2021年端午节前夕,王曙送来他的新书稿《业务连续性管理实务》,嘱为作序。几十万字的专著,凝结了王曙近10年来的心血。虽然我与业务连续性管理这一领域也曾有过近20年的交集,但最近这些年笔者比较关注互联网思想和数字化转型,对业务连续性管理的关注度有所下降,正好借机补补课、充充电。
过去10多年里,“复杂多变”这一词语,因2008年美国华尔街金融风暴的推动,成为描述21世纪基本特征的重要用语。世界快速变化、多元因素交织、冲突此消彼长成为“常态”,世界秩序的底层逻辑从“确定性”转变为“不确定性”。伴随移动互联网、数字经济、智能技术的快速发展,世界呈现出愈来愈有别于工业时代底层逻辑的新的变化。
一是数字迁移。与20世纪90年代美国麻省理工学院媒体实验室尼葛洛庞帝所描绘的“从原子到比特”不同,由智能技术驱动的“数字迁移”更多地表现为“万物互联”“数字孪生”。在这场史诗般的迁移、互联中,人的认知与行为深度嵌入这张日益庞杂的数字网络。
二是虚实互嵌。实体世界和虚拟世界的互嵌,一方面突破了实体世界的空间阻隔,另一方面极大地强化了信息流动的时间约束。同时性、共在性,使得每一个个体与组织的依存度大大提高,相互影响的深度和广度也随之复杂化。
三是界面消失。迁移与互嵌是一个不断发生、发展的动态过程,其中的共生演化突破了传统个体与组织的边界,每一个个体与组织的行为的影响都有全局性,反过来,每一个个体与组织也都受到全局变化的影响。
这三重变化,使得传统意义上的“业务连续性”问题逐步呈现出新的特点。
“业务连续性”的理念,是在20世纪60—70年代为应对灾难事件、突发公共事件所形成的危机管理、风险管理理念的基础上逐渐形成的。特别是在计算技术、通信技术大量进入工业应用领域之后,灾难事件通过级联效应加剧了灾害影响的烈度和深度,加之工农业生产中大量采用的农药、杀虫剂等对环境的广泛影响,人们在20世纪70年代逐渐形成了“可持续发展”的理念。
“业务连续性管理”正是在这种背景下孕育的。它的主要思想是,企业或组织在深入分析潜在威胁、风险的基础上,站在整体的角度,为确保业务持续运行,确保在可以接受的最低业务品质水平下延续必要的产品和服务供给,所制定的系统的应对策略和相应的应对程序。“业务连续性管理”的理念为企业和组织制定常态化的运营策略、管理策略提供了新的视角,即关注组织在生存与发展中面临的种种突发事件和外部威胁,力争最大限度地保存企业和组织业务持续运行所需的基础资源和基本条件,将危机管理、风险管理的意识常态化,并制定相应的灾难恢复计划,为应急响应、灾害处置、灾难恢复、灾后重建准备必要的资源和能力。从一定程度上说,“业务连续性管理”的理念与传统的“永续经营”的理念是一致的。
然而,对企业和组织来说,最近10多年来的各种灾难事件、突发公共事件,包括地震、海啸、洪水、泥石流、瘟疫等自然灾害,也包括爆炸、有害物质泄漏、生物物种入侵、环境污染等人为灾害,有了全新的特征:其一,关键基础设施的广域性、连通性,使得灾难事件的传播速度、深度和广度大大提高和拓宽;其二,网络自身的脆弱性增强和薄弱环节成倍增加;其三,网络空间的开放性、传播手段的多元性,使得灾难事件往往伴随舆情事件同步扩散,进一步加剧了灾难处置与恢复的复杂性。
这些新特征要求业务连续性管理的思想有新的视角和新的研究框架。传统业务连续性管理领域存在两个误区:一个是将“业务”狭隘地理解为企业的责任;另一个是片面地解读“连续性”的要求。前者忽视了万物互联背景下数字世界的广泛连通性,没有将个人事务、公共事务、跨组织跨地域关联及多层级多主体交织的人类活动纳入“业务”的统筹范围;后者则将“连续”与“间断”简单地对立起来,未能将“主动中断”“降低业务复杂度”作为必要的应对策略并与业务连续性要求有机地统一起来。
在互联互通的数字时代,组织在业务连续性问题上,除了需要考虑传统意义上的“业务连续”的要求,还需要拥有全局视野、总体安全观,需要深刻领会“复杂多变”的时代的含义;在确保组织的韧性、应变能力之外,还需要应时而变、应势而变,确保组织目标的主动性、完整性和延续性。
这些新的要求在总体上有一个特征,就是将组织变革与发展的动能建立在“驾驭不确定性”的基础之上。
当今世界正面临百年未有之大变局,这种“大变局”是经济社会、政治文化多元目标共存的深刻体现,是发展过程中不同发展理念、不同发展道路和发展目标多元交织的体现。把握和驾驭“复杂多变的大变局”,需要牢固树立“人类命运共同体”思想,深刻认识到当今世界已经呈现出“你中有我、我中有你,相互依存、相互影响”的总体格局。
在总体发展观、总体安全观、生态文明观的思想指导下,企业和组织进行业务连续性管理需要牢固树立“共同体思维”,将业务建设、业务发展置于长周期持续发展的轨道上,突破狭义的“业务连续性管理”理念和方法。这里主要有3个方面值得进一步探讨。
第一,业务发展的逻辑框架需要建立在健康、有序、良性的生命价值基础上。新冠肺炎疫情的全球大流行,充分表明生态安全、生物安全、物种安全已经成为全人类共同关注的话题。因此,基于工业时代片面追求经济增长、效率至上的“业务连续性管理”理念需要在发展观、安全观、生态文明观3个维度重新审视自我。
第二,业务连续性管理不是使哪一个企业或者组织“独善其身”的局部策略,而是影响着公共秩序、全球战略安全的重大问题。企业和组织制定业务连续性管理战略和相关的管理策略,需要以整体性、系统性、全局性的视野通盘考虑。
第三,业务连续性管理既是理论探索,也是实践探索和行为塑造。现代科学技术,特别是大数据、人工智能、虚拟现实、物联网、区块链等,大大提升了企业和组织的业务连续性管理水平,增强了全民应对灾难事件、风险事件的能力。业务连续性管理既有广阔的创新空间,又充满挑战。
我与本书作者王曙相识已近20年。20年前,王曙在联想公司做信息安全方面的工作。记得在一次学习沙龙上,很多互联网、IT公司的年轻人在热烈地讨论当时非常流行的3个技术框架:英国信息安全标准BS7799、IT运维管理框架ITIL、美国信息安全与控制审计标准COBIT。这3个技术框架对当时国内方兴未艾的信息化建设,特别是刚刚开启数据大集中进程的应用领域来说,可谓出现得正是时候。
那段时间,我在赛迪集团旗下的《中国计算机用户》杂志社工作。像王曙这样的研究者和实践者,包括孙强、左天祖、刘亿舟、王东红等,都是前沿领域积极的探索者和宣传者,也为当时我任职的杂志贡献了很多优秀的专栏文章。
2003年之后,国家层面迅速展开了应急管理领域的系统研究和部署,出台了《突发事件应对法》,并提出了应急预案、应急体制、应急机制、应急法制的“一案三制”建设的总体规划,制定了较为完善的国家突发事件预警、应对、处置、恢复的整体方略。这些宝贵的理论指南和实践经验,经历了应对汶川大地震等重大灾难事件的考验,推动我国应急管理、灾难应对、总体安全保障的体制和机制日益成熟。
在数字时代的巨大变革面前,业务连续性管理既是一个老问题,又是一个新问题。业务连续性管理与应急管理的关系是什么?二者有什么共性,有什么差异?突发事件驱动的应急管理体系,如何在深刻领会“百年未有之大变局”的总体形势下,充分理解“复杂多变”的世界格局和发展环境,将“未雨绸缪”与“四个自信”有机地结合起来?如何在深刻把握人类高度共生共荣的基础上,重新理解什么是“业务”,什么是“业务连续性”?这些问题都需要相关领域的专家、学者静下心来,共同研究、深入探索,从“人类命运共同体”的高度深刻领会复杂世界的底层逻辑,助力中国特色社会主义建设之路枝繁叶茂、行稳致远。
是为序。
段永朝
2022年2月