DRII業(yè)務(wù)持續(xù)性規(guī)劃者實踐指南

1、1. DRII業(yè)務(wù)持續(xù)性規(guī)劃者實踐指南DRIIDisaster Recovery Institute International (國際災(zāi)難恢復(fù)協(xié)會)DRII業(yè)務(wù)持續(xù)規(guī)劃者實踐指南包括以下10個主題：（1）項目啟動和管理 確定業(yè)務(wù)持續(xù)性管理（BCM）過程或功能的需求，包括恢復(fù)策略、恢復(fù)目標、業(yè)務(wù)持續(xù)和應(yīng)急管理預(yù)案、獲得管理支持，組織和管理包括各種關(guān)鍵要素的綜合風(fēng)險管理預(yù)案。 （2）風(fēng)險評估和控制 確定可能造成機構(gòu)及其設(shè)施中斷和災(zāi)難、具有負面影響的突發(fā)事件和周邊環(huán)境因素，以及事件可能造成的損失、防止或減少潛在損失影響的控制措施。提供成本效益分析以調(diào)整控制措施方面的投資達到消減風(fēng)險的目的。 （3）

2、業(yè)務(wù)影響分析 確定由于中斷和預(yù)期災(zāi)難可能對機構(gòu)造成的影響以及用來定量和定性分析這種影響的技術(shù)。確定關(guān)鍵功能、其恢復(fù)優(yōu)先順序和相互依賴性以便確定恢復(fù)時間目標。 （4）制定業(yè)務(wù)持續(xù)性策略 確定和指導(dǎo)備用業(yè)務(wù)恢復(fù)運行策略的選擇，以便在恢復(fù)時間目標和恢復(fù)點目標范圍內(nèi)恢復(fù)業(yè)務(wù)和信息技術(shù)，并維持機構(gòu)的關(guān)鍵功能。 （5）應(yīng)急響應(yīng)和運作 制定和實施用于突發(fā)事件響應(yīng)以及平息突發(fā)事件所引起狀況的政策制度，包括建立和管理突發(fā)事件運作中心，該中心用于在突發(fā)事件中發(fā)布命令。 （6）制定和實施業(yè)務(wù)持續(xù)性預(yù)案 設(shè)計、制定和實施業(yè)務(wù)持續(xù)性預(yù)案以便在恢復(fù)時間和恢復(fù)點目標范圍內(nèi)完成恢復(fù)。 （7）意識培養(yǎng)和技能培訓(xùn)建立對機構(gòu)人員進

3、行意識培養(yǎng)和技能培訓(xùn)的機制，以便業(yè)務(wù)持續(xù)性預(yù)案能夠得到制定、實施、維護和執(zhí)行。 （8）演練和維護業(yè)務(wù)持續(xù)性預(yù)案 對預(yù)案和預(yù)案間的協(xié)調(diào)性進行演練、并評估和記錄預(yù)案演練的結(jié)果。制定維持持續(xù)性能力和BCP文檔更新狀態(tài)的方法使其與機構(gòu)的策略方向保持一致。通過與適當標準的比較來驗證BCP的效率，并使用簡明的語言報告驗證的結(jié)果。 （9）危機通信 制定、協(xié)調(diào)、評價和演練在危機情況下與媒體交流的預(yù)案，以便聯(lián)系組織內(nèi)部利益相關(guān)者（員工、公司管理層，等）、組織外部利益相關(guān)者（客戶、股東、廠商、供應(yīng)商，等）、媒體（報刊、廣播電臺、電視臺、互聯(lián)網(wǎng)，等）。 （10）與外部機構(gòu)合作 建立適用的政策制度和策略用于外部機構(gòu)（

4、地方、州、中央政府、應(yīng)急響應(yīng)組織、國防部，等）合作開展持續(xù)性和恢復(fù)活動，同時確保遵守適用的法規(guī)或規(guī)章。 主題1：項目啟動和管理 確定業(yè)務(wù)持續(xù)性管理（BCM）過程中業(yè)務(wù)管理規(guī)劃（BCP）的需求，包括恢復(fù)策略、恢復(fù)目標、業(yè)務(wù)持續(xù)和應(yīng)急管理預(yù)案、獲得管理支持，組織和管理包括各種關(guān)鍵要素的綜合風(fēng)險管理預(yù)案，組織和管理項目使其符合時間和預(yù)算的限制。A. 專業(yè)角色是：1. 引導(dǎo)項目發(fā)起人定義目標、政策和關(guān)鍵成功要素a. 范圍和目標 b. 法律和需求動機 c. 案例和業(yè)界最佳實踐 2.通過策劃指導(dǎo)委員會和項目任務(wù)組，協(xié)調(diào)和組織管理BCP項目和整體BCP過程 3. 使用效益控制方法和更改管理機制檢查BCP過程

5、 4. 向管理層和關(guān)鍵人員介紹（推銷）BCP過程5. 制定項目計劃和預(yù)算（來啟動BCP過程） 6. 定義和建議過程結(jié)構(gòu)和管理方式 7. 管理項目以制定和實施BCP過程 B. 專家應(yīng)該證明其具有以下領(lǐng)域的實務(wù)知識： 1. 確定業(yè)務(wù)持續(xù)性需求 a. 參考相關(guān)的法律法規(guī)法令合同的需求和約束 b. 如果合適，參考相關(guān)的行業(yè)貿(mào)易組織或機構(gòu)的規(guī)定 c. 參考相關(guān)當局的當前建議 d. 將立法、規(guī)章和要求與機構(gòu)的政策相聯(lián)系 e. 識別機構(gòu)政策與相關(guān)外部需求的任何沖突 f. 識別任何審計記錄 g. 提出解決機構(gòu)政策與相關(guān)外部需求之間任何沖突的方法，可以包括BCP在內(nèi) h. 識別可能對機構(gòu)災(zāi)難恢復(fù)能力具有負面影響

6、的業(yè)務(wù)措施。 2. 傳播業(yè)務(wù)持續(xù)性預(yù)案的需求 a. 通過正式的報告和介紹進行意識培養(yǎng) b. 陳述BCP的優(yōu)點并將其與機構(gòu)的使命、目標和營運利益聯(lián)系起來。 c. 獲得機構(gòu)對BCP過程的承諾 d. 制定BCP過程的任務(wù)條款憲章 3. 將行政管理層包括在BCP過程中 a. 解釋行政管理層在BCP過程中的角色 b. 解釋和傳播管理層在BCP過程中的職責(zé)和義務(wù)。 4. 建立一個規(guī)劃策劃指導(dǎo)委員會：角色和職責(zé)、機構(gòu)的類型、控制和發(fā)展、以及成員 a. 選擇適當?shù)娜藛T b. 定義角色和職責(zé) c. 制定一套適當?shù)腂CP過程目標 5. 編制預(yù)算需求 a. 清晰定義資源需求 b. 獲得財務(wù)需求評估 c. 驗證資源需

7、求的正確性 d. 驗證財務(wù)需求評估 e. 與管理層協(xié)商資源和財務(wù)需求 f. 獲得財務(wù)需求的執(zhí)行承諾 6. 確定計劃團隊及職責(zé) a. 突發(fā)事件管理突發(fā)事件響應(yīng)應(yīng)急管理團隊 b. 業(yè)務(wù)持續(xù)性規(guī)劃團隊（多地點、多分支、等。） c. 恢復(fù)響應(yīng)團隊和復(fù)原團隊 7. 制定和協(xié)調(diào)項目行動計劃以制定和實施BCP過程 a. 制定包含現(xiàn)實的時間評估和進度表的全面項目計劃 8. 確定對BCP過程進行持續(xù)管理和記錄的需求 9. 向高級管理層匯報并獲得高級管理層的批準承諾 a. 建立向高級管理層匯報BCP過程進度的時間表 b. 定期為高級管理層制作狀態(tài)報告，其中應(yīng)包括高級管理層容易理解并感興趣的簡明的、中肯的、正確的和

8、及時的關(guān)鍵狀態(tài)信息。 主題2：風(fēng)險評估和控制 確定可能造成機構(gòu)及其設(shè)施中斷和災(zāi)難、具有負面影響的突發(fā)事件和周邊環(huán)境因素，以及突發(fā)事件可能造成的損失、防止或減少潛在損失影響的控制措施。提供成本效益分析以調(diào)整控制措施方面的投資達到消減風(fēng)險的目的。 A. 專業(yè)角色是： 1. 識別對機構(gòu)的潛在威脅 a. 可能性 b. 后果影響 2. 理解機構(gòu)中降低消減風(fēng)險的功能 3. 識別所需的外部專門技術(shù) 4. 識別暴露 5. 識別降低消減風(fēng)險的可選措施 6. 與管理層確認可接受的風(fēng)險水平 7. 記錄并提交所發(fā)現(xiàn)的內(nèi)容 B. 專家應(yīng)該證明其具有以下領(lǐng)域的實務(wù)知識： 1. 理解損失的潛在可能性 a. 識別來源于內(nèi)部和

9、外部的暴露。這些應(yīng)包括，但不限于以下內(nèi)容 (1) 自然的、人為的、技術(shù)的或政治的災(zāi)難 (2) 無意的與故意的 (3) 內(nèi)部的與外部的 (4) 可控的風(fēng)險與機構(gòu)控制范圍以外的風(fēng)險 (5) 有先期預(yù)警的事件與沒有先期預(yù)警的事件 b. 確定突發(fā)事件的可能性 (1) 信息來源 (2) 可信度 c. 創(chuàng)建信息收集的方法 d. 制定一種評估可能性和嚴重程度的正確方法 e. 建立對評估過程的持續(xù)支持 f. 識別相關(guān)的規(guī)章的和或法律問題 g. 建立對所確定的潛在損失可能性進行成本效益分析的方法 2. 確定機構(gòu)對潛在損失可能性的暴露 a. 識別機構(gòu)所面對的首要暴露，以及可能因為這些暴露而造成實際損失的次要間接事

10、件（如颶風(fēng)威脅可能會造成多種事件包括強風(fēng)、洪水、火災(zāi)、建筑和屋頂垮塌等） b. 選擇最可能發(fā)生以及會產(chǎn)生最大破壞的暴露 3. 識別防止和或消減潛在損失可能性影響的控制和防范措施 需要考慮的事項：用于降低突發(fā)事件發(fā)生可能性的措施將削弱執(zhí)行業(yè)務(wù)的能力 a. 物理保護 (1) 了解對建筑物、房屋和其它封閉場所的房屋施行限制訪問的需要，這種限制應(yīng)該考慮到“三維”的方向 (2) 了解設(shè)置障礙和強化結(jié)構(gòu)以防止故意的、意外的和或非受權(quán)進入的需要 (3) 位置：物理結(jié)構(gòu)、地理位置、社區(qū)鄰居、建筑的基礎(chǔ)設(shè)施、社區(qū)的基礎(chǔ)設(shè)施 b. 物理存在 (1) 了解使用專門人員對關(guān)鍵進入點執(zhí)行檢查的需要 (2) 了解使用人工

11、的和或監(jiān)視記錄設(shè)備來控制訪問點和禁區(qū)的需要，其中包括探測、提醒和抑制功能 (3) 理解安全和訪問控制、承租人保險、租賃協(xié)議 c. 邏輯保護 (1) 了解系統(tǒng)對所存儲、處理或轉(zhuǎn)換中的數(shù)據(jù)提供保護的需要，包括信息備份和保護。 (2) 了解探測、提醒和抑制功能 (3) 了解信息安全：硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò) d. 資產(chǎn)的位置 (1) 了解使關(guān)鍵資產(chǎn)遠離風(fēng)險源而提供的固有保護 (2) 人事規(guī)程 (3) 所需的預(yù)防性維護和服務(wù) (4) 公用事業(yè)：雙份的公用事業(yè)服務(wù)、內(nèi)建的冗余（電信、電力、供水等） (5) 與外部機構(gòu)的聯(lián)系（供應(yīng)商、廠商、外包服務(wù)商等） 4. 評估、選擇和使用適當?shù)娘L(fēng)險分析方法和工具 a.

12、 識別可選的風(fēng)險分析方法和工具 (1) 定性的和定量的方法 (2) 優(yōu)勢和劣勢 (3) 可靠性可信程度 (4) 所使用的數(shù)學(xué)公式的依據(jù) b. 選擇用于整個公司范圍的正確方法和工具 5. 確定和實施信息收集活動 a. 制定與業(yè)務(wù)問題和機構(gòu)政策相一致的策略 b. 制定能夠跨越業(yè)務(wù)分支和機構(gòu)的位置進行管理的策略 c. 創(chuàng)建整個機構(gòu)范圍的信息收集和分發(fā)方法 (1) 表格和問卷 (2) 會面 (3) 會議 (4) 文檔查閱 (5) 分析 6. 評估控制和防范措施的效率 a. 制定與其它內(nèi)部部門分支以及外部服務(wù)商的通信流程 b. 同供應(yīng)商以及機構(gòu)內(nèi)外的客戶組織建立業(yè)務(wù)持續(xù)性服務(wù)水平協(xié)議 c. 制定防御性和

13、預(yù)先預(yù)案選項 (1) 費用效益 (2) 實施的優(yōu)先順序、規(guī)程和控制 (3) 測試 (4) 審計功能和職責(zé) d. 了解風(fēng)險管理和對適當?shù)幕蚓哂谐杀拘б娴捻憫?yīng)進行選擇的選項，如風(fēng)險規(guī)避、轉(zhuǎn)移或風(fēng)險接受 7. 風(fēng)險評估和控制 a. 根據(jù)機構(gòu)暴露所可能導(dǎo)致的風(fēng)險建立災(zāi)難場景。災(zāi)難場景應(yīng)該建立在這樣的標準類型上：在數(shù)量上非常嚴重、發(fā)生在最不利的時間、對機構(gòu)執(zhí)行業(yè)務(wù)的能力造成嚴重損害 b. 對風(fēng)險進行評估并根據(jù)相關(guān)的標準對其進行分類，這些標準包括：在機構(gòu)控制之下的風(fēng)險、超出機構(gòu)控制范圍之外的風(fēng)險、有先期預(yù)警的暴露（如龍卷風(fēng)和臺風(fēng)）以及沒有先期預(yù)警的暴露（如地震） c. 根據(jù)與執(zhí)行業(yè)務(wù)操作相關(guān)的重要因素來評

14、估風(fēng)險和暴露的影響：人員的可用性、信息技術(shù)的可用性、通信技術(shù)的可用性、基礎(chǔ)設(shè)施的狀態(tài)（包括交通）等 d. 如果需要，應(yīng)評估控制和所要求的更改以減少因風(fēng)險和暴露所造成的影響 (1) 對造成影響的暴露進行抑制的控制：防御性控制（如口令、煙霧探測器和防火墻） (2) 對暴露造成的影響進行補償?shù)目刂疲悍磻?yīng)性控制（如熱站點） 8. 安全 a. 確定機構(gòu)可能的安全暴露，包括以下特定的安全風(fēng)險類型： (1) 所有房產(chǎn)的物理安全 (2) 信息安全 計算機房和介質(zhì)存儲區(qū)域的安全 (3) 通訊安全 語音和數(shù)據(jù)通訊安全 (4) 網(wǎng)絡(luò)安全 內(nèi)聯(lián)網(wǎng)和互聯(lián)網(wǎng)安全 b. 對防御降低安全相關(guān)風(fēng)險和暴露所需的可行的和具有成本效

15、益的安全措施提出建議 9. 關(guān)鍵記錄的管理 a. 識別機構(gòu)需要的關(guān)鍵記錄，包括書面和電子記錄 b. 評估現(xiàn)有的用于備份和恢復(fù)關(guān)鍵記錄的規(guī)程 c. 建議和實施用于備份和恢復(fù)所有形式的機構(gòu)關(guān)鍵記錄的可行的、具有成本效益的規(guī)程 主題3：業(yè)務(wù)影響分析確定由于中斷和預(yù)期災(zāi)難可能對機構(gòu)造成的影響以及用來定量和定性分析這種影響的技術(shù)。確定關(guān)鍵功能、其恢復(fù)優(yōu)先順序和依賴性以便確定恢復(fù)時間、恢復(fù)點目標。 A. 專業(yè)角色是： 1. 識別具有相關(guān)知識的職能部門代表（參與BIA過程） 2. 識別機構(gòu)功能包括信息和資源（人、技術(shù)、設(shè)施等） 3. 識別和定義關(guān)鍵程度標準 4. 獲得管理層對所定義標準的批準 5. 對分析進

16、行調(diào)整6. 識別相互依賴性（對機構(gòu)內(nèi)部和外部的） 7. 定義恢復(fù)目標和時間范圍 8. 定義報告格式 9. 準備最終的BIA并呈交給管理層 B. 專家應(yīng)該證明其具有以下領(lǐng)域的實務(wù)知識： 1. 建立項目 a. 識別和獲得BIA活動的項目發(fā)起人 b. 定義BIA項目的目標和范圍 c. 選擇適當?shù)腂IA項目計劃方法工具 d. 識別BIA項目的參與者并告知其項目的目的 e. 識別培訓(xùn)需求、建立培訓(xùn)進度表，如果合適執(zhí)行培訓(xùn) f. 達成最終項目時間進度的一致意見并啟動BIA項目 2. 評價中斷、損失暴露和業(yè)務(wù)影響的后果 a. 中斷的后果 (1) 資產(chǎn)的損失：關(guān)鍵人員、物理資產(chǎn)、信息資產(chǎn)、無形資產(chǎn) (2) 服

17、務(wù)和運作持續(xù)性的中斷 (3) 違反法律法規(guī) (4) 引起公眾關(guān)注 b. 中斷對業(yè)務(wù)的影響 (1) 經(jīng)濟的 (2) 客戶和供應(yīng)商的 (3) 公共關(guān)系信譽的 (4) 法律的 (5) 規(guī)章要求考慮的事項 (6) 環(huán)境的 (7) 運作的 (8) 人事的 (9) 其它資源的 c. 確定損失暴露 (1) 財產(chǎn)損失 (2) 收入損失 (3) 罰款 (4) 現(xiàn)金流 (5) 帳戶的可接受性 (6) 帳戶的可支付性 (7) 法律責(zé)任 (8) 人力資源 (9) 附加的花費增加的工作費用 d.定性的 (1) 人力資源 (2) 士氣 (3) 信心 (4) 法律 (5) 社會和團體形象 (6) 金融界的信譽 e.定量的

18、3. 業(yè)務(wù)影響分析（BIA） 一種建議的方法 了解評估技術(shù)：定量的和定性的方法 a. BIA數(shù)據(jù)收集方法 (1) 確定一種正確的數(shù)據(jù)收集方法（如問卷、會面、研習(xí)會、或協(xié)商一致的組合形式） (a) 通過問卷進行數(shù)據(jù)收集 (i) 了解問卷正確設(shè)計和分發(fā)的需要，包括目的的解釋、部門負責(zé)人和重要人員的參與 (ii) 了解項目開局會議的任務(wù)并舉行會議以便分發(fā)和解釋問卷 (iii) 了解答卷人的任務(wù)并支持其完成問卷 (iv) 檢查完成的問卷并確定需要進一步安排的會面 (v) 當需要澄清和或額外數(shù)據(jù)時進行進一步的討論 (b) 僅通過會面進行數(shù)據(jù)收集 (i) 了解每次會面的結(jié)構(gòu)一致性和事先設(shè)定并遵循統(tǒng)一格式的

19、需要 (ii) 確保每次會面所收集的基本數(shù)據(jù)符合預(yù)先設(shè)定的要求 (iii) 了解對初始會面結(jié)果進行檢查并由被會面人檢驗的需要 (iv) 如果初始會面表明需要對以收集的數(shù)據(jù)進行澄清或添加就應(yīng)重新安排下一步的會面進度 (c) 通過研習(xí)會進行數(shù)據(jù)收集 (i) 了解建立明確議程和一系列目標的需要 (ii) 確定適當?shù)难辛?xí)會管理方式并獲得認同 (iii) 選擇適當?shù)牡攸c、對可獲得的位置、設(shè)施和人員情況進行評估 (iv) 在討論中承擔(dān)主持人和領(lǐng)導(dǎo)者的角色 (v) 確保研習(xí)會目標的完成 (vi) 確保在研習(xí)會結(jié)束時所有突出的議題被確認并就其解決方案的責(zé)任達成共識 (2) 提出并獲得如何量化和評估潛在財務(wù)和非

20、財務(wù)影響的一致意見。 (3) 提出并獲得非量化影響信息需求的一致意見并盡可能多地達成一致 (4) 制定問卷（如果需要）并完成答卷說明 (5) 確定數(shù)據(jù)分析方法（手工或計算機方式） b. 業(yè)務(wù)影響分析（BIA）報告 (1) 準備包含初始影響發(fā)現(xiàn)和論點在內(nèi)的BIA報告草稿 (2) 向參與的負責(zé)人分發(fā)報告草稿并要求獲得反饋 (3) 檢查負責(zé)人的反饋并在合適的情況下根據(jù)反饋修訂發(fā)現(xiàn)或增加重要論點 (4) 如果需要，安排有參與的負責(zé)人參加的、討論初始發(fā)現(xiàn)的研習(xí)會或會議 (5) 確保原始發(fā)現(xiàn)得到更新以反映這些會議形成的變化 (6) 根據(jù)機構(gòu)的要求準備BIA報告 (7) 準備并將正式的、體現(xiàn)BIA發(fā)現(xiàn)的報告

21、提交給委員會或行政機構(gòu) 注意：不存在BIA報告格式或分發(fā)的標準，所以這些報告在不同的機構(gòu)是不同的 4. 定義業(yè)務(wù)功能和記錄的關(guān)鍵程度，并排定其優(yōu)先順序 a. 建立關(guān)鍵程度的定義，并與管理層協(xié)商單一或多種關(guān)鍵程度水平定義 b. 識別并排定關(guān)鍵功能的優(yōu)先順序 (1) 業(yè)務(wù)功能 (2) 支持功能 c. 識別并排定支持業(yè)務(wù)持續(xù)性和業(yè)務(wù)復(fù)原的關(guān)鍵記錄 5. 確定恢復(fù)時間范圍和最小資源需求 a. 根據(jù)關(guān)鍵程度級別確定關(guān)鍵業(yè)務(wù)功能的恢復(fù)時間范圍 b. 根據(jù)并行和相互依賴的情況確定關(guān)鍵業(yè)務(wù)功能、支持功能和系統(tǒng)恢復(fù)的順序 c. 確定恢復(fù)、繼續(xù)關(guān)鍵功能和執(zhí)行系統(tǒng)的最小資源需求 (1) 內(nèi)部和外部資源 (2) 自有

22、與非自有的資源 (3) 現(xiàn)有資源和需要添加得的資源 6. 識別和排定業(yè)務(wù)處理的優(yōu)先順序 a. 業(yè)務(wù)處理的相互依賴性 b. 過程和技術(shù)的依賴性 (1) 部門內(nèi)的 (2) 部門間的 (3) 外部的 7. 確定更換時間 a. 設(shè)備 b. 關(guān)鍵人員 c. 原材料組件 d. 其它 8. 關(guān)鍵記錄管理 a. 識別機構(gòu)所需要的關(guān)鍵記錄，包括紙質(zhì)、電子記錄 b. 評估關(guān)鍵記錄現(xiàn)有的備份、恢復(fù)流程c. 對機構(gòu)所有關(guān)鍵記錄的備份、恢復(fù)流程提出切實可行的建議主題4：制定業(yè)務(wù)持續(xù)性性策略 確定和指導(dǎo)備用業(yè)務(wù)恢復(fù)運行策略的選擇，以便在恢復(fù)時間目標范圍內(nèi)恢復(fù)業(yè)務(wù)和信息技術(shù)，并維持機構(gòu)的關(guān)鍵功能。 A. 專業(yè)角色是： 1.

23、 理解可用選項及其優(yōu)勢、劣勢和費用范圍，包括作為恢復(fù)策略的消減措施 2. 識別業(yè)務(wù)功能領(lǐng)域可行的恢復(fù)策略 3. 鞏固策略 4. 識別備用場地和備用設(shè)施的需求 5. 制定業(yè)務(wù)單元策略 6. 獲得管理層對制定策略的承諾 B. 專家應(yīng)該證明其具有以下領(lǐng)域的實務(wù)知識： 1. 識別企業(yè)范圍內(nèi)和業(yè)務(wù)單元的持續(xù)性策略需求 a. 檢查業(yè)務(wù)持續(xù)性問題 (1) 時間范圍 (2) 選項 (3) 位置 (4) 人員 (5) 通信（危機媒體和語音數(shù)據(jù)） b. 檢查各項支持服務(wù)的技術(shù)持續(xù)性問題 c. 檢查各項支持服務(wù)的非技術(shù)持續(xù)性問題，包括那些不依賴于技術(shù)的支持系統(tǒng) d. 比較內(nèi)部外部解決方案 e. 識別可選的持續(xù)性策略

24、 (1) 不作任何事情 (2) 遏制措施 (3) 人工規(guī)程 (4) 互惠協(xié)議 (5) 備用站點或業(yè)務(wù)設(shè)施 (6) 備用產(chǎn)品來源 (7) 第三方服務(wù)商外包服務(wù)商 (8) 分布式處理 (9) 備用通信 (10) 消減措施 (11) 預(yù)案 f. 比較內(nèi)部和外部的解決方案 g. 評估每種可選持續(xù)性策略伴隨的風(fēng)險 2. 根據(jù)業(yè)務(wù)影響分析的結(jié)果評估可選的策略 a. 有效分析業(yè)務(wù)需求的標準 b. 清晰定義持續(xù)性預(yù)案的目標 c. 制定一致的評估方法 d. 為持續(xù)性策略選項設(shè)定基線標準 3. 準備持續(xù)性策略的成本效益分析并將發(fā)現(xiàn)呈交給高級管理層 a. 實施實用的和容易理解的方法 b. 設(shè)定符合實際的評估和報告撰

25、寫時間進度 c. 向高級管理層提出簡明具體的建議 4. 選擇備用站點和離站存儲 a. 標準 b. 通信 c. 協(xié)議的考慮事項 d. 比較技術(shù) e. 采購 f. 合同的考慮事項 5. 了解業(yè)務(wù)持續(xù)性服務(wù)的合同協(xié)議 a. 了解和準備用于提供持續(xù)性服務(wù)的正式協(xié)議中使用的需求陳述，如果合適，應(yīng)包括司法規(guī)章需求 b. 在招標說明中明確表達任何所需的技術(shù)規(guī)格說明 c. 解釋供應(yīng)商提出的外部協(xié)議與所設(shè)定的原始需求的關(guān)聯(lián)。 d. 識別任何不包含在所提出的標準協(xié)議中的特定要求 e. 了解并對可選和基本部分的內(nèi)容提供建議 主題5：應(yīng)急響應(yīng)和運作 制定和實施用于突發(fā)事件響應(yīng)以及平息突發(fā)事件所引起狀況的規(guī)程，包括建立

26、和管理突發(fā)事件運作中心，該中心用于在突發(fā)事件中發(fā)布命令。 A. 專業(yè)角色是： 1. 識別潛在的突發(fā)事件類型和所需的響應(yīng)（如火災(zāi)、危險物質(zhì)泄漏、疾病等） 2. 識別現(xiàn)有的、正確的突發(fā)事件響應(yīng)規(guī)程 3. 建議制定還沒有的突發(fā)事件規(guī)程 4. 將災(zāi)難恢復(fù)業(yè)務(wù)持續(xù)性規(guī)程與突發(fā)事件規(guī)程整合起來 5. 識別管理突發(fā)事件的命令和控制需求 6. 建議制定對角色、職權(quán)進行定義的命令和控制規(guī)程以及管理突發(fā)事件的通信過程 7. 確保突發(fā)事件響應(yīng)規(guī)程與公共當局的要求相統(tǒng)一 B. 專家應(yīng)該證明其具有以下領(lǐng)域的實務(wù)知識： 1. 識別突發(fā)事件響應(yīng)規(guī)程的要件 a. 報告規(guī)程 (1) 內(nèi)部的（逐級規(guī)程） (a) 本地的 (b)

27、機構(gòu)的（決策過程） (2) 外部的（響應(yīng)規(guī)程） (a) 公共機構(gòu)和媒體 (b) 產(chǎn)品和服務(wù)的供應(yīng)商 b. 突發(fā)事件前的準備 (1) 根據(jù)災(zāi)難的類型 (a) 自然的事件 (b) 事故 (c) 有意的破壞 (2) 管理和職權(quán)的持續(xù)性 (3) 指定人員的角色 c. 緊急措施 (1) 疏散 (2) 醫(yī)療和人員咨詢 (3) 危險材料響應(yīng) (4) 滅火 (5) 通知 (6) 其它 d. 設(shè)施的穩(wěn)定 e. 消減損失 f. 測試規(guī)程和責(zé)任 2. 制定詳細的突發(fā)事件響應(yīng)規(guī)程 a. 人員的保護 (1) 人員集合的位置以及確保所有員工識別和安全的過程，如果需要包括適當?shù)闹鸺夁^程 (2) 認識和了解充分和更嚴格地履行

28、任何相關(guān)法規(guī)要求的重要性 (3) 識別直接部署和后續(xù)合同的選項 (4) 了解法律規(guī)定的內(nèi)在含義 b. 突發(fā)事件的控制 (1) 了解拯救和損失控制的原則 (2) 了解對用于控制業(yè)務(wù)影響的突發(fā)事件服務(wù)工作進行補充的可用選項 (3) 了解業(yè)務(wù)功能本身控制災(zāi)難影響的可能性 c. 后果的評估 (1) 分析形勢并提供有效的評估報告 (2) 評價突發(fā)事件對機構(gòu)的直接影響 (3) 將形勢通報給相關(guān)設(shè)施和機構(gòu)其它地點中的員工 (4) 提供對媒體可能關(guān)注事項的理解并與現(xiàn)存的公共關(guān)系和或市場部門聯(lián)合制定響應(yīng)方案 d. 決定最適宜的行動 (1) 了解在建議或決定持續(xù)性選項過程中需要考慮的事項 (2) 了解突發(fā)事件服務(wù)

29、的角色 (3) 維護安全的原則（人員、物理和信息） a. 設(shè)計和裝備突發(fā)事件運作中心 b. 在突發(fā)事件中命令和決策的職權(quán)角色 c. 通信載體（如電子郵件、無線電、信使和移動電話等） d. 日志和記錄的方法 3. 識別命令和控制需求 4. 命令和控制規(guī)程 a. 開啟突發(fā)事件運作中心 b. 突發(fā)事件運作中心的安全 c. 突發(fā)事件運作中心團隊的進度安排 d. 突發(fā)事件運作中心的管理和運作 e. 關(guān)閉突發(fā)事件運作中心 5. 突發(fā)事件響應(yīng)和分類救護 a. 制定、實施和演練突發(fā)事件響應(yīng)和分類救護規(guī)程，包括確定突發(fā)事件中行動的優(yōu)先順序 b. 制定、實施和演練分類救護規(guī)程，如急救和醫(yī)療；確定地點和制定到附近醫(yī)

30、院的運輸規(guī)程 6. 拯救和復(fù)原 a. 集合適當?shù)膱F隊 (1) 了解通過電話進行有效診斷的需要 (2) 了解在受到影響的地點對相關(guān)資源進行有效集中的需要 (3) 制定內(nèi)部逐級規(guī)程以便在突發(fā)事件響應(yīng)展開的現(xiàn)場提供所需等級的資源 b. 定義初始現(xiàn)場的行動策略 (1) 了解對直接消減損失和拯救需求進行識別的需要 (2) 了解其需求并在需要的情況下準備站點保安、安全和穩(wěn)定措施計劃 (3) 識別保護現(xiàn)場資產(chǎn)的適當方法，包括設(shè)備、房產(chǎn)和文檔 (4) 認識建立與外部機構(gòu)聯(lián)絡(luò)的潛在需要（如法規(guī)機構(gòu)、突發(fā)事件服務(wù)如消防部門以及警察、保險公司、損失理賠等） (5) 了解業(yè)務(wù)需求和對其進行解釋以協(xié)助物理資產(chǎn)的恢復(fù) (

31、6) 與公共當局建立設(shè)施訪問的規(guī)程 (7) 與第三方服務(wù)提供商建立規(guī)程，包括適當?shù)暮贤瑓f(xié)議 主題6：制定和實施業(yè)務(wù)持續(xù)性預(yù)案 設(shè)計、制定和實施業(yè)務(wù)持續(xù)性預(yù)案以便在恢復(fù)時間目標范圍內(nèi)完成恢復(fù)。 A. 專業(yè)角色是： 1. 識別規(guī)劃過程的要件 a. 規(guī)劃的方法 b. 規(guī)劃的組織 c. 工作的指導(dǎo) d. 人員的需求 2. 控制規(guī)劃的過程和制作 3. 實施規(guī)劃 4. 測試規(guī)劃 5. 維護規(guī)劃 B. 專家應(yīng)該證明其具有以下領(lǐng)域的實務(wù)知識： 1. 確定預(yù)案制定的需求 a. 角色和責(zé)任 b. 制定行動計劃檢查列表 c. 檢查和評估工具，如業(yè)務(wù)持續(xù)性規(guī)劃軟件 d. 獲取業(yè)務(wù)過程、技術(shù)模型和流程圖 e. 制定獲取

32、信息的表格 f. 確定信息數(shù)據(jù)庫的需求 g. 識別其它支持文檔 2. 定義持續(xù)性管理和控制需求 a. 定義范圍 (1) 識別可能會用到的事故突發(fā)事件過程 (2) 建議可能用于創(chuàng)建定義的嚴重程度標準 (3) 設(shè)計逐級標準 b. 確定和就持續(xù)性關(guān)鍵步驟的方法達成一致；記錄一致的方法 c. 建立將突發(fā)事件響應(yīng)轉(zhuǎn)換為業(yè)務(wù)持續(xù)性規(guī)劃的規(guī)程 3. 識別和定義主要預(yù)案要件的格式和結(jié)構(gòu) a. 預(yù)案的設(shè)計和格式 (1) 定義如何使預(yù)案的格式符合機構(gòu)的情況 (2) 記錄部門持續(xù)性預(yù)案的結(jié)構(gòu)和設(shè)計 (3) 確保內(nèi)建的機制易于管理 (4) 定義用于收集完成預(yù)案所需數(shù)據(jù)的過程 b. 分配任務(wù)和責(zé)任 (1) 識別需要完成

33、的任務(wù) (2) 識別完成所需任務(wù)需要的團隊 (3) 設(shè)定團隊的責(zé)任 (4) 識別和列出關(guān)鍵合同、供應(yīng)商和資源 4. 起草預(yù)案 a. 選擇預(yù)案制定和維護的適當工具 b. 起草業(yè)務(wù)持續(xù)性規(guī)劃（BCP），確保有完成規(guī)劃所需的充足和適當?shù)娜藛T c. 繼續(xù)收集所需的數(shù)據(jù)以確保BCP的完全和正確 5. 定義業(yè)務(wù)持續(xù)性過程 a. 定位和分類機構(gòu)信息 (1) 識別和確認對機構(gòu)關(guān)鍵業(yè)務(wù)具有重要意義的過程和文檔 (2) 識別和決定哪些信息處理應(yīng)該被復(fù)制 (3) 識別存儲需求 (4) 識別關(guān)鍵供應(yīng)商 (5) 選擇或建議業(yè)務(wù)備份的適當方法，包括了解存放周期和備份復(fù)制進度表等 b. 保護和復(fù)制策略 (1) 定義約束復(fù)制

34、選擇和存儲策略的假設(shè) (2) 定義復(fù)制和存儲特定類別和類型信息的項目 (3) 理解這些方法的優(yōu)勢和劣勢 (a) 備份方法 (b) 復(fù)制方法 (c) 存儲方法 (4) 理解可用的保護方法的優(yōu)勢和劣勢 (5) 預(yù)測存儲信息的保存期限 (6) 了解在介質(zhì)的使用和環(huán)境條件下，在存儲期間可能需要的適當處理方式 c. 信息恢復(fù) (1) 建議適當?shù)囊?guī)程，考慮 (a) 最佳的恢復(fù)順序 (b) 讀取、寫入設(shè)備和存儲介質(zhì)的兼容性 (c) 根據(jù)業(yè)務(wù)需求確定的時間范圍 (d) 根據(jù)法律需求確定的時間范圍 (e) 每天或每周例行任務(wù)的需求（如果可行） (2) 確定過程或處理信息的恢復(fù)或起始點 (3) 制定一系列合理的假

35、設(shè)，考慮各種現(xiàn)實的場景 d. 制定可選的業(yè)務(wù)方法 (1) 建議在受到災(zāi)難或其它中斷事件影響而無法獲得正常資源時，在成功完成恢復(fù)規(guī)程之前執(zhí)行業(yè)務(wù)的備用方法 (2) 建議將業(yè)務(wù)功能方便地從任何備用、臨時或緊急運行狀態(tài)轉(zhuǎn)換到新的被替換的重新安裝的服務(wù)中的方法規(guī)程 6. 損害評估 a. 損害評估 (1) 創(chuàng)建評估損害的行動計劃 (2) 了解修復(fù)與更換的經(jīng)濟性 (3) 了解拯救專家在選擇和使用相關(guān)損害分析方法方面的能力 (4) 了解在選擇適當?shù)恼冗\作分包商時所采用的標準 (5) 將損害評估與機構(gòu)的業(yè)務(wù)持續(xù)性清晰地聯(lián)系在一起 b. 定義還原策略 (1) 為恢復(fù)需求提供合理的、相關(guān)的和實用的方法 (2)

36、顯示減少間接損失的能力 (3) 對業(yè)務(wù)資產(chǎn)的復(fù)原方法達成一致（如設(shè)備、電力、文檔、數(shù)據(jù)、家具、房產(chǎn)、車間、計算機等） (4) 了解復(fù)原的批準過程，特別是批件的內(nèi)在含義 (5) 定義復(fù)原的策略 7. 關(guān)鍵資源的采購 8. 安全 9. 人力資源和人事考慮 10. 制定一般性介紹或概述 a. 一般信息 (1) 介紹 (2) 范圍 (3) 目標 (4) 假設(shè) (5) 責(zé)任概述 (6) 測試 (7) 維護 b. 預(yù)案啟動 (1) 通知 (a) 首要的 (b) 次要的 (2) 災(zāi)難宣布規(guī)程 (3) 動員規(guī)程 (4) 損害評估概念 (a) 初始的 (b) 詳細的 (c) 團隊成員 c. 團隊組織 (1) 團

37、隊描述 (2) 團隊組織 (3) 團隊領(lǐng)導(dǎo)的責(zé)任 d. 政策陳述 e. 突發(fā)事件運作中心 11. 制定管理部分 a. 識別具體支持功能的恢復(fù)功能 (1) 人事人力資源 (2) 安全 (3) 保險風(fēng)險管理 (4) 設(shè)備物品采購 (5) 運輸 (6) 法律 b. 了解公共關(guān)系媒體傳播協(xié)調(diào)人的需要 (1) 資格 (2) 責(zé)任 c. 其它專業(yè)協(xié)調(diào)人團隊責(zé)任 (1) 與法規(guī)實體的聯(lián)系聯(lián)絡(luò) (2) 與投資者的關(guān)系 (3) 與其它相關(guān)組織的關(guān)系（如客戶和供應(yīng)商） d. 識別關(guān)鍵記錄項目的要件 e. 行動部分 (1) 恢復(fù)團隊 (a) 人員 (b) 責(zé)任 (c) 資源 f. 行動計劃 (1) 部門個人計劃 (

38、2) 檢查列表 (3) 技術(shù)性規(guī)程 12. 制定業(yè)務(wù)運作計劃 a. 運作部門的計劃 (1) 基本業(yè)務(wù)功能 (2) 信息的保護和恢復(fù) (3) 啟動措施 (4) 災(zāi)難站點恢復(fù)復(fù)原措施 (5) 最終用戶的計算需求 b. 關(guān)鍵記錄項目的要件 c. 行動部分 (1) 恢復(fù)團隊 (a) 人員 (b) 責(zé)任 (c 資源 d. 行動計劃 (1) 特定部門個人計劃 (2) 檢查列表 (3) 技術(shù)性規(guī)程 13. 制定信息技術(shù)恢復(fù)計劃 a. 恢復(fù)站點的啟動 (1) 管理 (2) 行政后勤 (3) 新設(shè)備 (4) 技術(shù)性服務(wù) (5) 應(yīng)用支持 (6) 網(wǎng)絡(luò)通信 (7) 網(wǎng)絡(luò)工程 (8) 運作 (9) 站點間的后勤和通

39、信 (10) 數(shù)據(jù)準備 (11) 生產(chǎn)控制 (12) 最終用戶聯(lián)絡(luò) b. 關(guān)鍵記錄項目的要件 c. 行動部分 (1) 恢復(fù)團隊 (a) 人員 (b) 責(zé)任 (c) 資源 d. 行動計劃 (1) 特定部門個人計劃 (2) 檢查列表 (3) 技術(shù)性規(guī)程 14. 制定通訊系統(tǒng)預(yù)案 a. 語音通訊恢復(fù)預(yù)案 (1) 電話線路，包括接聽、免費（1-800）線路和傳真線路 (2) 語音郵件、語音應(yīng)答單元和其它基于語音的服務(wù) (3) 災(zāi)難期間自動語音應(yīng)答的備用安排 b. 數(shù)據(jù)通訊恢復(fù)預(yù)案 (1) 基于大型機信息系統(tǒng)的數(shù)據(jù)通訊 (2) 以恢復(fù)工作區(qū)域為目的的局域網(wǎng)（LAN）恢復(fù) (3) 以恢復(fù)全局連接性為目的的

40、廣域網(wǎng)（WAN）恢復(fù) (4) 電子郵件、工作組軟件和其它基于數(shù)據(jù)通訊的工作支持 c. 強調(diào)和確保整個企業(yè)中的語音和數(shù)據(jù)通信網(wǎng)絡(luò)具有詳細和得到更新的文檔 15. 制定最終用戶應(yīng)用預(yù)案 a. 預(yù)案的設(shè)計和結(jié)構(gòu) (1) 識別備用預(yù)案和結(jié)構(gòu)的例子 (2) 定義如何將預(yù)案的結(jié)構(gòu)與機構(gòu)的情況緊密相連 (3) 記錄部門持續(xù)性預(yù)案的結(jié)構(gòu)和設(shè)計 (4) 確保內(nèi)建的機制易于維護 (5) 預(yù)案和實施完成預(yù)案所需的數(shù)據(jù)收集 b. 識別并就恢復(fù)的關(guān)鍵步驟的方法達成一致；將達成一致的方法記錄在文檔中 c. 分配工作和責(zé)任 (1) 將恢復(fù)團隊和部門團隊區(qū)分開來 (2) 識別要完成的工作 (3) 識別完成所需工作需要的團隊

41、(4) 給團隊設(shè)定責(zé)任 (5) 識別和列出關(guān)鍵合同、供應(yīng)商和資源的清單 16. 實施預(yù)案 a. 制定教育項目 (1) 用于制定和實施持續(xù)性預(yù)案的標準指導(dǎo)方針 (2) 持續(xù)性預(yù)案中定義的員工的角色和責(zé)任 (3) 整個機構(gòu)中員工所要遵循的規(guī)程 (4) 對管理層和員工進行培訓(xùn)和意識培養(yǎng)的演示內(nèi)容 b. 完成所需的任務(wù) (1) 采購附加的設(shè)備 (2) 合同協(xié)議 (3) 準備備份和離站存儲 c. 制定測試預(yù)案、進度表和報告規(guī)程 d. 制定維護、更新和報告規(guī)程 17. 持續(xù)性行動和規(guī)程 18. 建立預(yù)案分發(fā)和控制規(guī)程 a. 建立業(yè)務(wù)持續(xù)性預(yù)案的分發(fā)和控制規(guī)程 b. 建立預(yù)案演練結(jié)果的分發(fā)和控制規(guī)程 c.

42、建立預(yù)案更改和更新的分發(fā)和控制規(guī)程 主題7：意識培養(yǎng)和培訓(xùn)項目 準備建立對機構(gòu)人員進行意識培養(yǎng)和技能培訓(xùn)的項目，以便業(yè)務(wù)持續(xù)性預(yù)案能夠得到制定、實施、維護和執(zhí)行。 A. 專業(yè)角色是： 1. 建立整體BCM意識培養(yǎng)和培訓(xùn)項目的目標和要件 2. 識別意識培養(yǎng)和培訓(xùn)的功能性需求 3. 制定意識培養(yǎng)和培訓(xùn)的方法 4. 采購或開發(fā)意識培養(yǎng)和培訓(xùn)的工具 5. 識別外部的意識培養(yǎng)和培訓(xùn)的機會 6. 識別整體意識培養(yǎng)和培訓(xùn)的可選選項 B. 專家應(yīng)該證明其具有以下領(lǐng)域的實務(wù)知識： 1. 定義意識培養(yǎng)和培訓(xùn)的目標 2. 制定并提供各種類型的培訓(xùn)項目（如果需要） a. 基于計算機的 b. 教室 c. 基于測試的 d

43、. 教導(dǎo)性的指南和模板 3. 制定意識培養(yǎng)計劃 a. 管理層 b. 團隊成員 c. 新員工崗前和現(xiàn)有員工復(fù)習(xí)項目 4. 識別其它的教育機會 a. 業(yè)務(wù)持續(xù)性預(yù)案的專業(yè)會議和課程 b. 用戶組織和社團 c. 出版物和相關(guān)的互聯(lián)網(wǎng)站點 主題8：演練和維護業(yè)務(wù)持續(xù)性預(yù)案 對預(yù)案和預(yù)案間的協(xié)調(diào)性進行演練、并評估和記錄預(yù)案演練的結(jié)果。制定維持持續(xù)性能力和BCP文檔更新狀態(tài)的方法使其與機構(gòu)的策略方向保持一致。通過與適當標準的比較來驗證BCP的效率，并使用簡明的語言報告驗證的結(jié)果。 A. 專業(yè)角色是： 1. 預(yù)先計劃和協(xié)調(diào)演練 2. 推動演練 3. 評估和記錄演練結(jié)果 4. 更新預(yù)案 5. 向管理層報告結(jié)果

44、評估情況 6. 協(xié)調(diào)持續(xù)的預(yù)案維護 7. 協(xié)助建立對業(yè)務(wù)持續(xù)性預(yù)案的審計項目 B. 專家應(yīng)該證明其具有以下領(lǐng)域的實務(wù)知識： 1. 建立演練項目 a. 制定演練策略，該策略應(yīng)避免使機構(gòu)陷于風(fēng)險，應(yīng)該對機構(gòu)是實用的、具有成本效益的和恰當?shù)模呗詰?yīng)確保機構(gòu)在恢復(fù)能力方面具有很高的信心。 b. 使用邏輯的和結(jié)構(gòu)化的方法（有效分析復(fù)雜問題） c. 創(chuàng)建一套正確的演練指導(dǎo)方針 2. 確定演練的需求 a. 定義演練的目標和建立可接受的成功等級 b. 識別演練的類型及其優(yōu)勢和劣勢 (1) 排演桌面 (2) 模擬 (3) 模塊部件（呼叫樹、應(yīng)用等） (4) 功能的（特定的業(yè)務(wù)流程） (5) 宣布的計劃的 (6)

45、 非宣布的突然的 c. 建立和記錄演練的范圍（參與者、時間等） 3. 制定現(xiàn)實的場景 a. 創(chuàng)建最接近于機構(gòu)可能經(jīng)歷的突發(fā)事件類型及其引起的問題的演練場景 b. 將所識別的場景對應(yīng)到不同的測試類型中 4. 建立演練評估標準和記錄發(fā)現(xiàn) a. 制定與演練目標和范圍一致的標準 (1) 可測量的和定量的 (2) 定性的 b. 按照所確定的標準記錄結(jié)果 (1) 預(yù)期的與實際的結(jié)果 (2) 非預(yù)期的結(jié)果 5. 建立演練進度表 a. 制定逐步展開的進度表 b. 設(shè)定現(xiàn)實的時間尺度 6. 準備演練控制計劃和報告 a. 定義演練的目標和選擇適當?shù)膱鼍?b. 定義假設(shè)和描述限制條件 c. 識別執(zhí)行演練所需的資源，

46、確定參與者；確保所有人理解目標及其角色 d. 識別演練的裁判者（仲裁者），并明確識別所有的角色和責(zé)任 e. 提供演練所需的項目清單和演練環(huán)境的規(guī)格說明 f. 提供演練的時間表并將其分發(fā)給所有的參與者、協(xié)助者和裁判者 g. 在演練時發(fā)生真實突發(fā)事件的情況下，需要事先制定的機制來取消演練，并調(diào)用真實的業(yè)務(wù)持續(xù)性過程 7. 推進演練 a. 按照如上計劃執(zhí)行演練 b. 審計演練活動 8. 演練后的報告 a. 提供令人信服的、全面的和包含建議的總結(jié)，應(yīng)與演練仲裁者裁判者要求的或目標機構(gòu)設(shè)定的信任級別相當 9. 反饋和監(jiān)視由演練導(dǎo)致的行動 a. 召開任務(wù)報告會來檢查演練的結(jié)果并確定進行改進的行動項目 b. 識別所建議的行動和建議人；告知建議人建議已收到 c. 確認完成或檢查議定行動的時間進度 d. 監(jiān)視（需要時逐級進行）完成議定行動的進程 10. 定義預(yù)案的維護方案和進度 a. 定義預(yù)案數(shù)據(jù)的擁有權(quán) b. 準備維護進度和檢查規(guī)程 (1) 選擇工具 (2) 監(jiān)視活動 (3) 建立更新過程 (4) 審計和控制 c. 確保進度中的預(yù)案維護涉及到所有所記錄的建議 11. 闡明更改控制規(guī)程 a. 分析業(yè)務(wù)持續(xù)性預(yù)案中業(yè)務(wù)更改的含義 b. 設(shè)定用于對預(yù)案功