業務連續管理（BCM）管理體系解讀

新版IATF1949:2016在6.1.2.3應急計劃中增加了相產關的BCM管理思想：

組織應：

a)對保持生產輸出并確保顧客要求得到滿足而言必不可少的所有制造過程和基礎設施設備，識別并評價相關的內部和外部風險；
b)根據風險和對顧客的影響制定計劃；
c) 準備應急計劃，以在下列任一情況下保證供應的持續性：關鍵設備故障（另見第8.5.6.1.1 條）；外部提供的產品、過程或服務中斷；常見自然災害、火災；公共事業中斷；勞動力短缺；或者基礎設施破壞；
d)作為對應急計劃的補充，包含一個通知顧客和其他相慶方的過程，告知影響顧客作業的任何情況的程度和持續時間；
e）定期測試應急計劃的有效性（如：模擬，視情況而定）；
f）利用包括最高管理者在內的跨部門小組對應急計劃進行評審（至少每年一次），并在需要時更新； g）對應急計劃形成文件，并保留描述修訂以及更改制授權人員的形成文件的信息。
應急計劃應包含相關規定，用以在發生生產停止的緊急情況后重新開始生產之后，以及在常規停機過程未得到遵循的情況下，確認制造的產品持續符合顧客規范。 f）利用包括最高管理者在內的跨部門小組對應急計劃進行評審（至少每年一次），并在需要時更新； g）對應急計劃形成文件，并保留描述修訂以及更改制授權人員的形成文件的信息。
應急計劃應包含相關規定，用以在發生生產停止的緊急情況后重新開始生產之后，以及在常規停機過程未得到遵循的情況下，確認制造的產品持續符合顧客規范。
各組織如何應對這點變更是個難點， 如何從BIA的業務分析業務中斷分析，如何設定RTO /RPO目標；
其實BCM目前中國在2013年12月17日《公共安全 業務連續性管理體系 要求》中對相關的要求已經明確。
傳統制造業需從關鍵設備故障（另見第8.5.6.1.1 條）；外部提供的產品、過程或服務中斷；常見自然災害、火災；公共事業中斷；勞動力短缺；或者基礎設施破壞；隨著國家兩化的融合，對網絡與信息安全、災難與危機事件預警機制，已成為信息產業界極為關注的話題。
BCM是一個能夠識別組織來自外部威脅和自身弱點，來分析潛組織在影響的管理過程，而不僅僅從危機管理、風險控制、災難恢復或者技術恢復。它而是由業務自身驅動的一個綜合管理體系。
一、BCM術語
BCM是業務連續管理（Business Continuity Management）的縮寫簡稱，早期是由銀行和IDC業務自身驅動而逐漸發展起來的“容災”系統，經過多年成功的實踐已被國外巨頭公司所采用，它能為企業提供一個彈性企業的框架和有效響應的能力來保護企業股東的利益、企業的名譽、品牌和創造的價值。
BCM是一個強調由業務自身驅動的綜合管理體系，其中傳統企業管理關注設施管理、供應鏈管理、質量管理、健康和人身安全都是人們比較熟悉，但以前的管理由各單獨來部門管理，協調能力不強。在業務發生中斷后，已適應不了當今組織的全面的、整體的企業業務連續管理需要。
BCM所涉及的范圍在傳統的理念中增加了目前最風靡的風險管理、災難恢復、緊急時間管理、安全管理和知識共享管理、危機通信和公共關系等。
二、BCM體系運行階段
BCM是幫助公司應對災難和災難快速恢得的有效方法， 按照事件發展的生命周期觀點，BCM的所有活動都是按照事前、 事中、 事后三個基本階段來展開的。 這三個方面雖然是所有應對災難的方法（ 如風險管理、危機管理及應急管理）都需要考慮的。
1、 事前風險評價：
此階段， 企業應通過風險分析（RA）和業務沖擊分析（BIA）， 識別出企業可能會受到的威脅和潛在風險，以及這些風險對業務造成的可能損失和嚴重度，從而采取必要的控制措施來防范風險，并使其影響減到最小。
事前的準備還包括制定關鍵設備故障；外部提供的產品、過程或服務中斷；常見自然災害、火災；公共事業中斷；勞動力短缺；或者基礎設施破壞；各種預案的制定及其貫徹實施。
2、 事中應對措施
在此階段，企業不僅要按計劃對事件進行響應 （搶救人員和財產）， 還要對業務將會受到的損失程度進行評估，以決定是否要啟動部分或全部 BC計劃， 從而確保災難發生期間，關鍵業務功能或流程能夠持續運行，使企業所受的損失減到最小。
3、 事后恢復
災難過后，或者當關鍵業務功能的運行已恢復到穩定狀態后，企業應按計劃開始進行災后重建，盡快將業務運行返回到永久中心，從而全面恢復正常運行。
三、BCM十大最佳實踐標準
1.項目啟動和管理
確定業務連續性計劃（BCP）過程的需求，包括獲得管理支持、以及組織和管理項目使其符合時間和預算的限制。
2.風險評估和控制
確定可能造成機構及其設施中斷和災難、具有負面影響的事件和周邊環境因素，以及事件可能造成的損失、防止或減少潛在損失影響的控制措施。提供成本效益分析以調整控制措施方面的投資達到消減風險的目的。
3.業務影響分析（BIA）
確定由于中斷和預期災難可能對機構造成的影響以及用來定量和定性分析這種影響的技術。確定關鍵功能、其恢復優先順序和相關性以便確定恢復時間目標。指導備用業務恢復運行策略的選擇，以便在恢復時間目標范圍內恢復業務和信息技術，并維持機構的關鍵功能。
5.應急響應和運作
制定和實施用于事件響應以及穩定事件所引起狀況的規程，包括建立和管理緊急事件運作中心，該中心用于在緊急事件中發布命令。
6.制定和實施業務連續性計劃
設計、制定和實施業務連續性計劃以便在恢復時間目標范圍內完成恢復。
7.意識培養和培訓項目
準備建立對機構人員進行意識培養和技能培訓的項目，以便業務連續性計劃能夠得到制定、實施、維護和執行。
8.維護和演練業務連續性計劃
對預先計劃和計劃間的協調性進行演練、并評估和記錄計劃演練的結果。制定維持連續性能力和BCP文檔更新狀態的方法使其與機構的策略方向保持一致。通過與適當標準的比較來驗證BCP的效率，并使用簡明的語言報告驗證的結果。
9.公共關系和危機通信
制定、協調、評價和演練在危機情況下與媒體交流的計劃。制定、協調、評價和演練與員工及其家庭、主要客戶、關鍵供應商、業主、股東以及機構管理層進行溝通和在必要情況下提供心理輔導的計劃。確保所有利益群體能夠得到所需的信息。
10.與公共當局的協調
建立適用的規程和策略用于同地方當局協調響應、連續性和恢復活動以確保符合現行的法令和法規。
四、BCM管理過程和生命周期
BCM是一個一體化的管理過程，是一個動態性的、前瞻性的、實時進行的過程，它必須根據情況適時更新并保持有效。
第一階段：明確本企業的內涵
明確業務目標，識別關鍵業務流程，以及業務流程得以實現的關鍵因素；確定可以接受的損失范圍，關鍵業務恢復的優先順序以及恢復時間目標。
第二階段：制定業務連續策略
確定指導備用業務恢復運行的策略，即組織BCM策略、過程層面BCM策略、資源恢復BCM策略等三個層次的業務連續策略。
第三階段：規劃并執行業務連續計劃
確定業務連續計劃制定的需求，規劃和實施一系列的業務連續性計劃，要根據具體情況因地制宜開發，其核心都是有效的保障業務連續運行。
第四階段：建立形成企業BCM文化
確定意識培養和培訓的目標，建立對機構人員進行意識培養和技能培訓的項目，以便業務連續性計劃能夠得到制定、實施、維護和執行。
第五階段：計劃評估、演練和維護
對預先計劃和計劃間的協調性進行演練、并評估和記錄計劃演練的結果，制定維持持續能力和BCM文檔更新狀態的方法使其與機構的策略方向保持一致。通過與適當標準的評估來驗證BCM的效率，為真正實施BCM項目管理掃清障礙。
第六階段：實施BCM項目管理與再評估
確定業務連續管理過程的需求，制定BCM項目計劃和預算，協調和組織管理BCM項目和整體BCM過程，確定對BCM過程進行持續管理和審計的需求和方法，BCM項目管理貫穿于整個BCM過程。
BCM不僅僅是企業管理的理念與標準，更應該是一種文化，也只有把BCM作為文化元素融入社會組織機構的管理中的時候，社會的公共安全體系就又加固了一道護欄