災備專家汪琪：災備預案需應對衍生災難

對地震所引發的海嘯、核輻射、火災等衍生災難進行風險評估、業務影響分析，制定適合的應急預案，并定期開展應急演練是對每一個企業CIO提出的嚴峻挑戰。

2011年3月11日發生的9.0級日本大地震，是一場典型的衍生式災難：地震引發了海嘯、核輻射、高等級余震（4月7日的余震達7.4級）等多種衍生災難，而且，海嘯、核輻射的破壞力要遠遠大于地震本身。

這次地震帶給我們怎樣的啟示？我們應該如何預防這種衍生式災難？對我國企業有哪些借鑒？帶著這些問題，記者近日采訪了中國首位獲得國際認證的業務持續運作專家(CBCP)，國家標準GB/T 20988 2007《信息系統災難恢復規范》的第一作者，萬國數據服務有限公司副總裁汪琪。

Question 1: 您如何評價日本政府、企業、民眾在此次地震中的表現，原因是什么？

汪琪: 總體來看，日本在應對此次地震中的表現是令人贊嘆和欽佩的。

由于日本是一個地震、海嘯等自然災難多發的國家，因此，日本在災難預防及BCP（業務連續計劃）體系建設方面做了大量工作，積累了豐富經驗：

在災備意識培養方面，日本具有一套政府主導，企業、個人，包括社區、學校等廣泛參與的防災救災培訓以及防災演練體系，這使得日本政府、民眾在應對一般性災難時能夠比較從容應對。

在政策制定方面，日本很早就已開始以業務連續性計劃為主導的應急預案與恢復預案的制定，早在2005年4月，日本經濟產業省信息安全政策室就制定了《業務連續計劃制定指導方針》；日本內閣府的中央防災會議在“用民間和市場的力量提高防災能力的專門調查會”中設置了企業評價和業務連續工作組，從防災減災角度推進政府和企業的BCP建設。2005年8月，日本制定了《業務連續計劃指導方針》。中小企業廳在2006年2月，以中小企業的防災為對象，制定了《中小企業BCP制定運用方針》等。

在非政府救災方面，日本有很多非政府組織和民眾，廣泛參與到抗災救災過程中，對抗災救災工作起到了巨大幫助。

另外，在企業方面，日本很多企業也都有災難恢復預案，例如，豐田汽車公司很早就建立了名古屋港發生地震后的備份運輸路線和應急體系，改變平常的零部件和成品車的物流路線，改為東京和大阪的港口，確保地震等災后的業務持續；另外，有些企業的災備預案不僅針對企業內部，還包括對整個社會的救助，比如三得利公司在遍布日本大街小巷的自動售貨機上都裝有相應軟件，一旦災難發生，自動售貨機就會停止收銀，用于救災。

因此，整個防災御災體系使得日本政府、企業、民眾能夠在此次地震、海嘯災難發生后坦然面對。

Question 2: 您對日本應對此次災難的評價非常高，但是在應對此次災難，尤其是核輻射危機時，日本政府及東電公司的預防、處理措施受到多方詬病，對此您怎么看？從預案的角度我們應該怎樣去解讀？

汪琪:為什么這次地震會造成這么大的損失，處理起來又如此復雜，從專業的角度看，它是一場衍生式災難（Rolling Disaster），而不是一次性災難。

從單純應對9.0級大地震來看，日本的防災抗災措施是非常全面的，除前面提到的防災體系和救災措施之外，在基礎設施（建筑物）的抗震等級方面，日本在京都大地震之后，顯著提高了建筑物的防震抗震標準，航空、電信以及企業數據中心等都采用了多種防震措施，因此，雖然遭遇9.0級大地震，但是并沒有造成太多損失和人員傷亡。

但是，這次地震引發的衍生災難——海嘯的破壞力卻是空前的，海嘯引發的不僅是大量人員傷亡，建筑物損毀，更主要的是導致了一場全球性的核輻射危機。日本東電公司福島核電站原來進行風險分析和風險防范時，只考慮能夠抵御3米多高的海嘯，而實際地震引發的海嘯高達十幾米，遠遠超出了福島核電站風險評估時預計的海嘯風險防范范圍，從而引發了此次核輻射危機。實際上，核輻射危機可以歸結為“一場失敗的企業風險評估引發的全球性危機”。

從預案制定或技術角度來看，應對地震、海嘯、核輻射等衍生災難是非常難的，因為在災難真正發生之前，我們很難想象到這場災難所帶來的衍生災難究竟有哪些，有多大的破壞力——對地震所引發的海嘯、火災等衍生災難進行適當的風險評估、業務影響分析，制定適合的應急預案，并定期開展應急演練是對每一個企業CIO提出的嚴峻挑戰。

Question 3:那是不是說，我們應對這種衍生式災難預防就無能為力了？

汪琪:并不是“無能為力”，關鍵在于如何總結經驗、吸取教訓。我舉個例子，“9•11恐怖襲擊”造成3000多人死亡或失蹤，并造成300多家世貿中心的企業（總共400多家）在隨后的3個月至2年內破產，其余大部分企業也步履維艱。

為什么會造成如此大的人員傷亡？一方面是因為飛機上裝滿燃油，在撞擊后燃油泄露引發衍生災難——火災，將世貿中心鋼結構體燒毀以致世貿中心徹底倒塌，另一方面是因為，大火使紐約消防局和警察局出動大批人員進行災場救援，整個建筑物倒塌時，很多救援人員被壓在下面。

另外，缺乏對“最壞”情況進行防范也是其中一個重要原因。“9•11”發生之前，沒有一個政府或企業以飛機撞擊作為一個災難場景來設計應急預案。但是，在“9•11”之后，這種情況發生了很大轉變，很多企業在制定應急預案時往往會以最壞的情況來考慮風險，進行風險分析、業務影響分析及預案制定。

實際上，1993年，在世貿中心停車場曾發生過一起炸彈爆炸，當時造成了上百家公司退出市場。這些公司退出市場不僅是因為炸彈造成了企業信息系統和業務的癱瘓，更因為面向市場提供服務的能力中斷了。此后，美國加大了對炸彈威脅的防范。但是誰也沒有想到，恐怖分子會利用飛機直接撞擊世貿中心，更沒有想到飛機撞到世貿中心之后引發的火災居然將整個大廈燒毀。

“9•11”驚醒了很多企業，在“9•11”之前，很多企業認為，制定恢復預案、進行災備建設是杞人憂天、庸人自擾；但“9•11”之后，很多企業都開始重視、加強災備建設。同時，災備建設內容也發生重大變化，“9•11”之前，企業更關注的是如何恢復自己的數據和信息系統以及業務；“9•11”之后，企業更多的是關注整個供應鏈，關注危機公關/危機通訊，關注組織架構及人員保障等等，這使得很多企業的災備建設真正進入到業務連續管理階段。

因此，每一個威脅，每一個緊急事件，它所帶來的這種沖擊和引發的衍生災難，我們都要不斷地吸取經驗、教訓，在未來對它加以防范，做到“居安思危，思則有備，有備無患”。

Question 4:在新聞報道中，我們看到，有的地區通訊中斷無法快速掌握受損狀況和安排救援；有的地區由于政府組織或政府機構人員傷亡導致雖有應急預案，但是沒有人去執行，對此您怎么看？

汪琪:應急預案能不能在災難發生后發揮作用，體現價值，其實受很多因素影響，比如剛才你所提到的通訊問題就是其中之一。如果通訊中斷，沒有很好的信息溝通渠道，再好的應急預案也是擺設，因為沒有辦法快速掌握災情，進一步安排抗災救災工作。

通訊中斷情況在我國2008年汶川地震時也出現過，而且越是受災核心地區，通訊越困難。而在整個災區，初期獲取信息的主要渠道只有阿壩州政府網站。阿壩州政府與受災地區聯系的主要渠道只有少量海事衛星電話。地震發生兩天，仍有不少受災地區通訊中斷，而且受災越嚴重的地區，所能得到的信息越少，這對救援工作非常不利。因為受災情況不清楚，所需食品、水、醫藥等救援物資數量不清楚，整個救援組織體系就無法建立，更無法展開有效的救援措施。這警示我們，未來不管是政府、公眾事業單位在應對突發性災難恢復事件還是企業在做應急預案時，通訊保障是我們首先要考慮的問題，必須做好通信保障。

另外，資源管理和調度問題也很重要，日本政府和非營利組織在此次救援過程中已經做了很多工作，但缺乏一個類似于美國聯邦應急管理署（FEMA）的強勢部門來統一協調處理抗災救災工作。美國聯邦應急管理署不僅有自己的雇員，自己的預算，而且有自己的飛機、輪船、汽車以及大量的救援物資，甚至可以調撥國民警衛隊，在應急管理方面發揮了巨大作用，實踐了全風險管理和全過程管理的應急管理理念。

Question 5:作為業內專家，您對我國行業、企業在災備建設方面有何建議？

汪琪:中國的行業、企業，尤其是關系國計民生的銀行、證券、保險、電力、交通等重點行業企業，制定針對多災難場景的全應急預案、全恢復預案非常重要。這些行業企業應從日本地震應急處置過程中吸取經驗、教訓。

在這里，我想強調幾點改進方向：

首先是系統備份范圍問題，很多行業企業雖然做了災備，但只是對核心系統進行了系統備份，一旦發生災難，其恢復能力只是杯水車薪，根本無法承載全面的業務恢復能力。

其次是預案完整度問題，在很多企業中，雖然做了應急預案，但一般都是針對總公司、總行、總數據中心的應急預案，而且針對各種突發性災難的預案偏少，只解決了有沒有的問題，沒有擴大風險防范范圍，也沒有向分子公司拓展，完善應急預案體系。

第三是預案關注度問題，很多企業在制定預案時，考慮的更多的是IT系統和數據，忽視了業務問題、組織架構問題、營業場所問題、人員傷亡問題、供應鏈影響問題等。因此，預案關注點應從IT方面轉向業務連續管理階段。

最后是演練問題，應急預案能否有效執行必須通過演練不斷的檢驗、改進和完善，在這里需要強調的是，大部分