi)人士口口相傳，盡管如此，此次兩天的會(huì)議，每天都有至少400人參加，而且相當(dāng)一部分聽眾一直堅(jiān)守到會(huì)議的最后，下午五六點(diǎn)鐘，大家對(duì)BCM的關(guān)注和熱情可見一斑。另外，相關(guān)廠商參加演講也十分踴躍。由于演講時(shí)段有限，據(jù)說個(gè)別業(yè)內(nèi)知名廠商都沒能“搶”到位置。

DRI中國(guó)分會(huì)（DRI China）總裁于天在整個(gè)會(huì)議過程中忙前忙后，卻樂此不疲。DRI進(jìn)入中國(guó)到今年已經(jīng)十年，看到BCM在中國(guó)客戶中扎根、開花、結(jié)果，于天當(dāng)然是最感欣慰的。

成立于1988年的非盈利學(xué)術(shù)組織DRI，專注于BCM理論體系的建立和方法論的推廣，是全球公認(rèn)的BCM從業(yè)者資格認(rèn)證的權(quán)威機(jī)構(gòu)。自2007年進(jìn)入中國(guó)，DRI在中國(guó)十年磨一劍，為各行各業(yè)BCM實(shí)踐提供專業(yè)指導(dǎo)的同時(shí)，也培養(yǎng)了大批BCM專業(yè)人才。目前，中國(guó)通過CBCP認(rèn)證的已有400多人，從數(shù)量上看，在全球僅次于北美。“十年中，中國(guó)用戶對(duì)于BCM的認(rèn)知在逐步提高。不過，在BCM項(xiàng)目的落地上，還略顯少而慢?！庇谔毂硎荆壳?，金融行業(yè)的客戶在BCM項(xiàng)目的實(shí)施中領(lǐng)先于其他行業(yè)。

本次大會(huì)的演講內(nèi)容精彩紛呈，有兩個(gè)突出的特點(diǎn)：一是金融行業(yè)，主要包括銀行和證券公司，仍然是中國(guó)BCM的中堅(jiān)力量，其BCM實(shí)踐正走向深入；二是互聯(lián)網(wǎng)企業(yè)現(xiàn)身說法，國(guó)外的eBay和中國(guó)的阿里，都講述了自己與BCM的不解之緣。

金融業(yè)是中國(guó)BCM應(yīng)用的開拓者，尤其是銀行，更是中國(guó)BCM應(yīng)用普及度最高的領(lǐng)域。廣發(fā)銀行信用卡中心在高速拓展業(yè)務(wù)的同時(shí)，一直非常重視業(yè)務(wù)連續(xù)性管理體系的建立，是國(guó)內(nèi)第一家獲得BCM國(guó)家標(biāo)準(zhǔn)GB/T-30146認(rèn)證的金融機(jī)構(gòu)。在會(huì)上，廣發(fā)銀行信用卡中心信息安全經(jīng)理、資深BCM實(shí)踐者張桂明介紹了BCM實(shí)踐，中怡保險(xiǎn)分析了風(fēng)險(xiǎn)轉(zhuǎn)移新策略，平安銀行和海通證券分享了BCM應(yīng)用的探索和經(jīng)驗(yàn)……

說實(shí)話，互聯(lián)網(wǎng)企業(yè)對(duì)BCM的熱衷讓筆者稍感意外。企業(yè)建立業(yè)務(wù)連續(xù)性管理體系的根本目的并不僅僅是為了合規(guī)或監(jiān)管要求，而是要真正幫助企業(yè)提高抗風(fēng)險(xiǎn)能力，使企業(yè)臨危不亂，持續(xù)運(yùn)營(yíng)。因此，客觀地評(píng)價(jià)企業(yè)BCM真實(shí)水平，是指導(dǎo)企業(yè)改進(jìn)和提高的前提。eBay公司亞太BCM經(jīng)理Nabil Aboulhosn在會(huì)上分享了eBay公司在這方面的成功秘訣。

對(duì)于“雙11”創(chuàng)造的一個(gè)又一個(gè)銷售神話，大家一定不陌生，那么你對(duì)“雙11”背后的安全應(yīng)急響應(yīng)又有多少了解？阿里巴巴集團(tuán)安全部資深總監(jiān)張玉東分享了阿里如何保障“雙11”這個(gè)大規(guī)模、高并發(fā)、超復(fù)雜的系統(tǒng)的安全運(yùn)行，以及應(yīng)急響應(yīng)方面的經(jīng)驗(yàn)和教訓(xùn)。

在聽廠商和行業(yè)用戶演講的過程中，筆者有一個(gè)很深的感觸，中國(guó)的廠商和用戶在介紹時(shí)，習(xí)慣性地介紹采用了哪些技術(shù)和解決方案，而國(guó)外的專家和用戶在演講時(shí)，很少直接提及某一技術(shù)或產(chǎn)品，而主要講述的是業(yè)務(wù)和管理，以及BCM的方法論。

業(yè)務(wù)和技術(shù)是BCM的兩個(gè)主要支柱，中國(guó)用戶關(guān)注技術(shù)和產(chǎn)品選型固然可喜，但千萬不能只盯住技術(shù)不放，還是要多關(guān)注業(yè)務(wù)本身和管理實(shí)踐，畢竟BCM并不僅僅是IT的事。當(dāng)初，讓很多人第一次注意到BCM的“9·11”事件，本身是一個(gè)社會(huì)事件，而非IT。當(dāng)意外或?yàn)?zāi)難發(fā)生時(shí)，考驗(yàn)的不僅僅是企業(yè)的IT部門，而是所有的業(yè)務(wù)和管理部門，還有企業(yè)的“一把手”們！不是嗎？業(yè)務(wù)、技術(shù)兩不誤，才能避免陷入BCM的誤區(qū)。

在本次大會(huì)上，還有兩項(xiàng)現(xiàn)場(chǎng)簽約值得關(guān)注。一項(xiàng)是DRI中國(guó)與著名的英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）在中國(guó)的組織BSI中國(guó)，簽署戰(zhàn)略合作協(xié)議，積極推動(dòng)雙標(biāo)準(zhǔn)認(rèn)證。在保證企業(yè)業(yè)務(wù)連續(xù)性的實(shí)踐中，作為兩大權(quán)威機(jī)構(gòu)，其標(biāo)準(zhǔn)也是相輔相成的，DRI的標(biāo)準(zhǔn)重在實(shí)現(xiàn)和實(shí)施，而BSI的標(biāo)準(zhǔn)側(cè)重在合規(guī)。

另一項(xiàng)是在云災(zāi)備領(lǐng)域異軍突起的中國(guó)本土創(chuàng)新企業(yè)——上海英方軟件股份有限公司（以下簡(jiǎn)稱英方）與DRI中國(guó)簽署行業(yè)戰(zhàn)略合作協(xié)議。雙方將進(jìn)一步深化合作，英方將借助DRI的全球資源拓展國(guó)內(nèi)和海外的BCM業(yè)務(wù)，而DRI中國(guó)可以借助英方在國(guó)內(nèi)外成功的案例推廣BCM的理論、CBCP認(rèn)證和相關(guān)BCM標(biāo)準(zhǔn)制定發(fā)展。英方公司已經(jīng)有多人通過了CBCP認(rèn)證，其中就包括英方CEO胡軍擎。

于天向筆者介紹說，其實(shí)越是企業(yè)的高層管理人員越容易通過CBCP的考試和認(rèn)證，因?yàn)榕嘤?xùn)和認(rèn)證的內(nèi)容主要是管理方面的知識(shí)，而非技術(shù)。據(jù)說海通證券的領(lǐng)導(dǎo)連續(xù)學(xué)習(xí)了三天，就順利通過了認(rèn)證。

于天表示：“英方不僅在災(zāi)備行業(yè)具有技術(shù)和市場(chǎng)推廣優(yōu)勢(shì)，而且在云災(zāi)備落地、BCM推廣方面與DRI擁有一致且正確的價(jià)值理念。雙方的戰(zhàn)略合作可以更好地推動(dòng)BCM在中國(guó)應(yīng)用?！惫P者還了解到，DRI中國(guó)在眾多災(zāi)備廠商中選擇英方還有一個(gè)重要原因，就是證券行業(yè)將成為除銀行業(yè)之外的下一個(gè)BCM熱點(diǎn)領(lǐng)域，而英方在證券行業(yè)有較好的客戶基礎(chǔ)和應(yīng)用實(shí)踐，這讓雙方的合作有的放矢。

通過和與會(huì)嘉賓的交流，筆者對(duì)當(dāng)前BCM在中國(guó)的落地情況有了更深入的了解，同時(shí)也對(duì)BCM實(shí)踐中存在的一些問題和誤區(qū)有了更清楚的認(rèn)知。

很多人是從DR，也就是災(zāi)難恢復(fù)的角度開始認(rèn)識(shí)和了解BCM的，因此也就理所當(dāng)然地把BCM歸到DR的范疇內(nèi)，其實(shí)這是一個(gè)誤解。如果從包含的關(guān)系來看，DR其實(shí)是BCM的一部分，DR關(guān)注的是技術(shù)底層和實(shí)現(xiàn)，它是實(shí)現(xiàn)BCM的一個(gè)技術(shù)支撐。反而是BCM的外延更廣，不僅僅是技術(shù)，更重要的是業(yè)務(wù)和管理。

眾所周知，DR需要演練，這樣才能在災(zāi)難發(fā)生時(shí)從容應(yīng)對(duì)，做到心中有數(shù)。BCM也要有演練，而且公司的管理高層也應(yīng)該參加，BCM演練涉及的內(nèi)容和部門更廣泛?？傊?，BCM演練是一個(gè)企業(yè)所有部門的事，而不僅僅是IT部門。但是現(xiàn)在，中國(guó)很多企業(yè)的BCM是由IT部門主導(dǎo)的，這就不自覺地把BCM這本經(jīng)“念歪”了，將BCM變成了一個(gè)純技術(shù)的問題，這是片面的。

還有一點(diǎn)特別值得關(guān)注，當(dāng)前中國(guó)的BCM應(yīng)用主要還是集中在金融領(lǐng)域，更準(zhǔn)確地說是銀行業(yè)。因?yàn)樵缭?011年銀監(jiān)會(huì)就已經(jīng)出臺(tái)了《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》，有章可循，讓銀行業(yè)的BCM實(shí)踐可以步步深入，踏實(shí)穩(wěn)健。據(jù)了解，我國(guó)證券領(lǐng)域也要出臺(tái)類似的規(guī)范。標(biāo)準(zhǔn)和規(guī)范先行，可以加速BCM在各個(gè)行業(yè)的落地。

BCM在中國(guó)的發(fā)展最好是由政府、行業(yè)組織和監(jiān)管機(jī)構(gòu)，以及企業(yè)等多方共同努力，營(yíng)造良好的大環(huán)境和氛圍，在相關(guān)標(biāo)準(zhǔn)和規(guī)范的指引下，企業(yè)又能準(zhǔn)確定位業(yè)務(wù)、管理和技術(shù)的關(guān)系，這樣才能更有效地提升企業(yè)的風(fēng)險(xiǎn)防范意識(shí)，保證業(yè)務(wù)永續(xù)。