业务连续性计划 事先制定一个完备的业务连续性计划(Business Continuity Planning,缩写为 BCP),积极防范并且应变处理灾难发生的一系列后果,将灾难的蔓延和损失控制在企业能够承担的范围以内,已成为现代企业管理范畴内的一个十分重要的任务. 【第一部分】 BCP 的基本要素 笼统地说,BCP 的目标只有一个,那就是确定并减少危险可能带来的损失,有效地保障业务的连续性。而有关 BCP 的一些特定目标我们将在以下各个部分中加以描述。 BCP 实施的最终结果是: ● 一组防范危险的评测指标; ● 一支执行团队,在经过培训后可以处理各种危险事件; ● 一套计划,提供危险发生时的路线图。该计划应该是充分和完备的,必须详细落实到该计划实施范围内的每一个单位、人员或设备。 我们下面所要讨论的主要是与企业中 IT 设施相关的内容,没有涉及到企业人员在危险状况下的安全管理问题. 每个企业所制定的 BCP 都应该有每个企业或者所处行业独有的特色,彼此之间不会完全一致,但大致上说来,一个完备的 BCP 主要是由以下一些关键部分构成的: 一、 危险评估 危险评估就是认识并分析各种潜在危险的结果。这些危险的来源可能是: ● 各种区域性的天然灾难,如洪水、地震、疫病等; ● 人为事故或蓄意破坏造成的严重灾难,如火灾、恐怖主义袭击等; ● 安全威胁、硬件、网络或通信故障; ● 灾难性的应用系统错误. 所有的危险都应纳入企业的危险评估范围,并且应对各种危险的可能来源地进行较准确的定位。对于每一种危险的来源都应该认识到: ● 危险的类型; ● 危险的程度; ● 危险发生的可能性. 比如说,假如根据有无警示性先兆来分,各类危险还可以分为: ● 有些危险可能没有任何先兆而突然发生,无法事先防范; ● 有些危险可以有一定的先兆,可以迅速启动应急计划加以防范,比如疫病的传播; ● 有些危险可能从来不会发生。 假如根据危险的破环类型或程度来分,它们对业务的影响可以分为: ● 经营场所及设备完全破环; ● 经营场所及设备部分破环; ● 经营场所及设备完好,但人员不能进入,比如疫病的隔离、恐怖威胁造成的人员输散等。 显然,对于企业来说,一个完备的 BCP 必须尽可能多地考虑到所有可能的危险情况,只有处理灾难性事件的计划而没有处理应用系统失误的计划,这样的 BCP 是不完备的;反之亦然。 企业所制定的 BCP 应该同时兼顾两个方面——预防和控制。例如,人为事故和蓄...
