Headline:(30 pt.)Arial Narrow Bold,white,Text:24 pt.with 24 pt.square bullet,Subpoint,Subpoint,Text:24 pt.with 24 pt.square bullet,Subpoint,Subpoint,*,February 2002,休斯顿大学,信息系统研究中心,Dan Starta,(Dan.StartaATKearney.Com),企业风险管理模型,执行者的概括,最近恐怖分子,对,对美国的袭击,目,目标已经转向,了,了商业和,IT,管理者、风险,管,管理和灾难恢,复,复等问题引起,人,人们的关注,灾难和安全事,件,件对财政的影,响,响每年高达数,十,十亿美元，影,响,响的范围波及,到,到90%的企,业,业,商业连贯与安,全,全组织,BC&S（Business Continuityand Security),将继续作为一,个,个能预测未来,的,的管理者发挥,着,着自己的作用,绝大多数企业,已,已经投资于,BC&S,并将专注于如,何,何提高该领域,中,中所用的资金,数,数额,预期的投资额,将,将是2002,年,年到2005,年,年间投资额的3倍,Strategic BC&S,的战略规划将,使,使组织能避免,开,开销过大的灾,难,难，从而保护,业,业务和潜在的,新,新资源的商业,价,价值,BC&S,应该成为一,个,个业务的使,能,能原动力，,而,而,IT,只是解决方,案,案的一个组,成,成部分,适应,BC&S,的企业将使,其,其被关键资,产,产和核心业,务,务得到保护,就象,BC&S,目前所增长,的,的开销一样,明智的,投,投资能在降,低,低成本的同,时,时提高企业,对,对业务关键,方,方面的保护,更新的,BC&S,将能加速新,技,技术的开发,，,，使其对潜,在,在的企业运,作,作、客户和,股,股东产生附,加,加的价值,今日主题,风险的概括,业务连贯性,与,与安全规划,规划的价值,所,所在,方法,风险的概括,世界正在日,新,新月异地发,生,生着改变，,新,新生的难以,预,预料的各种,风,风险在业务,和,和技术领域,层,层出不穷,。,国家,人口,商业,人口的增长,城市区域内人口的不断增长,越来越便捷的旅行使世界越来越小,全球化程度的不断提高,因商业分类的趋势而愈演愈列的商业合并风潮,(Wal-Mart&Home Depot),全球化趋势的演化,(,联合国与,WTO),自由贸易区,(WTO,NAFTA&EU),在过去十年,里,里，商业风,险,险已经发生,了,了巨大改变,1900,1850,时间,(,not to scale),1950,1970,1990,2000,1980,商业气候,技术普及,政治、经济,的,的动荡,自,然,然,灾,灾,害,害,生,物,物,技,技,术,术,全,球,球,变,变,暖,暖,造,造,成,成,的,的,气,气,候,候,变,变,化,化,全,球,球,自,自,由,由,贸,贸,易,易,区,区,WTO,NAFTA,EU),日,益,益,提,提,高,高,的,的,专,专,业,业,化,化,程,程,度,度,第,一,一,台,台,商,商,用,用,电,电,脑,脑,的,的,出,出,现,现,冷,战,战,的,的,结,结,束,束,生,物,物,技,技,术,术,的,的,出,出,现,现,恐,怖,怖,分,分,子,子,开,开,始,始,使,使,用,用,生,生,化,化,武,武,器,器,工,业,业,化,化,的,的,进,进,程,程,使,使,人,人,口,口,密,密,度,度,越,越,来,来,越,越,大,大,越,来,来,越,越,频,频,繁,繁,的,的,气,气,候,候,现,现,象,象,：,：,地,震,震,、,、,洪,洪,水,水,、,、,飓,飓,风,风,和,和,厄,厄,尔,尔,尼,尼,诺,诺,现,现,象,象,等,等,规,模,模,经,经,济,济,开,开,始,始,通,通,过,过,高,高,效,效,的,的,制,制,造,造,流,流,程,程,得,得,以,以,实,实,现,现,Internet,的,出,出,现,现,使,使,人,人,们,们,之,之,间,间,的,的,沟,沟,通,通,更,更,便,便,捷,捷,第2,世,世,界,界,和,和,第,第,三,三,世,世,界,界,的,的,政,政,治,治,动,动,荡,荡,独,立,立,的,的,更,更,严,严,峻,峻,的,的,风,风,险,险,新,风,风,险,险,更,大,大,更,更,专,专,业,业,化,化,的,的,目,目,标,标,信,息,息,目,目,标,标,对,未,未,知,知,领,领,域,域,的,的,恐,恐,慌,慌,1997,年-2001,年,年,间,间,统,统,计,计,的,的,电,电,脑,脑,被,被,袭,袭,击,击,事,事,件,件,数,据,据,来,来,源,源:,计,计,算,算,机,机,安,安,全,全,学,学,会,会,（,（,ComputerSecurityInstitute,）,）,外,国,国,政,政,府,府,外,国,国,企,企,业,业,美,国,国,企,企,业,业,黑,客,客,内,部,部,人,人,士,士,百,分,分,比,比,以,下,下,是,是,因,因,计,计,算,算,机,机,病,病,毒,毒,引,引,起,起,的,的,世,世,界,界,范,范,围,围,内,内,的,的,经,经,济,济,损,损,失,失,统,统,计,计,资,料,料,来,来,源,源:,RichardPower,TangledWeb,1990,“,业,业,路,路,撒,撒,冷,冷,”,病,毒,毒,1995,“,概,概,念,念,”,”,病,病,毒,毒,1999,“,Melissa,”,”,病,毒,毒,2000,“,LoveBug,”,”,病,毒,毒,单,位,位,：,：,百,百,万,万,美,美,元,元,大多数,美,美国公,民,民认为,美,美国的,企,企业都,过,过分相,信,信自己,的,的商品,是,是坚不,可,可摧的,。,。,美国的,企,企业真,的,的足够,强,强大吗?,肯定,63%,否定,30%,弃权,7%,资料来,源,源,:ABCNews,绝大多,数,数企业,都,都很可,能,能被列,入,入毁灭,性,性打击,的,的目标,基础架,构,构,石油&,汽,汽油,电信,交通设,施,施,核心流,程,程,汽车,消费品,医疗卫,生,生,高科技,医药,加工业,可视化,娱乐业,游戏,休闲,媒体,体育,属性,是经济的基础，,如果受到毁灭性打击，那么整个国家将限于瘫痪,属性,GDP,的关键所在,与经济的其他方面联系紧密,属性,高度的可视性和交互性，与商业和消费者息息相关,涉及到消费者的安全，所以风险最大,可能遭,受,受毁灭,打,打击企,业,业的要,害,害,商业连,贯,贯性与,安,安全规,划,划就是,要,要对上,述,述存在,的,的各种,威,威胁、,影,影响作,出,出预案,，,，即便,及,及时应,对,对。,威胁,潜在影,响,响,反应,灾难,网络,操作,规则,客户需,求,求,股票的,价,价值,成本的,增,增加,利润的,降,降低,新机遇,的,的出现,商业连,贯,贯性与,安,安全规,划,划化,减缓风,险,险,时间恢,复,复,成本管,理,理,新机遇,业务连,贯,贯性与,安,安全规,划,划,业务连,贯,贯性与,协,协作安,全,全问题,的,的妥善,解,解决对,保,保护企,业,业运作,、,、资产,和,和维持,企,企业处,于,于某个,级,级别都,是,是很有,益,益的。,操作,保证连,贯,贯性的,关,关键操,作,作,服务的,最,最小化,确保服,务,务中断,后,后能重,新,新恢复,资产,保护信,息,息资产,将财务,损,损失降,至,至最低,降低风,险,险,确保职,员,员安全,级别,维持住,大,大众客,户,户,保持客,户,户对企,业,业的信,心,心,业务连,贯,贯性,“,业务的,连,连贯性,”,”是指,：,：事先,安,安排好,的,的处理,过,过程与,企,企业处,理,理实际,的,的具体,事,事务时,能,能以一,种,种,关键业,务,务功能,不,不被打,断,断,和改变,的,的,连续一,致,致,方式来,处,处理。,协作安,全,全,对企业,中,中那些,在,在关键,操,操作中,起,起作用,的,的物质,资,资产和,潜,潜在资,产,产,实施,保,保护,措,措施,，,，将,其,其面,临,临的,威,威胁,降,降到,最,最低,。,。,定义,目标,从技,术,术层,面,面分,析,析，,合,合作,和,和运,作,作方,面,面的,融,融合,已,已经,在,在不,断,断增,加,加，,所,所以,业,业务,所,所承,担,担的,失,失败,风,风险,也,也越,来,来越,引,引起,关,关注,。,。,传统,的,的业,务,务操,作,作已,经,经越,来,来越,复,复杂,，,，越,来,来越,有,有可,能,能失,败,败,系统,保,保护,已,已经,十,十分,典,典型,地,地不,能,能与,业,业务,的,的关,键,键性,保,保持,步,步调,一,一致,了,了,企业,与,与外,界,界的,连,连通,性,性和,设,设备,方,方面,的,的不,断,断深,入,入使,企,企业,很,很容,易,易遭,受,受破,坏,坏,供应,商,商,r,合作,商,商,销售,仓储,获取,t,商品,条,条目,系统,仓储&物,流,流,销售,系,系统,基础,架,架构,Web,接入,POS,设备,便携,设备,业务,运,运作,模,模型,培训,中,中心,法律,l,关键,管,管理,财务,人力,资,资源,客户,当前,的,的威,胁,胁和,将,将来,发,发展,的,的趋,势,势越,来,来越,使,使人,们,们专,注,注于,如,如何,制,制定,保,保证,企,企业,健,健壮,性,性的,业,业务,连,连贯,性,性规,划,划上,来,来。,典型,威,威胁,自然,灾,灾害,火灾,洪水,台风,飓风,地震,雪灾,人祸,黑客,病毒,数据,不,不一,致,致性,数字,签,签名,非法,获,获取,数,数据,恐怖,主,主义,袭,袭击,重大发展趋,势,势,扩展企业的,不,不断发展,企业间的兼,并,并、破产与,重,重组,全球化趋势,的,的加剧,对信息越来,越,越依赖,技术的普及,Internet,的普遍接入,电子商务的,不,不断完善与,环,环境的日趋,规,规范,客户自我服,务,务意识的提,高,高,业务领导和,IT,管理人员已,经,经重新把注,意,意力集中于,业,业务的连贯,性,性、风险管,理,理和灾难恢,复,复等问题方,面,面。,有超过,90%,的企业受到,过,过袭击,金融灾难和,安,安全性事件,给,给企业运作,带,带来树十亿,美,美元的损失,绝大多数企,业,业已经不在,徘,徘徊,很多企业在,未,未来几年的,预,预算中附加,了,了提高企业,抵,抵抗灾害能,力,力的资金。,投资将是,2000,年到2005年间预算,的,的3倍,业务连贯性,与,与协作安全,问,问题的解决,应,应该重点从,下,下列问题着,手,手：,风险与保护,措,措施,我的企业是,否,否面临风险,？,？它们存在,于,于哪里？,在我所面临,的,的风险中我,的,的合作商和,客,客户是否也,存,存在问题,?,我该怎样才,能,能保护自己,的,的业务,?,要做到怎样,的,的程度才算,是,是保护了自,己,己的企业了,呢,呢,?,成本,当我停止开,销,销后所需的,成,成本是多少,?,生存,如果遇到破,坏,坏，我的企,业,业如何继续,运,运作下去,?,如何幸存下,来,来呢,?,遇到破坏该,如,如何应对呢,?,规划的价值,所,所在,BC&SP,的一个基,本,本主题就,是,是了解成,本,本、可能,出,出现的破,坏,坏及其对,业,业务的影,响,响之间的,关,关系。,事件,保护方面,的,的投资,恢复成本,常规操作,恢复操作,破坏发生,的,的,可能性,数量级,预防,/,准备措施,计划与应,对,对预案,保护范围,开销的增,加,加,恢复措施,所用时间,恢复范围,危机管理,风险/影,响,响,服务需求,业务影响,利润的损,失,失,客户/合,作,作商的信,任,任度是否,受,受影响,法律/法,规,规,通过联合,来,来避免风,险,险，或者,是,是通过预,案,案等准备,措,措施来降,低,低企