业务连续性计划概要.docx

业务连续性计划概要.docx

《业务连续性计划概要.docx》由会员分享，可在线阅读，更多相关《业务连续性计划概要.docx（26页珍藏版）》请在冰豆网上搜索。

业务连续性计划概要

业务连续性管理体系（BCMS）的文件体系包括:

1、BCMS范围说明书；

2、BCM参考术语；

3、BCM方针；

4、业务影响分析；

5、风险评估；

6、BCM战略/策略；

7、适用性声明；

8、培训计划；

9、事件管理计划；

10、业务连续性计划；

11、SLA、合同和其他依据。

业务连续管理（BCM）十大最佳实践标准收藏

1.项目启动和管理

确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

2.风险评估和控制

确定可能造成机构及其设施中断和灾难、具有负面影响的事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。

提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。

3.业务影响分析

确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。

确定关键功能、其恢复优先顺序和相关性以便确定恢复时间目标。

4.制定业务连续性策略

确定和指导备用业务恢复运行策略的选择，以便在恢复时间目标范围内恢复业务和信息技术，并维持机构的关键功能。

5.应急响应和运作

制定和实施用于事件响应以及稳定事件所引起状况的规程，包括建立和管理紧急事件运作中心，该中心用于在紧急事件中发布命令。

6.制定和实施业务连续性计划

设计、制定和实施业务连续性计划以便在恢复时间目标范围内完成恢复。

7.意识培养和培训项目

准备建立对机构人员进行意识培养和技能培训的项目，以便业务连续性计划能够得到制定、实施、维护和执行。

8.维护和演练业务连续性计划

对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果。

制定维持连续性能力和BCP文档更新状态的方法使其与机构的策略方向保持一致。

通过与适当标准的比较来验证BCP的效率，并使用简明的语言报告验证的结果。

9.公共关系和危机通信

制定、协调、评价和演练在危机情况下与媒体交流的计划。

制定、协调、评价和演练与员工及其家庭、主要客户、关键供应商、业主／股东以及机构管理层进行沟通和在必要情况下提供心理辅导的计划。

确保所有利益群体能够得到所需的信息。

10.与公共当局的协调

建立适用的规程和策略用于同地方当局协调响应、连续性和恢复活动以确保符合现行的法令和法规。

制定完备的业务连续性计划

《世界商业评论》ICXO.COM（日期：

2004-04-2718:

03）

　　四、指标定义

　　在危险评估和业务影响分析阶段之后，保持业务连续的基础业务就已经显现出来。

我们在上面已经说过，按照业务术语可将企业的业务功能分成4类，即关键业务、基础业务、必要业务和有利业务。

　　这种分类可以让业务连续的优先顺序十分清晰，这样，业务恢复的目标就可以用下面的指标进行量化：

　　●恢复的时间目标（RTO）——最大可允许中断时间

　　●恢复的时点目标（RPO）——数据损失可允许的最远回溯时点

　　●由于引进了BCP的评测指标而导致的企业性能退化

　　●实施BCP的成本

　　【第二部分】

　　技术需求

　　一、可用的技术选择

　　A.存储与服务器解决方案

　　●传统备份——就是对服务器数据进行备份，然后将备份磁带送至一个安全的备选场所

　　●RAID——是一种有效的冗余解决方案。

根据需要，可以选择适当级别的RAID。

　　●远程日志——是搜集各种工作记录和日志并将它们传送到一个远程场所的处理过程。

这一过程可以实时进行，即同步传送纪录，也可以将记录存档然后定期传送。

这一过程不会更新数据库，只是传送日志，因此恢复就能够回溯到最近的传送时点。

这几乎意味着没有数据损失。

远程日志并不是一种独立的方法，它需要一个起点，亦即应用到日志的那个点。

　　以下几个部分本报在以前的报道中有过充分的描述，此处不再赘述。

　　●异地备份

　　●磁盘复制（镜像和映射）

　　●后备系统

　　●虚拟存储（NAS和SAN）

　　B.网络解决方案

　　●HotNetworkNodes——即在备选场所拥有一个可运营的网络。

　　这个网络可以经常进行功能监控，因而能够节省灾后设置和测试网络的时间。

　　●VPN——可用于远程恢复。

VPN在公用网络上运行，并允许接入企业网络。

一旦接入企业网络，它的特性就像是在Internet上的企业的Intranet。

当灾难发生时，VPN允许恢复团队甚至在尚未到达备选场所之前就可以开始在恢复服务器上进行恢复工作。

　　二、实施

　　不同类型的IT系统或业务流程也将决定实现BCP目标的技术手段。

根据业务影响分析制定出实际的技术方案是很重要的。

　　1台式电脑——虽然它们通常对BCP不会产生影响，但如果必要，台式机也应该包括进BCP中。

应当指导台式机用户备份他们的数据。

如果这不是可以接受的方式，那么就可以使用网络磁盘。

网络磁盘可以经常进行备份，然后将备份介质送达至某个异地存储场所。

　　2软件及其许可证——这些资源因为最初是花了不少的投资获得的，因此必须加以备份并保存到异地存储场所。

　　3LAN——复原要求网络配置以及所有的设备都必须记录在案。

在主要场所被破坏后，后备场所的LAN应该与原来的LAN设置保持一致。

　　4服务器——服务器一旦遭受损失，后果是极为严重的。

所以应采取异地备份、RAID、远程日志、虚拟存储等方法。

　　5网站——网站很容易受到黑客的攻击，所以必须实施安全控制。

网站的文档、配置、应用代码都需要快速恢复。

恢复过程中，有可能需要具有不同IP地址的后备网站，因此在进行网站设计时就应该考虑到这一点。

　　6业务流程——在进行业务流程设计时应该考虑冗余设计。

比如银行系统除了柜台交易外，还应该设计好电话银行和网上银行。

构建冗余系统需要额外的成本，所以企业主要应该为其最经常使用的业务或最赢利的业务流程实施冗余设计。

　　有关支持BCP的技术保障措施，请读者参阅本专刊的《BC基石论》。

　　【第三部分】

　　如何制定一个BCP

　　一、典型内容

　　下面我们给出一份较典型的业务连续性计划大纲。

业务连续性计划既可以分成几个单独的计划：

即预防、响应、业务接续、业务恢复和复原计划，也可以由每一个这样的计划构成总的计划书中的不同章节。

　　1.基本项目

　　●目的

　　制定计划的目的必须加以说明。

还应该说明即划分几个阶段试时，每个阶段所要实现的目标是什么。

　　●范围

　　说明有哪些部门和运营业务需要实施BCP。

如果一个BCP只针对某些灾难而非全部灾难，则需要针对这些特殊灾难制定专门的实施处理脚本。

　　●必备条件/前提条件和限制因素

　　形成一份BCP的前提条件需要在此说明。

在某些情况下，还须说明BCP成功的必备条件。

比如说，服务器的数据备份间隔不得超过多少小时，受过训练的运营恢复团队必须呼之即来，备选场所必须在灾难发生之后多少小时之内一切准备就绪等等。

　　如果BCP计划的执行还存在一些限制条件的话，也应在此列出。

　　●团队

　　BCP团队的组织/负责人选、下属哪些分支团队、团队的作用和责任等，都必须在此说明。

　　●指标

　　作为一种策略，企业必须由用于恢复的RPO和RTO指标，以及性能指标等，这些指标应该在此加以说明，并向客户和股东说明。

　　2.预防保护

　　作为BCP中的一个实施部分，预防措施需要在此说明。

这些措施可以概括如下：

　　●监督

　　●访问控制

　　●身份认证

　　●防病毒

　　●过滤

　　●入侵检测系统

　　●备份计划

　　3.紧急响应

　　●响应的准备

　　在响应阶段需要哪些资源应当在此列出，同时详细申明这些资源的配置和所需数量。

如果还需要一些文档和记录的硬拷贝，也必须在此申明。

　　●告知树

　　●危险评估

　　●何时对外宣布

　　●激活BCP的关键标准

　　4.业务接续

　　从紧急响应阶段到业务接续阶段如何进行衔接是需要在这里说明的。

有关业务接续运营的决策过程、在哪里以及怎样进行业务接续、需要采取什么行动，以及接续哪些业务到何种程度等等，都需要在此加以说明。

还要为BCP团队中的各个小组指定各自应该采取的行动，每个小组要完成指定的任务。

BCP中的这一部分也称为业务接续计划（BRP）。

　　5.业务恢复

　　执行业务恢复的程序在此加以说明。

BCP的这一部分也可称为灾难恢复计划（DRP）。

　　这一部分计划文档的组织可以有很多种方式。

一种方式就是简单地列出所有的恢复目标（按照RPO、RTO、目标服务器/网络等来列）。

根据每一目标进行计划分解，同时明确相应的团队/负责人以及任务。

还有一种方式就是按部门来组织。

无论采用哪种方式，都应确保所有的BCP目标都能覆盖到。

　　计划的这一部分必须编排得像一本操作手册，由一系列简单明确的指令构成，恢复团队完全可以按照这些指令进行恢复操作。

各种操作之间的相互关系也必须加以明确说明。

所有的指令和说明必须明白无误，以免因可能引起误解或不明了而导致时间损失。

　　6.复原

　　为业务运营复原原有场所应采取的步骤在此加以说明。

需要标明每个团队/负责人的责任和任务。

　　二、BCP的测试

　　制定好的BCP需要进行适当地测试才能投入使用。

这一过程必须经常周期性地进行。

省略了这一过程就意味着BCP只能等灾难实际发生之后进行实地测试，这样做的风险太大，恐怕任何一家企业都不敢做这种尝试。

　　规划一次BCP测试需要规定以下事项：

　　●测试脚本——将可能发生的灾难定义为测试的一个部分。

　　●测试计划——定义检查程序、各种测试脚本、任务的类型、任务的参与者，比如说主要团队或者主要团队与预备团队的混合行动。

　　简而言之，在测试BCP时，需要执行下列行动

　　●准备一份测试计划，选择测试脚本，说明预期要达到的结果。

　　●执行该计划

　　●记录测试结果

　　●评估测试结果，报告存在差距

　　●将测试结果和报告向团队公布

　　●确认需要做何改进以弥补差距

　　●培训团队

　　三、BCP的维护

　　一个BCP必须周期性地加以检查和维护。

一旦有新的系统、新的业务流程、或者新的商业行动计划加入企业的生产系统或者信息系统，引起企业整体系统发生变化时，就更应该强制启动这种检查程序。

除此之外，像联系人名单的更改这样微小的变动都可能触发BCP计划的更新。

　　每一次在进行这种检查程序时，最好是与对BCP的改进相互结合。

例如，在测试过程中发现的问题、企业为了实现连续性对机构所作的调整，或者在保持业务连续性测试时发现了更好的行动方式和计划等等。

因此，BCP的维护应该是变化和改进的结合与不断促进。

　　每一次对BCP计划所作的改动都应该及时通知所有的BCP团队，并具体落实到每一次的培训和测试过程中去。

　　最后，与业务连续性相关的资源——人和设备——也会受到维护的影响。

人员会通过培训和测试程序受到影响，设备会通过维护程序受到影响。

只有当这些资源始终处于良好状态，才能在危机发生时成为可靠和可依赖的资源。

用ＢＳ２５９９９来规范ＢＣＭ

2008-12-1710:

28:

47  业界| 评论（0）| 浏览（146）

 近年来，恐怖活动、种族冲突、SARS、禽流感、海啸、雪灾、地震等各种天灾人祸，使不少企业陷入困境。

面对这些灾难，企业高层和管理人员如何未雨绸缪，妥善应对这些冲击呢？

　简单的灾难备份是远远不够的，答案只有一个：

进行业务持续性管理，即BCM。

而全球业务持续性管理框架标准——BS25999为企业提供了构建BCM的指南。

 BS25999把业务持续性管理框架分成六个部分，分别为BCM管理程序、理解组织、决定BCM战略、开发并实施BCM响应计划、演练维护和评审回顾以及把BCM植入企业文化。

现以一家虚拟冷冻食品运输企业——FOOD公司来说明BS25999的方法论。

 首先是BCM策略的制定。

FOOD公司考虑企业发展战略、股东和相关利益方的要求，制定了策略，那就是确保食品配送业务连续。

 ＢＣＭ管理程序

 该部分包括职责的分配，在组织中实施和持续管理。

FOOD公司只有100人左右，规模不大，所以在治理架构中明确了BCM的责任人David。

David负责制定BCM方针文件，推动实施BCM，与相关的利益方定期沟通，了解要求，汇报状况，持续改进。

 了解你的组织

 了解组织的产品和服务，识别关键活动，搞清楚其供应链上的依赖关系。

企业业务类型不同，所处的自然和市场环境不同，为了评估危机发生时可能面临的冲击，企业必须找出其赖以生存的关键业务。

 David进行业务冲击分析，发现FOOD公司的关键服务是冷冻库以及车辆运输，而运输又有部分是依赖于外部的供应商，这些供应商基本都是个体运输者。

接着通过风险评估，David发现FOOD面临的最大风险是冷冻机故障和道路中断。

由于产品的特点和客户的要求，David得出了可接受的业务恢复目标时间（RTO）为一天。

那么在一天之内是完全恢复供应还是恢复部分超市的冷冻食品供应呢？

这取决于公司及客户合约的要求。

David对于冷冻机故障采取了处理对策，而对于道路中断通过购买保险转移了风险。

 确定ＢＣＭ战略

 找出业务最大容忍的中断时间以及最低可以接受的服务水平，这是非常关键的一步，这不但意味着要满足行业监管和利益相关方的要求，也意味着资源的投入，包括人员、场所、设备、技术、供应商等。

 David定义了冷冻机最大容忍中断为4小时，响应的策略包括：

建立备用的小型冷库；与冷冻机供应商的合约要求配件的响应时间和冷冻机功能恢复时间；电力供应除了签约更多的供应商外，也准备了自己的发电机。

 开发和实施ＢＣＭ响应

　根据企业规模的大小，可能有一个或多个连续性的计划。

针对不同业务的特殊部分或者特殊的场所和情形，计划要详细而不冗长，可读可执行，包括事件的应急处理计划、连续性计划和灾难恢复计划等内容。

 David制定了冷冻机故障的应急计划，包括供应商及时通知修理、停顿超过两小时就启动连续性计划、启用备用的冷库、通知供应商运输线路改变以及斟酌是否告知客户FOOD面临的状况。

 演练维护和评审

 通过演练证明BCM的计划是有效的，并不断维护保持更新。

新的灾难场景和新的业务类型都会造成BCM的改变。

 为了模拟冷冻机故障发生的情形，David按照业务连续性计划，首先通告了董事长，通知供应商前来修理。

供应商排除了冷冻机机械故障的原因，认为是电力供应的问题。

这样就触发了另一个电力中断的应急预案，紧急发电，电力公司反馈两小时内无法恢复供应。

于是通知董事长，并决定启用备用冷库，通知本区域运输供应商运输路线更改，都先到故障冷库取货，新送来的食品存入备用冷库。

两天后电力供应恢复，但David仍然坚持留在备用冷库把应急储存的食品运输完后，才通知供应商返回原来的冷冻库取货。

通过这次演练，David发现柴油发电机的油量储备不够，仅供柴油发电机组运行一个多小时，导致备用库的食品变质。

另外，部分供应商没有及时得到冷库位置变更的通知，使得故障冷库的食品没有按照预定时间取完，以上两方面原因造成的损失是部分食品解冻变质。

 在这个部分有几个概念，应急计划、连续性计划和灾难恢复计划，它们的目的和作用不同，启动条件也不同。

 把ＢＣＭ植入组织文化

　BCM应对的就是小概率、大灾难事件，必须通过不断的意识培训和演练来加强全体员工的应变能力。

BS25999标准强调，必须要让BCM深入企业成为企业文化的一部分，才能达到企业永续经营的目标。

 经过BCM生命周期的策划、执行和演练，FOOD公司已成为当地最值得信赖的冷鲜食品储存和运输商，并且通过收购、租赁和自建相结合，着手建立全国的冷冻库和运输网络，把成熟的业务连续性管理经验复制到全国的网络。

 今年的雪灾、地震、暴雨让我们认识到自然的威力，也让原来嘲讽杞人忧天的人们意识到灾难的确会发生。

而只有那些未雨绸缪、事先做好应对准备的，当灾难发生时，启用应急计划、业务连续性计划，让关键的业务不会因此中断，进而适时启动灾难恢复计划，让业务水平回到原来状况的企业，才可以成为百年企业。

业务连续性计划的编制

        各位大侠，我在这里发这个东西，主要是抛一块砖，至于飞过来的是玉还是板砖都无所谓，只是最近在做业务连续性计划，觉得这是实施ISO27001的最后一个大BOSS。

希望获得大家的指点，下面是我编制时参考的一些资料，首先申明很多是剽窃来的，感谢原作者的贡献，我只是把它再传播了一下。

    浅谈应急预案的编制、维护和管理

1、现状及剖析

应急预案是应对突发事件的行动指南，是应急指挥过程中的决策依据。

完善的应急预案是防止事件发生、缩小事件的影响范围、降低事件损失的有力措施和重要保证。

纵观国内应急预案的编制、维护和管理，或多或少存在着一些问题，有些组织甚至没有应急预案，这种现象在企业中尤为普遍。

在预案的编制上，许多地方基本上实行“拿来主义”，将他人的预案改头换面，就成为自己的预案，预案内容不仅与自己的实际情况相去甚远，而且大多是华而不实。

这样的应急预案既缺乏具体的操作内容，又没有执行的细节，除了应付上面的检查，基本上没有实用价值。

预案的管理流于形式，更缺乏对预案的维护。

在欧美等西方发达国家，任何一个组织的预案，都具有很强的针对性。

他们的预案都会经过事先分析，结合组织的特点、能力、资源等实际情况编制而成，预案力求简洁、实用；对预案的管理不求复杂，但求有效；他们对预案的维护更新尤为重视，以确保预案的实用价值。

对此，一些专家学者认为，这是由于东西方文化的差异造成的：

西方讲究的是“解决之道”，东方习惯于“化解之道”；西方崇尚“法”，东方崇尚“理”；西方判断问题的标准是“对与错”，而东方的衡量标准是“好与坏”。

体现在应急预案上，西方的应急预案就事论事，不在乎预案的薄厚，而在乎预案是否有针对性、是否实用；而我们的应急预案洋洋洒洒、长篇大论，看似面面俱到，却缺乏实质内容。

另外，中国传统文化中的“塞翁失马焉知非福”、“以不变应万变”、“是福不是祸、是祸躲不过”等思想深入人心，许多人认为应急预案这个计划赶不上实际情况的变化，在思想深处对应急预案没有足够的重视，自然就不会下大力气编制预案，更疏于预案的维护和管理。

这种观点有一定的道理，但是，这不是造成这种现状的根本原因。

我认为，不清楚如何编制、维护和管理应急预案，才是采取“拿来主义”、造成预案华而不实、或者根本就没有应急预案的根本原因。

2、应急预案的编制

应急预案的编制是一项系统性的工作，预案是应对突发事件的行动指南，不是“八股文”，因此，在编制应急预案时，只要围绕着预案对象，清晰地勾画出解决问题的可行之道就足以了。

预案编制包括以下几个阶段：

图原编制的6个阶段

2.1风险评估

风险评估是预案编制的基础。

全面的风险评估包括内部和外部两个方面，缺一不可。

评估的内容包括但不仅限于：

⌝自然的、人为的、技术的或政治层面的风险

可以控制的与来自外部的不可控的风险⌝

可能造成企业业务停滞的致命风险与影响企业业务发展的风险⌝

有先兆的和没有先兆的风险⌝

……⌝

风险评估技术比较成熟，有很多成熟的风险评估模型可供借鉴，组织可以参照这些评估模型和方法，建立自己的评估模型。

对于大型组织，建议选用一款风险评估专业软件，以便提高风险评估的效率和准确度。

如有必要，可以考虑引入外脑，协助自己完成风险评估。

对于识别出的风险，按照风险发生的概率、影响程度等进行风险排序和分类，确定主要风险，找出预防风险的防范措施和减缓风险的控制措施，同时要注意分析每个风险可能引发的衍生风险。

比如，建筑物的火灾隐患，可以通过改建、加固等措施，降低火灾发生的概率；通过增加消防设施、调整设施布局等措施，控制火灾的范围，减轻火灾的损失。

此外，火灾可能会引起人员伤亡、重要设施损毁、关键资料和数据的毁坏等衍生灾难。

防止和减缓只能减少火灾发生的概率和损失，并不能完全消除火灾的发生，因此，针对火灾制定的应急预案，除了火灾事故应急响应预案、火灾事故应急救援预案之外，还需要制定针对衍生灾难的应急预案，如人员伤亡应急预案、数据恢复预案等一系列的应急响应、恢复与重建预案。

2.2业务影响分析

完成主要风险识别后，还需要分析这些风险对组织业务的影响程度。

业务影响分析是确定由于中断和预期灾难可能对组织造成的影响，以及对这些影响的定量和定性分析，确定关键环节的相关性、恢复优先顺序，以便确定恢复的时限。

业务影响分析包括：

2.2.1对中断后果、中断对业务的影响和中断造成的损失的评估

中断的后果⌝

中断后果评估内容包括：

资产（人员资产、数据和信息资产、有形资产和无形资产）损毁或损失、提供产品或服务的能力中断、违反法律法规、引起公众关注。

⌝中断对业务的影响

包括经济影响、客户和供应商的影响、公共关系和组织信誉的影响、法律方面的影响、对环境的影响、对组织运作的影响、对人力资源的影响、对其他资源的影响。

对损失的定量和定性分析⌝

定量分析包括：

财产损失、收益损失、罚款、现金流、法律责任、人力资源、额外支出。

ν

ν定性分析包括：

人力资源、员工士气、对组织的信息和忠诚度、法律、组织的社会形象、在银行、证券等金融市场的信誉等级。

2.2.2业务影响分析

数据收集⌝

确定适合本组织的数据收集方法，如问卷、会谈、研讨会等。

ν

确定量化和评估潜在的财务或非财务影响的方法。

ν

确定对非量化的影响信息的需求。

ν

设计调查问卷，完成问卷调查。

ν

确定数据分析的方法（手工或计算机）ν

⌝业务影响分析报告

业务影响分析报告是预案编制的基础，组织可以根据自己的实际情况确定报告的种类和报告内容，不同组织的报告格式和分发标准各不相同。

2.2.3业务影响分析的结果

不同的组织因其业务特点不同，其关注点也各不相同。

金融业关注的重点是数据的安全性及可恢复性；制造业关注的重点是生产安全和快速恢复生产；发电企业关注的重点是发电机组的正常运转；电网公司关注的重点是送电线路的通畅；政府部门关注的重点是社会的和谐稳定；……。

尽管关注点各有不同，但对人员生命安全的关注，任何组织、在任何时候都应该将其放在首位。

通过业务影响分析，组织应该对以下问题给出确切的答案：

哪些环节容易造成业务中断⌝

中断对人员安全的威胁程度⌝

组织中各业务功能的关键程度及优先顺序⌝

⌝恢复时限范围和最小资源需求

业务间的相互依赖关系⌝

流程、设施和技术的依赖关系⌝

……⌝

业务影响分析结果的正确与否，直接关系到各种预案的有效程度。

为了保证业务影响分析的准确性，很多组织引入外部的专业机构，借助专业的工具软件（如StrohlSystems的BIAProfessional）。

外脑的使用，是为了提升专业水平；软件的应用，是为了提高分析的效率和精度。

但是，无论采取哪种方式，都必须关注到组织中的每一个环节，尤其不能忽视细节，小小的细节引发大灾难的教训，比比皆是。

2.3预案规划

包括应急策略制定，预案分类与框架，资源管理等。

2.3.1应急策略

所有的策略、流程，都应该围绕着降低业务中断发生的概率、快速恢复以减少业务中断造成的损失、控制业务中断的影响范围、维护社会的和谐与稳定等目的。

在制定这些策略、流程时，不能局限于组织内部，要有大局观，这是因为，有些业务中断事件的发生，受影响的不仅是组织内部，可能还会蔓延到周边地区，甚