一、业务连续性概述
什么是业务连续性
业务连续性,说白了就是——天塌下来,你的系统还能跑。
我习惯这么定义它:业务连续性(Business Continuity,简称BC)是组织在面临突发事件时,能够持续提供关键业务服务的能力。它不是简单的系统不宕机,而是从业务视角出发,确保核心功能不中断。
你想想看,一个电子交易系统,每秒可能处理上千笔订单。如果系统挂了,哪怕只停5分钟,损失可能就不是几万块能打住的。我见过一个真实的案例:某券商因为交易系统中断了8分钟,当天就被监管约谈,客户投诉电话直接打爆了客服中心。
所以,业务连续性包含三个核心要素:
- 预防——提前识别风险,避免中断发生
- 响应——中断发生时,快速恢复服务
- 恢复——把系统拉回正常状态,并复盘改进
嗯,这里要注意:业务连续性不是IT部门一个人的事。它需要业务、技术、运营、法务等多个部门一起参与。我在做BCP项目时,最头疼的就是业务部门觉得「这是IT的事」,结果真正出问题时,业务优先级根本对不上。
为什么电子交易系统需要BCP
电子交易系统对BCP的需求,比其他系统要迫切得多。原因有三:
- 实时性要求极高——交易撮合、行情推送、资金结算,每一秒都涉及真金白银。延迟超过毫秒级,客户就跑了。
- 监管合规压力大——国内外金融监管机构对交易系统的连续性有硬性要求。比如中国证监会要求核心交易系统的RTO(恢复时间目标)不超过30分钟,RPO(恢复点目标)不超过5分钟。
- 连锁反应风险——一个交易系统挂了,可能引发市场恐慌、流动性危机,甚至系统性金融风险。这不是危言耸听,历史上发生过。
核心观点:电子交易系统的BCP不是「要不要做」的问题,而是「怎么做才能合规且有效」的问题。
我曾经帮一家期货公司做BCP评估。他们觉得自己的系统很稳,三年没出过大问题。结果我一看,他们的灾备中心居然和主中心在同一个城市,而且用的是同一家运营商的网络。我当时就说:「如果这个城市发生大面积停电,或者运营商骨干网断了,你们怎么办?」他们沉默了。
后来果然有一次,该城市因为施工挖断了光缆,主中心直接瘫痪。幸好他们提前做了异地灾备,否则后果不堪设想。
BCP与灾备的区别
很多人把BCP和灾备混为一谈。我刚开始做这行时也犯过这个错误。其实它们有本质区别:
| 维度 | BCP(业务连续性计划) | 灾备(灾难恢复) |
|---|---|---|
| 关注范围 | 整个业务流程 | IT系统和数据 |
| 目标 | 保持业务持续运行 | 恢复IT系统 |
| 涉及人员 | 业务、技术、管理、外部供应商 | IT运维、基础设施团队 |
| 时间维度 | 事前预防 + 事中响应 + 事后恢复 | 主要是事后恢复 |
| 典型场景 | 疫情、地震、网络攻击、人员罢工 | 服务器宕机、数据库损坏、机房断电 |
说白了,灾备是BCP的一个子集。灾备解决的是「系统坏了怎么修」,而BCP解决的是「业务不能停,哪怕系统坏了,人也要想办法顶上」。
举个例子:如果交易系统的主数据库挂了,灾备方案是切换到备库。但BCP方案还会考虑:如果备库也挂了怎么办?是不是有手工交易通道?是不是有备用清算流程?是不是提前和客户沟通过应急方案?
我的经验:做BCP时,一定要先做业务影响分析(BIA)。搞清楚哪些业务是核心的,哪些可以容忍短暂中断。否则你花大价钱做的灾备,可能保护的是不重要的系统。
避坑指南:我曾经见过一个团队,花了几百万做灾备,结果演练时发现——灾备系统的数据同步延迟了15分钟。而他们的业务要求RPO是1分钟。这就是典型的「只建了灾备,没做BCP」的后果。技术方案和业务需求脱节了。
知识体系框架
下面这张图,是我个人习惯用来梳理BCP知识体系的。它把业务连续性拆成了四个层次:
这张图我每次做BCP培训都会拿出来讲。它清晰地展示了:BCP不是一次性的项目,而是一个持续改进的闭环。从战略定调,到风险评估,再到执行落地,最后通过演练和审计反哺回来。
我个人习惯把第四层「持续改进」单独拎出来强调。因为很多公司做完BCP文档就束之高阁了,第二年拿出来一看,业务变了、系统变了、人员也变了,计划根本没法用。这就是典型的「有BCP,没BCM(业务连续性管理)」。
一句话总结:BCP是「计划」,BCM是「管理」。计划可以写一次,管理需要天天做。