下载掌阅APP,畅读海量书库
立即打开
组织需要为保障业务持续经营进行连续性管理,业务连续性管理就是组织为预防和应对运营中断而主动付出的努力。作为相对较新的管理方法,人们对业务连续性管理所涉及的治理和管理结构建立、业务影响分析和风险评估、业务连续性策略选择、业务连续性计划(和应急预案)编制和管理、培训和意识以及演练等方面的理论和实践仍存在种种误解和疑惑。
本书系统论述了业务连续性管理与关联学科的关系,业务连续性管理的发展历程、价值、基本概念与原理,以及业务连续性项目集管理、能力框架、能力建设和保持、应急预案和业务连续性计划、人员能力和意识准备、演练、事件处置、危机沟通和管理、业务连续性评估以及审核等理论和实务问题,详细阐述了业务连续性管理是什么、为什么以及怎么做。
本书可供各类组织中从事业务连续性管理的专业人员和相关管理人员使用,也可供与业务连续性管理工作相关的应急管理、风险管理、供应链管理、安全生产、网络信息安全、IT灾难恢复和审计等人员参考。
社会公民自治是国家治理的重要组成部分,是推进国家治理体系和治理能力现代化的一项重要工作。组织是社会的基本单元,组织业务连续性管理体系建设是实现组织自治的重要支撑。积极推进组织业务连续性管理体系和能力现代化,既有助于组织降低重要业务中断的可能性,快速恢复被中断业务,缓解运营中断的负面影响,也有助于构建更具韧性的社会。
积极推进组织业务连续性管理体系和能力现代化,既要借鉴国际上包括ISO 22301业务连续性管理体系等在内的有益做法,也应充分考虑我国的实际情况,充分吸收我国在业务连续性管理中的最佳实践,如本书提出的以能力为中心的业务连续性实务框架。
秦挺鑫
——全国公共安全基础标准化技术委员会秘书长
一次好的演练应该是真(科学)、善(目的)、美(艺术)三方面的统一。建设业务连续性管理体系的组织,不妨遵循本书的指引,把每一次演练都看作一个机会、一项实验、一件作品,因为本书不仅提供演练的方法,而且指导组织保持求真务实的态度。
邓云峰
——中共中央党校应急管理教研部演练室主任
业务连续性管理方法是一种适用领域广泛的管理方法,在我国已有10多年的发展历史。在欧洲,业务连续性管理方法多应用于工商、金融、保险领域;美国也出台了相关的社团标准,推荐在应急、消防、危机管理以及突发事件处置中采用此种方法。在实施高质量发展战略的当代中国,推广采用这种管理方法既具有现实意义,也有提高管理水平的促进作用。普及业务连续性管理的知识和方法,助力全社会应急管理和防灾减灾水平提高,促进韧性社会、韧性城市建设,正当其时,应大力为之。
高伟
——中国消防协会原秘书长
当今世界,云计算、大数据、人工智能、移动应用、区块链等新技术的跨越式发展,深度交叉的创新应用正在深刻地改变着社会,数字社会已经到来。与此同时,数字社会的治理也变得尤为关键。全面提升社会公共服务水平,保障社会公共安全,增强人民幸福生活的获得感,离不开数字技术的创新应用,更离不开新发展理念的保驾护航。建设一个有保障、有活力、有弹性、有韧性的数字社会,需要我们进行更为广泛的探索与实践,而王曙的专著给我们提供了有益的借鉴。
何宝宏
——中国信息通信研究院云计算与大数据研究所所长
王曙老师在业务连续性管理领域有多年的研究和实践经验,其《业务连续性管理实务》一书突出问题导向,紧扣业务连续性管理实践中的疑难问题,值得一读。
赵刚
——赛智产业研究院院长、饮鹿网创始人
作为曾经的卫生条线、现应急条线(原安全生产监督管理局)的学者和执法人员,我非常高兴看到《业务连续性管理实务》能够出版。学习之后,我对本书大概有以下几个方面的感受。
一、有逻辑。学术逻辑处处可见,体现在从文献引用、观点综述一直到破题解题的全过程;闭环管理逻辑尤其明显,不仅体现在事前、事中、事后的分类上,更精准地体现在预防准备、监测预警、处置救援、恢复重建的整体循环流程中。
二、有实践。无论是历史上的案例,还是作者本人参与的具体工作实践,作者都没有浓墨重彩地铺叙,而是进行轻描淡写、简明扼要的比较,让人对案例产生更加独特的感触。
三、接地气。不同于业内的其他书籍,本书的内容简明扼要、直指人心,如在“它们不是一回事儿吗?”的疑问中否定,在“不需要多此一举!”的感叹中否定,直面业务连续性管理的现实问题。本书以白描的方式记录,接地气若此,可谓难得。
四、关注痛点。美国“9·11”事件、日本9.0级大地震、墨西哥湾原油泄漏事件、天津港“8·12”瑞海公司危险品仓库特别重大火灾爆炸事故……本书不仅关注事件(事故)本身及经验教训,更关注到大型灾难发生之后运营中断及在两年内破产的企业多达3/4!痛点本身就值得关注,但本书尤其难得地关注到其后的业务、业务连续性以及由此引发的破产及非自愿性失业等人道灾难,作者可谓用心良苦。
白杰
——应急管理专家、“ABC安全”公众号创始人
当下企业面对的是不断变化的商业环境和风险,而适者生存是不变的法则。企业除了需要能带来高效益的业务模式,还需要一套完整的风险管理体系。王曙对业务连续性管理和风险的深入理解在本书中体现得淋漓尽致,这不只限于通透的理论,也体现为众多的实战经验。本书广度和深度兼备,在业务连续性管理书籍中甚是少见,值得推荐。
Richard Ang
——新加坡业务连续性管理专家
王曙老师立足于其在业务连续性管理领域多年的研究和实践经验,花费数年光阴,呕心沥血完成了《业务连续性管理实务》一书。细细读来,我收获颇丰,故推荐大家阅读此书。
赵阳
——中国致公党中央宣传部信息办公室副处长
王曙老师是中国人民银行郑州培训学院客座教授,经常在学院的培训班授课,在金融机构业务连续性管理方面有很深的造诣。《业务连续性管理实务》沉淀了他在业务连续性管理领域多年的研究成果、实践经验和培训实效,对金融机构在业务连续性管理方面有很大的指导意义。
李明凡
——中国人民银行郑州培训学院国际合作培训部副教授
业务连续性评估和审核是衡量组织的业务连续性管理能力的有力抓手。评估和审核人员应该遵循和使用哪些要求和标准来评估和审核组织的业务连续性管理能力?按照哪些程序进行评估和审核?项目实践中可能存在哪些坑?……王曙这本《业务连续性管理实务》用专章回答了上述问题,既有国际化视角,又有中国实践,接地气,值得各类型组织中从事业务连续性管理相关工作的人士阅读,也特别适合从事业务连续性评估和审核的人员参考。
马庆
——曾获得CISA、CIA、CCSA、CBCP、ISO22301LI
2021年端午节前夕,王曙送来他的新书稿《业务连续性管理实务》,嘱为作序。几十万字的专著,凝结了王曙近10年来的心血。虽然我与业务连续性管理这一领域也曾有过近20年的交集,但最近这些年笔者比较关注互联网思想和数字化转型,对业务连续性管理的关注度有所下降,正好借机补补课、充充电。
过去10多年里,“复杂多变”这一词语,因2008年美国华尔街金融风暴的推动,成为描述21世纪基本特征的重要用语。世界快速变化、多元因素交织、冲突此消彼长成为“常态”,世界秩序的底层逻辑从“确定性”转变为“不确定性”。伴随移动互联网、数字经济、智能技术的快速发展,世界呈现出愈来愈有别于工业时代底层逻辑的新的变化。
一是数字迁移。与20世纪90年代美国麻省理工学院媒体实验室尼葛洛庞帝所描绘的“从原子到比特”不同,由智能技术驱动的“数字迁移”更多地表现为“万物互联”“数字孪生”。在这场史诗般的迁移、互联中,人的认知与行为深度嵌入这张日益庞杂的数字网络。
二是虚实互嵌。实体世界和虚拟世界的互嵌,一方面突破了实体世界的空间阻隔,另一方面极大地强化了信息流动的时间约束。同时性、共在性,使得每一个个体与组织的依存度大大提高,相互影响的深度和广度也随之复杂化。
三是界面消失。迁移与互嵌是一个不断发生、发展的动态过程,其中的共生演化突破了传统个体与组织的边界,每一个个体与组织的行为的影响都有全局性,反过来,每一个个体与组织也都受到全局变化的影响。
这三重变化,使得传统意义上的“业务连续性”问题逐步呈现出新的特点。
“业务连续性”的理念,是在20世纪60—70年代为应对灾难事件、突发公共事件所形成的危机管理、风险管理理念的基础上逐渐形成的。特别是在计算技术、通信技术大量进入工业应用领域之后,灾难事件通过级联效应加剧了灾害影响的烈度和深度,加之工农业生产中大量采用的农药、杀虫剂等对环境的广泛影响,人们在20世纪70年代逐渐形成了“可持续发展”的理念。
“业务连续性管理”正是在这种背景下孕育的。它的主要思想是,企业或组织在深入分析潜在威胁、风险的基础上,站在整体的角度,为确保业务持续运行,确保在可以接受的最低业务品质水平下延续必要的产品和服务供给,所制定的系统的应对策略和相应的应对程序。“业务连续性管理”的理念为企业和组织制定常态化的运营策略、管理策略提供了新的视角,即关注组织在生存与发展中面临的种种突发事件和外部威胁,力争最大限度地保存企业和组织业务持续运行所需的基础资源和基本条件,将危机管理、风险管理的意识常态化,并制定相应的灾难恢复计划,为应急响应、灾害处置、灾难恢复、灾后重建准备必要的资源和能力。从一定程度上说,“业务连续性管理”的理念与传统的“永续经营”的理念是一致的。
然而,对企业和组织来说,最近10多年来的各种灾难事件、突发公共事件,包括地震、海啸、洪水、泥石流、瘟疫等自然灾害,也包括爆炸、有害物质泄漏、生物物种入侵、环境污染等人为灾害,有了全新的特征:其一,关键基础设施的广域性、连通性,使得灾难事件的传播速度、深度和广度大大提高和拓宽;其二,网络自身的脆弱性增强和薄弱环节成倍增加;其三,网络空间的开放性、传播手段的多元性,使得灾难事件往往伴随舆情事件同步扩散,进一步加剧了灾难处置与恢复的复杂性。
这些新特征要求业务连续性管理的思想有新的视角和新的研究框架。传统业务连续性管理领域存在两个误区:一个是将“业务”狭隘地理解为企业的责任;另一个是片面地解读“连续性”的要求。前者忽视了万物互联背景下数字世界的广泛连通性,没有将个人事务、公共事务、跨组织跨地域关联及多层级多主体交织的人类活动纳入“业务”的统筹范围;后者则将“连续”与“间断”简单地对立起来,未能将“主动中断”“降低业务复杂度”作为必要的应对策略并与业务连续性要求有机地统一起来。
在互联互通的数字时代,组织在业务连续性问题上,除了需要考虑传统意义上的“业务连续”的要求,还需要拥有全局视野、总体安全观,需要深刻领会“复杂多变”的时代的含义;在确保组织的韧性、应变能力之外,还需要应时而变、应势而变,确保组织目标的主动性、完整性和延续性。
这些新的要求在总体上有一个特征,就是将组织变革与发展的动能建立在“驾驭不确定性”的基础之上。
当今世界正面临百年未有之大变局,这种“大变局”是经济社会、政治文化多元目标共存的深刻体现,是发展过程中不同发展理念、不同发展道路和发展目标多元交织的体现。把握和驾驭“复杂多变的大变局”,需要牢固树立“人类命运共同体”思想,深刻认识到当今世界已经呈现出“你中有我、我中有你,相互依存、相互影响”的总体格局。
在总体发展观、总体安全观、生态文明观的思想指导下,企业和组织进行业务连续性管理需要牢固树立“共同体思维”,将业务建设、业务发展置于长周期持续发展的轨道上,突破狭义的“业务连续性管理”理念和方法。这里主要有3个方面值得进一步探讨。
第一,业务发展的逻辑框架需要建立在健康、有序、良性的生命价值基础上。新冠肺炎疫情的全球大流行,充分表明生态安全、生物安全、物种安全已经成为全人类共同关注的话题。因此,基于工业时代片面追求经济增长、效率至上的“业务连续性管理”理念需要在发展观、安全观、生态文明观3个维度重新审视自我。
第二,业务连续性管理不是使哪一个企业或者组织“独善其身”的局部策略,而是影响着公共秩序、全球战略安全的重大问题。企业和组织制定业务连续性管理战略和相关的管理策略,需要以整体性、系统性、全局性的视野通盘考虑。
第三,业务连续性管理既是理论探索,也是实践探索和行为塑造。现代科学技术,特别是大数据、人工智能、虚拟现实、物联网、区块链等,大大提升了企业和组织的业务连续性管理水平,增强了全民应对灾难事件、风险事件的能力。业务连续性管理既有广阔的创新空间,又充满挑战。
我与本书作者王曙相识已近20年。20年前,王曙在联想公司做信息安全方面的工作。记得在一次学习沙龙上,很多互联网、IT公司的年轻人在热烈地讨论当时非常流行的3个技术框架:英国信息安全标准BS7799、IT运维管理框架ITIL、美国信息安全与控制审计标准COBIT。这3个技术框架对当时国内方兴未艾的信息化建设,特别是刚刚开启数据大集中进程的应用领域来说,可谓出现得正是时候。
那段时间,我在赛迪集团旗下的《中国计算机用户》杂志社工作。像王曙这样的研究者和实践者,包括孙强、左天祖、刘亿舟、王东红等,都是前沿领域积极的探索者和宣传者,也为当时我任职的杂志贡献了很多优秀的专栏文章。
2003年之后,国家层面迅速展开了应急管理领域的系统研究和部署,出台了《突发事件应对法》,并提出了应急预案、应急体制、应急机制、应急法制的“一案三制”建设的总体规划,制定了较为完善的国家突发事件预警、应对、处置、恢复的整体方略。这些宝贵的理论指南和实践经验,经历了应对汶川大地震等重大灾难事件的考验,推动我国应急管理、灾难应对、总体安全保障的体制和机制日益成熟。
在数字时代的巨大变革面前,业务连续性管理既是一个老问题,又是一个新问题。业务连续性管理与应急管理的关系是什么?二者有什么共性,有什么差异?突发事件驱动的应急管理体系,如何在深刻领会“百年未有之大变局”的总体形势下,充分理解“复杂多变”的世界格局和发展环境,将“未雨绸缪”与“四个自信”有机地结合起来?如何在深刻把握人类高度共生共荣的基础上,重新理解什么是“业务”,什么是“业务连续性”?这些问题都需要相关领域的专家、学者静下心来,共同研究、深入探索,从“人类命运共同体”的高度深刻领会复杂世界的底层逻辑,助力中国特色社会主义建设之路枝繁叶茂、行稳致远。
是为序。
段永朝
2022年2月