業(yè)務(wù)持續(xù)性計劃

業(yè)務(wù)持續(xù)性計劃業(yè)務(wù)持續(xù)性計劃業(yè)務(wù)持續(xù)性計劃xxx公司業(yè)務(wù)持續(xù)性計劃文件編號：文件日期：修訂次數(shù)：第1.0次更改批準審核制定方案設(shè)計，管理制度業(yè)務(wù)連續(xù)性計劃業(yè)務(wù)連續(xù)性計劃概述

業(yè)務(wù)連續(xù)性計劃是一套基于業(yè)務(wù)運行規(guī)律的管理要求和規(guī)章流程，使一個組織在突發(fā)事件面前能夠迅速作出反應(yīng)，以確保關(guān)鍵業(yè)務(wù)功能可以持續(xù)，而不造成業(yè)務(wù)中斷或業(yè)務(wù)流程本質(zhì)的改變。

業(yè)務(wù)連續(xù)性是指企業(yè)有應(yīng)對風險、自動調(diào)整和快速反應(yīng)的能力，以保證企業(yè)業(yè)務(wù)的連續(xù)運轉(zhuǎn)。為企業(yè)重要應(yīng)用和流程提供業(yè)務(wù)連續(xù)性應(yīng)該包括以下三個方面。

1.高可用性（High

availability）

。它是指提供在本地故障情況下，能繼續(xù)訪問應(yīng)用的能力。無論這個故障是業(yè)務(wù)流程、物理設(shè)施，還是IT軟硬件故障。

2.連續(xù)操作（Continuous

operations）。

它是指當所有設(shè)備無故障時保持業(yè)務(wù)連續(xù)運行的能力。用戶不需要僅僅因為正常的備份或維護而需要停止應(yīng)用的能力。

3.災(zāi)難恢復(fù)（Disaster

Recovery）。它是指當災(zāi)難破壞生產(chǎn)中心時，在不同的地點恢復(fù)數(shù)據(jù)的能力。

同時，上述三個部分不是相互孤立的，是相互關(guān)聯(lián)，而且有交叉的。

區(qū)分業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)是很必要的。嚴格地說，災(zāi)難恢復(fù)是恢復(fù)數(shù)據(jù)的能力，是業(yè)務(wù)連續(xù)性計劃的一部分。

讓業(yè)務(wù)連續(xù)性計劃成為企業(yè)變化管理文化的一部分。在制定企業(yè)業(yè)務(wù)連續(xù)性計劃之后，不要把這個計劃放在一邊。要確保該計劃的切實可行，就需要把它變成活動的文檔。如果企業(yè)的業(yè)務(wù)模式發(fā)生了變化，或是業(yè)務(wù)過程進行了重新設(shè)計，或是發(fā)生突發(fā)狀況時的重要聯(lián)系人不再為公司工作，舊的計劃就需要及時進行更新。當有變化時，每個員工都應(yīng)該問問自己該變化會對業(yè)務(wù)連續(xù)性計劃中涉及到自己的部分會產(chǎn)生怎樣的影響。

業(yè)務(wù)連續(xù)性計劃的重要性

現(xiàn)在的社會特別是經(jīng)濟社會對網(wǎng)絡(luò)的依賴日益加深，傳統(tǒng)的備份恢復(fù)式安全計劃已經(jīng)無法保證企業(yè)業(yè)務(wù)的連續(xù)運行。

業(yè)務(wù)連續(xù)性計劃正是因此而生，它根據(jù)業(yè)務(wù)流程而非針對技術(shù)進行制訂，有助于建立起更具統(tǒng)籌能力的安全管理制度。據(jù)Gartner

Group的調(diào)查結(jié)果顯示，如果企業(yè)的大型數(shù)據(jù)中心和信息基礎(chǔ)設(shè)施停止運行10日以上，超過百分之三十的企業(yè)在一個季度內(nèi)倒閉，而接近90%的企業(yè)在一年內(nèi)倒閉。

這些數(shù)據(jù)說明了保證業(yè)務(wù)連續(xù)有效的運行對企業(yè)來說是多么重要，同時也可以看出企業(yè)花費大量的資金于業(yè)務(wù)連續(xù)性計劃最核心的原因。

業(yè)務(wù)連續(xù)性計劃的基本要素

BCP的基本要素

籠統(tǒng)地說，BCP的目標只有一個，那就是確定并減少危險可能帶來的損失，有效地保障業(yè)務(wù)的連續(xù)性。而有關(guān)BCP的一些特定目標我們將在以下各個部分中加以描述。

BCP實施的最終結(jié)果是：

?

一組防范危險的評測指標；

?

一支執(zhí)行團隊，在經(jīng)過培訓后可以處理各種危險事件；

?

一套計劃，提供危險發(fā)生時的路線圖。該計劃應(yīng)該是充分和完備的，必須詳細落實到該

計劃實施范圍內(nèi)的每一個單位、人員或設(shè)備。

每個企業(yè)所制定的BCP都應(yīng)該有每個企業(yè)或者所處行業(yè)獨有的特色，彼此之間不會完全一致，但大致上說來，一個完備的BCP主要是由以下一些關(guān)鍵部分構(gòu)成的：

一、

危險評估

危險評估就是認識并分析各種潛在危險的結(jié)果。這些危險的來源可能是：

?各種區(qū)域性的天然災(zāi)難，如洪水、地震、疫病等；

?

人為事故或蓄意破壞造成的嚴重災(zāi)難，如火災(zāi)、恐怖主義襲擊等；

?

安全威脅、硬件、網(wǎng)絡(luò)或通信故障；

?

災(zāi)難性的應(yīng)用系統(tǒng)錯誤。

所有的危險都應(yīng)納入企業(yè)的危險評估范圍，并且應(yīng)對各種危險的可能來源地進行較準確的定位。對于每一種危險的來源都應(yīng)該認識到：

?

危險的類型；

?

危險的程度；

?

危險發(fā)生的可能性。

比如說，如果按照有無警示性先兆來分，各類危險還可以分為：

?

有些危險可能沒有任何先兆而突然發(fā)生，無法事先防范；

?

有些危險可以有一定的先兆，可以迅速啟動應(yīng)急計劃加以防范，比如疫病的傳播；

?

有些危險可能從來不會發(fā)生。

如果按照危險的破環(huán)類型或程度來分，它們對業(yè)務(wù)的影響可以分為：經(jīng)營場所及設(shè)備完全破環(huán)；

?

經(jīng)營場所及設(shè)備部分破環(huán)；

?

經(jīng)營場所及設(shè)備完好，但人員不能進入，比如疫病的隔離、恐怖威脅造成的人員輸散等。

顯然，對于企業(yè)來說，一個完備的BCP必須盡可能多地考慮到所有可能的危險情況，只有處理災(zāi)難性事件的計劃而沒有處理應(yīng)用系統(tǒng)失誤的計劃，這樣的BCP是不完備的；反之亦然。

企業(yè)所制定的BCP應(yīng)該同時兼顧兩個方面——預(yù)防和控制。例如，人為事故和蓄意破壞可以通過物理安全和個人行為的評測來預(yù)防。而應(yīng)用系統(tǒng)的錯誤則可以通過對軟件的有效評測與測試來預(yù)防。

危險評估的最后結(jié)果應(yīng)該是一份有關(guān)危險效益分析的詳細陳述報告，要有對危險的精確描述、哪些危險可能發(fā)生，以及需要采取的保障業(yè)務(wù)連續(xù)性和緩和危險的措施，同時要有因為克服了危險而帶來的收益分析。這份報告還應(yīng)該描述清楚任何現(xiàn)有的前提或者限制因素。

二、

業(yè)務(wù)影響分析（BIA）

業(yè)務(wù)影響分析（Business

Impact

Analysis）實質(zhì)上就是對關(guān)鍵性的企業(yè)功能、以及當這些功能一旦失去作用時可能造成的損失和影響的分析。

對于企業(yè)業(yè)務(wù)運營的關(guān)鍵人員來說，他們需要分析：

A.

影響

?

哪種功能對于企業(yè)的整體戰(zhàn)略而言是生死攸關(guān)的

?

該功能在多長時間內(nèi)失效不會造成影響和損失

?

企業(yè)的其他業(yè)務(wù)功能由于該功能的失效會受到何種影響——運營影響分析

?

該功能的失效可能造成的收入影響——財務(wù)影響分析

?

該功能是否會對客戶關(guān)系造成影響——客戶信心的損失

?

該功能是否會對市場份額造成影響——市場占有率的下滑

?

該功能是否會對企業(yè)在行業(yè)中的地位造成影響——企業(yè)競爭力的損失

?

該功能是否會影響今后的銷售——機會的喪失

?

什么是最大的/可承受的/可允許的失效

B.

業(yè)務(wù)恢復(fù)需求

?

要使該功能連續(xù)，需要哪些資源和數(shù)據(jù)紀錄

?

最少的資源需求是什么

?

哪些資源可能來自企業(yè)外部

?

它與企業(yè)其他功能的依賴關(guān)系以及依賴程度

?

企業(yè)的其他功能與該功能的依賴關(guān)系以及依賴程度

?

該功能與企業(yè)的外部業(yè)務(wù)/供應(yīng)商/其他廠商的依賴關(guān)系以及依賴程度

?

在缺少試驗環(huán)境的情況下進行恢復(fù)，需要采取怎樣的預(yù)防措施或檢驗手段在進行了這些分析之后，才有可能對企業(yè)的各種功能進行分類：

a)關(guān)鍵功能——如果這類功能被中斷或失效，就會徹底危及企業(yè)的業(yè)務(wù)并造成嚴重損失。

b)基礎(chǔ)功能——這些功能一旦失效將會嚴重影響企業(yè)長期運營的能力。

c)必要功能——企業(yè)可以繼續(xù)運營，但這些功能的失效會在很大程度上限制企業(yè)的效率。

d)有利功能——這些功能對企業(yè)是有利的；但它們的缺失不會影響企業(yè)的運營能力。

根據(jù)各種功能的恢復(fù)需求，企業(yè)便可為上述各類功能制定標準的恢復(fù)時間架構(gòu)。例如，關(guān)鍵功能<1天；基礎(chǔ)功能：2～4天；必要功能：5～7天；有利功能：>10天。

影響分析可以幫助企業(yè)確定各類業(yè)務(wù)功能的優(yōu)先順序，換句話說，也就確定了各業(yè)務(wù)功能的優(yōu)先恢復(fù)順序。

BIA有助于定義恢復(fù)對象。在進行了影響分析之后可能會發(fā)現(xiàn)，在一次災(zāi)難之后恢復(fù)業(yè)務(wù)運營時，首先恢復(fù)部分功能就足夠了，比如說在24小時內(nèi)先恢復(fù)日常業(yè)務(wù)的40%就夠了。

詳細定義好在災(zāi)難或業(yè)務(wù)中斷之后保障業(yè)務(wù)功能運營的資源需求也是可能的。這些資源需求包括基礎(chǔ)設(shè)施、人力資源、文檔、記錄、設(shè)備、電話、傳真機等，無論需要什么資源都要有完備的規(guī)范要求。擁有適當?shù)募毠?jié)要求是非常重要的，因為在危險事件發(fā)生時，會產(chǎn)生一定程度的慌亂，到那時再決定這類細節(jié)已經(jīng)不可能了。

成本因素在進行影響分析時也是不能忽略的。我們需要記住以下一些事項：

?

收入的損失和商機的喪失與恢復(fù)所需的時間直接成正比

?

一種恢復(fù)策略的成本與恢復(fù)所需的時間成反比

?

可能的恢復(fù)策略的成本必須和在采納該策略之前由于業(yè)務(wù)功能中斷而造成的實際損失進行比較。如果所建議的恢復(fù)策略的成本遠高于預(yù)計的成本，那么這種策略就是不可取的。

三、

策略

BCP應(yīng)包括以下策略：

A.預(yù)防

預(yù)防的目的在于減少災(zāi)難發(fā)生的可能性。有關(guān)預(yù)防的策略應(yīng)該包括制止和預(yù)防控制。制止控制可以減少危險的可能性。預(yù)防控制則是保護企業(yè)的弱點區(qū)域，以防御危險的發(fā)生并降低其影響。這兩類控制在實際運營中廣泛存在，比如經(jīng)營場所的安全、人員控制、相關(guān)基礎(chǔ)設(shè)施（如UPS、后備電池、煙火探測器、滅火器等）、軟件控制、相關(guān)的存儲和恢復(fù)等。

企業(yè)希望保障其資源（包括信息資產(chǎn)）的可用性和安全性，其安全策略必須針對這些對象而制定，并且提供有關(guān)資源使用和管理的指南。在熟悉了企業(yè)的所有資源、資源的布局以及危險管理等之后，才可能拿出實施安全策略所需的必要的控制措施。這些控制措施或安全舉措必須時時加以檢查和測試。

如果一種安全策略，能將預(yù)防措施都部署到位，可以監(jiān)控對系統(tǒng)的入侵并防范那些試圖破壞系統(tǒng)的行為，那么其本身就是一種制止控制。預(yù)防計劃的執(zhí)行必須小心謹慎。必須保證實施安全策略時既不能對日常業(yè)務(wù)帶來限制，出現(xiàn)瓶頸，也不能引起可用性問題，或者給系統(tǒng)的訪問和使用帶來障礙。

B.響應(yīng)

響應(yīng)就是當危險發(fā)生時的反應(yīng)。它必須能夠阻止危險的進一步擴大，評估危險的程度，通過與外部世界的正常通信聯(lián)絡(luò)挽回企業(yè)的聲譽，并啟動必要的恢復(fù)時間表。

對業(yè)務(wù)中斷的第一反應(yīng)應(yīng)該是告知所有相關(guān)的人員。如果危險有事前警示的話（比如這次的非典爆發(fā)），那么這種告知就可以提前進行。及時的告知非常重要，因為這可能會給阻止危險的進一步擴大創(chuàng)造機會。如果在適當?shù)臅r機執(zhí)行一次關(guān)機、一次轉(zhuǎn)換或者一次撤離，甚至有可能完全防止危險的發(fā)生。但是這需要有診斷或探測控制的存在。這類控制或者可以持續(xù)掃描以探測發(fā)生中斷的征候（網(wǎng)絡(luò)、服務(wù)器），或者可以從外部資源搜集信息（自然災(zāi)害）。

準確的告知程序必須事先制定好。必須清楚地記錄在案：需要告知誰，怎樣告知，由誰告知，而且還得有逐步擴大的機制。

在BCP中必須設(shè)立好一棵告知樹。最初的告知發(fā)送給一組人，然后再由他們中的每個人去告知另一組人，依次類推。屬于這棵告知樹的人都有不同的責任和作用，所涉及的人員應(yīng)包括：

?

管理團隊——需要獲得有關(guān)危險發(fā)展狀況的信息。該團隊有權(quán)力啟動緊急響應(yīng)體系和下一步的行動。管理團隊還要負責與媒體、公眾、客戶以及股東們打交道。

?

危險評估團隊——需要立刻對危險進行評估，評價業(yè)務(wù)中斷的嚴重程度。

?

技術(shù)團隊——應(yīng)當為關(guān)鍵決策制定者如何采取下一步BCP行動提供服務(wù)。?

運營團隊——應(yīng)當執(zhí)行BCP的實際運作。

還有很重要的一點就是每一個團隊都應(yīng)明確第二負責人。萬一第一負責人沒有通知到或者無法負起責任，那么必須告知第二負責人。告知可以使用各種工具或手段：如手機、呼機、短信、電話和E-mail。每個團隊都應(yīng)當有相應(yīng)的配備。

危險評估團隊應(yīng)該是最早（或者與管理團隊同時）被告知的。他們應(yīng)當最早來到現(xiàn)場，以便評估所遭受的危險程度和級別。如果工作現(xiàn)場已經(jīng)遭到破壞，那么他們就應(yīng)該做好各項準備，一旦允許進入現(xiàn)場就開始工作。

評估過程本身也應(yīng)有計劃地進行，必須與保障業(yè)務(wù)連續(xù)性的優(yōu)先順序密切相關(guān)。這就是說評估團隊應(yīng)當意識到危險所影響到的工作區(qū)域和工作流程是否對整個業(yè)務(wù)的運行至關(guān)重要。這將有助于他們優(yōu)化其評估進程，同時也可正確地關(guān)注關(guān)鍵性工作區(qū)域。這支團隊需要察看以下事項：

?

中斷的原因是什么

?

阻止危險擴大的前景如何?

基礎(chǔ)設(shè)施和設(shè)備受損情況

?

業(yè)務(wù)受影響狀況

?

關(guān)鍵記錄受損情況

?

可以挽回什么損失

?

什么設(shè)備需要修理、恢復(fù)和更換

有了危險評估團隊提供的有關(guān)受損程度和受損區(qū)域的詳盡信息，技術(shù)團隊便可立刻投入工作。

BCP必須擁有一組基于業(yè)務(wù)影響分析和持續(xù)性目標的預(yù)設(shè)參數(shù)，這些參數(shù)應(yīng)該能夠區(qū)分出中斷和災(zāi)難的不同性質(zhì)，同時也能評價出危險的嚴重程度。

當危險評估團隊和技術(shù)團隊開始工作時，其他BCP團隊也應(yīng)依照警示告知到位，以便按照連續(xù)性計劃采取應(yīng)當采取的行動。

C.業(yè)務(wù)接續(xù)（Resumption）

業(yè)務(wù)接續(xù)只涉及那些時間敏感的業(yè)務(wù)流程，要么是在中斷發(fā)生后立即接續(xù)，要么是在可允許的一段平均時間后接續(xù)，但不是對所有業(yè)務(wù)的恢復(fù)。

一旦BCP被激活，命令將從指揮中心發(fā)出。這個指揮中心應(yīng)該是在一個不同于日常經(jīng)營場所的地方。該中心應(yīng)配備相應(yīng)的通信設(shè)施、辦公設(shè)備，可能的話還應(yīng)該構(gòu)建局域網(wǎng)和VPN。

需要做出的第一個決策是，關(guān)鍵性業(yè)務(wù)的運營能否在日常的工作場所或者在一個備選場所很快恢復(fù)運營。

備選場所可以分成以下幾類：

(a)空場所（Cold

Site）——該場所只需配備必要的環(huán)境條件即可，比如說，應(yīng)配備電話插座、電源以及UPS等，但要避免其內(nèi)有任何其他設(shè)備，它的作用就是準備將保障業(yè)務(wù)持續(xù)所需的全部設(shè)備搬移進來。

(b)熱場所（Hot

Site）——該場所是一個完全的備份場所，有人員工作的空間，所有設(shè)施一應(yīng)俱全，數(shù)據(jù)備份也是最新的。一旦災(zāi)難發(fā)生，BCP團隊只需進駐該場所就可開始工作，不會有額外的時間拖延。

(c)溫場所（Warm

Site）——該場所實際上就是配備了部分設(shè)備的熱場所，數(shù)據(jù)備份不算最新，但也不能太舊。

(d)機動場所（Mobile

Site）——該場所是一個具有較小設(shè)施配置的機動場所?？梢晕挥谥饕?jīng)營場所附近，因而也可節(jié)省關(guān)鍵人員在路程上花費的時間。

(e)鏡像場所（Mirrored

Site）——該場所在所有方面都與主要經(jīng)營場所完全相同，信息和數(shù)據(jù)也與主要場所同步。實際上該場所就是正常狀況下的一個冗余場所，因而通常也是成本最高的一種選擇。

在備選場所（或主要場所，如果仍然可用的話），工作環(huán)境需要恢復(fù)。通信、網(wǎng)絡(luò)和工作站需要設(shè)置。與外界的聯(lián)系必須持續(xù)暢通。企業(yè)可以首先手動恢復(fù)一些業(yè)務(wù)，直到關(guān)鍵的IT業(yè)務(wù)可以繼續(xù)運行為止。當然，如果恢復(fù)計劃（下面就要講到）允許，那么關(guān)鍵業(yè)務(wù)功能也可采用自動方式迅速恢復(fù)。D.業(yè)務(wù)恢復(fù)（Recovery）

業(yè)務(wù)恢復(fù)是啟動時間敏感度稍低一些的業(yè)務(wù)流程。業(yè)務(wù)恢復(fù)的開始時間要取決于接續(xù)那些時間敏感的業(yè)務(wù)流程需要的時間。

在進行業(yè)務(wù)恢復(fù)的場所（可以是主要經(jīng)營場所或備選場所），需要在備份的設(shè)備上恢復(fù)操作系統(tǒng)，并按照關(guān)鍵性次序恢復(fù)必要的應(yīng)用系統(tǒng)。當服務(wù)于關(guān)鍵功能的應(yīng)用系統(tǒng)恢復(fù)之后，則需要從備份磁帶或其他異地備份媒介上恢復(fù)數(shù)據(jù)。

備份數(shù)據(jù)也必須經(jīng)常保持同步，也就是說，重建的數(shù)據(jù)應(yīng)當與業(yè)務(wù)中斷之前的某一預(yù)先確定的時點的數(shù)據(jù)相吻合。該時點的選擇取決于關(guān)鍵業(yè)務(wù)的要求。由于商業(yè)數(shù)據(jù)有各種不同的來源，因此重建的每一種數(shù)據(jù)都必須達到所需的數(shù)據(jù)一致性狀態(tài)。經(jīng)過同步的數(shù)據(jù)必須經(jīng)常進行復(fù)查并保持其有效。這種復(fù)查必須強制執(zhí)行，因為在危險發(fā)生的緊急關(guān)頭，不可能再有閑暇來測試數(shù)據(jù)是否可用。因此，必須要有一套清楚的方法、策略或復(fù)查清單來執(zhí)行這個讓數(shù)據(jù)保持其有效性的過程。

一旦數(shù)據(jù)達到了可靠的狀態(tài)，企業(yè)的事務(wù)就可以加速運行，因為災(zāi)難已經(jīng)得到處理，所有的關(guān)鍵性功能都已得到接續(xù)。逐步地，其他業(yè)務(wù)也可開始恢復(fù)其功能。

E.復(fù)原（Restoration）

復(fù)原則是修復(fù)并恢復(fù)主要的經(jīng)營場所。最終是要在原有的場所或者一個全新的場所完全恢復(fù)所有的業(yè)務(wù)流程。

就在恢復(fù)團隊開始從某個備選場所開始支持恢復(fù)運營的時候，對主要場所的全部功能進行復(fù)原的工作也可以展開。如果原有場所在災(zāi)難后的確無法恢復(fù)，則需要在一個新的場所進行復(fù)原工作。恢復(fù)團隊和復(fù)原團隊的成員有可能是同一組人。

必須確保該復(fù)原場配備必要的基礎(chǔ)設(shè)施、設(shè)備、硬件、軟件和通信設(shè)備。而且要對該場所能否處理全部的業(yè)務(wù)流程進行測試。

執(zhí)行上述所有行動的計劃應(yīng)當包括一個時間跨度定義，確定在某一跨度內(nèi)必須完成哪些行動。這個時間跨度的定義必須與企業(yè)的恢復(fù)目標相一致。BCP團隊必須意識到，如果在任一時點，他們的行動超出了規(guī)定的時間跨度，那么這個意外事件就必須立刻上報到指揮中心，由指揮中心馬上制定相應(yīng)的解決辦法，否則企業(yè)就無法實現(xiàn)其恢復(fù)目標。

四、

指標定義

在危險評估和業(yè)務(wù)影響分析階段之后，保持業(yè)務(wù)連續(xù)的基礎(chǔ)業(yè)務(wù)就已經(jīng)顯現(xiàn)出來。我們在上面已經(jīng)說過，按照業(yè)務(wù)術(shù)語可將企業(yè)的業(yè)務(wù)功能分成4類，即關(guān)鍵業(yè)務(wù)、基礎(chǔ)業(yè)務(wù)、必要業(yè)務(wù)和有利業(yè)務(wù)。

這種分類可以讓業(yè)務(wù)連續(xù)的優(yōu)先順序十分清晰，這樣，業(yè)務(wù)恢復(fù)的目標就可以用下面的指標進行量化：

?

恢復(fù)的時間目標（RTO）——最大可允許中斷時間

?

恢復(fù)的時點目標（RPO）——數(shù)據(jù)損失可允許的最遠回溯時點

?

由于引進了BCP的評測指標而導致的企業(yè)性能退化實施BCP的成本

業(yè)務(wù)連續(xù)性計劃的內(nèi)容

業(yè)務(wù)連續(xù)性計劃既可以分成幾個單獨的計劃：即預(yù)防、響應(yīng)、業(yè)務(wù)接續(xù)、業(yè)務(wù)恢復(fù)和復(fù)原計劃，也可以由每一個這樣的計劃構(gòu)成總的計劃書中的不同章節(jié)。

1．基本項目

?

目的

?

制定計劃的目的必須加以說明。還應(yīng)該說明即劃分幾個階段試時，每個階段所要實現(xiàn)的目標是什么。

?

范圍

?

說明有哪些部門和運營業(yè)務(wù)需要實施BCP。如果一個BCP只針對某些災(zāi)難而非全部災(zāi)難，則需要針對這些特殊災(zāi)難制定專門的實施處理腳本。

?

必備條件/前提條件和限制因素

?

形成一份BCP的前提條件需要在此說明。在某些情況下，還須說明BCP成功的必備條件。比如說，服務(wù)器的數(shù)據(jù)備份間隔不得超過多少小時，受過訓練的運營恢復(fù)團隊必須呼之即來，備選場所必須在災(zāi)難發(fā)生之后多少小時之內(nèi)一切準備就緒等等。

?

如果BCP計劃的執(zhí)行還存在一些限制條件的話，也應(yīng)在此列出。

?

團隊

?

BCP團隊的組織/負責人選、下屬哪些分支團隊、團隊的作用和責任等，都必須在此說明。

?

指標

?

作為一種策略，企業(yè)必須由用于恢復(fù)的RPO和RTO指標，以及性能指標等，這些指標應(yīng)該在此加以說明，并向客戶和股東說明。

2．預(yù)防保護

作為BCP中的一個實施部分，預(yù)防措施需要在此說明。這些措施可以概括如下：

?

監(jiān)督

?

訪問控制

?

身份認證

?

防病毒

?

過濾

?

入侵檢測系統(tǒng)

?

備份計劃

3．緊急響應(yīng)

?

響應(yīng)的準備?

在響應(yīng)階段需要哪些資源應(yīng)當在此列出，同時詳細申明這些資源的配置和所需數(shù)量。如果還需要一些文檔和記錄的硬拷貝，也必須在此申明。

?

告知樹

?

危險評估?

何時對外宣布

?

激活BCP的關(guān)鍵標準

4．業(yè)務(wù)接續(xù)

從緊急響應(yīng)階段到業(yè)務(wù)接續(xù)階段如何進行銜接是需要在這里說明的。有關(guān)業(yè)務(wù)接續(xù)運營的決策過程、在哪里以及怎樣進行業(yè)務(wù)接續(xù)、需要采取什么行動，以及接續(xù)哪些業(yè)務(wù)到何種程度等等，都需要在此加以說明。還要為BCP團隊中的各個小組指定各自應(yīng)該采取的行動，每個小組要完成指定的任務(wù)。BCP中的這一部分也稱為業(yè)務(wù)接續(xù)計劃（BRP）。

5．業(yè)務(wù)恢復(fù)

執(zhí)行業(yè)務(wù)恢復(fù)的程序在此加以說明。BCP的這一部分也可稱為災(zāi)難恢復(fù)計劃（DRP）。

這一部分計劃文檔的組織可以有很多種方式。一種方式就是簡單地列出所有的恢復(fù)目標（按照RPO、RTO、目標服務(wù)器/網(wǎng)絡(luò)等來列）。根據(jù)每一目標進行計劃分解，同時明確相應(yīng)的團隊/負責人以及任務(wù)。還有一種方式就是按部門來組織。無論采用哪種方式，都應(yīng)確保所有的BCP目標都能覆蓋到。

計劃的這一部分必須編排得像一本操作手冊，由一系列簡單明確的指令構(gòu)成，恢復(fù)團隊完全可以按照這些指令進行恢復(fù)操作。各種操作之間的相互關(guān)系也必須加以明確說明。所有的指令和說明必須明白無誤，以免因可能引起誤解或不明了而導致時間損失。

6．復(fù)原

為業(yè)務(wù)運營復(fù)原原有場所應(yīng)采取的步驟在此加以說明。需要標明每個團隊/負責人的責任和任務(wù)。

業(yè)務(wù)連續(xù)性計劃的運作流程

BCP運作共有6個階段，分別為：1、項目初始化、2、風險分析及業(yè)務(wù)影響、3、策略及實施、4、BCP開發(fā)、5、培訓計劃、6、測試及維護。

1、項目初始化

?

獲得管理層的支持與投入

?

為了確保該程序能夠成功，高級管理層必須參與其中。BCP計劃必須成為公司的戰(zhàn)略性業(yè)務(wù)計劃之一。同時，公司必須設(shè)定合理預(yù)算，并為BCP提供獨立的預(yù)算。

?

建立團隊

必須建立一個團隊，人員包括財務(wù)部，審計部，信息技術(shù)部，人事部，行政部等等。當災(zāi)難開始時，這些部門在繼續(xù)扮演他們承擔的支援角色的同時，也必須實施重大的機構(gòu)轉(zhuǎn)變以援助受影響的區(qū)域。法律部、公關(guān)部與投資部在事件發(fā)生后需要向公眾及股東通告公司的運作狀況。

2、風險分析及業(yè)務(wù)影響分析

?

決定BCP需求的關(guān)鍵驅(qū)動力是“企業(yè)能在災(zāi)難中承受多少金額的損失”業(yè)務(wù)影響分析的目的是回答以下問題：

?

保護何種資產(chǎn)(資產(chǎn)識別與評估)

?

資產(chǎn)的威脅與脆弱點(脆弱點和威脅評估)

?

有沒有控制措施控制措施能否預(yù)防或減少潛在的威脅(評估控制)

?

投入金額/勞力的多少(決定)

?

投入資金的效率如何(通訊和監(jiān)控)

?

當進行業(yè)務(wù)影響分析時，應(yīng)考慮以下幾方面：

?

金額的影響：如果不采取相應(yīng)的措施，則組織的經(jīng)濟損失是多少

?

客戶的影響：如果發(fā)生業(yè)務(wù)中斷，則組織會損失多少市場占有率?

法律的影響：組織是否遵從法律的要求

?

內(nèi)部依賴關(guān)系的影響：中斷的業(yè)務(wù)是否會其他領(lǐng)域的關(guān)鍵業(yè)務(wù)

?

作為業(yè)務(wù)影響分析的一部分，應(yīng)該評估業(yè)務(wù)允許中斷的時間長短；

?

組織能提供多常時間的信息；當信息重新可用時，允許損失的信息是多少這些問題可以通過恢復(fù)時間目標（recovery

time

objective

(RTO)）和恢復(fù)點目標（recovery

point

objective

(RPO)）來決定。

?

決定BCP需求的另一個因素是“災(zāi)難實際發(fā)生的可能性”。此因素由威脅的級別和組織具有的薄弱點范圍決定，威脅的程度取決于下列因素：

?

有惡意性的破壞，如轟炸、縱火、工業(yè)間諜等。

?

意外事故，如組織的辦公場所、環(huán)境，內(nèi)部系統(tǒng)和處理程序的質(zhì)量。3、業(yè)務(wù)持續(xù)性策略及實施

?

業(yè)務(wù)持續(xù)性策略

?

業(yè)務(wù)影響分析為制定業(yè)務(wù)持續(xù)性策略提供必要的信息，下來，根據(jù)提供的信息，可以確定多種滿足組織業(yè)務(wù)持續(xù)管理的方案。必須為各種業(yè)務(wù)持續(xù)方案進行成本、效益及風險分析，包括：

?

滿足業(yè)務(wù)持續(xù)目標的能力?

影響的可能性

?

安裝設(shè)備的成本

?

維護、測試及調(diào)用設(shè)備的成本

?

中斷對于技術(shù)、組織、文化和管理的干擾及未采取持續(xù)管理的潛在影響

?

應(yīng)該仔細考慮采取業(yè)務(wù)持續(xù)方案確實解決了具體的風險但不會增

?

加其它風險。通過風險降低和業(yè)務(wù)持續(xù)方案成本的平衡來決定業(yè)務(wù)持續(xù)策略以降低風險達到業(yè)務(wù)持續(xù)的目標。?

實施

?

設(shè)立組織及準備實施計劃書

?

實施備份安排

?

實施降低風險的措施

4、BCP開發(fā)

?

開發(fā)業(yè)務(wù)持續(xù)性計劃之前，確定災(zāi)難發(fā)生的情況下執(zhí)行的行動，你需要熟悉每天的操作任務(wù)。這意味這你需要熟悉每一個業(yè)務(wù)處理過程的基本文檔。在開發(fā)業(yè)務(wù)持續(xù)性計劃之前，須考慮下列措施是否已經(jīng)存在：

?

變更控制流程

?

最終用戶的標準操作流程

?

操作人員的具體需求和特殊外圍設(shè)備需求

?

數(shù)據(jù)流圖表及問題管理程序

?

重要記錄

?

磁帶備份/記錄管理日常安排

?

異地存儲

?

開發(fā)BCP計劃時，需考慮在計劃執(zhí)行的七個階段中為每個恢復(fù)小組分派任務(wù)：

?

評估與聲明

?

通告

?

應(yīng)急反應(yīng)

?

過渡期處理

?

搶救

?

重新安置及啟動

?

重新正常運做

5、培訓計劃

?

一些員工需要的特殊培訓如下：

?

有緊急情況時可應(yīng)用替代的技術(shù)流程

?

當自動操作系統(tǒng)正在恢復(fù)時可替代的人工操作流程

?

確保團隊