国家

全球化趋势的演化(联合国与WTO) 自由贸易区(WTO, NAFTA & EU)
商业
人口
5
在过去十年里，商业风险已经发生了巨大改变
时间 1850 1900 1950 1970 1980 1990 2000
(not to scale)
自然灾害
工业化的进程使人 口密度越来越大
全球变暖造成的气候 变化
• 管理层 / 领导能力
可选的 解决方案 • 明确保证连贯性的 可选的各种方法 • 评估这些方法的战 略价值
24
业务与技术资源的混合是BC&SP 中满足业务价值需要的产 物，是一种提高了的方法。
业务连贯性程序管理
制定规划
风险及其对业务影 响的分析
扩展企业的准备措施
规划的测试
规划的实施
安全规划
业务的焦点 技术方面的焦点
预防
对业务 的影响
准备
通过在破坏事件中提供 提供恢复操作来减少企 业所受的影响
风险的可能性
20
从业务连贯性与协作安全规划中获得价值的关键：

制定计划并通过变革来实施该计划 • 没有认真审视的规划有40%会立即失败，而它们在5年内的成活率 只有 8% • 网络犯罪是过去四年里增长最快的6个因素之一
在关键领域预防和减轻问题的严重性 • 在心中设计好遭受灾难时业务操作 • 在任何适合的情况下制定出可选的措施 提高企业的应变、预防能力 • 要求人们在有失败迹象出现时，必须能有效地团结组织起来 • 要有意识培训人们能够有一定的应变能力 • 规划的制定和危机管理要做在最前面 • 通过沟通和高层管理来确保这些关键因素
2


今日主题

风险的概括
业务连贯性与安全规划 规划的价值所在

方法
3
风险的概括
4
世界正在日新月异地发生着改变，新生的难以预料的 各种风险在业务和技术领域层出不穷。

人口的增长 城市区域内人 口的不断增长 越来越便捷的 旅行使世界越 来越小

全球化程度的 不断提高 因商业分类的 趋势而愈演愈 列的商业合并 风潮 (Wal-Mart & Home Depot)
可视化
娱乐业 游戏 休闲 媒体 体育
属性
•
属性
• •
属性
•
是经济的基础，
GDP的关键所在 与经济的其他方面 联系紧密
如果受到毁灭性打 击，那么整个国家 将限于瘫痪
高度的可视性和交 互性，与商业和消 费者息息相关 涉及到消费者的安 全，所以风险最大
10
•
商业连贯性与安全规划就是要对上述存在的各种威胁、影响作 出预案，即便及时应对。
销售系统
Web 接入
POS 设备
便携 设备
14
当前的威胁和将来发展的趋势越来越使人们专注于如 何制定保证企业健壮性的业务连贯性规划上来。
典型威胁

重大发展趋势

自然灾害 • 火灾 • 洪水 • 台风 • 飓风 • 地震 • 雪灾 人祸 • 黑客 • 病毒 • 数据不一致性 • 数字签名 • 非法获取数据 • 恐怖主义袭击


投资将是 2000年到2005年间预算的3倍
16
业务连贯性与协作安全问题的解决应该重点从下列问 题着手：

风险与保护措施 • 我的企业是否面临风险？它们存在于哪里？ • 在我所面临的风险中我的合作商和客户是否也存在问 题? • 我该怎样才能保护自己的业务? • 要做到怎样的程度才算是保护了自己的企业了呢?
战略优先关系
当前准备 就绪 • 重新审视业务现有 的连贯性规划 • 评价现有规划 • 最初的决策
解决方案 策略报告 • 当前哪些工作已经 就绪 • 未来情况如何 • 业务案例 • 建议的提高 • 得到所需的连贯性 规划
对关键业务流程 的优化 • 将战略中优先的 东西映射到具体 的业务流程中 • 确定关键流程的 任务 • 划分关键流程的 优先顺序 • 决定出构成要素 和依赖条件
威胁
灾难
潜在影响
反应
规则 客户需求
成本的增加
网络 利润的降低 新机遇的出现
操作
股票的价值
商业连贯性与安全规划化
减缓风险 时间恢复 成本管理 新机遇
11
业务连贯性与安全规划
12
业务连贯性与协作安全问题的妥善解决对保护企业运 作、资产和维持企业处于某个级别都是很有益的。
定义
业务连贯性

目标
操作 • 保证连贯性的关键操作 • 服务的最小化 • 确保服务中断后能重新 恢复 资产 • 保护信息资产 • 将财务损失降至最低 • 降低风险 • 确保职员安全


21
方法
22
我们所提供的方法检测了风险中的关键要素，同时也评价 了业务连贯性中要权衡的方法与准备性之间的关系。
业务连贯性程序管理
制定规划
风险及其对业务影响 的分析
扩展企业的准备措施
规划的测试
规划的实施
安全规划
评价业务连贯性和恰当 投资的价值
为准备措施和变革制定可操作的有 序的方法
规划的批准
规划的发布
扩展企业的不断发展 企业间的兼并、破产 与重组 全球化趋势的加剧 对信息越来越依赖




技术的普及
Internet的普遍接入 电子商务的不断完善 与环境的日趋规范 客户自我服务意识的 提高
15

业务领导和IT管理人员已经重新把注意力集中于业务的连 贯性、风险管理和灾难恢复等问题方面。

有超过 90% 的企业受到过袭击 • 金融灾难和安全性事件给企业运作带来树 十亿美元的损失 绝大多数企业已经不在徘徊 • 很多企业在未来几年的预算中附加了提高 企业抵抗灾害能力的资金。
成本 • 当我停止开销后所需的成本是多少?


生存 • 如果遇到破坏，我的企业如何继续运作下去?如何幸存 下来呢? • 遇到破坏该如何应对呢?
17
规划的价值所在
18
BC&SP的一个基本主题就是了解成本、可能出现的 破坏及其对业务的影响之间的关系。
• 可能性 • 数量级
破坏发生的
恢复成本
• 恢复措施 • 所用时间 • 恢复范围 • 危机管理
恢复操作
常规操作
保护方面的投资
• 预防 / 准备措施 • 计划与应对预案 • 保护范围 • 开销的增加
事件
• 风险/影响 • 服务需求
业务影响
• 利润的损失 • 客户/合作商的信任度是否受影响 • 法律/法规
19
通过联合来避免风险，或者是通过预案等准备措 施来降低企业的风险。
风险
高风险的 高影响
通过提高预防措施 和冗余手段来降低 风险

驱动业务保持连贯性并安全的方法 策略、操作与技术经验的结合 对欺诈、安全、隐私和风险管理领域的进一步探索 在任何开始改变的时候就采用生命周期的方法来保护企业免受危害 将业务连贯性嵌入在新流程和技术设计之中综合考虑
25
业务运作模型
关键管理
人力资源 财务 法律l
• 传统的业务操作已经 越来越复杂，越来越 有可能失败
客户
培训中心
供应商r
获取t
仓储
销售
合作商
• 系统保护已经十分典 型地不能与业务的关 键性保持步调一致了 • 企业与外界的连通性 和设备方面的不断深 入使企业很容易遭受 破坏
商品条目 系统
仓储&物流
基础架构
7
以下是因计算机病毒引起的世界范围内的经济损失统计
单位：百万美元
800 700 600 500 400 300 200 100 0
1990 “业路撒冷”病毒 1995 “概念”病毒 1999 “Melissa”病毒 2000 “Love Bug”病毒
资料来源: Richard Power, Tangled Web
企业风险管理模型
休斯顿大学 信息系统研究中心 Dan Starta
(Dan.Starta@) February 2002
执行者的概括

最近恐怖分子对美国的袭击目标已经转向了商业和IT管理者、风险管理 和灾难恢复等问题引起人们的关注 • 灾难和安全事件对财政的影响每年高达数十亿美元，影响的范围波 及到90%的企业 • 商业连贯与安全组织BC&S（Business Continuity and Security) 将继续作为 一个能预测未来的管理者发挥着自己的作用 绝大多数企业已经投资于BC&S 并将专注于如何提高该领域中所用的资 金数额 • 预期的投资额将是2002年到2005年间投资额的3倍 Strategic BC&S的战略规划将使组织能避免开销过大的灾难，从而保护 业务和潜在的新资源的商业价值 • BC&S应该成为一个业务的使能原动力，而IT只是解决方案的一个组 成部分 • 适应BC&S的企业将使其被关键资产和核心业务得到保护 • 就象BC&S目前所增长的开销一样——明智的投资能在降低成本的同 时提高企业对业务关键方面的保护 • 更新的BC&S将能加速新技术的开发，使其对潜在的企业运作、客户 和股东产生附加的价值
23
一个最初的评价将最终通过企业领导对业务连贯性和安全 性方面的战略价值的理解程度来体现。
风险及其对企业的影响分析 (6-8周时间完成)
义务 & 从属关 系 • 评价业务中所 射击的客户、 合作商和供应 商 • 重新审视现有 和协议 • 考虑法规方面 的要求 对关键业务流程 的风险管理任务 • 明确风险的因素 • 评估出奉贤对企业 的影响 业务影响 分析 • 定量地分析所 造成的 • 相互见的依赖 性 • 区分影响的轻 重缓急程度和 造成的后果