如果受到毁灭性打 击，那么整个国家 将限于瘫痪
高度的可视性和交 互性，与商业和消 费者息息相关 涉及到消费者的安 全，所以风险最大
10
•
商业连贯性与安全规划就是要对上述存在的各种威胁、影响作 出预案，即便及时应对。
威胁
灾难
潜在影响
反应
规则 客户需求
成本的增加
网络 利润的降低 新机遇的出现
操作
股票的价值
扩展企业的不断发展 企业间的兼并、破产 与重组 全球化趋势的加剧 对信息越来越依赖




技术的普及
Internet的普遍接入 电子商务的不断完善 与环境的日趋规范 客户自我服务意识的 提高
15

业务领导和IT管理人员已经重新把注意力集中于业务的连 贯性、风险管理和灾难恢复等问题方面。

有超过 90% 的企业受到过袭击 • 金融灾难和安全性事件给企业运作带来树 十亿美元的损失 绝大多数企业已经不在徘徊 • 很多企业在未来几年的预算中附加了提高 企业抵抗灾害能力的资金。
成本 • 当我停止开销后所需的成本是多少?


生存 • 如果遇到破坏，我的企业如何继续运作下去?如何幸存 下来呢? • 遇到破坏该如何应对呢?
17
规划的价值所在
18
BC&SP的一个基本主题就是了解成本、可能出现的 破坏及其对业务的影响之间的关系。
• 可能性 • 数量级
破坏发生的
恢复成本
• 恢复措施 • 所用时间 • 恢复范围 • 危机管理

驱动业务保持连贯性并安全的方法 策略、操作与技术经验的结合 对欺诈、安全、隐私和风险管理领域的进一步探索 在任何开始改变的时候就采用生命周期的方法来保护企业免受危害 将业务连贯性嵌入在新流程和技术设计之中综合考虑
25
销售系统
Web 接入
POS 设备
便携 设备
14
当前的威胁和将来发展的趋势越来越使人们专注于如 何制定保证企业健壮性的业务连贯性规划上来。
典型威胁

重大发展趋势

自然灾害 • 火灾 • 洪水 • 台风 • 飓风 • 地震 • 雪灾 人祸 • 黑客 • 病毒 • 数据不一致性 • 数字签名 • 非法获取数据 • 恐怖主义袭击
商业连贯性与安全规划化
减缓风险 时间恢复 成本管理 新机遇
11
业务连贯性与安全规划
12
业务连贯性与协作安全问题的妥善解决对保护企业运 作、资产和维持企业处于某个级别都是很有益的。
定义
业务连贯性

目标
操作 • 保证连贯性的关键操作 • 服务的最小化 • 确保服务中断后能重新 恢复 资产 • 保护信息资产 • 将财务损失降至最低 • 降低风险 • 确保职员安全
业务运作模型
关键管理
人力资源 财务 法律l
• 传统的业务操作已经 越来越复杂，越来越 有可能失败
客户
培训中心
供应商r
获取t
仓储
销售
合作商
• 系统保护已经十分典 型地不能与业务的关 键性保持步调一致了 • 企业与外界的连通性 和设备方面的不断深 入使企业很容易遭受 破坏
商品条目 系统
仓储&物流
基础架构
“业务的连贯性”是指：事先安排好的 处理过程与企业处理实际的具体事务 时能以一种关键业务功能不被打断和 改变的连续一致方式来处理。

协作安全 对企业中那些在关键操作中起作用的 物质资产和潜在资产实施保护措施，
将其面临的威胁降到最低。

级别 • 维持住大众客户 • 保持客户对企业的信心
13
从技术层面分析，合作和运作方面的融合已经在不断增加， 所以业务所承担的失败风险也越来越引起关注。
政治、经济 的动荡
冷战的结束
第2世界和第 三世界的政治 动荡
生物技术
生物技术的出现
恐怖分子开始使用 生化武器
对未知领域 的恐慌
6
1997年-2001年间统计的电脑被袭击事件
百分比
100 90 80 70 60 50 40 30 20 10 0
外国政府
外国企业
美国企业
黑客
内部人士
7
以下是因计算机病毒引起的世界范围内的经济损失统计
肯定 63% 否定 30%
9
绝大多数企业都很可能被列入毁灭性打击的目标
可能遭受毁灭打击企业的要害
基础架构
石油& 汽油 电信 交通设施
核心流程
汽车 消费品 医疗卫生 高科技 医药 加工业
可视化
娱乐业 游戏 休闲 媒体 体育
属性
•
属性
• •
属性
•
是经济的基础，
GDP的关键所在 与经济的其他方面 联系紧密


投资将是 2000年到2005年间预算的3倍
16
业务连贯性与协作安全问题的解决应该重点从下列问 题着手：

风险与保护措施 • 我的企业是否面临风险？它们存在于哪里？ • 在我所面临的风险中我的合作商和客户是否也存在问 题? • 我该怎样才能保护自己的业务? • 要做到怎样的程度才算是保护了自己的企业了呢?
2


今日主题

风险的概括
业务连贯性与安全规划 规划的价值所在

方法
3
风险的概括
4
世界正在日新月异地发生着改变，新生的难以预料的 各种风险在业务和技术领域层出不穷。

人口的增长 城市区域内人 口的不断增长 越来越便捷的 旅行使世界越 来越小

全球化程度的 不断提高 因商业分类的 趋势而愈演愈 列的商业合并 风潮 (Wal-Mart & Home Depot)
越来越频繁的气候现象： 地震、洪水、飓风和厄尔尼诺 现象等
新风险
商业气候
规模经济开始通过高效的 制造流程得以实现
日益提高的专业 化程度
全球自由贸易区 WTO, NAFTA, EU)
更大更专业 化的目标 信息目标 独立的更严 峻的风险
技术普及
第一台商用电脑的 出现
Internet的出现使 人们之间的沟通 更便捷


国家

全球化趋势的演化(联合国与WTO) 自由贸易区(WTO, NAFTA & EU)
商业
人口
5
在过去十年里，商业风险已经发生了巨大改变
时间 1850 1900 1950 1970 1980 1990 2000
(not to scale)
自然灾害
工业化的进程使人 口密度越来越大
全球变暖造成的气候 变化
单位：百万美元
800 700 600 500 400 300 200 100 0
1990 “业路撒冷”病毒 1995 “概念”病毒 1999 “Melissa”病毒 2000 “Love Bug”病毒
8
大多数美国公民认为美国的企业都过分相信自己 的商品是坚不可摧的。
美国的企业真的足够强大吗? 弃权 7%
预防
对业务 的影响
准备
通过在破坏事件中提供 提供恢复操作来减少企 业所受的影响
风险的可能性
20
从业务连贯性与协作安全规划中获得价值的关键：

制定计划并通过变革来实施该计划 • 没有认真审视的规划有40%会立即失败，而它们在5年内的成活率 只有 8% • 网络犯罪是过去四年里增长最快的6个因素之一
在关键领域预防和减轻问题的严重性 • 在心中设计好遭受灾难时业务操作 • 在任何适合的情况下制定出可选的措施 提高企业的应变、预防能力 • 要求人们在有失败迹象出现时，必须能有效地团结组织起来 • 要有意识培训人们能够有一定的应变能力 • 规划的制定和危机管理要做在最前面 • 通过沟通和高层管理来确保这些关键因素
恢复操作
常规操作
保护方面的投资
• 预防 / 准备措施 • 计划与应对预案 • 保护范围 • 开销的增加
事件
• 风险/影响 • 服务需求
业务影响
• 利润的损失 • 客户/合作商的信任度是否受影响 • 法律/法规
19
通过联合来避免风险，或者是通过预案等准备措 施来降低企业的风险。
风险
高风险的 高影响
通过提高预防措施 和冗余手段来降低 风险
战略优先关系
当前准备 就绪 • 重新审视业务现有 的连贯性规划 • 评价现有规划 • 最初的决策
解决方案 策略报告 • 当前哪些工作已经 就绪 • 未来情况如何 • 业务案例 • 建议的提高 • 得到所需的连贯性 规划
对关键业务流程 的优化 • 将战略中优先的 东西映射到具体 的业务流程中 • 确定关键流程的 任务 • 划分关键流程的 优先顺序 • 决定出构成要素 和依赖条件
企业风险管理模型
February 2002
执行者的概括

最近恐怖分子对美国的袭击目标已经转向了商业和IT管理者、风险管理 和灾难恢复等问题引起人们的关注 • 灾难和安全事件对财政的影响每年高达数十亿美元，影响的范围波 及到90%的企业 • 商业连贯与安全组织BC&S（Business Continuity and Security) 将继续作为 一个能预测未来的管理者发挥着自己的作用 绝大多数企业已经投资于BC&S 并将专注于如何提高该领域中所用的资 金数额 • 预期的投资额将是2002年到2005年间投资额的3倍 Strategic BC&S的战略规划将使组织能避免开销过大的灾难，从而保护 业务和潜在的新资源的商业价值 • BC&S应该成为一个业务的使能原动力，而IT只是解决方案的一个组 成部分 • 适应BC&S的企业将使其被关键资产和核心业务得到保护 • 就象BC&S目前所增长的开销一样——明智的投资能在降低成本的同 时提高企业对业务关键方面的保护 • 更新的BC&S将能加速新技术的开发，使其对潜在的企业运作、客户 和股东产生附加的价值