目錄

1. 業(yè)務(wù)連續(xù)性計劃概述
2. 業(yè)務(wù)連續(xù)性計劃的重要性
3. 業(yè)務(wù)連續(xù)性計劃的基本要素
4. 業(yè)務(wù)連續(xù)性計劃的內(nèi)容
5. 業(yè)務(wù)連續(xù)性計劃的運作流程

業(yè)務(wù)連續(xù)性計劃（Business Continuity Planning,縮寫為BCP）

業(yè)務(wù)連續(xù)性計劃概述

　　業(yè)務(wù)連續(xù)性計劃是一套基于業(yè)務(wù)運行規(guī)律的管理要求和規(guī)章流程，使一個組織在突發(fā)事件面前能夠迅速作出反應(yīng)，以確保關(guān)鍵業(yè)務(wù)功能可以持續(xù)，而不造成業(yè)務(wù)中斷或業(yè)務(wù)流程本質(zhì)的改變。

　　業(yè)務(wù)連續(xù)性是指企業(yè)有應(yīng)對風(fēng)險、自動調(diào)整和快速反應(yīng)的能力，以保證企業(yè)業(yè)務(wù)的連續(xù)運轉(zhuǎn)。為企業(yè)重要應(yīng)用和流程提供業(yè)務(wù)連續(xù)性應(yīng)該包括以下三個方面。

　　1.高可用性（High availability） 。它是指提供在本地故障情況下，能繼續(xù)訪問應(yīng)用的能力。無論這個故障是業(yè)務(wù)流程、物理設(shè)施，還是IT軟硬件故障。

　　2.連續(xù)操作（Continuous operations）。 它是指當(dāng)所有設(shè)備無故障時保持業(yè)務(wù)連續(xù)運行的能力。用戶不需要僅僅因為正常的備份或維護而需要停止應(yīng)用的能力。

　　3.災(zāi)難恢復(fù)（Disaster Recovery）。它是指當(dāng)災(zāi)難破壞生產(chǎn)中心時，在不同的地點恢復(fù)數(shù)據(jù)的能力。

　　同時，上述三個部分不是相互孤立的，是相互關(guān)聯(lián)，而且有交叉的。

　　區(qū)分業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)是很必要的。嚴(yán)格地說，災(zāi)難恢復(fù)是恢復(fù)數(shù)據(jù)的能力，是業(yè)務(wù)連續(xù)性計劃的一部分。

　　讓業(yè)務(wù)連續(xù)性計劃成為企業(yè)變化管理文化的一部分。在制定企業(yè)業(yè)務(wù)連續(xù)性計劃之后，不要把這個計劃放在一邊。要確保該計劃的切實可行，就需要把它變成活動的文檔。如果企業(yè)的業(yè)務(wù)模式發(fā)生了變化，或是業(yè)務(wù)過程進行了重新設(shè)計，或是發(fā)生突發(fā)狀況時的重要聯(lián)系人不再為公司工作，舊的計劃就需要及時進行更新。當(dāng)有變化時，每個員工都應(yīng)該問問自己該變化會對業(yè)務(wù)連續(xù)性計劃中涉及到自己的部分會產(chǎn)生怎樣的影響。

業(yè)務(wù)連續(xù)性計劃的重要性

　　現(xiàn)在的社會特別是經(jīng)濟社會對網(wǎng)絡(luò)的依賴日益加深，傳統(tǒng)的備份恢復(fù)式安全計劃已經(jīng)無法保證企業(yè)業(yè)務(wù)的連續(xù)運行。

　　業(yè)務(wù)連續(xù)性計劃正是因此而生，它根據(jù)業(yè)務(wù)流程而非針對技術(shù)進行制訂，有助于建立起更具統(tǒng)籌能力的安全管理制度。據(jù)Gartner Group的調(diào)查結(jié)果顯示，如果企業(yè)的大型數(shù)據(jù)中心和信息基礎(chǔ)設(shè)施停止運行10日以上，超過百分之三十的企業(yè)在一個季度內(nèi)倒閉，而接近90%的企業(yè)在一年內(nèi)倒閉。

　　這些數(shù)據(jù)說明了保證業(yè)務(wù)連續(xù)有效的運行對企業(yè)來說是多么重要，同時也可以看出企業(yè)花費大量的資金于業(yè)務(wù)連續(xù)性計劃最核心的原因。

業(yè)務(wù)連續(xù)性計劃的基本要素

BCP的基本要素

　　籠統(tǒng)地說，BCP的目標(biāo)只有一個，那就是確定并減少危險可能帶來的損失，有效地保障業(yè)務(wù)的連續(xù)性。而有關(guān)BCP的一些特定目標(biāo)我們將在以下各個部分中加以描述。

　　BCP實施的最終結(jié)果是：

• 一組防范危險的評測指標(biāo)；　　
• 一支執(zhí)行團隊，在經(jīng)過培訓(xùn)后可以處理各種危險事件；
• 一套計劃，提供危險發(fā)生時的路線圖。該計劃應(yīng)該是充分和完備的，必須詳細(xì)落實到該計劃實施范圍內(nèi)的每一個單位、人員或設(shè)備。

　　每個企業(yè)所制定的BCP都應(yīng)該有每個企業(yè)或者所處行業(yè)獨有的特色，彼此之間不會完全一致，但大致上說來，一個完備的BCP主要是由以下一些關(guān)鍵部分構(gòu)成的：

　　一、 危險評估

　　危險評估就是認(rèn)識并分析各種潛在危險的結(jié)果。這些危險的來源可能是：

• 各種區(qū)域性的天然災(zāi)難，如洪水、地震、疫病等；
• 人為事故或蓄意破壞造成的嚴(yán)重災(zāi)難，如火災(zāi)、恐怖主義襲擊等；
• 安全威脅、硬件、網(wǎng)絡(luò)或通信故障；
• 災(zāi)難性的應(yīng)用系統(tǒng)錯誤。

　　所有的危險都應(yīng)納入企業(yè)的危險評估范圍，并且應(yīng)對各種危險的可能來源地進行較準(zhǔn)確的定位。對于每一種危險的來源都應(yīng)該認(rèn)識到：

• 危險的類型；
• 危險的程度；
• 危險發(fā)生的可能性。

　　比如說，如果按照有無警示性先兆來分，各類危險還可以分為：

• 有些危險可能沒有任何先兆而突然發(fā)生，無法事先防范；
• 有些危險可以有一定的先兆，可以迅速啟動應(yīng)急計劃加以防范，比如疫病的傳播；
• 有些危險可能從來不會發(fā)生。

　　如果按照危險的破環(huán)類型或程度來分，它們對業(yè)務(wù)的影響可以分為：

• 經(jīng)營場所及設(shè)備完全破環(huán)；
• 經(jīng)營場所及設(shè)備部分破環(huán)；
• 經(jīng)營場所及設(shè)備完好，但人員不能進入，比如疫病的隔離、恐怖威脅造成的人員輸散等。

　　顯然，對于企業(yè)來說，一個完備的BCP必須盡可能多地考慮到所有可能的危險情況，只有處理災(zāi)難性事件的計劃而沒有處理應(yīng)用系統(tǒng)失誤的計劃，這樣的BCP是不完備的；反之亦然。

　　企業(yè)所制定的BCP應(yīng)該同時兼顧兩個方面——預(yù)防和控制。例如，人為事故和蓄意破壞可以通過物理安全和個人行為的評測來預(yù)防。而應(yīng)用系統(tǒng)的錯誤則可以通過對軟件的有效評測與測試來預(yù)防。

　　危險評估的最后結(jié)果應(yīng)該是一份有關(guān)危險效益分析的詳細(xì)陳述報告，要有對危險的精確描述、哪些危險可能發(fā)生，以及需要采取的保障業(yè)務(wù)連續(xù)性和緩和危險的措施，同時要有因為克服了危險而帶來的收益分析。這份報告還應(yīng)該描述清楚任何現(xiàn)有的前提或者限制因素。

　　二、 業(yè)務(wù)影響分析（BIA）

　　業(yè)務(wù)影響分析（Business Impact Analysis）實質(zhì)上就是對關(guān)鍵性的企業(yè)功能、以及當(dāng)這些功能一旦失去作用時可能造成的損失和影響的分析。

　　對于企業(yè)業(yè)務(wù)運營的關(guān)鍵人員來說，他們需要分析：

　　A. 影響

• 哪種功能對于企業(yè)的整體戰(zhàn)略而言是生死攸關(guān)的
• 該功能在多長時間內(nèi)失效不會造成影響和損失
• 企業(yè)的其他業(yè)務(wù)功能由于該功能的失效會受到何種影響——運營影響分析
• 該功能的失效可能造成的收入影響——財務(wù)影響分析
• 該功能是否會對客戶關(guān)系造成影響——客戶信心的損失
• 該功能是否會對市場份額造成影響——市場占有率的下滑
• 該功能是否會對企業(yè)在行業(yè)中的地位造成影響——企業(yè)競爭力的損失
• 該功能是否會影響今后的銷售——機會的喪失
• 什么是最大的/可承受的/可允許的失效

　　B. 業(yè)務(wù)恢復(fù)需求

• 要使該功能連續(xù)，需要哪些資源和數(shù)據(jù)紀(jì)錄
• 最少的資源需求是什么
• 哪些資源可能來自企業(yè)外部
• 它與企業(yè)其他功能的依賴關(guān)系以及依賴程度
• 企業(yè)的其他功能與該功能的依賴關(guān)系以及依賴程度
• 該功能與企業(yè)的外部業(yè)務(wù)/供應(yīng)商/其他廠商的依賴關(guān)系以及依賴程度
• 在缺少試驗環(huán)境的情況下進行恢復(fù)，需要采取怎樣的預(yù)防措施或檢驗手段

　　在進行了這些分析之后，才有可能對企業(yè)的各種功能進行分類：

　　a)關(guān)鍵功能——如果這類功能被中斷或失效，就會徹底危及企業(yè)的業(yè)務(wù)并造成嚴(yán)重?fù)p失。

　　b)基礎(chǔ)功能——這些功能一旦失效將會嚴(yán)重影響企業(yè)長期運營的能力。

　　c)必要功能——企業(yè)可以繼續(xù)運營，但這些功能的失效會在很大程度上限制企業(yè)的效率。

　　d)有利功能——這些功能對企業(yè)是有利的；但它們的缺失不會影響企業(yè)的運營能力。

　　根據(jù)各種功能的恢復(fù)需求，企業(yè)便可為上述各類功能制定標(biāo)準(zhǔn)的恢復(fù)時間架構(gòu)。例如，關(guān)鍵功能<1天；基礎(chǔ)功能：2～4天；必要功能：5～7天；有利功能：>10天。

　　影響分析可以幫助企業(yè)確定各類業(yè)務(wù)功能的優(yōu)先順序，換句話說，也就確定了各業(yè)務(wù)功能的優(yōu)先恢復(fù)順序。

　　BIA有助于定義恢復(fù)對象。在進行了影響分析之后可能會發(fā)現(xiàn)，在一次災(zāi)難之后恢復(fù)業(yè)務(wù)運營時，首先恢復(fù)部分功能就足夠了，比如說在24小時內(nèi)先恢復(fù)日常業(yè)務(wù)的40%就夠了。

　　詳細(xì)定義好在災(zāi)難或業(yè)務(wù)中斷之后保障業(yè)務(wù)功能運營的資源需求也是可能的。這些資源需求包括基礎(chǔ)設(shè)施、人力資源、文檔、記錄、設(shè)備、電話、傳真機等，無論需要什么資源都要有完備的規(guī)范要求。擁有適當(dāng)?shù)募?xì)節(jié)要求是非常重要的，因為在危險事件發(fā)生時，會產(chǎn)生一定程度的慌亂，到那時再決定這類細(xì)節(jié)已經(jīng)不可能了。

　　成本因素在進行影響分析時也是不能忽略的。我們需要記住以下一些事項：

• 收入的損失和商機的喪失與恢復(fù)所需的時間直接成正比
• 一種恢復(fù)策略的成本與恢復(fù)所需的時間成反比
• 可能的恢復(fù)策略的成本必須和在采納該策略之前由于業(yè)務(wù)功能中斷而造成的實際損失進行比較。如果所建議的恢復(fù)策略的成本遠高于預(yù)計的成本，那么這種策略就是不可取的。

　　三、 策略

　　BCP應(yīng)包括以下策略：

　　A.預(yù)防 預(yù)防的目的在于減少災(zāi)難發(fā)生的可能性。有關(guān)預(yù)防的策略應(yīng)該包括制止和預(yù)防控制。制止控制可以減少危險的可能性。預(yù)防控制則是保護企業(yè)的弱點區(qū)域，以防御危險的發(fā)生并降低其影響。這兩類控制在實際運營中廣泛存在，比如經(jīng)營場所的安全、人員控制、相關(guān)基礎(chǔ)設(shè)施（如UPS、后備電池、煙火探測器、滅火器等）、軟件控制、相關(guān)的存儲和恢復(fù)等。

　　企業(yè)希望保障其資源（包括信息資產(chǎn)）的可用性和安全性，其安全策略必須針對這些對象而制定，并且提供有關(guān)資源使用和管理的指南。在熟悉了企業(yè)的所有資源、資源的布局以及危險管理等之后，才可能拿出實施安全策略所需的必要的控制措施。這些控制措施或安全舉措必須時時加以檢查和測試。

　　如果一種安全策略，能將預(yù)防措施都部署到位，可以監(jiān)控對系統(tǒng)的入侵并防范那些試圖破壞系統(tǒng)的行為，那么其本身就是一種制止控制。預(yù)防計劃的執(zhí)行必須小心謹(jǐn)慎。必須保證實施安全策略時既不能對日常業(yè)務(wù)帶來限制，出現(xiàn)瓶頸，也不能引起可用性問題，或者給系統(tǒng)的訪問和使用帶來障礙。

　　B.響應(yīng) 響應(yīng)就是當(dāng)危險發(fā)生時的反應(yīng)。它必須能夠阻止危險的進一步擴大，評估危險的程度，通過與外部世界的正常通信聯(lián)絡(luò)挽回企業(yè)的聲譽，并啟動必要的恢復(fù)時間表。

　　對業(yè)務(wù)中斷的第一反應(yīng)應(yīng)該是告知所有相關(guān)的人員。如果危險有事前警示的話（比如這次的非典爆發(fā)），那么這種告知就可以提前進行。及時的告知非常重要，因為這可能會給阻止危險的進一步擴大創(chuàng)造機會。如果在適當(dāng)?shù)臅r機執(zhí)行一次關(guān)機、一次轉(zhuǎn)換或者一次撤離，甚至有可能完全防止危險的發(fā)生。但是這需要有診斷或探測控制的存在。這類控制或者可以持續(xù)掃描以探測發(fā)生中斷的征候（網(wǎng)絡(luò)、服務(wù)器），或者可以從外部資源搜集信息（自然災(zāi)害）。

　　準(zhǔn)確的告知程序必須事先制定好。必須清楚地記錄在案：需要告知誰，怎樣告知，由誰告知，而且還得有逐步擴大的機制。

　　在BCP中必須設(shè)立好一棵告知樹。最初的告知發(fā)送給一組人，然后再由他們中的每個人去告知另一組人，依次類推。屬于這棵告知樹的人都有不同的責(zé)任和作用，所涉及的人員應(yīng)包括：

• 管理團隊——需要獲得有關(guān)危險發(fā)展?fàn)顩r的信息。該團隊有權(quán)力啟動緊急響應(yīng)體系和下一步的行動。管理團隊還要負(fù)責(zé)與媒體、公眾、客戶以及股東們打交道。
• 危險評估團隊——需要立刻對危險進行評估，評價業(yè)務(wù)中斷的嚴(yán)重程度。
• 技術(shù)團隊——應(yīng)當(dāng)為關(guān)鍵決策制定者如何采取下一步BCP行動提供服務(wù)。
• 運營團隊——應(yīng)當(dāng)執(zhí)行BCP的實際運作。

　　還有很重要的一點就是每一個團隊都應(yīng)明確第二負(fù)責(zé)人。萬一第一負(fù)責(zé)人沒有通知到或者無法負(fù)起責(zé)任，那么必須告知第二負(fù)責(zé)人。告知可以使用各種工具或手段：如手機、呼機、短信、電話和E-mail。每個團隊都應(yīng)當(dāng)有相應(yīng)的配備。

　　危險評估團隊?wèi)?yīng)該是最早（或者與管理團隊同時）被告知的。他們應(yīng)當(dāng)最早來到現(xiàn)場，以便評估所遭受的危險程度和級別。如果工作現(xiàn)場已經(jīng)遭到破壞，那么他們就應(yīng)該做好各項準(zhǔn)備，一旦允許進入現(xiàn)場就開始工作。

　　評估過程本身也應(yīng)有計劃地進行，必須與保障業(yè)務(wù)連續(xù)性的優(yōu)先順序密切相關(guān)。這就是說評估團隊?wèi)?yīng)當(dāng)意識到危險所影響到的工作區(qū)域和工作流程是否對整個業(yè)務(wù)的運行至關(guān)重要。這將有助于他們優(yōu)化其評估進程，同時也可正確地關(guān)注關(guān)鍵性工作區(qū)域。這支團隊需要察看以下事項：

• 中斷的原因是什么
• 阻止危險擴大的前景如何
• 基礎(chǔ)設(shè)施和設(shè)備受損情況
• 業(yè)務(wù)受影響狀況
• 關(guān)鍵記錄受損情況
• 可以挽回什么損失
• 什么設(shè)備需要修理、恢復(fù)和更換

　　有了危險評估團隊提供的有關(guān)受損程度和受損區(qū)域的詳盡信息，技術(shù)團隊便可立刻投入工作。

　　BCP必須擁有一組基于業(yè)務(wù)影響分析和持續(xù)性目標(biāo)的預(yù)設(shè)參數(shù)，這些參數(shù)應(yīng)該能夠區(qū)分出中斷和災(zāi)難的不同性質(zhì)，同時也能評價出危險的嚴(yán)重程度。

　　當(dāng)危險評估團隊和技術(shù)團隊開始工作時，其他BCP團隊也應(yīng)依照警示告知到位，以便按照連續(xù)性計劃采取應(yīng)當(dāng)采取的行動。

　　C.業(yè)務(wù)接續(xù)（Resumption） 業(yè)務(wù)接續(xù)只涉及那些時間敏感的業(yè)務(wù)流程，要么是在中斷發(fā)生后立即接續(xù)，要么是在可允許的一段平均時間后接續(xù)，但不是對所有業(yè)務(wù)的恢復(fù)。

　　一旦BCP被激活，命令將從指揮中心發(fā)出。這個指揮中心應(yīng)該是在一個不同于日常經(jīng)營場所的地方。該中心應(yīng)配備相應(yīng)的通信設(shè)施、辦公設(shè)備，可能的話還應(yīng)該構(gòu)建局域網(wǎng)和VPN。

　　需要做出的第一個決策是，關(guān)鍵性業(yè)務(wù)的運營能否在日常的工作場所或者在一個備選場所很快恢復(fù)運營。

　　備選場所可以分成以下幾類：

　　(a)空場所（Cold Site）——該場所只需配備必要的環(huán)境條件即可，比如說，應(yīng)配備電話插座、電源以及UPS等，但要避免其內(nèi)有任何其他設(shè)備，它的作用就是準(zhǔn)備將保障業(yè)務(wù)持續(xù)所需的全部設(shè)備搬移進來。

　　(b)熱場所（Hot Site）——該場所是一個完全的備份場所，有人員工作的空間，所有設(shè)施一應(yīng)俱全，數(shù)據(jù)備份也是最新的。一旦災(zāi)難發(fā)生，BCP團隊只需進駐該場所就可開始工作，不會有額外的時間拖延。

　　(c)溫場所（Warm Site）——該場所實際上就是配備了部分設(shè)備的熱場所，數(shù)據(jù)備份不算最新，但也不能太舊。

　　(d)機動場所（Mobile Site）——該場所是一個具有較小設(shè)施配置的機動場所?？梢晕挥谥饕?jīng)營場所附近，因而也可節(jié)省關(guān)鍵人員在路程上花費的時間。

　　(e)鏡像場所（Mirrored Site）——該場所在所有方面都與主要經(jīng)營場所完全相同，信息和數(shù)據(jù)也與主要場所同步。實際上該場所就是正常狀況下的一個冗余場所，因而通常也是成本最高的一種選擇。

　　在備選場所（或主要場所，如果仍然可用的話），工作環(huán)境需要恢復(fù)。通信、網(wǎng)絡(luò)和工作站需要設(shè)置。與外界的聯(lián)系必須持續(xù)暢通。企業(yè)可以首先手動恢復(fù)一些業(yè)務(wù)，直到關(guān)鍵的IT業(yè)務(wù)可以繼續(xù)運行為止。當(dāng)然，如果恢復(fù)計劃（下面就要講到）允許，那么關(guān)鍵業(yè)務(wù)功能也可采用自動方式迅速恢復(fù)。

　　D.業(yè)務(wù)恢復(fù)（Recovery） 業(yè)務(wù)恢復(fù)是啟動時間敏感度稍低一些的業(yè)務(wù)流程。業(yè)務(wù)恢復(fù)的開始時間要取決于接續(xù)那些時間敏感的業(yè)務(wù)流程需要的時間。

　　在進行業(yè)務(wù)恢復(fù)的場所（可以是主要經(jīng)營場所或備選場所），需要在備份的設(shè)備上恢復(fù)操作系統(tǒng)，并按照關(guān)鍵性次序恢復(fù)必要的應(yīng)用系統(tǒng)。當(dāng)服務(wù)于關(guān)鍵功能的應(yīng)用系統(tǒng)恢復(fù)之后，則需要從備份磁帶或其他異地備份媒介上恢復(fù)數(shù)據(jù)。

　　備份數(shù)據(jù)也必須經(jīng)常保持同步，也就是說，重建的數(shù)據(jù)應(yīng)當(dāng)與業(yè)務(wù)中斷之前的某一預(yù)先確定的時點的數(shù)據(jù)相吻合。該時點的選擇取決于關(guān)鍵業(yè)務(wù)的要求。由于商業(yè)數(shù)據(jù)有各種不同的來源，因此重建的每一種數(shù)據(jù)都必須達到所需的數(shù)據(jù)一致性狀態(tài)。經(jīng)過同步的數(shù)據(jù)必須經(jīng)常進行復(fù)查并保持其有效。這種復(fù)查必須強制執(zhí)行，因為在危險發(fā)生的緊急關(guān)頭，不可能再有閑暇來測試數(shù)據(jù)是否可用。因此，必須要有一套清楚的方法、策略或復(fù)查清單來執(zhí)行這個讓數(shù)據(jù)保持其有效性的過程。

　　一旦數(shù)據(jù)達到了可靠的狀態(tài)，企業(yè)的事務(wù)就可以加速運行，因為災(zāi)難已經(jīng)得到處理，所有的關(guān)鍵性功能都已得到接續(xù)。逐步地，其他業(yè)務(wù)也可開始恢復(fù)其功能。

　　E.復(fù)原（Restoration） 復(fù)原則是修復(fù)并恢復(fù)主要的經(jīng)營場所。最終是要在原有的場所或者一個全新的場所完全恢復(fù)所有的業(yè)務(wù)流程。

　　就在恢復(fù)團隊開始從某個備選場所開始支持恢復(fù)運營的時候，對主要場所的全部功能進行復(fù)原的工作也可以展開。如果原有場所在災(zāi)難后的確無法恢復(fù)，則需要在一個新的場所進行復(fù)原工作?；謴?fù)團隊和復(fù)原團隊的成員有可能是同一組人。

　　必須確保該復(fù)原場配備必要的基礎(chǔ)設(shè)施、設(shè)備、硬件、軟件和通信設(shè)備。而且要對該場所能否處理全部的業(yè)務(wù)流程進行測試。

　　執(zhí)行上述所有行動的計劃應(yīng)當(dāng)包括一個時間跨度定義，確定在某一跨度內(nèi)必須完成哪些行動。這個時間跨度的定義必須與企業(yè)的恢復(fù)目標(biāo)相一致。BCP團隊必須意識到，如果在任一時點，他們的行動超出了規(guī)定的時間跨度，那么這個意外事件就必須立刻上報到指揮中心，由指揮中心馬上制定相應(yīng)的解決辦法，否則企業(yè)就無法實現(xiàn)其恢復(fù)目標(biāo)。

　　四、 指標(biāo)定義

　　在危險評估和業(yè)務(wù)影響分析階段之后，保持業(yè)務(wù)連續(xù)的基礎(chǔ)業(yè)務(wù)就已經(jīng)顯現(xiàn)出來。我們在上面已經(jīng)說過，按照業(yè)務(wù)術(shù)語可將企業(yè)的業(yè)務(wù)功能分成4類，即關(guān)鍵業(yè)務(wù)、基礎(chǔ)業(yè)務(wù)、必要業(yè)務(wù)和有利業(yè)務(wù)。

　　這種分類可以讓業(yè)務(wù)連續(xù)的優(yōu)先順序十分清晰，這樣，業(yè)務(wù)恢復(fù)的目標(biāo)就可以用下面的指標(biāo)進行量化：

• 恢復(fù)的時間目標(biāo)（RTO）——最大可允許中斷時間
• 恢復(fù)的時點目標(biāo)（RPO）——數(shù)據(jù)損失可允許的最遠回溯時點
• 由于引進了BCP的評測指標(biāo)而導(dǎo)致的企業(yè)性能退化
• 實施BCP的成本

業(yè)務(wù)連續(xù)性計劃的內(nèi)容

　　業(yè)務(wù)連續(xù)性計劃既可以分成幾個單獨的計劃：即預(yù)防、響應(yīng)、業(yè)務(wù)接續(xù)、業(yè)務(wù)恢復(fù)和復(fù)原計劃，也可以由每一個這樣的計劃構(gòu)成總的計劃書中的不同章節(jié)。

　　1．基本項目

• 目的
  • 制定計劃的目的必須加以說明。還應(yīng)該說明即劃分幾個階段試時，每個階段所要實現(xiàn)的目標(biāo)是什么。

• 范圍
  • 說明有哪些部門和運營業(yè)務(wù)需要實施BCP。如果一個BCP只針對某些災(zāi)難而非全部災(zāi)難，則需要針對這些特殊災(zāi)難制定專門的實施處理腳本。

• 必備條件/前提條件和限制因素
  • 形成一份BCP的前提條件需要在此說明。在某些情況下，還須說明BCP成功的必備條件。比如說，服務(wù)器的數(shù)據(jù)備份間隔不得超過多少小時，受過訓(xùn)練的運營恢復(fù)團隊必須呼之即來，備選場所必須在災(zāi)難發(fā)生之后多少小時之內(nèi)一切準(zhǔn)備就緒等等。
  • 如果BCP計劃的執(zhí)行還存在一些限制條件的話，也應(yīng)在此列出。

• 團隊
  • BCP團隊的組織/負(fù)責(zé)人選、下屬哪些分支團隊、團隊的作用和責(zé)任等，都必須在此說明。

• 指標(biāo)
  • 作為一種策略，企業(yè)必須由用于恢復(fù)的RPO和RTO指標(biāo)，以及性能指標(biāo)等，這些指標(biāo)應(yīng)該在此加以說明，并向客戶和股東說明。

　　2．預(yù)防保護

　　作為BCP中的一個實施部分，預(yù)防措施需要在此說明。這些措施可以概括如下：

• 監(jiān)督
• 訪問控制
• 身份認(rèn)證
• 防病毒
• 過濾
• 入侵檢測系統(tǒng)
• 備份計劃

　　3．緊急響應(yīng)

• 響應(yīng)的準(zhǔn)備
  • 在響應(yīng)階段需要哪些資源應(yīng)當(dāng)在此列出，同時詳細(xì)申明這些資源的配置和所需數(shù)量。如果還需要一些文檔和記錄的硬拷貝，也必須在此申明。
• 告知樹
• 危險評估
• 何時對外宣布
• 激活BCP的關(guān)鍵標(biāo)準(zhǔn)

　　4．業(yè)務(wù)接續(xù)

　　從緊急響應(yīng)階段到業(yè)務(wù)接續(xù)階段如何進行銜接是需要在這里說明的。有關(guān)業(yè)務(wù)接續(xù)運營的決策過程、在哪里以及怎樣進行業(yè)務(wù)接續(xù)、需要采取什么行動，以及接續(xù)哪些業(yè)務(wù)到何種程度等等，都需要在此加以說明。還要為BCP團隊中的各個小組指定各自應(yīng)該采取的行動，每個小組要完成指定的任務(wù)。BCP中的這一部分也稱為業(yè)務(wù)接續(xù)計劃（BRP）。

　　5．業(yè)務(wù)恢復(fù)

　　執(zhí)行業(yè)務(wù)恢復(fù)的程序在此加以說明。BCP的這一部分也可稱為災(zāi)難恢復(fù)計劃（DRP）。

　　這一部分計劃文檔的組織可以有很多種方式。一種方式就是簡單地列出所有的恢復(fù)目標(biāo)（按照RPO、RTO、目標(biāo)服務(wù)器/網(wǎng)絡(luò)等來列）。根據(jù)每一目標(biāo)進行計劃分解，同時明確相應(yīng)的團隊/負(fù)責(zé)人以及任務(wù)。還有一種方式就是按部門來組織。無論采用哪種方式，都應(yīng)確保所有的BCP目標(biāo)都能覆蓋到。

　　計劃的這一部分必須編排得像一本操作手冊，由一系列簡單明確的指令構(gòu)成，恢復(fù)團隊完全可以按照這些指令進行恢復(fù)操作。各種操作之間的相互關(guān)系也必須加以明確說明。所有的指令和說明必須明白無誤，以免因可能引起誤解或不明了而導(dǎo)致時間損失。

　　6．復(fù)原

　　為業(yè)務(wù)運營復(fù)原原有場所應(yīng)采取的步驟在此加以說明。需要標(biāo)明每個團隊/負(fù)責(zé)人的責(zé)任和任務(wù)。

業(yè)務(wù)連續(xù)性計劃的運作流程

　　BCP運作共有6個階段，分別為：1、項目初始化、2、風(fēng)險分析及業(yè)務(wù)影響、3、策略及實施、4、BCP開發(fā)、5、培訓(xùn)計劃、6、測試及維護。

　　1、項目初始化

• • • 獲得管理層的支持與投入
  • 為了確保該程序能夠成功，高級管理層必須參與其中。BCP計劃必須成為公司的戰(zhàn)略性業(yè)務(wù)計劃之一。同時，公司必須設(shè)定合理預(yù)算，并為BCP提供獨立的預(yù)算。
    • 建立團隊
  • 必須建立一個團隊，人員包括財務(wù)部，審計部，信息技術(shù)部，人事部，行政部等等。當(dāng)災(zāi)難開始時，這些部門在繼續(xù)扮演他們承擔(dān)的支援角色的同時，也必須實施重大的機構(gòu)轉(zhuǎn)變以援助受影響的區(qū)域。法律部、公關(guān)部與投資部在事件發(fā)生后需要向公眾及股東通告公司的運作狀況。

　　2、風(fēng)險分析及業(yè)務(wù)影響分析

• • 決定BCP需求的關(guān)鍵驅(qū)動力是“企業(yè)能在災(zāi)難中承受多少金額的損失”？業(yè)務(wù)影響分析的目的是回答以下問題：
    • 保護何種資產(chǎn)？(資產(chǎn)識別與評估)
    • 資產(chǎn)的威脅與脆弱點？(脆弱點和威脅評估)
    • 有沒有控制措施？控制措施能否預(yù)防或減少潛在的威脅？(評估控制)
    • 投入金額/勞力的多少？(決定)
    • 投入資金的效率如何？(通訊和監(jiān)控)

• 當(dāng)進行業(yè)務(wù)影響分析時，應(yīng)考慮以下幾方面：
  • • 金額的影響：如果不采取相應(yīng)的措施，則組織的經(jīng)濟損失是多少？
    • 客戶的影響：如果發(fā)生業(yè)務(wù)中斷，則組織會損失多少市場占有率
    • 法律的影響：組織是否遵從法律的要求？
    • 內(nèi)部依賴關(guān)系的影響：中斷的業(yè)務(wù)是否會其他領(lǐng)域的關(guān)鍵業(yè)務(wù)？

• 作為業(yè)務(wù)影響分析的一部分，應(yīng)該評估業(yè)務(wù)允許中斷的時間長短；
  • 組織能提供多常時間的信息；當(dāng)信息重新可用時，允許損失的信息是多少？這些問題可以通過恢復(fù)時間目標(biāo)（recovery time objective (RTO)）和恢復(fù)點目標(biāo)（recovery point objective (RPO)）來決定。

• 決定BCP需求的另一個因素是“災(zāi)難實際發(fā)生的可能性”。此因素由威脅的級別和組織具有的薄弱點范圍決定，威脅的程度取決于下列因素：
  • • 有惡意性的破壞，如轟炸、縱火、工業(yè)間諜等。
    • 意外事故，如組織的辦公場所、環(huán)境，內(nèi)部系統(tǒng)和處理程序的質(zhì)量。

　　3、業(yè)務(wù)持續(xù)性策略及實施

• 業(yè)務(wù)持續(xù)性策略
  • 業(yè)務(wù)影響分析為制定業(yè)務(wù)持續(xù)性策略提供必要的信息，下來，根據(jù)提供的信息，可以確定多種滿足組織業(yè)務(wù)持續(xù)管理的方案。必須為各種業(yè)務(wù)持續(xù)方案進行成本、效益及風(fēng)險分析，包括：
    • 滿足業(yè)務(wù)持續(xù)目標(biāo)的能力
    • 影響的可能性
    • 安裝設(shè)備的成本
    • 維護、測試及調(diào)用設(shè)備的成本
    • 中斷對于技術(shù)、組織、文化和管理的干擾及未采取持續(xù)管理的潛在影響
  • 應(yīng)該仔細(xì)考慮采取業(yè)務(wù)持續(xù)方案確實解決了具體的風(fēng)險但不會增
  • 加其它風(fēng)險。通過風(fēng)險降低和業(yè)務(wù)持續(xù)方案成本的平衡來決定業(yè)務(wù)持續(xù)策略以降低風(fēng)險達到業(yè)務(wù)持續(xù)的目標(biāo)。

• 實施
  • • 設(shè)立組織及準(zhǔn)備實施計劃書
    • 實施備份安排
    • 實施降低風(fēng)險的措施

　　4、BCP開發(fā)

• 開發(fā)業(yè)務(wù)持續(xù)性計劃之前，確定災(zāi)難發(fā)生的情況下執(zhí)行的行動，你需要熟悉每天的操作任務(wù)。這意味這你需要熟悉每一個業(yè)務(wù)處理過程的基本文檔。在開發(fā)業(yè)務(wù)持續(xù)性計劃之前，須考慮下列措施是否已經(jīng)存在：
  • • 變更控制流程
    • 最終用戶的標(biāo)準(zhǔn)操作流程
    • 操作人員的具體需求和特殊外圍設(shè)備需求
    • 數(shù)據(jù)流圖表及問題管理程序
    • 重要記錄
    • 磁帶備份/記錄管理日常安排
    • 異地存儲

• 開發(fā)BCP計劃時，需考慮在計劃執(zhí)行的七個階段中為每個恢復(fù)小組分派任務(wù)：
  • • 評估與聲明
    • 通告
    • 應(yīng)急反應(yīng)
    • 過渡期處理
    • 搶救
    • 重新安置及啟動
    • 重新正常運做

　　5、培訓(xùn)計劃

• 一些員工需要的特殊培訓(xùn)如下：
  • • 有緊急情況時可應(yīng)用替代的技術(shù)流程
    • 當(dāng)自動操作系統(tǒng)正在恢復(fù)時可替代的人工操作流程
    • 確保團隊成員達到推動BCP所需能力的技術(shù)培訓(xùn)

　　6、測試及維護

　　進行演示及有規(guī)律的測試，增強信心及效率，確保其相關(guān)的文檔時常更新。

　?。?）BCP的測試

　　制定好的BCP需要進行適當(dāng)?shù)販y試才能投入使用。這一過程必須經(jīng)常周期性地進行。省略了這一過程就意味著BCP只能等災(zāi)難實際發(fā)生之后進行實地測試，這樣做的風(fēng)險太大，恐怕任何一家企業(yè)都不敢做這種嘗試。

　　規(guī)劃一次BCP測試需要規(guī)定以下事項：

• 測試腳本——將可能發(fā)生的災(zāi)難定義為測試的一個部分。
• 測試計劃——定義檢查程序、各種測試腳本、任務(wù)的類型、任務(wù)的參與者，比如說主要團隊或者主要團隊與預(yù)備團隊的混合行動。

　　簡而言之，在測試BCP時，需要執(zhí)行下列行動

• 準(zhǔn)備一份測試計劃，選擇測試腳本，說明預(yù)期要達到的結(jié)果。
• 執(zhí)行該計劃
• 記錄測試結(jié)果
• 評估測試結(jié)果，報告存在差距
• 將測試結(jié)果和報告向團隊公布
• 確認(rèn)需要做何改進以彌補差距
• 培訓(xùn)團隊

　　（2）BCP的維護

　　一個BCP必須周期性地加以檢查和維護。一旦有新的系統(tǒng)、新的業(yè)務(wù)流程、或者新的商業(yè)行動計劃加入企業(yè)的生產(chǎn)系統(tǒng)或者信息系統(tǒng)，引起企業(yè)整體系統(tǒng)發(fā)生變化時，就更應(yīng)該強制啟動這種檢查程序。除此之外，像聯(lián)系人名單的更改這樣微小的變動都可能觸發(fā)BCP計劃的更新。

　　每一次在進行這種檢查程序時，最好是與對BCP的改進相互結(jié)合。例如，在測試過程中發(fā)現(xiàn)的問題、企業(yè)為了實現(xiàn)連續(xù)性對機構(gòu)所作的調(diào)整，或者在保持業(yè)務(wù)連續(xù)性測試時發(fā)現(xiàn)了更好的行動方式和計劃等等。因此，BCP的維護應(yīng)該是變化和改進的結(jié)合與不斷促進。

　　每一次對BCP計劃所作的改動都應(yīng)該及時通知所有的BCP團隊，并具體落實到每一次的培訓(xùn)和測試過程中去。

　　最后，與業(yè)務(wù)連續(xù)性相關(guān)的資源——人和設(shè)備——也會受到維護的影響。人員會通過培訓(xùn)和測試程序受到影響，設(shè)備會通過維護程序受到影響。只有當(dāng)這些資源始終處于良好狀態(tài)，才能在危機發(fā)生時成為可靠和可依賴的資源。

　　公司沒有業(yè)務(wù)持續(xù)計劃就象是不設(shè)防，不可能阻止任何不可預(yù)測的破壞所造成的各種損失。所以公司必須認(rèn)真的對待業(yè)務(wù)持續(xù)計劃。

其他產(chǎn)品包裝設(shè)計參考

聲明:本站品牌策劃與包裝設(shè)計作品部分為原創(chuàng)內(nèi)容，本文業(yè)務(wù)連續(xù)性計劃關(guān)鍵詞為“業(yè)務(wù)連續(xù)性計劃是什么意思，”頁面信息僅供參考和借鑒，如有侵權(quán)、錯誤信息或任何問題，請及時聯(lián)系我們，我們將立即刪除或更正。