摘要:良好的业务连续性计划将确保您的企业组织业务的顺利运行,免遭诸如电源故障、IT系统崩溃、自然灾害、供应链问题等等任何类型的扰乱。 |
对于那些需要说服他们的CEO或董事会制定相应的灾难恢复计划和功能的企业安全高管们,您会给出什么建议?最有效的执行方案是怎样的?
Hager建议企业组织的首席安全官通过分析并拟定如果发生灾害的潜在经济损失,及之后相应处理的灾难恢复文档来解决该问题。与您企业的法务和金融财务部门合作,以文档的形式估算出如果发生灾害,而您的公司将面临没有快速恢复的能力的话,每天会造成的总的损失。彻底审查您的业务连续性和灾难恢复计划,您可以识别找出其与能够帮助您企业实现成功的灾难恢复的方案的差距。记住:灾难恢复和业务连续性只不过是规避风险。而当您能够向他们展示企业需要冒多大的风险时,高级管理人员才能够更清楚地理解。”
Hager还表示,较之大型企业来说,规模较小的公司在灾难恢复方面会有更多的(更便宜)选择。例如,数据可以有员工在晚上下班带回家。这当然是一种低成本的异地离线备份的方法。
这其中有些措施对于某些企业而言是不是有些过头了?
USAA保险公司精心设计的,将需要不断开发和测试的应急计划可能对于一般企业的CSO(或首CEO)而言有些过头了。对于一些企业来说,这绝对是真的。毕竟,针对20000名员工实施危险品培训和疏散计划并不是对每家公司都是必要的。
像许多安全问题一样,保持业务连续性规划涉及到基本的风险管理:贵公司能经受得住多大的风险,贵公司愿意花费多少成本来缓解各种风险?
为意外情况提前制定计划,企业组织必须在权衡风险与成本之后才创造这样的一个套应急计划。USAA保险公司的安全助理副总裁Pete Hugdahl表示说这种权衡经常面临各种问题:“当成本因素发挥作用的时候,做出这种权衡真的相当困难。”他说。“我们要花100000美元来保护我们的资产吗?我们怎么知道这是值得的呢?”
其实,这方面没有绝对的答案。不管您企业是准备花钱;还是准备接受这方面的风险,只是一个行政决定,但其应该是一个明智的决定。务必要汲取那些半吊子的灾难恢复计划的教训(参考2010年英国石油公司泄漏事故、2005年飓风季节、911事件、2003年美国东北大停电事故等),这些计划都是一个未履行尽职调查而制定的。
还有哪些其他的注意事项?
云服务公司 Evolve IP创造了一份企业高管们可以用来评估他们当前的灾难避免计划的建议清单,以及企业是否需要制定一份这样的备灾计划,或是应该为他们的信息和通讯系统提供定向的保护措施。
建立一支灾难恢复功能团队
从该团队选择一名发言人负责沟通。在企业组织发生多处灾害事故时,每处位置都应该有一个核心团队或代表,来与企业实体配合工作。
风险评估
识别下列领域的风险:
信息——哪些信息和信息系统对于企业业务在一个可接受的水平继续运行是最为重要的?
通信基础设施——哪些通信(电子邮件、电话线、呼叫中心、VPN、终端服务)对于企业业务在一个可接受的水平继续运行是最为重要的?
访问和授权——在发生灾难时,谁需要访问上述系统,并且需要以怎样的安全的方式访问(VPN、SSL、DR站点)?
物理工作环境——在紧急情况下那些要素对于开展业务是有必要的,而这些要素在受灾害影响的位置不可用?
内部和外部的沟通——在紧急情况下,企业需要保持怎样的联系;哪些信息需要及时互通?
基于云的数据中心和应用
创建一套恢复计划,并将其远程托管在一个安全的和冗余的数据中心。每年至少测试一次您的恢复计划,并根据监管/合规要求及时更新修订。确保员工可以在故障转移模式期间能够在从指定的位置访问托管环境(包括从内部的业务范围内和远程)。
责任编辑:余芯