企业业务连续性工作要点(上)

日期: 2012-03-29 作者:羽扇纶巾 来源:TechTarget中国

企业在信息化时代对于业务稳定和连续性的要求越来越高,传统意义上的灾难备份及恢复计划很难保证企业在业务365天*24小时不间断方面的高要求。因此,业务连续性计划被企业提到了一个非常高的战略角度。业务连续性计划(Business Continuity Planning, BCP)是一套基于业务运行规律的管理要求和规章流程,使一个组织在突发事件面前能够迅速作出反应,以确保关键业务功能可以持续,而不造成业务中断或业务流程本质的改变。 从本质上来说,BCP是一个关于流程的策略和计划,其层次在单纯的IT技术之上,因此在实施的过程中有很多要点值得探讨,本文将就其中的几个要点进行分析和介绍。

界定:业务连续性……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

企业在信息化时代对于业务稳定和连续性的要求越来越高,传统意义上的灾难备份及恢复计划很难保证企业在业务365天*24小时不间断方面的高要求。因此,业务连续性计划被企业提到了一个非常高的战略角度。业务连续性计划(Business Continuity Planning, BCP)是一套基于业务运行规律的管理要求和规章流程,使一个组织在突发事件面前能够迅速作出反应,以确保关键业务功能可以持续,而不造成业务中断或业务流程本质的改变。

从本质上来说,BCP是一个关于流程的策略和计划,其层次在单纯的IT技术之上,因此在实施的过程中有很多要点值得探讨,本文将就其中的几个要点进行分析和介绍。

界定:业务连续性vs灾难恢复

我们这里所谈的业务连续性不同于传统意义上的灾难恢复。灾难恢复的目的是将灾难造成的影响减少到最小程度,并采取必要的步骤来保证资源、员工和业务流程能够继续运行。与灾难恢复不一样,连贯性计划是用来为长时间的停工和灾难提供处理方法和步骤。而灾难恢复计划的目标是在灾害发生后马上处理灾难及其后果。灾难恢复计划在所有的事情都还处于紧急状态的时候就应该开始执行,这时要勉强解决当前的一些问题使得关键的系统能够重新投入工作。而连贯性计划考虑问题的方面更加长远一些:原有设施正在修理的时候应该将关键系统转移到另一个地方去,安排正确的人员到正确的岗位上去,在正常秩序恢复之前要改变业务的运转模式,通过各种渠道处理与客户、合作伙伴和持股者的关系,直到一切都恢复正常为止。

业务影响分析(BIA)

制定业务连续性计划的关键是努力考虑到所有可能发生的情况,对潜在的损害和损失做出估计,并制定可行的备用措施以防备这些事件的发生。

在估计所有的威胁时应该进行风险的评估和分析。威胁可能来自于人为、自然或技术等因素。人为的威胁可能是一个纵火犯、恐怖分子,或是来自于一个可能产生严重后果的简单的过失。来自自然的威胁可能是龙卷风、洪水、飓风和地震。技术方面的威胁可能是数据破坏、断电、设备故障,或是通信线路的故障。重要的是找出所有可能的威胁并估计它们发生的概率。在制定这些计划时可能忽略了一些因素,如员工罢工、故意破坏、不满的员工或黑客。这些因素应该放在一起考虑,并应该安排基于情景的练习。这样就保证了在威胁产生的时候,这个计划包括了所有的经营任务、部门和关键的操作。越仔细地考虑这些问题,那么在这些问题发生的时候我们就更有准备。

业务影响分析(Business Impact Analysis,BIA)是业务连续性计划的关键性的第一步。这时应该收集定性的和定量的信息,并加以适当的分析和解释。这样做的目的是弄清楚到底不同的威胁会给业务活动造成怎样的影响。影响可能是经济上的、运作上的或是两方面都有。可以使用标准的调查工具或是对公司中最有知识的人进行问卷来收集这些信息。这样我们就能够得到对可能的业务影响的更全面的认识。

业务连续性计划制定

在业务连续性计划的制定中,需要参照以下几个关键步骤来进行:

(1)确定业务关键功能

公司的业务计划通常就决定了公司关键的使命和业务功能。必须为这些功能设定优先级别,这样才能指出什么对于公司的生存才是至关紧要的。

(2)确定支持关键功能的资源和系统

在确定了关键的功能之后,就有必要找出实现这些功能究竟需要那些支持。这些支持不一定只是计算机系统,它们也可能是员工、程序、任务、供给和供应商的支持。做计划的过程中必须确定对这些关键功能来说,如果有些资源和系统无法得到,那么将产生什么样的后果。

需要有人来对这些资源进行分析,这样的分析应该由那些理解资源并知道它们是如何为企业提供功能的人来完成。这些人通常应该懂得各种资源之间的相互依赖关系,以及资源缺失造成的真正后果。

(3)估计潜在的灾难事件

在这一步中,我们要确定所有可能的意外事故和灾难,这很具有挑战性。这也许需要请外面的咨询人员来参与制定计划,主要是因为“当局者迷,旁观者清”,他们也许能够想到一些我们的团队想不到的问题。

(4)选择计划策略

这一步包括制定有关如何恢复关键资源和评估应急方案。一个灾难恢复计划通常包括突发事件响应、恢复和重新开始等活动。突发事件响应涉及保护生命和制止进一步的损害。恢复包括为使关键功能重新回到工作状态而采取的一系列必要步骤,重新开始是使公司回到初始工作状态的活动。

尤其值得注意的是:计划所采取的策略要基于逻辑性、可行性和经济性等几个方面来考虑,也就是要做到比较好的tradeoff。为了恢复关键功能,有时候要在某些方面作出牺牲,在制定计划的时候就应该决定这种牺牲。

(5)实施策略

一旦决定了策略,就需要将它们归档,这使得我们的努力从纯粹的计划阶段进入到了实际的实施和行动阶段。

同时,要注意将计划的备份保留在除主站点之外的一个或多个地方。这样一旦主站点被破坏,团队仍然可以获得连贯性计划。

(6)测试和修订计划

我们需要对业务连续性计划做定期测试,因为环境总是在持续变化,每一次测试都能够带来一些改进。需要专门指派一个或多个员工来履行定期测试和维护这个计划的职责。

该计划的维护工作可以被包含到变更管理程序中,这样环境的任何变化都将一定反映到计划之中。

    请继续阅读:企业业务连续性工作要点(下)

作者

羽扇纶巾
羽扇纶巾

自由撰稿人。

相关推荐