我国台湾著名作家林清玄曾说过“人生是不可管理的,但人生需要管理”,企业的管理也是如此。在第一届中国业务持续管理高峰IT运维管理社区召开之前,中国信息化推进联盟常务副理事长、国务发展研究中心局长邓寿鹏提出,不管国外怎么定义,我们要把BCP(业务持续计划)改为BCM(业务持续管理)。原先被认为只是执行层的业务持续计划由此而上升到管理层面,业务持续管理日益受到重视。
专家观点
一切都雨过天晴了吗
英国业务持续协会(BCI)亚太区代表余绍强
在新加坡银行与医疗等仍是关注业务持续管理最多的行业。以新加坡医疗的业务持续管理为例。
目前,新加坡建有专门的“空闲”医院,该医院由一家老医院改建而成,里面的医疗设施齐备,床位空置,以备不时之需。在进行业务持续管理时,会对医生护士进行培训演练。
在新加坡进行医疗卫生的业务持续管理时,会提交几套不同的应急方案,将灾难发生时的每个步骤需要做什么,需要多长时间等进行明确。余绍强认为,一个医院成功地业务持续管理是,当灾难发生时,医生护士都知道做什么,并按照相关的步骤去执行。
BCM理论与实践发展现状
美国国际灾难恢复协会(DRII)主席John的代表、DRII教育委员会主席Scot Phelps
我们希望在国际上促进对BCM专业人员的培养,能够创建一个框架、一个平台,从而让所有关注BCM的人增进对此的了解。做这件事情的关键就是要提供一个大家共同认可的平台,有一个大家共同认可的框架。我们把它分成四个阶段。这四个阶段的认证,第一阶段是对BCM有基本的任知。第二阶段是通过第一阶段的认知的基础上,具备一定的执行能力。第三阶段是具备专业的业务能力。能够达到第四阶段就已经是这个领域的专家。
BCM不仅是指灾难恢复,核心思想是我们的业务面对对困难的时候能够持续的运转下去,能够是企业做到可持续的发展。
BCM的全球趋势与实践
DRII亚洲区代表吴茂兴博士
做BCM没有对和错的区别,目的只有一个,就是为了使业务能够可持续的进行下去。对于中国的企业,最需要关注的是IT灾难。能够预防的国际性的做法也就是IT备份。
这就需要有个完备的计划去编制业务持续管理的方法论,通过方法论来编制IT备份计划。
我认为BCM目前所面对的最大挑战是对同一个标准的定义。现在,国际上每个国家都在搞自己的标准,如何让各个国家之间的标准互相认可,是一个国际性的难题。但我个人认为,虽然每个国家的标准不同,但是标准的构成中有70%是相似的。这一点也希望各个国家能够看到,那么,对于标准的互相认可而言,就应该会容易一些。
业务持续管理保障数字奥运
北京市信息化工作办公室数字奥运办公室教授级高工车文富
首先要做到理清风险,即对各类风险的发生概率、影响程度、原因关联等内容进行分析。
在理清风险的基础之上,制定城市信息化运行计划。这项计划是描述奥运会期间城市信息化运行目标、运行任务、运行机制、运行保障的全面的计划文件。协调相关部门,确保城市信息化各项工作在奥运会期间运行稳定、运营可靠。
分析各信息系统职责范围、 、服务水平、资源需求、风险及进度计划进行进一步的细化,并识别配合赛时职能部门应采取的行动、实现方式、赛时运行的组织结构和政策原则等各项工作,逐步编制应急预案。
有效BCM分析 给企业做“体检”
新加坡业务持续计划协会主席黄守吉
黄守吉近年来一直往返于中国与新加坡之间,对于中国的BCM发展,已有19年BCM历程的他非常看好。
业务持续性管理在国际的标准规则主要有:SOX、Basel Ⅱ、ISO27001、ISO27006等指标进行衡量,而国内也有自己的一些相对应的规则。统一到一起来衡量,周边环境所存在的风险,判定有形损失和无形损失。然后恢复需求、恢复资源、恢复时间,用以下参考点(系统恢复时间间隔RTO、数据恢复点的滞后时间RPO、总成本的控制TCC)进行衡量确认恢复策略以达到指定要求,减低风险。
如果没有有效的用指标进行衡量实施BCM,将无法确定项目实施的效率和可行性。
BCM的“R”法则
网络存储专业协会中国区主席何添福
“6R-s”法则包括:
Reduction(降低和缩小),首先了解业务的性质,对于风险的冲击进行分析,在了解影响轻重缓急的基础上来鉴定安全措施。
Rospond(响应),对于紧急事件要有响应程序以及规程,管理紧急事件的命令和控制需求。
Recover(恢复),要尤其注意对时间敏感的核心业务的恢复,判定恢复所需要的资源和力度。
Resume(再继续),了解恢复的可接受程度;了解影响和效应。
Restore & Return(复原),业务能返回初始的运作环境,业务的运作功能、IT、数据等等恢复到接近灾难前的状态,包括改造和重建。
Relocation(迁移),迁移的核心在于地点、时间、人和方法。
企业观点
积极制定灾备策略
中国电信集团公司大客户事业部高级经理梅平
随着企业应用IT的深入,灾备越来越受到企业的重视,在制定灾备策略上,可分为长期和短期策略。具体而言,是指数据灾备应用和业务灾备应用。
实施灾备服务主要分几个步骤:规划、设计实施、运营和演练。
在规划阶段,首先要风险分析RIA:确定业务运作的风险、风险发生的概略及其解决方案。从而为灾备中心选址(同城或异地)、灾备级别(数据级或应用级)提供参考。
另外要进行业务冲击分析BIA:确定风险对业务运作的影响,确定关键业务,明确RTO和RPO指标。
中国电信作为数据中心服务提供商,以专业的运营管理经验、网络保障能力,系统集成服务能力、项目管理能力和经过国际认证的灾备专业团队为客户提供全面的灾难备份整体服务。
建立弹性企业
中金数据系统有限公司副总裁陈天晴
不让灾难中断企业信息服务,让企业有弹性,实现业务持续和灾难规避。
银行是典型的弹性企业,它不仅普遍采用以灾难恢复为目的的远程数据中心,还在关键业务中使用冗余。由此,陈天晴认为可以通过规划企业弹性,进行威胁评估等,针对不同规模的企业进行弹性计划,并针对此进行有效的灾难备份与业务恢复。
作为银行等企业单位,更关心对业务连续管理的资金投入,特别是灾难恢复站点的选择与建设。对此,陈天晴曾多次提出将灾备外包出去,同时,他给出几点理由:第一,自己干不了,肯定要外包。第二,自己干不好的要外包。第三,自己能干,但是花钱更多,质量还不好的,也需要外包。第四,自己能干,也能干好,但是有更多事情要干,也要外包。
目前,大多数中小商业银行开始倾向于将灾备外包,并在关键业务上进行外包控制。
全程BCM
GDS万国数据副总裁汪琪
汪琪是中国大陆第一位获得DRI International “Certified Business Continuity Professional”(CBCP)认证的业务连续运作专家。
汪琪强调了BCM全程服务的范畴,在他看来企业业务持续管理包括这样几个步骤:首先是分析评估,对当前的业务以及存在的潜在风险进行有效评估,确定业务持续管理的目标及需求,当分析评估正式开始时,这也意味着企业的业务持续管理正式启动。紧接着,要进行架构设计,通过策略制定和方案设计对业务持续管理进行有序规划。
在完成这样的步骤之后,便进行实质的开发阶段,这包括预案的开发,和制度的制定。对于企业客户来说,如果是通过外包的形式还需要与第三方明确责权。在开发完成后,便进入启动管理阶段,通过不定期的演练和评测进行管理控制。最后的持续维护阶段,包括日常维护与培训,进行审核与更新。
思科的业务永续实践
Cisco公司企业事业部技术经理侯胜利
本身作为IT公司的思科这次从讲述自己的业务持续管理开始,侯胜利从公司的业务目标出发,分析各业务部门的具体流程,了解它们一旦发生危机将对业务产生的影响。同时对业务部门面临的风险加以评估,根据各种风险对业务的影响程度划分优先级。结合行业最佳实践,制定企业业务永续指导方针和详细解决方案规划,最后达到风险管理的目标,从而为企业搭建真正永续运行的IT基础设施与服务体系结构。 在演讲中阐述了思科所采取的各种技术手段和技术创新。
目前,思科公司的业务永续包括:网络永续、应用永续、通讯永续和工作环境的永续。其业务永续的模式通过计划(包括评估、制定业务永续计划、测试、BCM培训等)和实际操作两方面来共同搭建。
对于思科来说,业务持续管理不是机制塑造的问题,而是一种企业管理的必须。
不断拓展的存储技术保驾BCM
EMC公司咨询顾问许
“花钱不代表解决了一切,硬件性价比逐年提升,但业务连续性的投资不一定更经济,选择合适的方案,保驾BCM是考虑之首。”
EMC公司在存储领域已经有20年的历程。20年来,EMC不断研发向市场推出最新的存储技术。也致力于SRM、本地和远程复制、备份和恢复以及移动和信息管理方面。
此次,EMC对于BCM的建议是:将所有共通性的工作自动化,避免误操作;将一切记录下来,程序、开发文档、操作手册、应用手册等;制定服务水平协定;及早规划;测试演练;KISS(Keep It Simple as Stupid)越简单越好。
建设基于存储的容灾体系
IBM公司资深技术顾问田乐
BCM构建有3种方案。
一、存储复制方案:典型代表是IBM、EMC、Hitachi,在数据丢失、容灾距离、对源系统的影响等方面进行平衡,使用专有协议,对于通信链路和带宽要求高。
二、主机复制方案:典型代表是IBM、HP、 VERITAS,并有两种方式,同步方式和异步方式,要求主机性能好,配置高,基于IP网络,不受距离限制,网络带宽占用高。
三、数据库复制方案:典型代表:Oracle、DB2、Quest数据延迟较多,基于IP网络,不受距离限制,网络带宽占用高。
根据不同的方案选择不同的办法,是BCM基础构建把握的原则。
跳出BCM误区
美国Prism公司风险管理国际副总裁Jerome P.Ryan
Jerome解释了BCM的两个误区,误区之一,BCM是买保险;误区之二,BCM是IT数据,DR灾备和预案。BCM不仅仅是给予危机到来时的从容镇定的应对能力,知道应该做什么(what),谁来做(who),怎么做(How)和应用手段(tools)。
BCM更是灾难、事件的应对机制的建设Accessment和准备Readiness,BCM还是实施计划和恢复运行手段。
而Prism为客户提供的是完整的BCM体系建立的项目管理(BCP生成和维护BCM管理体系);系统工具(BIA&Assessment);企业员工BCM演练培训。 |