业务连续性管理与灾难恢复管理有什么差别？

1. 业务连续性管理与灾难恢复管理有什么差别？

业务连续性管理(BCM)是一个全面的管理过程，预先定义了各种对组织运作能力有干扰的潜在影响，使组织能够容忍部分或全部业务能力的丧失所带来的影响。
BCM是一个建立合适策略和运营框架的面向业务和驱动业务的过程：
1、改善组织对于干扰或中断其供应产品或服务的恢复能力；
2、提供恢复组织以商定的水准供应其关键的产品和服务能力的可靠的方法；
3、提供管理业务中断（事件）并保护组织声誉和品牌的能力证明。
BCM术语包括了提供和改善的恢复力的整个管理系统的内容。BCM将创建一个或多个业务连续性计划。小型组织可能只有一个覆盖其全部运营的业务连续性计划。大型组织可能有多个业务连续型计划，其中每项都规定了详细的特定业务恢复。BCM在组织中的实施程度将和组织规模和范围相匹配，并可能会受到例如组织预算和成本效益分析这样的的影响。
BCM关键要素包括：
1、理解组织运作的全部内容；
2、理解组织必须交付（其目标）的关键产品和服务；
3、理解在交付关键产品和服务的过程中可能遇到的障碍或中断；
4、理解组织如何在中断发生时，继续达成目标；
5、理解在控制和其他缓解策略的实施过程中可能出现的各种结果；
6、理解执行事件处理和应急响应，以及业务恢复程序的标准或触发机制；
7、保证在发生重大中断时，所有成员能够识别其角色与职责；
8、达成业务连续性的实施、部署和演练的共识与承诺；
9、整合业务连续性，使它成为日常工作的组成部分。

灾难恢复管理，指自然或人为灾害后，重新启用信息系统的数据、硬件及软件设备，恢复正常商业运作的过程。灾难恢复规划是涵盖面更广的业务连续规划的一部分,其核心即对企业或机构的灾难性风险做出评估、防范，特别是对关键性业务数据、流程予以及时记录、备份、保护。

从上述描述可以看出，业务连续性管理涵盖了灾难恢复管理，灾难恢复管理是业务连续性管理的组成部分。

2. 风险管理和业务连续性管理哪个好

随着经济、金融全球化和信息技术的加速发展，国内外竞争愈趋加剧，金融危机使得金融环境变得日趋复杂。在当前经济社会中，商业银行在国民经济中起着“中流砒柱”的作用，各项业务连续运营会对经济、金融形势产生深刻影响，也关乎社会稳定。为防止由于突发事件、技术缺陷、管理不到位等而导致业务中断，建立一套以风险管理为核心的风险管理体系，是确保商业银行业务连续运营和健康发展的重要途径，这也是商业银行面临的重点和难点工作。
一、商业银行风险管理的形势与背景
从国际上来看，商业银行风险管理的发展依赖于突发事件的驱动，突发事件的频繁发生促使了风险意识的提高，并推进了风险管理的快速发展，例如，911事件加速了美国商业银行风险管理的完善进程。
从国内情况来看，商业银行风险管理起步于本世纪初，基本围绕应急管理和突发事件恢复两个方面开展。汉川地震、南方雪灾等自然灾害和2006年4月银联跨行交易系统故障等突发事件提升了商业银行对风险管理的认识和重视，随着风险管理对信息技术依赖度的提升，保障信息系统服务功能在突发事件发生时能够快速恢复显得尤为迫切。
2005年国务院信息化工作办公室发布了《重要信息系统灾难恢复指南》，有力地促进了商业银行应对灾难恢复系统的建设。2011年12月银监会发布了《商业银行业务连续性监管指引》，明确要求商业银行重要业务恢复时间不得大于4小时、重要业务恢复点不得大于半小时。根据监管要求和商业银行内部风险管理需要，部分商业银行成立专门机构着手开展业务连续性规划设计工作，但风险管理工作对商业银行来说是全新领域，各商业银行对此项研究仍处在“摸着石头过河”阶段，在资源投入、管理体系、灾难恢复等多方面存在较大差异且进展缓慢。
二、商业银行风险管理的价值与意义
据权威机构统计，美国近10年来因遭遇突发事件导致数据丢失，造成业务无法连续开展的公司中有55%立刻倒闭，29%两年之内倒闭。
据评估机构对我国商业银行业务影响的评估，判定若一家商业银行发生全行业务中断8小时，所造成的直接财物损失不低于2亿元，若中断24小时，损失超过5亿元。2006年4月银联全国跨行交易系统瘫痪6个小时，国内大部分商户的POS无法正常刷卡消费，所有ATM终端无法跨行交易，造成的经济损失无法估计，社会影响重大且深远。
因此，对商业银行来说业务中断是致命的，声誉、竞争力、财务等都会因此而遭受惨重损失，需要花费若干倍的代价才能挽回。商业银行切实提升业务连续性风险管控能力，全力保障各信息系统的安全稳定运行，才能更好地推动各项业务的健康、快速发展。
从长远来看，商业银行风险管理的价值并非仅仅在于应对突发事件和提高生存能力，许多发达国家的商业银行风险管理已成为其改善经营管理、承担社会责任的重要保障，是提高风险防控能力、持续开展各项业务、保持竞争优势的重要基础。可以说，商业银行风险管理直接关系到商业银行的国际竞争力，对其长期、可持续、健康发展具有深远的战略意义。
三、商业银行风险管理的现状与问题
近年来，我国商业银行客户数量、交易量、交易金额均增加迅猛，一旦突发事件造成业务中断，可能影响商业银行乃至整个金融体系的正常运转，并殃及社会稳定。商业银行正在积极推进风险管理并初见成效，为防范业务中断起到了积极作用。
1.主要成绩
(1)商业银行正在积极构建应急管理体系，确立了应急管理组织架构，加强了内部各职能部门的协调配合，形成统一的应急响应流程和通知报告机制，规范了第三方技术提供者行为，增强了突发事件的应对处置能力。
(2)商业银行正在积极提升应急处置能力，积极开展应急演练、灾备恢复演练，加强内部部门之间以及银行与通讯、电力、银联等外部机构之间的联防协作，提高了应对信息系统突发事件的能力和信心。
(3)商业银行正在积极开展灾备系统建设，积极推进“两地三中心”(同城互备、异地灾备)建设，可以有效应对城区内事故(建筑物倒塌、社区电力或通信设施毁坏等)、区域性突发事件(地震、洪灾、战争等)。划分了信息系统灾备等级，明确了不同等级系统灾备要求。
大多数商业银行建立了同城灾备系统，保障核心业务数据安全，在突发事件发生时确保核心业务快速恢复，例如，四大银行的灾备系统基本成熟，业务连续性方案建设有待完善;股份制银行的灾备系统趋于成熟，业务连续性方案建设有待加强;城市商业银行的灾备系统处于起步阶段，业务连续性方案建设有待发展;外资银行的部分灾备系统及业务连续性方案已经完善。
2.存在主要问题
商业银行在风险管理方面依然存在一些不足之处，需要进一步加强风险管理力度。
(1)部分商业银行对风险管理的重要性和价值认识不足，尚未形成有效的风险管理体系，对风险管理缺乏必要的理解，特别是高层管理人员，认为“投入大、收益小”。大部分风险管理参与人员来自IT部门，业务连续性计划仅作为突发事件处理的应急预案，未建立风险管理的组织体系。
(2)部分商业银行风险管理的应急预案体系不够完善，业务应急机制缺乏，外部应急协调不足。没有业务层面应急管理机制的开发和演练，场地应急、人员应急等风险管理重要环节缺乏实质性的建设。业务连续性演练仅停留在信息系统层面，缺乏涵盖业务、技术和后勤保障等多方面的全行性协同演练，导致应急和灾备恢复能力的有效性无法得到验证。在信息系统应急演练中，业务部门配合不足、业务人员参与力度不大、业务覆盖不全，一旦出现意外，应急预案可能无法发挥作用，与外部机构的协作联动也明显不足。
(3)部分商业银行的灾备环境建设缓慢，“两地三中心”尚处在建设阶段，无法投入使用，一旦发生突发事件，无法启动灾备环境。灾备中心只停留在核心账务数据保护层面，一旦发生突发事件，很难实现重要交易的快速恢复、重要客户及交易数据的快速恢复。
(4)部分商业银行应对突发事件的业务恢复目标不明确，灾备资源的有效性保障不足，灾备系统建设覆盖面不够。存在缺乏风险评估、业务影响分析、交易有效梳理、开放系统数量庞大、交易路径过于复杂、灾备系统覆盖不足等现象。虽然部分商业银行建立了灾备中心，但业务分类分级、差异化的业务恢复目标不明确。灾备切换演练未能真正贴近实战，在灾备人员配置、应急演练有效性验证等方面存在不足。
四、商业银行风险管理的建议与意见
为了更好地防控业务连续性操作风险，确保各项应急措施能在突发事件、技术缺陷等因素所导致的风险发生时起到积极作用，确保全行业务连续稳定运行的能力，
建议商业银行做好以下几项工作:
(1)商业银行要进一步提升对风险管理的认识，建立常态化评估维护机制，企业层形成风险管理文化，管理层加强风险管理认知，员工层提高风险防控意识，自觉自愿地参与风险管理的各流程中，将其提升到全行战略层面。
(2)商业银行要进一步加快建立和完善风险管理体系，积极推进《商业银行业务连续性监管指引》的贯彻落实，充分借鉴和引进国际先进实践案例和标准规范。
建立完善的突发事件恢复组织体系和突发事件应急恢复流程。科学制定业务连续性计划，系统推进应急体系、灾备系统建设。成立灾备应急组织，包括应急领导小组、业务恢复小组、应急恢复小组、技术支持小组、行政支持小组等。
加快集中式营运中心共享场地建设，各个中心之间实行互备运行，当一个办公场地发生场地级的突发事件后，其承担的业务自动并迅速转发到其他共享场地，从而保持业务连续性。加强组织队伍建设，明确责任、落实职责。
(3)商业银行要进一步建立有效的多部门应急协作联动机制。
虽然商业银行多个部门建立了应对突发事件的应急预案和组织机构，但部门间的条块分割管理使协调较为困难，难以形成合力，极大地影响了应急效能。应充分借鉴国外先进经验，对内，要深入推动有效的应急联动处置机制建设，制定联合应急预案，成立跨业的应急处置小组，加强信息沟通、资源共享、统一协调，提高处置能力;对外，要加强商业银行与电力、电信、公安等部门的信息交流，建立风险监测预警机制，整合资源，积极开展风险分析和预警。制定商业银行与其他政府部门的跨业应急预案，提高商业银行应对突发事件能力和水平。
(4)商业银行要进一步加大力度推进应急演练工作，积极开展行业性应急演练和金融跨业应急演练，鼓励风险管理的演练活动，组织协调由金融管理部门、基础设施供应商、多金融机构的联合演练，持续提高风险管理的实践能力，增强我国商业银行整体业务连续性能力。
为了确认连续性计划的正确性和有效性，不断完善和优化突发事件恢复流程，应定期安排不同级别的突发事件恢复应急演练。根据突发事件恢复演练的不同级别和参与范围，组织系统级突发事件恢复演练、应用级突发事件恢复演练、业务级突发事件恢复演练(或称“灾备总体恢复演练”)，级别最高的业务级突发事件恢复演练，主要是为了验证全行突发事件恢复应急处理能力，演练范围涉及全行境内外所有机构。
(5)商业银行要进一步加快灾备环境体系建设，形成真正可以承担突发事件的灾备体系方案。
第一，加快灾备环境建设。“两地三中心”模式可以满足突发事件场景下的恢复要求，实现更灵活的风险应对。在架构布局上，同城双中心采取双活模式运行，具备并行的、基本相同的业务处理能力，通过高速链路实时数据同步。同城双活中心用于区域级突发事件恢复，当出现社区突发事件导致某个中心失效时，可在基本不丢失数据的情况下进行双中心间的应急切换，保障业务连续运营。异地灾备中心用于同城双中心的突发事件恢复，当出现大范围自然灾害等原因导致同城双活中心同时失效时，可以用灾备系统接管重要业务。
第二，加快核心业务灾备系统建设。商业银行核心业务系统灾备架构由同城双活生产系统和异地灾备系统组成，同城双活生产系统数据采用同步复制技术。正常情况下，核心业务运行在两个中心的核心业务上，当一个中心核心业务发生突发事件时，可以无缝地将业务切换到另一中心的核心业务上运行，并确保数据零丢失。异地灾备系统采用异步复制技术实现磁盘数据镜像，当同城双活核心系统同时发生突发事件时，由灾备中心的专职人员实施突发事件恢复系统应急切换工作，系统可以在2小时内接管全行核心业务，最大数据丢失时间控制在2分钟以内。
第三，加快开放平台灾备系统建设。商业银行针对开放平台应用种类繁多、系统数量庞大、突发事件恢复需求差异大等特点，以业务影响分析为基础，制定了应用系统灾备等级标准，可以分为E)个层级的应用等级划分并实施差异化配置标准。在等级划分上，注重对柜面业务、ATM,POS、电子渠道等关键业务实现端到端的高等级灾备保护，即当某应用系统被“高等级”应用系统实时调用，则其灾备等级要保持和“高等级”应用系统一致。
第四，加强分支机构灾备系统建设。商业银行减少分行、分支机构机房部署的系统，减轻营业网点与数据中心的通信网络的依赖性，必要时可以直接连接总行数据中心。分行机房一旦发生突发事件，通过通信部门及时切换直接连接总行数据中心，确保分行辖内业务的连续运行。
(6)商业银行要进一步建立风险管理的评估机制，要建立对监管部门、商业银行的风险管理计划和活动的评估维护程序，发现问题、持续改进、提高质量。
要研究建立商业银行业务连续性管理的成熟度模型，促使商业银行的业务连续运营能力从初级阶段达到高级阶段，具体表现为高度协调、可衡量，具备高度成熟、能应对百年一遇甚至更高标准突发事件的能力。
商业银行风险管理是持续改进的过程，将业务连续性管理提升至银行战略发展高度，加强管理层面的操作流程梳理，包括危机预测、危机管理、应急管理以及制定业务连续性计划。循序渐进地推进业务连续性建设，建立流程化、体系化、平台化的业务连续性管理框架，通过专业培训、桌面演练等多种形式不断加强和改进业务连续性管理。

3. 对我们企业，已经有信息安全管理、IT灾备等安全与风险管理手段，业务连续性管理和它们是什么关系？

业务连续性关注的是企业的业务持续运营，里面涵盖了IT灾备、应急与舆情的相关内容，同时又是涵盖在全面风险管理体系的范畴。如果要进一步做业务连续性管理可以找谷安天下咨询。

4. ISO27001里的业务连续性管理和ISO22301的业务连续性管理一样吗？

ISO22301的业务连续性管理从专业、广度、深度都要比ISO27001的要求更高，更细。如果企业要做ISO体系，去谷安天下了解。

5. 业务连续性管理的基本原则

确保当事机构的主要业务操作在任何时候都能够持续运转。 业务连续性管理系统（BCMS）是经常进行的活动的集合，业务连续性管理支持企业业务连续性管理活动，也支持技术灾难恢复活动。这些可以包括项目规划和管理、人员配备、计划、预测、预算编制、研究和开发、资源管理、通信、会议、教育活动、宣传和促销活动、活动网站、绩效评估活动、按天进行处理查询和许多其他活动。　　业务连续性管理也有利于多种项目性的活动，业务连续性管理执行业务影响分析和风险分析、进行评估、制定并记录BC/ DR计划、规划和执行BC/ DR演练、准备和进行应急队伍培训、准备记录事件响应计划，并设计BC/ DR策略。

6. 可用性管理和it服务的连续性的区别

：IT服务管理规范分为服务支持类、服务交付类和关系管理类共13个过程，具体如下: 1、服务支持:事件管理 、问题管理 、配置管理 、变更管理 、发布管理 2、服务交付:服务级别管理 、服务报告 、能力管理 、服务持续性和可用性管理 、IT服务预算

7. 什么是业务连续性管理(BCM)？

　　业务连续性管理（Business Continuity Management，简称BCM），是一项综合管理流程，它使企业认识到潜在的危机和相关影响，制订响应、业务和连续性的恢复计划，其总体目标是为了提高企业的风险防范能力，以有效地响应非计划的业务破坏并降低不良影响。

8. 业务连续性管理 重要业务有哪些

业务连续性评估
    识别整体风险和企业中存在的弱点
    对连续性计划的方案、流程、过程、角色和职责进行评估
    将 IT 与您的关键业务流程建立对应关系
    业务连续性规划与设计
    制定业务连续性实施计划
    制定业务连续性计划方案，包括流程在内
    业务连续性确认与测试
    通过讨论会的方式对您对特殊情形的反应能力进行评估
    业务连续性计划管理
    对您的弹性计划进行管理，包括报告在内
详细可咨询上海知甚通PMCC