1.规划部署的一体化:业务持续管理的特点是工作覆盖范畴广(如下图),任何一部分的忽略和失误都可能让最后的反应和恢复方案功亏一篑。所以业务持续管理需要从业务需求出发整体上系统地统一规划,从而达到管理的全面性和适宜性,即合理的投资回报(ROI)。包括BCM实施也分为自建、共建和外包等策略。所以业务持续管理正由科技部门(CIO)主导逐渐向由风险管理部门(CRO)负责甚至在一些单位出现了专业的职能(CCO)。
2.工作内容的专业化:由于业务持续管理的工作范围如此之广,专业化的分工和合作就必然是个很实际的问题和趋势。核心的专业分工如下表所示。总体来看可分为三个层次:即战略管理层、战术实施层和日常维护层。
3.实施方法的标准化:国际上一个很明显的趋势就是实施方法的标准化。标准的内容有许多相似性,但比较有影响力的是英国的BS25999和新加坡的SS540。这些标准的共同基础是国际业务持续性协会(http://www.thebci.org/)发布的良好实践指南(GPG2008)。
业务持续管理在中国的推广和发展过程中有许多误区并面临许多实际的问题:
1.人员意识和认识方面:总体上人们对于小概率大影响的事件偏向于过分乐观。尤其是华人的社会文化特点是比较忌讳谈论“天灾人祸” 这些我们不太认为可能发生在自己身上的事件。这种意识反映在认识方面就是要么认为风险绝对不可能发生,要么设定业务绝对不可以中断(MTPD=0和RPO=0)的不合理或不现实持续目标。
2.实施驱动力方面:中国的主要经济实体是国有企业,而国有企业的最大特点就是国家负责一切(老外语:The state looks after everything)。这样企业实施BCM的动力并不大。政府不得不加大重点行业(金融、电信、电力、民航、铁路、海关、税务等)在BCM方面的立法强度,强调企业的经济行为和社会责任双重角色。否则最后的结果就是政府承担责任并买单。
3.实施策略方面:许多人认为业务持续管理(BCM)就是容灾(DRP)。而且许多单位容易忽略本地设施的保护和管理来进一步提高IT服务的可用性和可靠性。最后业务持续管理就变成了建立同城异地灾备中心的代名词。这种从资源(IT基础设施)投入到业务需求的反向而非整体性规划的最终结果往往是投入巨大但效果很差。
4.维护运行方面:“重建设,轻运维” 这是大家对业务持续管理现状的共识。殊不知业务持续管理很重要的工作就是通过日常的持续维护和不断演练,才能实现“有备无患”而不是“有备无换”。(来自:行业研究报告)