ITIL 4官方核心著作
04 某公司应急管理服务说明
复制
导出
注释
打印预览
查看源代码
子项
评论
附件 (10)
历史记录
信息
某公司ITIL应急管理服务说明
议程
应急管理的范围与目标
风险定义及其两面性
风险分类与分级
风险评估机制 应急组织结构
应急实施流程举例
应急保障
应急管控
应急项目实施过程
风险管理-范围、目标与原则
范围: 国家级、政府级、行业级、企业级、组织级、系统级
原则: 统一领导,统一指挥;快速反应,组织有序; 规范操作,资源整合; 特例归纳,自我调整;奖惩并举,持续改进。
目标: 基于在事后充分对企业、组织和/业务系统发生的特定的紧急事件所带来的潜在影响和根本原因的深入分析,其目的在于针对不同的风险应急场景制定相应的应对策略和具体处置措施,以便在紧急事件发生后,有针对性地在第一时间,对特定风险应急场景有计划、有步骤地采取一系列处置措施,应尽可能在最短时间内使企业、组织、系统恢复正常运营、尽快恢复关键业务服务,并且在最大限度范围内减少该风险所带来的损失。
风险管理-风险定义及两面性
定义: 可定义为事件发生的可能性及其结果的组合(ISO/ IEC指南73) 如:对用户层面或公司运营造成重大影响的关键业务服务中断的可能性及其结果的组合。
两面性: 任何事件及其結果都潜藏获利 (正面)或威胁成功(負面)的機會。应急管理应该同时重視風險的正面及負面影响;但是,目前多数组织面临的风险,通常认为只有有負面的結果,因此,此处风险管理专注于损害的应对及损失降低。
风险事件的分类
突发公共事件是指突然发生,造成或者可能造成重大人员伤亡、财产损失、生态环境破坏和严重社会危害,危及公共安全的紧急事件。 根据突发公共事件的发生过程、性质和机理,突发公共事件主要分为以下四类:
(1)自然灾害。主要包括气象灾害,地震灾害,地质灾害,海洋灾害,生物灾害等。
(2)事故灾难。主要包括各类安全事故,交通运输事故,公共设施和设备事故,辐射事故,环境污染和生态破坏事件。
(3)公共卫生事件。主要包括传染病疫情,群体性不明原因疾病,食品安全和职业危害,动物疫情,以及其他严重影响公众健康和生命安全的事件。
(4)社会安全事件。主要包括恐怖袭击事件,民族宗教事件,经济安全事件,涉外突发事件和群体性事件等。 上述各类突发公共事件往往是相互交叉和关联的,某类突发公共事件可能和其他类别的事件同时发生,或引发次生、衍生事件,应当具体分析,统筹应对。
IT组织风险事件的分类
关键业务系统紧急事件是指:
突然发生,造成或者可能造成关键业务服务在全省/区或至少包括一个关键地市范围内不可用;
因系统原因数据处理错误,导致大量用户投诉;
来自新闻媒体、消费者协会、国家行政机关(工商、物价等)的反映或申告;
部分重要数据丢失,且无法全部恢复。
风险事件的分级
| 级别 | 描述 | 响应实现 |
| Ⅰ级(特大) | 突然发生,造成或者可能造成关键业务服务在全省/区或至少包括一个关键地市范围内部可用; | 立即 |
| 因系统原因数据处理错误,导致大量用户投诉; | ||
| 来自新闻媒体、消费者协会、国家行政机关(工商、物价等)的反映或申告; | ||
| 部分重要数据丢失,且无法全部恢复。 | ||
| Ⅱ级(重大) | 15分钟 | |
| Ⅲ级(较大) | 4小时 | |
| Ⅳ级(一般) | 8小时 |
构建风险管控机制
风险界定与评价-1
| 风险名称 | 营帐数据库单实例损坏(举例) |
| 风险范围 | 核心业务服务能力下降30%-40% |
| 风险本质 | 严重影响业务运营,收入,满意度,考核 |
| 利益相关者(stakeholders ) | 营业,呼叫中心,集团客户部,支撑系统部 |
| 风险的估计 | 重要性=严重关注 可能性=高 |
| 对风险的容忍程度 | 该类风险无论对运营还是客户满意度方面带来的影响及损失,其容忍度为:不可接受 |
| 风险处置及控制机制 | 应急计划 |
| 技术恢复机制 | |
| 稽核与监督机制 | |
| 回顾与改进机制 | |
| 改善的可能行动 | 快速发现,适当的监控手段与工具 |
| 准确的上报、识别与决策 | |
| 技术恢复的有效性与及时性 | |
| 主动的稽核、回顾与改进机制 |
风险界定与评价-2
| 估计 | 描述 | 指标 |
| 高(很有可能) | 在一定期间内有可能发生或发生的概率大于25% | 在一定期间内(如1年内)可能发生多次,或最近发生过 |
| 中(有可能) | 在一定期间内有可能发生或发生的概率小于25% | 在一定期间内(如1年)可能发生一次以上 |
| 由于某些外部影响而难以控制 | ||
| 是否曾发生过 | ||
| 低(微乎其微) | 在一定期间内不太可能发生或发生的概率小于2% | 没发生过或不太可能发生 |
风险界定与评价-3
| 估计 | 描述 |
| 高 | 对组织的财务影响超过¥ Y万元 |
| 对组织策略及营运活动的有严重影响: | |
| 损益关联者严重关切 | |
| 中 | 对组织的财务影响可能在¥ X与¥ Y万元之间 |
| 对组织策略及营运活动有中等程度的影响: | |
| 损益关联者关切度为中等 | |
| 低 | 对组织的财务影响小于¥ X万元 |
| 对组织策略及营运活动的影响程度很低: | |
| 损益关联者关切程度低 |
应急管理-组织结构
应急管理流程组合
应急管理-主控流程
应急实施流程
应急信息通报流程
应急管理-知会调度流程
应急管理新闻宣传流程
应急保障
应急管控
宣传教育和培训
应急演习与演练
应急预案KPIs
回顾与改进
责任与奖惩 预案管理
应急管理项目实施过程
项目准备与启动
项目访谈
应急机管理流程构建
应急管理演习
上线与推广
应急管理实施方法(1)
策略:统一风险处理方法
应急管理实施方法(2)
策略:客户现状出发,使用QUICK WIN战术 实现方法:
根据关键商业过程,确定关键业务和风险场景
根据现有故障处理标准和行业规范,确定风险级别
以现有组织为基础,建立应急管理组织结构
以现有管理为基础,建立应急管理公共流程
以现有技术为基础,建立相应技术子流程
以现有业务实现方式为基础,建立相应业务子流程
应急管理实施方法(3)
策略:持续改进应急管理能力 实现方法:
构建应急管理回顾与改进流程
制定主动性制度保障流程的持续改进
定期进行应急管理培训普及应急管理知识
定期进行应急预案演习熟练掌握流程和风险处理技能
融合流程改进机制,形成自适应流程体系
应急管理服务的益处
建立完整的应急管理组织结构
构建整套应急管理公共流程框架
制定应急管理应急预案
企业或组织能够快速解除危机,从容面对客户,公众和媒体
企业或组织领导在第一时间了解风险处理状态并作出决策 提高企业和/或组织关键业务系统服务的可持续性
应急管理服务与其他服务的Alignment
风险预防与预警----操作监控服务,AO服务
风险处理----ITSM服务,DR服务
抗风险能力提升----ITSM服务
应急管理服务人天估算
应急与风险管理和评估机制构建-5 人天
应急管理公共流程构建-5人天
单一风险场景应急预案构建-5人天
应急演习计划-5人天
应急预案演习及总结-5人天