內容簡介
組織需要為保障業務持續經營進行連續性管理,業務連續性管理就是組織為預防和應對運營中斷而主動付出的努力。作為相對較新的管理方法,人們對業務連續性管理所涉及的治理和管理結構建立、業務影響分析和風險評估、業務連續性策略選擇、業務連續性計畫(和應急預案)編制和管理、培訓和意識以及演練等方面的理論和實踐仍存在種種誤解和疑惑。
《業務連續性管理實務》系統論述了業務連續性管理與關聯學科的關係,業務連續性管理的發展歷程、價值、基本概念與原理,以及業務連續性項目集管理、能力框架、能力建設和保持、應急預案和業務連續性計畫、人員能力和意識準備、演練、事件處置、危機溝通和管理、業務連續性評估以及審核等理論和實務問題,詳細闡述了業務連續性管理是什麼、為什麼以及怎么做。
《業務連續性管理實務》可供各類組織中從事業務連續性管理的專業人員和相關管理人員使用,也可供與業務連續性管理工作相關的應急管理、風險管理、供應鏈管理、安全生產、網路信息安全、IT災難恢復和審計等人員參考。
圖書目錄
主題1 業務連續性管理與應急管理的
關係
1.1 應急管理和業務連續性管理的區別/2
1.2 業務連續性管理是組織安全管理的重要組成部分,和組織應急管理有很強的互補關係/6
1.3 業務連續性管理是公共安全管理、組織安全管理急需補上的一環/8
主題2 業務連續性管理與安全/風險管理的關係
2.1 業務連續性管理應對的運營中斷風險本質上是一種右側風險,所以業務連續性管理是一種綜合風險管理方法/11
2.2 就管理層級而言,業務連續性管理是介於戰略層和執行層之間的一種管理工具,它上承全面風險管理,同時需要多種執行層的管理方法支持才能有效落地/13
2.3 組織需要根據具體情況設計不同管理體系之間的關聯關係,並明確業務連續性管理人員的具體崗位職責/14
主題3 業務連續性管理的過去、現在和未來
3.1 營業中斷保險的發展——古典業務連續性管理時期/17
3.1.1 營業中斷保險萌芽階段 17
3.1.2 營業中斷保險兩大模式形成與發展
階段 20
3.1.3 營業中斷保險融合發展與標準化階段 20
3.2 從IT災難恢復到業務連續性管理體系——現代業務連續性管理時期/21
3.2.1 IT災難恢復的出現與發展 22
3.2.2 業務連續性管理的獨立及發展 23
3.3 我國業務連續性管理的發展/27
3.4 業務連續性管理的未來/29
3.4.1 IT災難恢復繼續探索新方法,並向ICT連續性演變 31
3.4.2 業務連續性管理向運營韌性演變,為組織韌性提供支撐 32
3.5 業務連續性管理的三大支柱:安全和風險管理、運營管理以及數位化/33
主題4 業務連續性管理的價值
4.1 業務連續性管理可以增強組織應對運營中斷事件的能力,完善組織的日常運營管理/35
4.1.1 業務連續性管理可以增強組織應對運營中斷事件的能力 36
4.1.2 業務連續性管理可以增強全行業/社會的抗風險能力和穩定性 36
4.1.3 業務連續性管理可以完善組織的日常運營管理 38
4.2 業務連續性管理可以幫助組織減小收益波動,提升股東價值,保障高管人員的職業和財產安全/39
4.2.1 管理運營中斷風險是管理層而不是股東的直接責任 40
4.2.2 業務連續性管理可以幫助組織減小收益波動 40
4.2.3 業務連續性管理可以幫助組織提升股東價值 40
4.2.4 業務連續性管理可以保障高管人員的職業和財務安全 41
主題5 業務連續性管理知識體系
5.1 國際災難恢復協會專業慣例/45
5.2 國際業務持續協會良好實踐指南/45
5.3 亞洲業務持續管理協會業務連續性管理知識體系/46
5.4 國際標準化組織ISO 22301系列標準/47
5.5 美國消防協會NFPA 1600/48
5.6 業務連續性實務框架/49
主題6 業務連續性/管理/管理體系
6.1 業務連續性是一種組織能力,業務連續性管理和業務連續性管理體系是管理業務連續性的方法/51
6.2 管理體系方法是一種有效的組織能力管理
方法/54
6.3 從BMIS看組織能力的一般模型/59
主題7 風險、安全和韌性的關係
7.1 “風險—突發事件(災害)—危機”
連續統/71
7.2 風險是什麼?/72
7.2.1 風險的定義 72
7.2.2 風險管理 73
7.3 安全是什麼?/74
7.3.1 安全的定義 74
7.3.2 兩類安全:safety和security 74
7.3.3 對抗性決策過程 75
7.4 韌性是什麼?/77
7.4.1 韌性的定義 77
7.4.2 不同領域的韌性研究 78
7.5 風險、安全、韌性的不同側重點/79
主題8 業務連續性管理框架
8.1 有效的業務連續性管理框架的5個原則/82
8.1.1 原則1:符合組織能力發展的
規律 82
8.1.2 原則2:遵循風險管理的邏輯和
流程 83
8.1.3 原則3:採用項目集管理方法 83
8.1.4 原則4:集成應急、連續性和危機
管理 84
8.1.5 原則5:與常見的業務連續性管理方法和良好實踐保持一致 85
8.2 業務連續性實務框架Ver 2.0/86
8.2.1 項目集管理和領導力 86
8.2.2 能力規劃 89
8.2.3 能力建設和保持 90
8.2.4 能力運用 92
8.2.5 管理評價 94
主題9 業務連續性項目集管理
9.1 業務連續性管理中的組織人事管理/105
9.1.1 重點關注3類人,建立業務連續性治理和管理結構 105
9.1.2 選擇適用的應急和連續性領導指揮體制,使應急管理和業務連續性管理組織分工協作 112
9.2 業務連續性管理中的日常活動管理/116
9.2.1 在項目集架構管理方面重點做好
3件事 117
9.2.2 在項目集組件管理方面也要重點做好
3件事 123
9.2.3 其他重點活動 130
9.3 項目集管理進階之一:理解組織及其
環境/131
9.3.1 組織是什麼? 131
9.3.2 理解組織和業務的關係 132
9.3.3 組織的協同模型與基本構成要素 133
9.3.4 平衡計分卡、利益相關者理論與組織
績效評價 135
9.4 項目集管理進階之二:業務連續性管理的目的和範圍/138
9.4.1 中斷事件是如何發生的 139
9.4.2 應急、業務連續性和危機管理 139
主題10 業務連續性管理工作推動
10.1 理性決策與期望效用理論/143
10.2 風險感知與超越機率曲線/144
10.3 FUD、助推與前景理論/148
主題11 業務連續性能力框架
11.1 業務連續性能力“8+1”框架/164
11.1.1 預防 165
11.1.2 保護和減災 166
11.1.3 情報和監測 166
11.1.4 預警和警報 166
11.1.5 應急回響 167
11.1.6 危機溝通和管理 167
11.1.7 業務恢復 168
11.1.8 事後重建 168
11.1.9 準備 168
11.2 基於能力的規劃方法/170
11.2.1 情景分析 171
11.2.2 任務分析 173
11.2.3 能力分析 176
11.2.4 目標設定 178
主題12 業務影響分析和風險評估
12.1 業務影響分析和風險評估基礎知識/187
12.1.1 業務影響分析和風險評估的定義 187
12.1.2 業務影響分析和風險評估的價值與
意義 187
12.1.3 業務影響分析和風險評估的關聯與
區別 188
12.2 業務影響分析/189
12.2.1 業務影響分析5步法 189
12.2.2 業務影響分析項目 197
12.2.3 業務影響分析實務中的誤區 198
12.2.4 業務影響分析小結 199
12.3 風險評估/199
12.3.1 風險評估5步法 199
12.3.2 風險評估項目 202
12.3.3 風險評估實務中的誤區 203
12.3.4 風險評估小結 203
12.4 對業務影響分析和風險評估的再認識/204
12.4.1 風險、決策和風險評估 204
12.4.2 業務影響分析和風險評估的整合 205
12.4.3 情景分析與能力規劃 206
12.5 業務影響分析和風險評估進階之一:理解業務活動和業務影響/207
12.5.1 價值鏈/價值流與價值創造 207
12.5.2 企業流程和流程體系 210
12.5.3 業務價值衡量、利益相關者以及擴展的平衡計分卡 212
12.6 業務影響分析和風險評估進階之二:從“重要業務”說起/216
12.6.1 “重要業務”很重要 216
12.6.2 關鍵活動與優先活動 217
主題13 能力建設和保持
13.1 業務連續性能力的構成要素及其生成
過程/221
13.1.1 業務連續性能力的構成要素 222
13.1.2 業務連續性能力建設和保持 224
13.2 業務連續性策略和方案/226
13.2.1 業務連續性策略和方案及其關係 226
13.2.2 業務連續性策略及其常見分類和
分級 227
13.2.3 識別和選擇業務連續性策略和
方案 230
13.2.4 實施業務連續性方案 231
13.3 應急組織設計/232
13.4 資源分類和管理/237
13.4.1 資源分類 237
13.4.2 全生命周期管理 239
13.5 能力集成、驗證和保持/242
13.5.1 能力集成 243
13.5.2 能力驗證 243
13.5.3 能力保持 244
13.5.4 外部資源(和能力)管理 244
主題14 應急預案和業務連續性計畫
14.1 應急預案和業務連續性計畫基礎/246
14.1.1 “一案三制”與應急預案體系 246
14.1.2 業務連續性計畫和業務連續性管理
體系 248
14.1.3 應急預案和業務連續性計畫的異同和聯繫 249
14.2 應急預案體系構成與主要內容/252
14.2.1 綜合應急預案 254
14.2.2 專項應急預案 254
14.2.3 現場處置方案 256
14.2.4 操作指南 256
14.2.5 附屬檔案 257
14.3 應急預案的編制和管理/259
14.3.1 應急預案編制準備 259
14.3.2 應急預案的編制、評審、發布和
備案 260
14.3.3 應急預案的宣傳培訓和演練 261
14.3.4 應急預案的評估和修訂 261
14.4 應急預案和業務連續性計畫進階之一:應急回響的連續性保障/263
14.5 應急預案和業務連續性計畫進階之二:事件分類、分級和分期/264
14.5.1 事件分類 264
14.5.2 事件分級 265
14.5.3 事件分期 266
主題15 人員能力和意識準備
15.1 能力規劃和管理/268
15.1.1 能力規劃 268
15.1.2 能力管理 270
15.2 培訓和意識項目集管理/271
15.2.1 培訓和意識 271
15.2.2 培訓和意識項目集 272
15.2.3 年度培訓和意識計畫 274
15.3 培訓活動管理/275
15.3.1 ADDIE模型 275
15.3.2 培訓需求分析 277
15.3.3 培訓方案設計 280
15.3.4 培訓內容開發 290
15.3.5 活動執行和轉化 293
15.3.6 培訓評估 295
15.4 意識活動管理/298
15.4.1 從風險感知出發推動業務連續性意識增強 299
15.4.2 領導者以身作則牽頭建設業務連續性
文化 300
主題16 演練
16.1 演練基礎/304
16.1.1 演練的概念 304
16.1.2 演練的作用 305
16.1.3 演練的主體 306
16.1.4 演練的類型 308
16.1.5 演練項目(集)管理 312
16.2 策劃準備階段(演練前)/314
16.2.1 啟動項目,制定演練計畫 315
16.2.2 設計方案,編制演練檔案 320
16.2.3 綜合保障,完成演練準備 330
16.3 演練實施階段(演練中)/333
16.3.1 演練實施基本過程 333
16.3.2 桌面演練實施 334
16.3.3 實戰演練實施 336
16.3.4 導演方法和導演技巧 339
16.3.5 其他注意事項 341
16.4 評估改進階段(演練後)/342
16.4.1 準備評估改進 343
16.4.2 執行評估總結 346
16.4.3 落實改進提高 349
主題17 事件處置
17.1 事件管理基礎/352
17.1.1 事件管理機制和應急預案體系 353
17.1.2 指揮管理體系和能幹稱職的人員 353
17.1.3 裝備和物資保障體系 354
17.1.4 供應商與合作夥伴管理 354
17.2 事件行動方案/355
17.2.1 事件行動方案和應急預案 355
17.2.2 事件管理過程 356
17.3 營業中斷險及其他/360
17.3.1 營業中斷險 360
17.3.2 良好的機制、文化氛圍和合格的
管理者 362
主題18 危機溝通和管理
18.1 危機、危機溝通和管理/364
18.1.1 危機及其特點 364
18.1.2 危機溝通的重要性 365
18.2 危機溝通計畫/367
18.3 危機溝通的關鍵點/371
18.3.1 相關方溝通需求分析 371
18.3.2 “黃金8小時”原則 372
18.3.3 謠言的產生及應對 373
18.3.4 形象管理和媒體管理 375
主題19 業務連續性評估
19.1 評估基礎/381
19.1.1 評估的定義及定位 381
19.1.2 評估中的關鍵問題 382
19.1.3 評估的目的和作用 383
19.2 業務連續性管理中的評估/385
19.2.1 業務連續性管理中的評估分類 385
19.2.2 業務連續性管理中的評估機制 388
19.3 評估過程/394
19.3.1 評估規劃 394
19.3.2 評估實施 396
19.3.3 結果套用 399
19.4 業務連續性管理中的評估方法/400
19.4.1 業務連續性能力的評估方法 400
19.4.2 業務連續性管理工作的評估方法 403
19.4.3 中斷事件的評估方法 404
19.4.4 評估指標、權重體系和綜合評分 405
主題20 業務連續性審核
20.1 審核基礎/410
20.1.1 審核及相關概念 410
20.1.2 審核的種類與管理體系審核 412
20.1.3 審核的價值 415
20.1.4 審核與評估的區別 417
20.2 業務連續性審核/418
20.2.1 概述 418
20.2.2 審核原則 420
20.2.3 審核方案 422
20.3 審核實施/423
20.3.1 審核活動的主要過程 424
20.3.2 主要的審核工作檔案與審核報告 428
20.4 審核員的能力與評價/433
作者簡介
王曙
CERM,CPBCM,CISSP,CISA
新常安(北京)科技有限公司 總經理
1995年畢業於解放軍信息工程大學,擁有多年網路信息安全和業務連續性管理從業經驗。近年主要關注企業風險管理、信息科技風險管理、業務連續性、應急和危機管理等領域。結合國內外業務連續性、應急和危機管理領域的研究和實踐,發起並推廣業務連續性管理知識體系——業務連續性實務框架(BCMPF)項目。
參與多項業務連續性管理國家標準編制工作;為眾多行業用戶提供業務連續性管理培訓和顧問服務。