论文部分内容阅读
3月11日发生的9.0级日本大地震,是一场典型的衍生式灾难:地震引发了海啸、核辐射、高等级余震(4月7日的余震达7.4级)等多种衍生灾难,而且,海啸、核辐射的破坏力要远远大于地震本身。
这次地震带给我们怎样的启示?我们应该如何预防这种衍生式灾难?对我国企业有哪些借鉴?带着这些问题,本报记者近日采访了中国首位获得国际认证的业务持续运作专家(CBCP)、万国数据服务有限公司副总裁汪琪。
应对衍生灾难很难
“由于日本是一个地震、海啸等自然灾难多发的国家,因此,日本在灾难预防及BCP(业务连续计划)体系建设方面做了大量工作,积累了丰富经验。”对日本政府和企业在此次大灾难中有条不紊的应对措施和应急处置素养,汪琪给予了肯定。他认为,在灾备意识培养方面,日本具有一套政府主导,企业、个人,包括社区、学校等广泛参与的防灾救灾培训以及防灾演练体系,这使得日本政府和民众在应对一般性灾难时能够比较从容应对,这是令人赞叹和钦佩,也是值得我们学习的地方。
据介绍,在政策制定方面,日本很早就已开始以业务连续性计划为主导的应急预案与恢复预案的制定。而日本很多企业也都有灾难恢复预案。因此,整个防灾御灾体系使得日本政府、企业、民众能够在此次地震、海啸灾难发生后坦然面对。
那么,为什么这次地震会造成这么大的损失,处理起来又如此复杂呢?汪琪从专业角度解读说:“这是一场衍生式灾难(Rolling Disaster),而不是一次性灾难。”
汪琪指出,这次地震所引发的衍生灾难——海啸的破坏力是空前的,海啸引发的不仅是大量人员伤亡、建筑物损毁,更主要的是导致了一场全球性的核辐射危机。日本东电公司福岛核电站原来进行风险分析和风险防范时,只考虑能够抵御3米多高的海啸,而实际地震引发的海啸高达十几米,远远超出了福岛核电站风险评估时预计的海啸风险防范范围,从而引发了此次核辐射危机。实际上,核辐射危机可以归结为“一场失败的企业风险评估引发的全球性危机”。
从预案制定或技术角度来看,应对地震、海啸、核辐射等衍生灾难是非常难的,因为在灾难真正发生之前,我们很难想像得到这场灾难所带来的衍生灾难究竟有哪些、有多大的破坏力。对地震所引发的海啸、火灾等衍生灾难进行适当的风险评估、业务影响分析,制定适合的应急预案,并定期开展应急演练是对每一个企业CIO提出的严峻挑战,CIO们在应对这种衍生式灾难预防问题时是否就无能为力了?
有备无患
“并不是无能为力,关键在于如何总结经验、吸取教训。”汪琪强调,每一个威胁、每一个紧急事件,它所带来的这种冲击和引发的衍生灾难,我们都要不断地吸取经验、教训,在未来对它加以防范,做到“居安思危,思则有备,有备无患”。
汪琪建议,中国的行业、企业,尤其是关系国计民生的银行、证券、保险、电力、交通等重点行业企业,制定针对多灾难场景的全应急预案、全恢复预案非常重要。这些行业企业应该从日本地震应急处置过程中吸取经验和教训。
对此,汪琪提出了几点改进方向:首先是系统备份范围问题。很多行业企业虽然做了灾备,但只是对核心系统进行了系统备份,一旦发生灾难,其恢复能力只是杯水车薪,根本无法承载全面的业务恢复能力。
其次是预案完整度问题。在很多企业中,虽然做了应急预案,但一般都是针对总公司、总行、总数据中心的应急预案,而且针对各种突发性灾难的预案偏少,只解决了有没有的问题,没有扩大风险防范范围,也没有向分公司拓展,完善应急预案体系。
第三是预案关注度问题。很多企业在制定预案时,考虑更多的是IT系统和数据,忽视了业务、组织架构、营业场所、人员伤亡、供应链影响等问题。因此,预案关注点应从IT方面转向业务连续管理阶段。
最后是演练问题。应急预案能否有效执行必须通过演练不断地检验、改进和完善。这里需要强调的是,大部分企业目前进行的还都是模拟演练,真正进行真实切换演练的企业还是凤毛麟角。这涉及到灾备意识、灾备理念、资金投入等多方面因素,但是实际切换演练一定是将来的方向和我们努力的目标,只有经常进行实际切换演练,才能最大限度地验证预案体系的完整性、适用性以及可操作性,整体提升灾备管理能力和业务连续管理水平。
这次地震带给我们怎样的启示?我们应该如何预防这种衍生式灾难?对我国企业有哪些借鉴?带着这些问题,本报记者近日采访了中国首位获得国际认证的业务持续运作专家(CBCP)、万国数据服务有限公司副总裁汪琪。
应对衍生灾难很难
“由于日本是一个地震、海啸等自然灾难多发的国家,因此,日本在灾难预防及BCP(业务连续计划)体系建设方面做了大量工作,积累了丰富经验。”对日本政府和企业在此次大灾难中有条不紊的应对措施和应急处置素养,汪琪给予了肯定。他认为,在灾备意识培养方面,日本具有一套政府主导,企业、个人,包括社区、学校等广泛参与的防灾救灾培训以及防灾演练体系,这使得日本政府和民众在应对一般性灾难时能够比较从容应对,这是令人赞叹和钦佩,也是值得我们学习的地方。
据介绍,在政策制定方面,日本很早就已开始以业务连续性计划为主导的应急预案与恢复预案的制定。而日本很多企业也都有灾难恢复预案。因此,整个防灾御灾体系使得日本政府、企业、民众能够在此次地震、海啸灾难发生后坦然面对。
那么,为什么这次地震会造成这么大的损失,处理起来又如此复杂呢?汪琪从专业角度解读说:“这是一场衍生式灾难(Rolling Disaster),而不是一次性灾难。”
汪琪指出,这次地震所引发的衍生灾难——海啸的破坏力是空前的,海啸引发的不仅是大量人员伤亡、建筑物损毁,更主要的是导致了一场全球性的核辐射危机。日本东电公司福岛核电站原来进行风险分析和风险防范时,只考虑能够抵御3米多高的海啸,而实际地震引发的海啸高达十几米,远远超出了福岛核电站风险评估时预计的海啸风险防范范围,从而引发了此次核辐射危机。实际上,核辐射危机可以归结为“一场失败的企业风险评估引发的全球性危机”。
从预案制定或技术角度来看,应对地震、海啸、核辐射等衍生灾难是非常难的,因为在灾难真正发生之前,我们很难想像得到这场灾难所带来的衍生灾难究竟有哪些、有多大的破坏力。对地震所引发的海啸、火灾等衍生灾难进行适当的风险评估、业务影响分析,制定适合的应急预案,并定期开展应急演练是对每一个企业CIO提出的严峻挑战,CIO们在应对这种衍生式灾难预防问题时是否就无能为力了?
有备无患
“并不是无能为力,关键在于如何总结经验、吸取教训。”汪琪强调,每一个威胁、每一个紧急事件,它所带来的这种冲击和引发的衍生灾难,我们都要不断地吸取经验、教训,在未来对它加以防范,做到“居安思危,思则有备,有备无患”。
汪琪建议,中国的行业、企业,尤其是关系国计民生的银行、证券、保险、电力、交通等重点行业企业,制定针对多灾难场景的全应急预案、全恢复预案非常重要。这些行业企业应该从日本地震应急处置过程中吸取经验和教训。
对此,汪琪提出了几点改进方向:首先是系统备份范围问题。很多行业企业虽然做了灾备,但只是对核心系统进行了系统备份,一旦发生灾难,其恢复能力只是杯水车薪,根本无法承载全面的业务恢复能力。
其次是预案完整度问题。在很多企业中,虽然做了应急预案,但一般都是针对总公司、总行、总数据中心的应急预案,而且针对各种突发性灾难的预案偏少,只解决了有没有的问题,没有扩大风险防范范围,也没有向分公司拓展,完善应急预案体系。
第三是预案关注度问题。很多企业在制定预案时,考虑更多的是IT系统和数据,忽视了业务、组织架构、营业场所、人员伤亡、供应链影响等问题。因此,预案关注点应从IT方面转向业务连续管理阶段。
最后是演练问题。应急预案能否有效执行必须通过演练不断地检验、改进和完善。这里需要强调的是,大部分企业目前进行的还都是模拟演练,真正进行真实切换演练的企业还是凤毛麟角。这涉及到灾备意识、灾备理念、资金投入等多方面因素,但是实际切换演练一定是将来的方向和我们努力的目标,只有经常进行实际切换演练,才能最大限度地验证预案体系的完整性、适用性以及可操作性,整体提升灾备管理能力和业务连续管理水平。