综合管理流程 业务连续性管理考验公司基业常青

　　本报记者 刘永 康健 发自广东南海上海

　　业务连续性管理(BusinessContinuityManagement，简称BCM)，是一项综合管理流程，使企业认识到潜在的危机和相关影响，制订响应、业务和连续性的恢复计划，其总体目标在于提高企业的风险防范能力，有效地响应非计划的业务破坏并降低不良影响。

　　“9·11”给那些希望基业常青和永续经营的公司提了个醒。

　　由于没有做业务的数据备份，多家位于爆炸区的银行、证券、基金公司遭受了毁灭性打击；由于对灾难的预知不足，做了数据备份的公司也并没有必然从中获益，一家大型纽约银行的员工因为没有受过实际故障训练，将备份的所有数据悉数删除。

　　事实上，并非对IT依靠紧密的公司才遭此劫，世贸中心的两大律师事务所，对于他们来说，产品仅仅限于word文档、客户名单、卷宗以及证据，虽然先前有存储工作，但没有容灾恢复——缺乏业务连续性管理——直接导致它们从世界上消失。

　　业务连续性管理(BusinessContinuityManagement，简称BCM)，是一项综合管理流程，使企业认识到潜在的危机和相关影响，制订响应、业务和连续性的恢复计划，其总体目标在于提高企业的风险防范能力，有效地响应非计划的业务破坏并降低不良影响。

　　BCM渐行渐近

　　让人毫无防备的人祸——恐怖主义、网络攻击和业内破坏的不断升级；海啸、龙卷风、洪水、地震和飓风等天灾——对业务连续性管理的要求程度越来越高，越来越多的企业正在建立自己的灾难恢复计划。

　　在欧美经济发达区域，灾难备份行业开始由隐型走向显型；CIO开始把灾难备份和灾难恢复当做重点日常工作；CEO开始有意识地将BCM纳入管理战略体系。

　　如果公司业务生存问题、信誉的损害和投资者信心的降低，都还不足以让CEO对灾难恢复计划给予足够的重视的话，政府规章制度给公司带来的压力越来越大。

　　美国2002年通过的“萨班斯-奥克斯雷法案”(Sarbanes-OxleyAct)要求企业要证明自己的灾难恢复计划是可行的。

　　“9·11”事件之后，美联储、OCC(美国货币监理署)和SEC(美国证券交易会)于2003年5月28日发布《关于增强美国金融系统灾难恢复能力的可靠措施的跨部门白皮书》，增强金融机构在遭到大范围灾难打击之后的恢复能力提出了措施和实施时间的要求。

　　在香港地区，金管局提出了业务连续性要求，包括所有金融企业都要有业务连续性计划、备份场地等。

　　灾难备份与恢复、业务连续性管理在中国内地也开始受到空前的关注。

　　2002年8月，人民银行发布260号文，要求所有数据大集中的银行具备灾难备份和灾难恢复能力，并报人民银行备案。

　　刚刚过去的上周，中国首届灾难恢复行业高层论坛也在广东南海举办，短短一天半的会议让知情者闻讯而来，银行、税务、保险、证券、基金、制造、咨询等44个行业之众，与会者多为CIO、副总裁以及CEO。

　　会议期间，一份由国务院信息化工作办公室牵头起草的《重要信息系统灾备指南》引起了各路机构的激烈探讨。实施案例的讨论、行业标准的酝酿，一切都才刚刚开始。

　　BCM不只是技术

　　BCM不是通过技术，对企业数据进行灾难恢复那么简单。

　　在美国冷战年代制定的65号法案有面对灾难，政府权力如何继承有详细规定。如州长死了，权力就移交给副州长，对整个机构职能如何转移有一整套体系。在美国，常常是总统在天上飞的时候，副总统肯定呆在地上，这也是一整套的业务连续性管理体系。

　　DRI亚洲执行总监GohMohHeng介绍，国际通行的业务连续性操作步骤包括项目启动和管理、风险评估和控制、业务影响分析、制定业务连续性战略、紧急响应和运行、计划制定和业务连续性计划的实施、认知和培训项目、业务连续性计划的演练和维护、危机联络以及与外部机构的合作。DRI是业务连续性方面的非营利性国际机构。

　　GDS首席灾难备份顾问汪琪是中国内地第一位获得国际DRI认证的业务连续运作专家。他表示，业务连续性管理并不仅仅是IT部门的职责。在业务连续性管理方面，很多公司是由最高领导人或分管业务的副总来负责。

　　他还向记者介绍了深圳发展银行的业务连续管理机制。

　　早上某客户发现银行所在大楼着火冒烟，消防把场地封锁了。这时，银行马上启动应急机制。银行应急小组马上在中心评估当时的情况，向消防、供电和警察了解情况。看火烧到什么程度，几小时能够解围，人什么时候能进去。按照情况的紧急程度实施相应措施。此前，一支灾难恢复小组马上到灾难恢复中心。进行预警，检查系统和网络情况，一旦有情况(如果得出的结果是要进行切换)就进行切换。此后，灾难恢复小组以及应用业务人员进行检查，如果发现数据达到要求，网络联通，就上报总指挥(通常是行领导)，宣布可操作，可以对外营业。在这个过程中，另外一支客户服务队伍之前已经在呼叫中心的帮助平台上，指挥分支机构的恢复情况，对储户的情况进行查询以及回复，告诉储户所有资金的记录一分不少，以免客户挤兑。

　　在这个过程中，三支小组联动起来，形成了很好的业务连续性管理的机制。

　　据悉，在深发展建立业务连续性管理体系的过程中，曾综合考察了灾备中心距离，深圳的地震裂度，高速公路通往机场的情况、电缆的情况等等各种各样的参数。此外，在需求分析的过程中，还要考察成本与数据恢复时间等要素。

　　一般而言，数据恢复的级别越高，其成本越高，所以业务连续性管理很重要的一项工作就是评估最优化的成本与时间方案，找到最佳结合点。

　　外包？还是自建

　　一系列政策的出台导致业务连续性管理的强劲需求，这在客观上刺激了和加速了灾备行业的兴起和形成。

　　这将涉及灾备咨询和系统方案解决服务商、硬件提供商和灾备外包服务商、硬件设备商和电信运营方。其中硬件里面就有网络设施、服务器等非常繁杂的品种。

　　在这个行业中，提供咨询和系统的解决方案的，只占10%到20%的利润，更多的收入来自硬件。

　　“Superhighwayrobs”，对于国外的硬件提供者，灾备行业一位专家说，现在选择的空间太小，外资占据了绝大部分的市场份额，IBM和HP是其中最大的两家。

　　IBM和HP在这个领域既提供硬件又提供服务。

　　在美国，最大的灾难恢复服务商SUNGARD被多家财团收购，由上市公司变成私人企业。

　　而SUNGARD在中国的合作伙伴GDS万国数据服务有限公司是中国第一家专业灾难备份服务商，2002年为第一家客户提供灾备外包服务，但是在去年，他们的收入已经达到4000万元。而且获得了来自汉鼎亚太的风险投资。

　　“从目前的趋势来看，每年100%的增长应该不成问题。”在美国工作多年现任GDS市场总监的刘成禹对这个行业有足够的信心。

　　而新成立的联想网御也派来了强劲阵容参加这个会议，他们希望在这个行业分得一杯羹。

　　在论坛上，EMC公司中国区市场总监杜国强认为，业务的连续性处理不再由单一人员或部门负责，它已成为企业的整个策略和过程，这在参与代表中形成普遍意见，但灾难备份与恢复，是自建还是外包，有不同的意见。

　　在自建还是外包这个问题上，中国人民银行银行司李晓枫副司长介绍，就银行业来看，倾向于自建灾难备份中心。

　　他介绍，中国人民银行已在无锡自建了灾难备份中心，三大政策性银行也有建设灾难备份中心的考虑，股份制商业银行如光大银行、福建兴业银行也在寻找外包合作伙伴。

　　国务院信息化工作办公室王渝次司长认为，对于企业来说，守住自己的主业，才是正道，从社会层面来说，也可以避免浪费。

　　自建和外包，这是两种不同的模式，从美国的情况来看，一位与会专家介绍，大概59%的企业选择了外包。对于外包的利和弊，与其他领域一样，集中在业务数据是否丢失、安全性以及成本、关注主营业务方面。