摘要:良好的业务连续性计划将确保您的企业组织业务的顺利运行,免遭诸如电源故障、IT系统崩溃、自然灾害、供应链问题等等任何类型的扰乱。 |
灾难恢复和业务连续性计划能够帮助企业组织为应对各种破坏性事件做好充分的准备——而这些破坏性事件可能包括飓风灾害或者只是停车场的挖掘机造成的断电事故。而在这一过程中,所涉及到的企业CSO们的工作职责则包括了计划的监督、提供输入和支持、在紧急情况下采取行动执行该计划。本文为广大读者介绍了关于业务连续性计划的基本概念,并将围绕该话题介绍更多的相关资源。
Q:“灾难恢复”这一概念似乎是不言自明,无需过多解释的。但是,其与“业务连续性规划”之间到底有什么区别呢?
A:灾难恢复是企业组织在遭受到一次破坏性事件后恢复业务的过程。这样的破坏性事件可能是后果相当恶劣的地震灾害;或像纽约世界贸易中心那样的恐怖袭击;或者一些危害较小的如由计算机病毒引起的软件故障。
鉴于人们往往倾向于只看到光明的一面,许多企业管理人员很容易忽视“灾难恢复”,因为灾难似乎是一个不太可能发生的事件。而“业务连续性规划”则推荐了一套更为全面的方法确保您企业的业务部门能够持续的创造营收,其不仅在发生了自然灾害之后,同时也包括在发生了较小的中断事故之后,如员工生病或关键岗位的员工离职、供应链合作伙伴出现问题或企业组织所需要时不时面临的其他方面的挑战问题。
尽管这两者是有区别的,但这两个术语通常都是同时出现BC/DR这一缩写下的,因为他们有许多共同的考虑点。
这些计划包括哪些内容?
所有的BC/DR计划都需要包括企业员工如何沟通、他们在此期间将去到何处、以及他们将如何继续他们的工作的问题。而根据企业组织具体规模、业务领域以及业务方式的不同,其中的细节会有很大的不同。对于一些企业来说,供应链物流等问题是最为关键的,其是整个计划的重点。而对于另外一些企业来说,信息技术可能起着更为关键的作用,故而其BC/DR计划可能有更多的关注于系统恢复方面。 例如,在一家全球性制造企业的计划将会是必须要在四到六天的时间内在备份站点从破坏性事件中恢复其关键主机上的重要数据,在两天内获得移动PBX单元的3000个电话记录,恢复企业的1,000多个局域网的业务需求,并在附近的一个训练设施为100个代理设置临时呼叫中心。
但关键的一点是,既不能忽略其中的任何元素,也不能在物理资源、IT资源和人力资源相互孤立的情况下开发制定规划。在这方面,BC/DR与安全融合(security convergence)有许多共通之处。在其核心, BC/DR是关于不断的通信交流。
企业组织的业务部门领导、安全领导和IT领导人应该联合起来一起工作,以确定什么样的计划是必要的,哪些系统和业务部门对于企业组织而言是最为关键的。同样,他们应该决定有谁来负责宣布一个破坏性的事件的发生,并尽量减轻其影响。最重要的是,该计划应建立一个过程,以便能够在发生一个灾难性的事件后定位员工对于他们进行沟通。在一次灾难性的事故发生后(卡特丽娜飓风是其中一个相对较新的例子),该计划还需要考虑到比起回归到工作岗位,许多员工将可能还有更为紧迫的担忧问题。
我将从哪里开始着手呢?
一个良好的开端是从一个业务影响分析(BIA)开始的。这将确定企业组织最为重要的系统和流程,以及中断对业务所造成的影响。潜在的影响越大,企业组织为了迅速恢复系统或业务流程所需花费的成本就越多。
例如,一家股票交易公司可能决定支付完全冗余IT系统,以便允许他们能够立即开始在另一个位置处理交易。而另一方面,一家制造公司则可以决定,他们可以等待24个小时之后才恢复发货。一个BIA将帮助企业组织建立一个恢复序列,以确定业务的哪个部分应该被优先恢复还原。
如下,是您企业组织的计划绝对应该包括的十大基本点:
1 制定并实施一套应急计划,包括您企业的首席执行官的继任计划。
2 提前培训执行紧急任务的后备人才。您所能够指望得上的在一个紧急情况下能发挥领导才能的员工并不是随时都有的。
3 确定发生异地危机时的会议场所以及企业高管们的危机沟通计划。与企业员工、客户和外部世界实践演习危机沟通。
4 投资于另一种替代的通信交流方式,以防电话网络失灵。
5 确保所有的员工和管理人员都参与到这项演习中,这样他们就可以在紧急情况下知道如何应对。
6 确保业务连续性演习足够真实,并足以充分调动员工们的情绪,这样您可以看到当形势变得紧张时他们会如何反应。
7 与当地急救反应团队——消防员、警察和急救人员建立良好的合作伙伴工作关系。让他们熟悉您的公司和站点。
8 在每次测试中评估您企业的表现,并努力持续改进。连续的演习应该能够揭示出相应的弱点。
9 定期检验您企业的业务连续性计划,以披露和适应变化。任何一家公司的技术、人员和设施都在一个不断变化的状态中。
10 欲了解更多细节,请参见该链接中业务影响分析的摘录,包括一个BIA形式的示例。