购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

3.2 从IT灾难恢复到业务连续性管理体系
——现代业务连续性管理时期

随着近几十年科技的发展、经济的全球化和人员的快速流动,社会环境发生了很大的变化,大型企业越来越多,中小型企业和各类社会组织也开始面临前所未有的服务对象和经营环境的变化,采用单一的风险转移策略(购买营业中断保险)已不能满足企业发展的需要。与此同时,人们对运营中断产生原因的理解越来越深入。在此背景下,现代业务连续性管理应运而生,而这一过程大致经历了两个阶段。

3.2.1 IT灾难恢复的出现与发展

现代业务连续性管理的历史可以追溯到20世纪60年代。那时,业务连续性管理的思想和方法仍包含在风险管理、危机管理理论中,并未被视为一门独立的学科。当时人们关注的主要是事件本身直接造成的损失,如人和物方面的损失,对事件造成的其他损失并未给予足够的重视。随着计算机系统的开发与使用,为解决系统持续运行的问题,计算机系统设计人员对单点故障采用了冗余措施,这是现代业务连续性管理的起点。

20世纪70年代中后期,当时大多数系统都是面向批处理的大型机。在有些情况下,这些大型机可能会突然停机好几天,对组织业务造成重大损害。随着计算机中心管理人员认识到组织业务对信息系统的依赖,1979年,Sun Information Systems(后来成为Sungard Availability Services)在美国费城建立了全世界第一个商业化的灾备中心,对外提供数据备份专业服务,这是IT灾备行业的标志性事件。为应对灾难(主要是火灾、水灾、暴风或其他物理损坏),金融机构(如银行和保险公司)大都将备份磁带存储在远离生产中心的备用场所。IT灾备系统主要解决信息系统的数据备份问题,重点是减少数据丢失,对恢复的时间要求并不高。衡量IT灾备系统能力的主要指标是最大数据丢失量,而不是业务多长时间可以恢复。

20世纪80年代,随着计算机技术的迅速发展与普及,各个行业的信息化程度大幅提升,组织业务对信息系统的依赖度越来越高,信息系统风险造成的后果也日趋严重,人们逐渐认识到备份数据虽然是业务恢复的基础,但只有具备相应的备份数据处理系统和网络系统,灾备中心才能更快、更有效地接管生产系统并保障业务持续运营,因此产生了应用级灾备的概念。更进一步,人们认识到只有备用资源不足以有效应对灾难,还要有相应的组织架构和流程保障,即要进行IT灾难恢复体系建设。从这时起,IT灾备系统开始向IT灾难恢复体系建设演化。1992年,阿纳海姆会议从技术层面确定了IT灾难恢复的国际标准SHARE 78,标志着IT灾难恢复体系正式确立。

20世纪90年代末到2010年,随着互联网的快速发展,各种规模的组织越来越依赖其IT系统的持续性,一些组织为多个关键系统设定了可用性指标(如99.999%)。人们对IT系统的日益依赖,以及应对海啸、地震、洪水和火山爆发等大规模灾害的意识的增强,进一步催生了与IT灾难恢复相关的产品和服务,如高可用性解决方案、“热站”、“温站”、“冷站”等。网络技术和服务的发展也使远程服务成为可能,让现场恢复变得不再那么重要。

2010年以来,云计算的快速发展进一步推动了这一趋势。如今,只要网络本身具有足够的可靠性(现代网络是按高韧性要求设计的),提供计算服务的具体物理位置就变得不那么重要了。对最终使用者而言,IT灾难恢复和IT本身将变得越来越简单和容易得到。

3.2.2 业务连续性管理的独立及发展

1983年,美国金融监管机构对信息系统正式提出了运行连续性的要求。这对IT灾难恢复系统提出了新的要求,即不仅要恢复数据,还要支持在预定的时间内恢复业务(这已经是业务连续性要求的早期表述)。按照这一要求,IT灾难恢复系统建设随后调整了重点,即不仅要完成对保护数据的灾难备份,更重要的是要完成以保护业务为目标的灾难恢复。

但在当时,IT灾难恢复领域的先驱们遇到了一个难题:他们很难说服高层管理者把大笔资金投在一件可能永远都不会发生的事情上。他们最终通过创造出“业务影响分析”这一概念,吸引了高层管理者的关注。业务影响分析最早于20世纪80年代中期在美国得到应用,后来很快传到欧洲(主要是英国)和澳大利亚。人们进一步发现,采用了业务影响分析、作用于信息系统的IT灾难恢复规划方法论完全可以应用于业务中,灾难备份从原来的IT范畴提升到关注业务持续运行的高度:在IT之外,加入业务影响分析、风险评估、灾难备份与恢复策略、恢复预案、演练培训等内容;恢复过程涉及更多业务流程、资源调配、人员组织和策略制定等;……自然而然地,业务连续性的概念出现了。

随着业务连续性管理的快速发展,为满足人们交流经验和知识的需求,并将技能娴熟的业务连续性管理专业人员和一般顾问(通常是有IT背景的顾问)区分开来,1988年,美国的国际灾难恢复协会从业内热门期刊《灾难恢复杂志》独立出来,提供培训和认证。同年,英国组织“Survive!”工作小组成立,随后发展成为培训、活动和出版物的商业提供商。1994年,在“Survive!”的建议下,国际业务持续协会成立。国际灾难恢复协会和国际业务持续协会共同拟定了10种专业惯例(Professional Practices),作为衡量和判断那些寻求认可或资质认证的业务连续性管理人员的能力的标准,并在随后独立发展出了国际灾难恢复协会专业惯例(DRII Professional Practices)和国际业务持续协会良好实践指南(BCI Good Practice Guidelines)。

21世纪初的一系列恐怖袭击事件对公共安全和组织正常运营造成了严重影响,使“业务连续性”一词被频繁提及。对业务运营高度依赖信息系统的组织来说,完善的IT灾难恢复体系是保障其业务连续性运营的关键;而对业务运营不依赖或较少依赖信息系统的组织来说,对支持其主要运营活动的关键资源进行风险管控和应急准备,也是保障其业务连续性运营的核心。

“9·11”事件是业务连续性管理发展的重要里程碑。该事件的发生不仅让全世界人民感到震惊,更让人们发现灾难事件离自己如此之近。事件发生后,世贸大厦里金融机构的大量数据化为乌有,这对许多金融机构来说是重大的挑战。德意志银行早在1993年就制定了严谨可行的业务连续性计划(BC Plan)。灾难发生后,德意志银行调动4000多名员工及全球分行的资源,在短时间内就在距离纽约30千米的地方恢复了业务,得到了客户和行业的好评。摩根士丹利在办公场所全毁后,半小时内就在灾备中心建立了第二办公室,第二天便恢复了全部业务。与之相反,纽约银行在数据中心全毁、通信链路中断后,由于缺乏灾难备份系统和有力的业务应急恢复计划,在一个月后不得不关闭部分分支机构,从而造成巨大损失,给经营带来重创。

经历了“9·11”事件,人们在付出沉痛的代价后,深刻地认识到IT灾难恢复和业务连续性管理的重要性。这种重大灾难事件一旦发生,相关区域的组织都会受到严重的甚至是毁灭性的打击,不仅会使组织自身及与其关系紧密的上下游组织受到影响,而且会间接导致整个行业乃至整个社会出现系统性风险。因此,对组织进行业务连续性建设的要求不仅仅来自组织自身,还来自行业联盟和协会、监管部门和政府机构。与此同时,各国政府也在积极提高自身和公共服务部门的运行连续性。

2004年,英国颁布《国民紧急事务法案》,要求第一类响应者制定业务连续性管理安排;明确第二类响应者属于“响应合作机构”,会严重地卷入突发事件中,需要与第一类响应者和第二类响应者合作,并共享相关信息。

美国联邦应急管理署在2004年6月颁布了《联邦准备规章》,该法律要求总统以及各政府机构迅速制定运行连续性和灾难恢复计划。2007年5月,美国总统签署发布了《国家安全总统令》(NSPD-51)/《国土安全总统指令》(HSPD-20)等“国家连续性政策”,以便为保障联邦政府机构的连续性制定一项全面的国家政策,即单一的连续性协调员负责协调联邦连续性政策和国家基本职能的制定和实施。2008年,根据政策,美国国土安全部发布了FCD-1(Federal Continuity Directive-1,联邦执行机构连续性运行指南),建立了行政部门的连续性规划要求。FCD-1在2012年、2017年进行了两次更新。新的FCD-1建立了行政部门的最低连续性标准,将其纳入日常操作以确保基本职能的无缝和直接延续。所有联邦行政部门,无论其规模或位置如何,都应根据FCD-1中的要求和原则,构建可行的连续性能力,以确保在任何条件下都能保持较强的韧性并持续履行其基本职能。

如图3-2所示,联邦执行机构的连续性运行指南可分为3个层面。第一层是运行连续性(COOP),指各个联邦政府行政部门和机构内部的职能连续性,它不需要部门间进行协调;第二层是政府连续性(COG),指需要各个政府部门之间进行协调来应对规模较大的灾难事件;第三层是宪政连续性(ECG),指需要立法、行政和执法部门之间进行协调来应对大规模的灾难事件。

图3-2 美国联邦机构连续性运行指南

澳大利亚审计署在2000年1月出台了《业务连续性管理的指导方针》;新加坡主管国内经济振兴及标准化工作的贸易产业省下属的标准、生产力与创新局(SPRING),在2003年7月就颁布了《业务持续管理要求》;日本政府在2005年7月对《防灾基本计划》进行修订,明确了“制定业务性计划是企业防灾工作的重要一环”。

除了灾难恢复,信息安全对业务连续性管理的早期发展也有推动作用。例如,英国信息安全标准BS 7799(该标准后来演变成国际标准ISO 27001),其核心原则包括对业务连续性的要求,并根据数据可用性定义了业务连续性。最初这推动了业务连续性管理在组织中的应用,但也造成了不少误解——使不少IT人员误认为业务连续性管理只是信息安全的一个分支,这种观点在亚洲和中欧获得了较多支持。直到2013年10月19日,国际标准化组织正式发布ISO 27001:2013,才将先前版本中的“业务连续性管理”更新为“信息安全控制的业务连续性管理”。

21世纪,在质量、信息安全、环境等标准化管理体系得到了大发展后,标准化组织决心梳理业务连续性并将其归为管理体系标准的一部分。在开展这项工作时,标准化组织参考了一系列指导标准,如英国的BS 25999-1、美国的NFPA 1600,以及澳大利亚和亚洲的各种指南。包括英国金融服务管理局、澳大利亚审慎监管局(APRA)和美联储在内的各监管机构也开始积极参与这一领域的工作。

2006年11月,英国标准协会(BSI)发布了BS 25999。在BS 25999中,业务连续性管理被描述为“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和创造价值的活动”。BS 25999是BSI发布的业务连续性管理体系的英国标准,编写成员来自英国电讯公司、电力公司、水务公司等大型企业,还有地铁警察局、消防局、工贸部等政府机构以及证券、保险等行业监管部门。BS 25999是全球第一个获得广泛应用的业务连续性管理体系的标准。

2012年以来,国际标准化组织发布和更新了以ISO 22301为基础的一系列业务连续性管理体系标准,如ISO 22301(要求)、ISO 22313(实施指南)、ISO 22317(业务影响分析)、ISO 22318(供应链连续性)、ISO 22330(人的方面)、ISO 22331(策略)和ISO 22332(计划和程序)。ISO 22301系列标准能够帮助组织制定一套一体化的管理流程,使组织对潜在的风险加以辨别、分析,帮助其确定灾难事件可能对组织运营造成的影响,并提供一个有效的管理机制来阻止或抵消这些影响,从而减少灾难事件给企业带来的损失。ISO 22301适用于各行业中的大、中、小型公共及私营组织,并且特别适用于处于高风险和高度监管环境下的行业,如金融业、IT通信业、制造业等。现在,已有许多国家将ISO 22301作为国家标准,这标志着业务连续性管理发展到了一个新阶段。 Tq9IREwa6Ey+M1X3nvJaoWe+ZDrMCk1n7iuUSosTDc0fLFRp3w2aOEUCgdKGjb4R

点击中间区域
呼出菜单
上一章
目录
下一章
×