业务连续性计划

（BusinessContinuityPlanning,缩写为BCP）业务持续性计划概述业务持续性计划是一套基于业务运行规律的管理规定和规章流程，使一种组织在突发事件面前能够快速作出反映，以确保核心业务功效能够持续，而不造成业务中断或业务流程本质的变化。业务持续性是指公司有应对风险、自动调节和快速反映的能力，以确保公司业务的持续运转。为公司重要应用和流程提供业务持续性应当涉及下列三个方面。1.高可用性（Highavailability）。它是指提供在本地故障状况下，能继续访问应用的能力。无论这个故障是业务流程、物理设施，还是IT软硬件故障。2.持续操作（Continuousoperations）。它是指当全部设备无端障时保持业务持续运行的能力。顾客不需要仅仅由于正常的备份或维护而需要停止应用的能力。3.灾难恢复（DisasterRecovery）。它是指当灾难破坏生产中心时，在不同的地点恢复数据的能力。同时，上述三个部分不是互相孤立的，是互有关联，并且有交叉的。分辨业务持续性和灾难恢复是很必要的。严格地说，灾难恢复是恢复数据的能力，是业务持续性计划的一部分。让业务持续性计划成为公司变化管理文化的一部分。在制订公司业务持续性计划之后，不要把这个计划放在一边。要确保该计划的切实可行，就需要把它变成活动的文档。如果公司的业务模式发生了变化，或是业务过程进行了重新设计，或是发生突发状况时的重要联系人不再为公司工作，旧的计划就需要及时进行更新。当有变化时，每个员工都应当问问自己该变化会对业务持续性计划中涉及到自己的部分会产生如何的影响。业务持续性计划的重要性现在的社会特别是经济社会对网络的依赖日益加深，传统的备份恢复式安全计划已经无法确保公司业务的持续运行。业务持续性计划正是因此而生，它根据业务流程而非针对技术进行制订，有助于建立起更具统筹能力的安全管理制度。据GartnerGroup的调查成果显示，如果公司的大型数据中心和信息基础设施停止运行10日以上，超出百分之三十的公司在一种季度内倒闭，而靠近90%的公司在一年内倒闭。这些数据阐明了确保业务持续有效的运行对公司来说是多么重要，同时也能够看出公司耗费大量的资金于业务持续性计划最核心的因素。业务持续性计划的基本要素BCP的基本要素笼统地说，BCP的目的只有一种，那就是拟定并减少危险可能带来的损失，有效地保障业务的持续性。而有关BCP的某些特定目的我们将在下列各个部分中加以描述。BCP实施的最后成果是：一组防备危险的评测指标；一支执行团体，在通过培训后能够解决多个危险事件；一套计划，提供危险发生时的路线图。该计划应当是充足和完备的，必须具体贯彻到该计划实施范畴内的每一种单位、人员或设备。每个公司所制订的BCP都应当有每个公司或者所处行业独有的特色，彼此之间不会完全一致，但大致上说来，一种完备的BCP重要是由下列某些核心部分构成的：一、危险评定危险评定就是认识并分析多个潜在危险的成果。这些危险的来源可能是：多个区域性的天然灾难，如洪水、地震、疫病等；人为事故或蓄意破坏造成的严重灾难，如火灾、恐怖主义攻击等；安全威胁、硬件、网络或通信故障；灾难性的应用系统错误。全部的危险都应纳入公司的危险评定范畴，并且应对多个危险的可能来源地进行较精确的定位。对于每一种危险的来源都应当认识到：危险的类型；危险的程度；危险发生的可能性。例如说，如果按照有无警示性先兆来分，各类危险还能够分为：有些危险可能没有任何先兆而忽然发生，无法事先防备；有些危险能够有一定的先兆，能够快速启动应急计划加以防备，例如疫病的传输；有些危险可能一向不会发生。如果按照危险的破环类型或程度来分，它们对业务的影响能够分为：经营场合及设备完全破环；经营场合及设备部分破环；经营场合及设备完好，但人员不能进入，例如疫病的隔离、恐怖威胁造成的人员输散等。显然，对于公司来说，一种完备的BCP必须尽量多地考虑到全部可能的危险状况，只有解决灾难性事件的计划而没有解决应用系统失误的计划，这样的BCP是不完备的；反之亦然。公司所制订的BCP应当同时兼顾两个方面——防止和控制。例如，人为事故和蓄意破坏能够通过物理安全和个人行为的评测来防止。而应用系统的错误则能够通过对软件的有效评测与测试来防止。危险评定的最后成果应当是一份有关危险效益分析的具体陈说报告，要有对危险的精确描述、哪些危险可能发生，以及需要采用的保障业务持续性和缓和危险的方法，同时要有由于克服了危险而带来的收益分析。这份报告还应当描述清晰任何现有的前提或者限制因素。二、业务影响分析（BIA）业务影响分析（BusinessImpactAnalysis）实质上就是对核心性的公司功效、以及当这些功效一旦失去作用时可能造成的损失和影响的分析。对于公司业务运行的核心人员来说，他们需要分析：A.影响哪种功效对于公司的整体战略而言是生死攸关的该功效在多长时间内失效不会造成影响和损失公司的其它业务功效由于该功效的失效会受到何种影响——运行影响分析该功效的失效可能造成的收入影响——财务影响分析该功效与否会对客户关系造成影响——客户信心的损失该功效与否会对市场份额造成影响——市场占有率的下滑该功效与否会对公司在行业中的地位造成影响——公司竞争力的损失该功效与否会影响此后的销售——机会的丧失什么是最大的/可承受的/可允许的失效B.业务恢复需求要使该功效持续，需要哪些资源和数据纪录最少的资源需求是什么哪些资源可能来自公司外部它与公司其它功效的依赖关系以及依赖程度公司的其它功效与该功效的依赖关系以及依赖程度该功效与公司的外部业务/供应商/其它厂商的依赖关系以及依赖程度在缺少实验环境的状况下进行恢复，需要采用如何的防止方法或检查手段在进行了这些分析之后，才有可能对公司的多个功效进行分类：a)核心功效——如果这类功效被中断或失效，就会彻底危及公司的业务并造成严重损失。b)基础功效——这些功效一旦失效将会严重影响公司长久运行的能力。c)必要功效——公司能够继续运行，但这些功效的失效会在很大程度上限制公司的效率。d)有利功效——这些功效对公司是有利的；但它们的缺失不会影响公司的运行能力。根据多个功效的恢复需求，公司便可为上述各类功效制订原则的恢复时间架构。例如，核心功效<1天；基础功效：2～4天；必要功效：5～7天；有利功效：>10天。影响分析能够协助公司拟定各类业务功效的优先次序，换句话说，也就拟定了各业务功效的优先恢复次序。BIA有助于定义恢复对象。在进行了影响分析之后可能会发现，在一次灾难之后恢复业务运行时，首先恢复部分功效就足够了，例如说在24小时内先恢复日常业务的40%就够了。具体定义好在灾难或业务中断之后保障业务功效运行的资源需求也是可能的。这些资源需求涉及基础设施、人力资源、文档、统计、设备、电话、传真机等，无论需要什么资源都要有完备的规范规定。拥有适宜的细节规定是非常重要的，由于在危险事件发生时，会产生一定程度的慌乱，到那时再决定这类细节已经不可能了。成本因素在进行影响分析时也是不能无视的。我们需要记住下列某些事项：收入的损失和商机的丧失与恢复所需的时间直接成正比一种恢复方略的成本与恢复所需的时间成反比可能的恢复方略的成本必须和在采纳该方略之前由于业务功效中断而造成的实际损失进行比较。如果所建议的恢复方略的成本远高于预计的成本，那么这种方略就是不可取的。三、方略BCP应涉及下列方略：A.防止防止的目的在于减少灾难发生的可能性。有关防止的方略应当涉及制止和防止控制。制止控制能够减少危险的可能性。防止控制则是保护公司的弱点区域，以防御危险的发生并减少其影响。这两类控制在实际运行中广泛存在，例如经营场合的安全、人员控制、有关基础设施（如UPS、后备电池、烟火探测器、灭火器等）、软件控制、有关的存储和恢复等。公司但愿保障其资源（涉及信息资产）的可用性和安全性，其安全方略必须针对这些对象而制订，并且提供有关资源使用和管理的指南。在熟悉了公司的全部资源、资源的布局以及危险管理等之后，才可能拿出实施安全方略所需的必要的控制方法。这些控制方法或安全举措必须时时加以检查和测试。如果一种安全方略，能将防止方法都布署到位，能够监控对系统的入侵并防备那些试图破坏系统的行为，那么其本身就是一种制止控制。防止计划的执行必须小心谨慎。必须确保明施安全方略时既不能对日常业务带来限制，出现瓶颈，也不能引发可用性问题，或者给系统的访问和使用带来障碍。B.响应响应就是当危险发生时的反映。它必须能够制止危险的进一步扩大，评定危险的程度，通过与外部世界的正常通信联系挽回公司的名誉，并启动必要的恢复时间表。对业务中断的第一反映应当是告知全部有关的人员。如果危险有事前警示的话（例如这次的非典暴发），那么这种告知就能够提迈进行。及时的告知非常重要，由于这可能会给制止危险的进一步扩大发明机会。如果在适宜的时机执行一次关机、一次转换或者一次撤离，甚至有可能完全避免危险的发生。但是这需要有诊疗或探测控制的存在。这类控制或者能够持续扫描以探测发生中断的征候（网络、服务器），或者能够从外部资源收集信息（自然灾害）。精确的告知程序必须事先制订好。必须清晰地统计在案：需要告知谁，如何告知，由谁告知，并且还得有逐步扩大的机制。在BCP中必须设立好一棵告知树。最初的告知发送给一组人，然后再由他们中的每个人去告知另一组人，依次类推。属于这棵告知树的人都有不同的责任和作用，所涉及的人员应涉及：管理团体——需要获得有关危险发展状况的信息。该团体有权力启动紧急响应体系和下一步的行动。管理团体还要负责与媒体、公众、客户以及股东们打交道。危险评定团体——需要立刻对危险进行评定，评价业务中断的严重程度。技术团体——应当为核心决策制订者如何采用下一步BCP行动提供服务。运行团体——应当执行BCP的实际运作。尚有很重要的一点就是每一种团体都应明确第二负责人。万一第一负责人没有告知到或者无法负起责任，那么必须告知第二负责人。告知能够使用多个工具或手段：如手机、呼机、短信、电话和E-mail。每个团体都应当有对应的配备。危险评定团体应当是最早（或者与管理团体同时）被告知的。他们应当最早来到现场，方便评定所遭受的危险程度和级别。如果工作现场已经遭到破坏，那么他们就应当做好各项准备，一旦允许进入现场就开始工作。评定过程本身也应有计划地进行，必须与保障业务持续性的优先次序亲密有关。这就是说评定团体应当意识到危险所影响到的工作区域和工作流程与否对整个业务的运行至关重要。这将有助于他们优化其评定进程，同时也可对的地关注核心性工作区域。这支团体需要察看下列事项：中断的因素是什么制止危险扩大的前景如何基础设施和设备受损状况业务受影响状况核心统计受损状况能够挽回什么损失什么设备需要修理、恢复和更换有了危险评定团体提供的有关受损程度和受损区域的详尽信息，技术团体便可立刻投入工作。BCP必须拥有一组基于业务影响分析和持续性目的的预设参数，这些参数应当能够分辨出中断和灾难的不同性质，同时也能评价出危险的严重程度。当危险评定团体和技术团体开始工作时，其它BCP团体也应根据警示告知到位，方便按照持续性计划采用应当采用的行动。C.业务接续（Resumption）业务接续只涉及那些时间敏感的业务流程，要么是在中断发生后立刻接续，要么是在可允许的一段平均时间后接续，但不是对全部业务的恢复。一旦BCP被激活，命令将从指挥中心发出。这个指挥中心应当是在一种不同于日常经营场合的地方。该中心应配备对应的通信设施、办公设备，可能的话还应当构建局域网和VPN。需要做出的第一种决策是，核心性业务的运行能否在日常的工作场合或者在一种备选场合很快恢复运行。备选场合能够分成下列几类：(a)空场合（ColdSite）——该场合只需配备必要的环境条件即可，例如说，应配备电话插座、电源以及UPS等，但要避免其内有任何其它设备，它的作用就是准备将保障业务持续所需的全部设备搬移进来。(b)热场合（HotSite）——该场合是一种完全的备份场合，有人员工作的空间，全部设施一应俱全，数据备份也是最新的。一旦灾难发生，BCP团体只需进驻该场合就可开始工作，不会有额外的时间迟延。(c)温场合（WarmSite）——该场合事实上就是配备了部分设备的热场合，数据备份不算最新，但也不能太旧。(d)机动场合（MobileSite）——该场合是一种含有较小设施配备的机动场合。能够位于重要经营场合附近，因而也可节省核心人员在路程上耗费的时间。(e)镜像场合（MirroredSite）——该场合在全部方面都与重要经营场合完全相似，信息和数据也与重要场合同时。事实上该场合就是正常状况下的一种冗余场合，因而普通也是成本最高的一种选择。在备选场合（或重要场合，如果仍然可用的话），工作环境需要恢复。通信、网络和工作站需要设立。与外界的联系必须持续畅通。公司能够首先手动恢复某些业务，直到核心的IT业务能够继续运行为止。固然，如果恢复计划（下面就要讲到）允许，那么核心业务功效也可采用自动方式快速恢复。D.业务恢复（Recovery）业务恢复是启动时间敏感度稍低某些的业务流程。业务恢复的开始时间要取决于接续那些时间敏感的业务流程需要的时间。在进行业务恢复的场合（能够是重要经营场合或备选场合），需要在备份的设备上恢复操作系统，并按照核心性次序恢复必要的应用系统。当服务于核心功效的应用系统恢复之后，则需要从备份磁带或其它异地备份媒介上恢复数据。备份数据也必须经常保持同时，也就是说，重建的数据应当与业务中断之前的某一预先拟定的时点的数据相吻合。该时点的选择取决于核心业务的规定。由于商业数据有多个不同的来源，因此重建的每一种数据都必须达成所需的数据一致性状态。通过同时的数据必须经常进行复查并保持其有效。这种复查必须强制执行，由于在危险发生的紧急关头，不可能再有闲暇来测试数据与否可用。因此，必须要有一套清晰的办法、方略或复查清单来执行这个让数据保持其有效性的过程。一旦数据达成了可靠的状态，公司的事务就能够加速运行，由于灾难已经得到解决，全部的核心性功效都已得到接续。逐步地，其它业务也可开始恢复其功效。E.复原（Restoration）复原则是修复并恢复重要的经营场合。最后是要在原有的场合或者一种全新的场合完全恢复全部的业务流程。就在恢复团体开始从某个备选场合开始支持恢复运行的时候，对重要场合的全部功效进行复原的工作也能够展开。如果原有场合在灾难后确实无法恢复，则需要在一种新的场合进行复原工作。恢复团体和复原团体的组员有可能是同一组人。必须确保该复原场配备必要的基础设施、设备、硬件、软件和通信设备。并且要对该场合能否解决全部的业务流程进行测试。执行上述全部行动的计划应当涉及一种时间跨度定义，拟定在某一跨度内必须完毕哪些行动。这个时间跨度的定义必须与公司的恢复目的相一致。BCP团体必须意识到，如果在任一时点，他们的行动超出了规定的时间跨度，那么这个意外事件就必须立刻上报到指挥中心，由指挥中心立刻制订对应的解决方法，否则公司就无法实现其恢复目的。四、指标定义在危险评定和业务影响分析阶段之后，保持业务持续的基础业务就已经显现出来。我们在上面已经说过，按照业务术语可将公司的业务功效分成4类，即核心业务、基础业务、必要业务和有利业务。这种分类能够让业务持续的优先次序十分清晰，这样，业务恢复的目的就能够用下面的指标进行量化：恢复的时间目的（RTO）——最大可允许中断时间恢复的时点目的（RPO）——数据损失可允许的最远回溯时点由于引进了BCP的评测指标而造成的公司性能退化实施BCP的成本业务持续性计划的内容业务持续性计划既能够分成几个单独的计划：即防止、响应、业务接续、业务恢复和复原计划，也能够由每一种这样的计划构成总的计划书中的不同章节。1．基本项目目的制订计划的目的必须加以阐明。还应当阐明即划分几个阶段试时，每个阶段所要实现的目的是什么。范畴阐明有哪些部门和运行业务需要实施BCP。如果一种BCP只针对某些灾难而非全部灾难，则需要针对这些特殊灾难制订专门的实施解决脚本。必备条件/前提条件和限制因素形成一份BCP的前提条件需要在此阐明。在某些状况下，还须阐明BCP成功的必备条件。例如说，服务器的数据备份间隔不得超出多少小时，受过训练的运行恢复团体必须呼之即来，备选场合必须在灾难发生之后多少小时之内一切准备就绪等等。如果BCP计划的执行还存在某些限制条件的话，也应在此列出。团体BCP团体的组织/负责人选、下属哪些分支团体、团体的作用和责任等，都必须在此阐明。指标作为一种方略，公司必须由用于恢复的RPO和RTO指标，以及性能指标等，这些指标应当在此加以阐明，并向客户和股东阐明。2．防止保护作为BCP中的一种实施部分，防止方法需要在此阐明。这些方法能够概括以下：监督访问控制身份认证防病毒过滤入侵检测系统备份计划3．紧急响应响应的准备在响应阶段需要哪些资源应当在此列出，同时具体声明这些资源的配备和所需数量。如果还需要某些文档和统计的硬拷贝，也必须在此声明。告知树危险评定何时对外宣布激活BCP的核心原则4．业务接续从紧急响应阶段到业务接续阶段如何进行衔接是需要在这里阐明的。有关业务接续运行的决策过程、在哪里以及如何进行业务接续、需要采用什么行动，以及接续哪些业务到何种程度等等，都需要在此加以阐明。还要为BCP团体中的各个小组指定各自应当采用的行动，每个小组要完毕指定的任务。BCP中的这一部分也称为业务接续计划（BRP）。5．业务恢复执行业务恢复的程序在此加以阐明。BCP的这一部分也可称为灾难恢复计划（DRP）。这一部分计划文档的组织能够有诸多个方式。一种方式就是简朴地列出全部的恢复目的（按照RPO、RTO、目的服务器/网络等来列）。根据每一目的进行计划分解，同时明确对应的团体/负责人以及任务。尚有一种方式就是按部门来组织。无论采用哪种方式，都应确保全部的BCP目的都能覆盖到。计划的这一部分必须编排得像一本操作手册，由一系列简朴明确的指令构成，恢复团体完全能够按照这些指令进行恢复操作。多个操作之间的互有关系也必须加以明确阐明。全部的指令和阐明必须明白无误，以免因可能引发误解或不明了而造成时间损失。6．复原为业务运行复原原有场合应采用的环节在此加以阐明。需要标明每个团体/负责人的责任和任务。业务持续性计划的运作流程BCP运作共有6个阶段，分别为：1、项目初始化、2、风险分析及业务影响、3、方略及实施、4、BCP开发、5、培训计划、6、测试及维护。1、项目初始化获得管理层的支持与投入为了确保该程序能够成功，高级管理层必须参加其中。BCP计划必须成为公司的战略性业务计划之一。同时，公司必须设定合理预算，并为BCP提供独立的预算。建立团体必须建立一种团体，人员涉及财务部，审计部，信息技术部，人事部，行政部等等。当灾难开始时，这些部门在继续扮演他们承当的增援角色的同时，也必须实施重大的机构转变以援助受影响的区域。法律部、公关部与投资部在事件发生后需要向公众及股东通告公司的运作状况。2、风险分析及业务影响分析决定BCP需求的核心驱动力是“公司能在灾难中承受多少金额的损失”业务影响分析的目的是回答下列问题：保护何种资产(资产识别与评定)资产的威胁与脆弱点(脆弱点和威胁评定)有无控制方法控制方法能否防止或减少潜在的威胁(评定控制)投入金额/劳力的多少(决定)投入资金的效率如何(通讯和监控)当进行业务影响分析时，应考虑下列几方面：金额的影响：如果不采用对应的方法，则组织的经济损失是多少客户的影响：如果发生业务中断，则组织会损失多少市场占有率法律的影响：组织与否遵从法律的规定内部依赖关系的影响：中断的业务与否会其它领域的核心业务作为业务影响分析的一部分，应当评定业务允许中断的时间长短；组织能提供多常时间的信息；当信息重新可用时，允许损失的信息是多少这些问题能够通过恢复时间目的（recoverytimeobjective(RTO)）和恢复点目的（recoverypointobjective(RPO)）来决定。决定BCP需求的另一种因素是“灾难实际发生的可能性”。此因素由威胁的级别和组织含有的单薄点范畴决定，威胁的程度取决于下列因素：有恶意性的破坏，如轰炸、纵火、工业间谍等。意外事故，如组织的办公场合、环境，内部系统和解决程序的质量。3、业务持续性方略及实施业务持续性方略业务影响分析为制订业务持续性方略提供必要的信息，下来，根据提供的信息，能够拟定多个满足组织业务持续管理的方案。必须为多个业务持续方案进行成本、效益及风险分析，涉及：满足业务持续目的的能力影响的可能性安装设备的成本维护、测试及调用设备的成本中断对于技术、组织、文化和管理的干扰及未采用持续管理的潜在影响应当认真考虑采用业务持续方案确实解决了具体的风险但不会增加其它风险。通过风险减少和业务持续方案成本的平衡来决定业务持续方略以减少风险达成业务持续的目的。实施设立组织及准备实施计划书实施备份安排实施减少风险的方法4、BCP开发开发业务持续性计划之前，拟定灾难发生的状况下执行的行动，你需要熟悉每天的操作任务。这意味这你需要熟悉每一种业务解决过程的基本文档。在开发业务持续性计划之前，须考虑下列方法与否已经存在：变更控制流程最后顾客的原则操作流程操作人员的具体需求和特殊外围设备需求数据流图表及问题管理程序重要统计磁