災備預案需應對衍生災難

3月11日發生的9.0級日本大地震，是一場典型的衍生式災難：地震引發了海嘯、核輻射、高等級余震（4月7日的余震達7.4級）等多種衍生災難，而且，海嘯、核輻射的破壞力要遠遠大于地震本身。

這次地震帶給我們怎樣的啟示？我們應該如何預防這種衍生式災難？對我國企業有哪些借鑒？帶著這些問題，本報記者近日采訪了中國首位獲得國際認證的業務持續運作專家（CBCP）、萬國數據服務有限公司副總裁汪琪。

應對衍生災難很難

“由于日本是一個地震、海嘯等自然災難多發的國家，因此，日本在災難預防及BCP（業務連續計劃）體系建設方面做了大量工作，積累了豐富經驗。”對日本政府和企業在此次大災難中有條不紊的應對措施和應急處置素養，汪琪給予了肯定。他認為，在災備意識培養方面，日本具有一套政府主導，企業、個人，包括社區、學校等廣泛參與的防災救災培訓以及防災演練體系，這使得日本政府和民眾在應對一般性災難時能夠比較從容應對，這是令人贊嘆和欽佩，也是值得我們學習的地方。

據介紹，在政策制定方面，日本很早就已開始以業務連續性計劃為主導的應急預案與恢復預案的制定。而日本很多企業也都有災難恢復預案。因此，整個防災御災體系使得日本政府、企業、民眾能夠在此次地震、海嘯災難發生后坦然面對。

那么，為什么這次地震會造成這么大的損失，處理起來又如此復雜呢？汪琪從專業角度解讀說：“這是一場衍生式災難（Rolling Disaster），而不是一次性災難。”

汪琪指出，這次地震所引發的衍生災難——海嘯的破壞力是空前的，海嘯引發的不僅是大量人員傷亡、建筑物損毀，更主要的是導致了一場全球性的核輻射危機。日本東電公司福島核電站原來進行風險分析和風險防范時，只考慮能夠抵御3米多高的海嘯，而實際地震引發的海嘯高達十幾米，遠遠超出了福島核電站風險評估時預計的海嘯風險防范范圍，從而引發了此次核輻射危機。實際上，核輻射危機可以歸結為“一場失敗的企業風險評估引發的全球性危機”。

從預案制定或技術角度來看，應對地震、海嘯、核輻射等衍生災難是非常難的，因為在災難真正發生之前，我們很難想像得到這場災難所帶來的衍生災難究竟有哪些、有多大的破壞力。對地震所引發的海嘯、火災等衍生災難進行適當的風險評估、業務影響分析，制定適合的應急預案，并定期開展應急演練是對每一個企業CIO提出的嚴峻挑戰，CIO們在應對這種衍生式災難預防問題時是否就無能為力了？

有備無患

“并不是無能為力，關鍵在于如何總結經驗、吸取教訓。”汪琪強調，每一個威脅、每一個緊急事件，它所帶來的這種沖擊和引發的衍生災難，我們都要不斷地吸取經驗、教訓，在未來對它加以防范，做到“居安思危，思則有備，有備無患”。

汪琪建議，中國的行業、企業，尤其是關系國計民生的銀行、證券、保險、電力、交通等重點行業企業，制定針對多災難場景的全應急預案、全恢復預案非常重要。這些行業企業應該從日本地震應急處置過程中吸取經驗和教訓。

對此，汪琪提出了幾點改進方向：首先是系統備份范圍問題。很多行業企業雖然做了災備，但只是對核心系統進行了系統備份，一旦發生災難，其恢復能力只是杯水車薪，根本無法承載全面的業務恢復能力。

其次是預案完整度問題。在很多企業中，雖然做了應急預案，但一般都是針對總公司、總行、總數據中心的應急預案，而且針對各種突發性災難的預案偏少，只解決了有沒有的問題，沒有擴大風險防范范圍，也沒有向分公司拓展，完善應急預案體系。

第三是預案關注度問題。很多企業在制定預案時，考慮更多的是IT系統和數據，忽視了業務、組織架構、營業場所、人員傷亡、供應鏈影響等問題。因此，預案關注點應從IT方面轉向業務連續管理階段。

最后是演練問題。應急預案能否有效執行必須通過演練不斷地檢驗、改進和完善。這里需要強調的是，大部分企業目前進行的還都是模擬演練，真正進行真實切換演練的企業還是鳳毛麟角。這涉及到災備意識、災備理念、資金投入等多方面因素，但是實際切換演練一定是將來的方向和我們努力的目標，只有經常進行實際切換演練，才能最大限度地驗證預案體系的完整性、適用性以及可操作性，整體提升災備管理能力和業務連續管理水平。