郭濤

美國當?shù)貢r間10月1日晚，賭城拉斯維加斯發(fā)生了美國歷史上最嚴重的槍擊案，事件導致至少59死527傷。從拉斯維加斯槍擊案到BCM（業(yè)務連續(xù)性管理），這中間有什么聯(lián)系呢？拉斯維加斯槍擊案的慘痛教訓從一個側(cè)面折射出應急管理應如何充分發(fā)揮其作用。而BCM關(guān)注的是如何避免災難或意外事件對組織或機構(gòu)的業(yè)務連續(xù)性運作造成影響甚至是破壞。應急管理也屬于BCM的范疇。

如果在災難或意外發(fā)生之前能夠預見，如果在災難或意外發(fā)生之后能夠快速響應，及時消除負面影響，如果真能有那么多如果，“9·11”、在美國多地肆虐的颶風，還有火災、洪水等自然的和人為的災害，就會因為有了BCM，人們提前認知到危機或災難，并能在事后采取有效應對手段，就可以大大減輕災害造成的損失。

在百度百科上，業(yè)務連續(xù)性管理（Business Continuity Management）的定義是，BCM一項綜合管理流程，它使企業(yè)認識到潛在的危機和相關(guān)影響，制訂響應、業(yè)務和連續(xù)性的恢復計劃，其總體目標是為了提高企業(yè)的風險防范能力，以有效地響應非計劃的業(yè)務破壞，并降低不良影響。從該定義可以看出，BCM與業(yè)務、流程有關(guān)，可以通過一系列管理和技術(shù)的手段落地和實現(xiàn)。

但結(jié)合上文提到的現(xiàn)實生活中的種種災難和風險，筆者認為，BCM不應該只是某些企業(yè)和機構(gòu)，或者某些業(yè)務領(lǐng)導和技術(shù)人員思考的事，而應該是滲透到每個人血液中的一種風險和安全意識。從這個角度說，也許它也可以歸入“大安全”的范疇。

中國的企業(yè)用戶對BCM這個名詞應該不陌生，但是BCM在中國的落地情況又如何呢？近日，DRI BJ2017大會在北京召開，筆者帶您一起去尋找答案。

DRI（國際災難恢復協(xié)會）作為全球BCM領(lǐng)域最權(quán)威的學術(shù)組織，已得到國際上開展BCM應用的組織和BCM從業(yè)者的高度認可。為增強中國BCM專業(yè)人士對DRI的了解，DRI BJ2017將重點放在展示DRI的發(fā)展歷程和未來規(guī)劃，以及BCM的應用探索上。

這一會議每兩年在中國舉辦一次，都是依靠志愿者進行會議的策劃、組織和執(zhí)行。由于人手有限，會議的宣傳只是通過朋友圈和業(yè)內(nèi)人士口口相傳，盡管如此，此次兩天的會議，每天都有至少400人參加，而且相當一部分聽眾一直堅守到會議的最后，下午五六點鐘，大家對BCM的關(guān)注和熱情可見一斑。另外，相關(guān)廠商參加演講也十分踴躍。由于演講時段有限，據(jù)說個別業(yè)內(nèi)知名廠商都沒能“搶”到位置。

DRI中國分會（DRI China）總裁于天在整個會議過程中忙前忙后，卻樂此不疲。DRI進入中國到今年已經(jīng)十年，看到BCM在中國客戶中扎根、開花、結(jié)果，于天當然是最感欣慰的。

成立于1988年的非盈利學術(shù)組織DRI，專注于BCM理論體系的建立和方法論的推廣，是全球公認的BCM從業(yè)者資格認證的權(quán)威機構(gòu)。自2007年進入中國，DRI在中國十年磨一劍，為各行各業(yè)BCM實踐提供專業(yè)指導的同時，也培養(yǎng)了大批BCM專業(yè)人才。目前，中國通過CBCP認證的已有400多人，從數(shù)量上看，在全球僅次于北美。“十年中，中國用戶對于BCM的認知在逐步提高。不過，在BCM項目的落地上，還略顯少而慢。”于天表示，目前，金融行業(yè)的客戶在BCM項目的實施中領(lǐng)先于其他行業(yè)。

本次大會的演講內(nèi)容精彩紛呈，有兩個突出的特點：一是金融行業(yè)，主要包括銀行和證券公司，仍然是中國BCM的中堅力量，其BCM實踐正走向深入；二是互聯(lián)網(wǎng)企業(yè)現(xiàn)身說法，國外的eBay和中國的阿里，都講述了自己與BCM的不解之緣。

金融業(yè)是中國BCM應用的開拓者，尤其是銀行，更是中國BCM應用普及度最高的領(lǐng)域。廣發(fā)銀行信用卡中心在高速拓展業(yè)務的同時，一直非常重視業(yè)務連續(xù)性管理體系的建立，是國內(nèi)第一家獲得BCM國家標準GB/T-30146認證的金融機構(gòu)。在會上，廣發(fā)銀行信用卡中心信息安全經(jīng)理、資深BCM實踐者張桂明介紹了BCM實踐，中怡保險分析了風險轉(zhuǎn)移新策略，平安銀行和海通證券分享了BCM應用的探索和經(jīng)驗……

說實話，互聯(lián)網(wǎng)企業(yè)對BCM的熱衷讓筆者稍感意外。企業(yè)建立業(yè)務連續(xù)性管理體系的根本目的并不僅僅是為了合規(guī)或監(jiān)管要求，而是要真正幫助企業(yè)提高抗風險能力，使企業(yè)臨危不亂，持續(xù)運營。因此，客觀地評價企業(yè)BCM真實水平，是指導企業(yè)改進和提高的前提。eBay公司亞太BCM經(jīng)理Nabil Aboulhosn在會上分享了eBay公司在這方面的成功秘訣。

對于“雙11”創(chuàng)造的一個又一個銷售神話，大家一定不陌生，那么你對“雙11”背后的安全應急響應又有多少了解？阿里巴巴集團安全部資深總監(jiān)張玉東分享了阿里如何保障“雙11”這個大規(guī)模、高并發(fā)、超復雜的系統(tǒng)的安全運行，以及應急響應方面的經(jīng)驗和教訓。

在聽廠商和行業(yè)用戶演講的過程中，筆者有一個很深的感觸，中國的廠商和用戶在介紹時，習慣性地介紹采用了哪些技術(shù)和解決方案，而國外的專家和用戶在演講時，很少直接提及某一技術(shù)或產(chǎn)品，而主要講述的是業(yè)務和管理，以及BCM的方法論。

業(yè)務和技術(shù)是BCM的兩個主要支柱，中國用戶關(guān)注技術(shù)和產(chǎn)品選型固然可喜，但千萬不能只盯住技術(shù)不放，還是要多關(guān)注業(yè)務本身和管理實踐，畢竟BCM并不僅僅是IT的事。當初，讓很多人第一次注意到BCM的“9·11”事件，本身是一個社會事件，而非IT。當意外或災難發(fā)生時，考驗的不僅僅是企業(yè)的IT部門，而是所有的業(yè)務和管理部門，還有企業(yè)的“一把手”們！不是嗎？業(yè)務、技術(shù)兩不誤，才能避免陷入BCM的誤區(qū)。

在本次大會上，還有兩項現(xiàn)場簽約值得關(guān)注。一項是DRI中國與著名的英國標準協(xié)會（BSI）在中國的組織BSI中國，簽署戰(zhàn)略合作協(xié)議，積極推動雙標準認證。在保證企業(yè)業(yè)務連續(xù)性的實踐中，作為兩大權(quán)威機構(gòu)，其標準也是相輔相成的，DRI的標準重在實現(xiàn)和實施，而BSI的標準側(cè)重在合規(guī)。

另一項是在云災備領(lǐng)域異軍突起的中國本土創(chuàng)新企業(yè)——上海英方軟件股份有限公司（以下簡稱英方）與DRI中國簽署行業(yè)戰(zhàn)略合作協(xié)議。雙方將進一步深化合作，英方將借助DRI的全球資源拓展國內(nèi)和海外的BCM業(yè)務，而DRI中國可以借助英方在國內(nèi)外成功的案例推廣BCM的理論、CBCP認證和相關(guān)BCM標準制定發(fā)展。英方公司已經(jīng)有多人通過了CBCP認證，其中就包括英方CEO胡軍擎。

于天向筆者介紹說，其實越是企業(yè)的高層管理人員越容易通過CBCP的考試和認證，因為培訓和認證的內(nèi)容主要是管理方面的知識，而非技術(shù)。據(jù)說海通證券的領(lǐng)導連續(xù)學習了三天，就順利通過了認證。

于天表示：“英方不僅在災備行業(yè)具有技術(shù)和市場推廣優(yōu)勢，而且在云災備落地、BCM推廣方面與DRI擁有一致且正確的價值理念。雙方的戰(zhàn)略合作可以更好地推動BCM在中國應用?！惫P者還了解到，DRI中國在眾多災備廠商中選擇英方還有一個重要原因，就是證券行業(yè)將成為除銀行業(yè)之外的下一個BCM熱點領(lǐng)域，而英方在證券行業(yè)有較好的客戶基礎(chǔ)和應用實踐，這讓雙方的合作有的放矢。

通過和與會嘉賓的交流，筆者對當前BCM在中國的落地情況有了更深入的了解，同時也對BCM實踐中存在的一些問題和誤區(qū)有了更清楚的認知。

很多人是從DR，也就是災難恢復的角度開始認識和了解BCM的，因此也就理所當然地把BCM歸到DR的范疇內(nèi)，其實這是一個誤解。如果從包含的關(guān)系來看，DR其實是BCM的一部分，DR關(guān)注的是技術(shù)底層和實現(xiàn)，它是實現(xiàn)BCM的一個技術(shù)支撐。反而是BCM的外延更廣，不僅僅是技術(shù)，更重要的是業(yè)務和管理。

眾所周知，DR需要演練，這樣才能在災難發(fā)生時從容應對，做到心中有數(shù)。BCM也要有演練，而且公司的管理高層也應該參加，BCM演練涉及的內(nèi)容和部門更廣泛?？傊珺CM演練是一個企業(yè)所有部門的事，而不僅僅是IT部門。但是現(xiàn)在，中國很多企業(yè)的BCM是由IT部門主導的，這就不自覺地把BCM這本經(jīng)“念歪”了，將BCM變成了一個純技術(shù)的問題，這是片面的。

還有一點特別值得關(guān)注，當前中國的BCM應用主要還是集中在金融領(lǐng)域，更準確地說是銀行業(yè)。因為早在2011年銀監(jiān)會就已經(jīng)出臺了《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》，有章可循，讓銀行業(yè)的BCM實踐可以步步深入，踏實穩(wěn)健。據(jù)了解，我國證券領(lǐng)域也要出臺類似的規(guī)范。標準和規(guī)范先行，可以加速BCM在各個行業(yè)的落地。

BCM在中國的發(fā)展最好是由政府、行業(yè)組織和監(jiān)管機構(gòu)，以及企業(yè)等多方共同努力，營造良好的大環(huán)境和氛圍，在相關(guān)標準和規(guī)范的指引下，企業(yè)又能準確定位業(yè)務、管理和技術(shù)的關(guān)系，這樣才能更有效地提升企業(yè)的風險防范意識，保證業(yè)務永續(xù)。