执行概述
通常的做法是,公司制定计划,描述在不利事件发生时继续开展业务所需的措施。虽然许多这些计划的主要焦点可能是业务功能,如订单处理、客户服务、发票和供应链,但对于范围来说,包括用于生产产品的运营或生产设施的连续性也是非常重要的。对于处理有害物质的公司,该计划还必须解决过程安全和其他问题。
业务连续性计划的编制首先要进行全面的风险评估,确定潜在的威胁和漏洞,以及潜在的后果。风险必须包括由一系列事件(包括公用事业损失、自然或与天气有关的事件或网络安全攻击)导致的设备故障、危险材料密封失效和失去控制。
尽管该计划至关重要,但仅靠它还不够。如果该计划不经过检验或实施,应对措施的有效性将受到限制。一个简单的桌面练习是有帮助的,但完整的测试是首选。计划必须非常清楚地说明谁对规定的每个要素或步骤负责和负责。
必须利用定期审查和测试的结果来确定具体的改进。这些必须作为定期持续改进计划的一部分来实施。
ARC对此进行了一项调查,得到了一些资产所有者的回应。这项调查的目的是查明有关业务连续性规划的立场和做法。除了向本报告提供投入外,调查结果还将用于指导对该主题具体方面的进一步研究。调查仍然开放,并鼓励更多的受访者提交他们的资料。
规划背景
企业的所有方面都必须在一个全面的连续性计划中处理,并在企业的职能和部门之间进行协调。其中之一是操作,定义为为客户生产产品所需的过程、人员和设备。如果没有生产产品的能力,企业最终将步履蹒跚。根据企业及其产品的性质,有可能在一段时间内利用库存进行操作,这充其量只是一种临时措施。考虑到大多数公司都采取了最小化的策略
库存,间隔可能极短。
同样重要的是,应根据具体情况和在最适合的水平上制定、实施和执行业务连续性计划。例如,当处理大型的集成过程工业站点时,计划必须处理集成过程的全部宽度。如果过程步骤的集成程度较低,并且有某种程度的过程库存,则可能需要更细粒度的计划。
这种计划的制订必须反映风险评估的结果。虽然有许多定义风险的方法,但通常认为它是威胁、漏洞和后果的函数,威胁和后果组件都有一定的发生概率或可能性。威胁的形式多种多样,可能来自外部,也可能来自内部。常见的例子包括恶劣天气、自然灾害、基础设施服务的损失和重大设备故障。还必须考虑蓄意攻击——无论是物理攻击还是网络攻击。
虽然主要的后果是业务连续性或业务管理能力的丧失,但这是不同程度的。在过去的一年里,COVID-19大流行使人们更加关注实施这些计划并作出必要调整的必要性。无论潜在威胁的性质如何,维持正常运营和开展业务的能力仍然是当务之急。
对于所有预期的组合,连续性计划必须规定可行的缓解措施。虽然这一必要性似乎很明确,但从业务计划到生产和运营,企业内部各职能或部门之间的连续性计划是否得到充分协调并不总是显而易见的。
当前实践的调查
为了更好地了解该领域的当前实践,ARC对资产所有者进行了一项匿名调查,收到了来自多个行业部门和地理区域的回复。大多数的回答代表了公司层面的观点,而有些则来自单个工厂。虽然回答的绝对数量相对较少,但范围似乎具有广泛代表性。
该调查最近重新开放,并进行了修改,让参与者在输入结果时就能看到结果。根据目前的反应情况,可能有机会编写后续报告和进行进一步研究。那些希望对进一步研究作出贡献的人可以找到调查弧的网站.
调查设计
最初的调查保持简单,以鼓励作出贡献,并集中于该主题的具体方面。具体来说,它的设计目的是为了获取关于应对几种潜在威胁的典型规划做法的信息。虽然没有特别提到网络安全事件,但这些事件也可能包括在这个列表中。具体问题如表1所示。
虽然有可能这些问题中的几个很容易导致更详细的分析和调查,但这超出了最初努力的范围。
表的内容
- 执行概述
- 规划背景
- 当前实践的调查
- 总结的反应
- 分析与进一步研究
- 建议
ARC咨询集团客户可以查看完整的报告弧客户门户
如果你想购买这份报告或获取如何成为客户的信息,请联系我们