ASIS近期发布了一个框架，全称是：

Operational Resilience: The Critical Contribution of Security to Operational Resilience（运营韧性：安保对企业运营韧性的关键贡献）

讲的是安保部门在企业遭受危机时的关键作用，值得每一位安全同仁仔细阅读体会。

当今世界，不确定因素层出不穷，全球各地的企业都面临着不同的威胁——从网络攻击到自然灾害、地缘政经冲突、供应链中断等等。要在这个充满不确定性的大时代中稳步前行，企业必须建立起一套运营韧性机制（operational resilience），即在各种突发事件下保持持续交付关键服务（保持核心业务不间断）的能力。

ASIS的这份报告（英文）内容浓缩版（正文仅4页）：

https://www.asisonline.org/globalassets/foundation/research/asis-foundation-operational-resilience-executive-summary.pdf

报告全文下载（ASIS会员免费）：

https://store.asisonline.org/asis-foundation-operational-resilience.html

ASIS提出的这个框架概念的核心思想都浓缩在一张图表中：

本文将带你解读上图展示的综合运营韧性框架，帮你理解企业如何实现真正的韧性，以及安保部门在这个过程中扮演什么职能和角色。

企业运营韧性的 4 大核心支柱

运营韧性的核心目标是：无论遭遇何种挑战都能持续履行其最重要的职能（核心生产/业务不中断）。

ASIS运营韧性框架（以下简称“框架”）把这个目标细分为了四大支柱：

• 风险减控（Reduction）：主动降低运营风险，防患于未然
• 前置准备（Readiness）：保持有效应对影响事件的能力
• 应急响应（Response）：在危机或紧急事件发生时迅速、有效地做出响应
• 恢复重建（Recovery）：快速恢复运营，实现回归正常或适应“新常态”（new      normal）

双引擎思维：安全 + 业务连续性管理

框架强调了两大关键领域协同推动企业整体运营韧性：

1. 安全部门（实体安全PhysiSec + 网络安全CyberSec）

• 专注于保护支撑关键运营的四大要素人员、资产、基础设施与信息技术
• 包括威胁态势评估、防护措施实施、突发应急预案制定、演练培训以及事后适应新常态等环节

2. 业务连续性管理部门（BCM，含供应链与危机管理）

• 目标是尽量减少业务中断带来的影响，涵盖供应链和危机管理等方面
• 包括识别关键性与脆弱性资源、确保备用方案（Plan B）存在且经过测试、以及危机管理协同和培训的有效落实

跨部门协作：安全与BCM的互动

图中重要的一点，是安全与业务连续性管理之间的互动关系。

安全团队（Security）帮助BCM理解哪些环节存在脆弱性；

BCM帮助安全团队（Security）明确什么资源是最关键的。

这种双向视角确保了主动防护（security）和应急恢复（BCM）措施能聚焦到企业的核心痛点上，形成强大的合力（synergy）高效应对危机和风险，而不是各自为政，单兵作战。

企业韧性的基石：运营风险管理

框架的基石是运营风险管理（operational risk management），要求企业聚焦主要风险，并有效管理剩余风险（residual risk），从而避免资源分散，将精力投入到最关键的风险管控上。

*剩余风险（Residual risk）：指那些实施了风险应对策略以后仍然存在的未被管理的风险。剩余风险的水平决定着公司最终实际面临风险的水平。谈风险管理不是要消灭风险，而是要将风险控制在可接受的程度，就是指剩余风险在可以接受的范围。（合规网定义，www.csrcare.com）

思考

• 构建企业运营韧性不能靠某一个部门单打独斗，而应该是安全和业务连续性等职能部门多方协同努力的结果。
• 既要明晰企业哪些环节是脆弱点（安全部门的强项），也要辨明哪些资源对业务至关重要（BCM部门的专业），这样才能有的放矢地进行防护和恢复。
• 定期风险评估、持续优化危机预案和跨部门协作，将显著提升企业应对、响应和恢复各种中断事件的能力。

找到这个定位，安全部门才能最大程度发挥出自己在企业运营中的关键作用——值得每一位现代安全专业人士（security professional）思考。