2004年9月13日，第五届中国金融信息化发展论坛在北京展览馆报告厅召开。以下为本次论坛实录：

　　主持人：感谢袁先生的演讲，刚才袁先生介绍了一下在网络时代银行IT的构架应该以网络为中心，同时介绍了sun公司在这方面采取的技术和策略。今天上午第六位也是最后一位演讲嘉宾是中国信息化推进联盟的高级顾问，BCP Asia资深设计师黄守吉先生，黄先生

点点通个性天气 让眼镜成为历史 新浪彩信 幽雅个信 你的放心来自我的用心

是新加坡业务持续计划副主席，BCP国际机构资深讲师，他和他的团队以其丰富的经验为多家机构和企业提供了完美的服务。他演讲的题目是《中国信息化发展的必然趋势—BCP》。希望欢迎黄先生演讲。

　　黄守吉：各位领导、专家、女士们、先生们，早上好。首先我很感谢主办方给我这个机会从新加坡到贵国与各位专家以及朋友交流。我今天要讲的题目是业务持续计划或者是BCP。很多朋友问我什么是BCP，他们都认为BCP就是ITDR，而ITDR就是BCP，所以今天我所谈的重点是BCP与ITDR不同的关联和角色与BCP的运作流程，和我们现在所面对的问题。我们要问自己，为什么有些企业经过9.11这么严重的灾难事件后，可以在他们所定义的目标恢复时间调动几千名员工，调动他们的资源到不同的异地备份、恢复以及持续他们的关键系统以及业务，他们是如何实行的？像9.11事件，其实他们采用了BCM的反案，让他们成功恢复关键业务。(见图)我们看一下BCM的图表，不仅包括ITDR，也包括企业的管理，风险管理、紧急管理、人力资源一系列的管理方案，从这里我们可以看看紧紧的ITDR是不足够可以让公司或者企业恢复他们的关键资料。我很高兴得到德意志银行BCP小组的批准，让我在这里的讨论会放短短十分钟的短片，让您参考德意志银行在应对9.11事件后的小组的应对情况，与我所谈的BCM方案按照计划与最快速度调动和保护他们的相关资源，他们如何调动4000多名员工顺利撤出大厦，并利用全球分行的资源与电脑和教育系统分担纽约的严肃性，以缓解业务的压力，并在纽约30公里的地方有办公区，让他们员工在最短的时间内恢复业务，整套的合理流程得到银行内部和外部的好评，甚至外界不敢相信德意志银行能以如此快的速度恢复，通过这件事情以后，他们的员工和客户以及企业对他们更加有信心了。(短片)

　　看完这个影片，你们可以多了解BCP的好处以及它的价值在哪里？假设德意志银行没有BCP的计划，9.11事件发生后就有意想不到的后果。所以BCP定义是一套完整的解决方案，用来消灭或降低突发事件，重点是易保反映机制，启动紧急业务，业务的持续性以及目标恢复时间。接下来看图是，我们解释BCP的系统以及策略，如银行的交易部门是一个关键业务，他们一个小时或者一个月之内的营业额是多少？所需要的关键交易系统又是什么？结帐系统可能是税务系统。所以我们做了一个业务数据分析，如果这种关键系统瘫痪了，他们的损失将在一小时到一个月之内的损失将会是多少？同时也可以令他们无法交易，使财务受到损失，而且使客户失去信心。从这个图可以看出，他们的业务损失情况。那么我们如何调整应对策略，如果恢复时间是一个小时，将要采用什么方法解决这个问题。这说明BCP计划的投入以及没有BCP计划所造成的损失的比例。从图可以看出业绩分析和业务中断时间的长久，以及恢复时间长久对业务冲击的对比。

　　我们再看一下业务是怎么样主导整个BCP的流程，可以先从风险、业务冲击做出分析，如银行的税务系统，如果瘫痪了，就无法吊销交易财政损失，从这里可以看出我们确定他们需要恢复的前台和后台的关键系统，我们也可以让BCP主导RTO项目，以确保业务持续，确保业务是否在关键时间内进行重新运作。我们花了这么多时间，到底BCP的价值在哪里？它包括：股东的利益、公司的名誉及品牌，资产、设施等等。有了BCP计划，我们就可以以我们所分析的危机做出预防和阻止灾难的发生，如果灾难真的发生之后，我们可以利用BCP的方案很快恢复以及持续我们关键的业务。从图面来看，一旦我们的设施瘫痪了，我们的客户、用户应该怎么办？我们是否有持续的计划进行我们的恢复计划？第一，我们可能要恢复的是IT系统，恢复了IT系统是否足够呢？不足够。我们需要进行业务持续计划，像人员重新部署，电话转机恢复，因为我们不能跟客户失去联系，因此这个电话转机非常重要，还有员工有没有BCP的理念和知识，一般机构能够很快的恢复关键业务。这就是我们整套的业务持续管理。

　　您的企业是否拥有真正的BCP计划呢？其实很多企业都说我已经进行保险了，已经有计划了，可是他们没有顾虑到公司的发展、生存等因素，就像我们看到的这个图面，如果没有BCP计划，企业根本不能生存下去。我们进行业务分析，像BIA扮演的角色是BCP计划的基础，BIA能够帮助我们定制恢复时间的目标，那么企业所需要的最低运作要求是什么？业务的要求是什么？恢复的策略又是什么？从BIA中可以看到，一个完善的BIA流程到底是怎样？德意志银行就是靠国际上的流程储备了BIA技术。准备流程有五个阶段：

　　第一，是BCP的初始化，首先是如何进行团队培训，各部门如何做BCP工作来确定BCP目标。

　　第二，包括风险分析，鉴定周边环境所存在的风险。比如说德意志银行在1993年的爆发事件作出了风险的预测，所以9.11事件时他们有很好的防范方法以恢复他们的业务。

　　第三，业务分析，就是如何确定业务和具体的恢复时间，确定所需的资源。在计划内确认恢复策略以达到指定要求。

　　第四，计划的开发和实施，对公司所有的部门员工一定要进行严格测试的操作性尝试的培训，实行小组详细的恢复以及业务持续工作，制定开发ITDR的计划。

　　第五，培训以教育我们的员工是经常被忽略的可是在这个项目里，不能被忽略，我们希望我们的员工真正了解BCP项目，以跟客户沟通。有了BCP的经验，我们少不了做检验，在实行完善项目的时候，建立实时演戏计划，以确定项目实施是否有效和是否有可靠性，原来我们有很完整的技术文件，当然不是说有了文件就不管了，其实德意志银行每半年或者一年都做恢复与保持，如果更改的话，他们都要从第一阶段开始，就是怎么恢复和完善BCP的运作流程。为什么现在还有很多人没有进行BCP呢？也说过很多机构误解了BCP的用处，他们以为BCP就是ITDR，ITDR就是BCP，我们的重点是了解BCP和ITDR的关联到底是什么？所以我们要做充分的BCP计划，而要开发BCP的难点是什么呢？其实很多机构都觉得这种BCP项目应该转交给IT部门管理，可是IT部门是以系统恢复为主，而往往忽略了关键业务。所以它们需要一个高层的支持，各个相关部门的参与和配合，以及他们要了解到BCP整个流程是什么样的。

　　如何解决以上问题？需要学习同类企业的当今先进做法，也可以借鉴德意志银行的做法，我们可以按照标准执行，或聘请有资质的人士做BCP的计划，当然启动BCP计划在企业里有相关人员，目的是更好的做好交流和顾问客户工作。有人问我有没有指导BCP的国家呢？比如说新加坡管理局，还有韩国、日本、马来西亚，以上提到的国家都与银行系统有具体的标准要求。新加坡管理局出了七个原则，董事会和高层领导应该对所的BCM企业负责。他们也知道BCP应该和其他部门有良好的结合，而且BCP计划进行完整、有意义的测试。他们应该指定恢复时间作为一种标准。企业应该避免和各部门之间的依赖型以避免依赖型带来的恢复风险。企业应该为大面积严重灾难做好准备，企业应该准确异地办公计划已避免人员集中带来的风险。

　　我的演讲就到这里，谢谢大家。

　　提问：作为中国BCP的顾问，你觉得业务持续，BCP在中国发展的区域和前景如何？

　　黄守吉：我们世界发生这么多的灾难事件之后，我们也不能忽视水灾、火灾等等一系列的灾难，如果真的银行设备瘫痪了，不能持续的业务将对中国的经济有影响。所以我觉得BCP对银行界或者对中国的重要性是特别高的，而我觉得中国的经济和信息技术发展得特别快。所以我认为，BCP在中国的前景是特别好的。