对IT依赖性不强的电力、医疗企业该如何做BCM.讨论.docxVIP

对IT依赖性不强的电力、医疗企业该如何做BCMLinkenpark:现在所知道的国内的2家都是基于IT的BCM，按照DRII、BS25999以及国内的标准提供咨询，大都是对IT依赖性比较强或者只做IT的BCM，对业务的还比较少，最近在和朋友探讨这方面的事情，对IT依赖性不强的企业如电力、医疗、教育等该如何做BCM，已经有初步的想法了。可以有时间做进一步交流！我站内短信给你！Sharonyang:BCM是围绕业务的，不分IT的BCM和业务的BCM，我想这本身就是个误区。IT DR是BCM建设过程中的一个基本步骤，毕竟现在很多企业的业务运行都依赖于IT系统，电力、医疗、教育虽然他们的业务不是纯粹的IT，但是对电力的控制、分配等很多方面都是需要依靠IT的，而且电力系统的信息化程度相比很多其他企业更高，看来Linkenpark对电力行业不是很了解。至于说教育、医疗的BCM，围绕着如何确保业务持续，教育的业务持续包括什么？？？医疗的业务持续依赖什么？我想大家都可以顺着这个思路去思考。就算一个超市，都应该有自己的BCM。大家从业务的角度出发，考虑这个事情，我想就会有很多想法了。BCM的发展，需要行业的支持，需要逐步的从IT DR 到DRP，再到BCP，从而完成整个BCM的生命周期，并非一朝一夕可以完成的。所谓欲速则不达，就是这个道理。同时，就目前行业的发展而言，企业对BCM的认知还处于初级阶段，因此从IT入手就不足为怪了。相信随着企业对BCM的逐步认识，企业内部人员的BC意识的逐步提高，会推动整个BCM的发展的。Linkenpark:sharonyang 说的不错，我缺乏的就是行业经验，但是自己想这个区别就是资源、知识能力、和流程的差距，即原来做 oracle数据的BCM，现在是发电机的BCM，收银机的BCM，还有手术台的BCM，其变化的无非是资源、相关的知识能力和流程。但是最近经济危机的发生，造成企业破产、倒闭，却没见BCM提供什么很好的思路。BCM不仅仅是应对自然灾难的，还应该对像经济危机、资金链中断等等这样的问题提出一套办法，才能真正称得上BCM。而这正是现阶段BCM方法和标准的最大缺陷。prada_gu:BCM是围绕业务的，不分IT的BCM和业务的BCM--这话甚对，其实到BCP时，就己经重点关注业务了，此时默认IT灾备是前提，己经建完成了；而到BCM，则重点关注管理和流程，与IT更扯不上边了oracle数据的BCM，现在是发电机的BCM，收银机的BCM，还有手术台的BCM----这是啥意思，第一次听说，来源于哪个标准或监管要求，一般如何做耶至于说有企业破产，这本属于企业的业务风险、操作风险管理的范畴，不归BCM管，BCM也管不着它。通过建设灾备，建BCM，能作的极为有限，并不是麻将中的百搭，到哪都管用。Linkenpark:问的非常好，发电机、收银机、手术台的BCM不是标准也不是监管要求，是客户需求，一个客户问：我们不是对IT依赖性非常强的企业，那我们怎么做BCM？至于怎么做，我在和朋友探讨这个事。BCM做风险分析也做业务影响分析，却说管不到业务风险和操作风险，这显然矛盾。我想可能是这样造成的：1、不管业务风险和操作风险的那种可能叫灾难备份，而不是BCM，概念用大了。2、分析方法有问题，没有分析出来哪方面存在的风险。灾难备份和BCM有很大区别，别搞混了。在客户那里可以放大概念，在专业的坛子里就不必了。prada_gu:区别在于BCM的目标和范围到底是什么？？？它有风险分析和业务影响分析，但是它的风险分析的目标和范围到底是什么，包含不包含业务风险、信息架构风险、操作风险？？？它和27001、内控、业务操作风险等相关标准和监管要求之间的差异到底是什么，各自适用于什么场所......。建议区别对待，不同的规范适用于不同的环境，实现各自不同的目标。Linkenpark:首先说BCM不是规范、也不是标准，做BCM可以参考规范和标准。业务风险、信息架构风险、操作风险当然包含在BCM的风险分析范围里。放弃业务风险不管，BCM就不叫业务连续性。业务存在的风险才可能导致业务中断啊。放弃操作风险不管，BCM无法实现连续性。试想灾难发生时，切换的工程师能冒险操作吗？不顾风险的去切换吗？放弃操作风险不管，那要运维什么？工程师随便操作吗？放弃信息架构风险不管，灾备中心的针对性在哪? router存在风险不管，却投重资做系统备份？主站点的架构存在风险，备份站点的架构风险需要重复这个风险吗？标准规范确实有其针对性，但是他们也有很多地方时重合的，互相支持的。死抱着标准规范不放，而不确切分析客户需求，这就是很多项目看不到效果的主要原因。什么是检验标准和规范的标准。实践！（我不否定标准，我想使我们没用好或者还不知道怎么用，所以出现这样的困惑）Linkenpark: