业务连续性计划
事先制定一个完备的业务连续性计划(Business Continuity Planning,缩写为BCP),积极防范并且应变处理灾难发生的一系列后果,将灾难的蔓延和损失控制在企业能够承担的范围以内,已成为现代企业管理范畴内的一个十分重要的任务。
【第一部分】
BCP的基本要素
笼统地说,BCP的目标只有一个,那就是确定并减少危险可能带来的损失,有效地保障业务的连续性。而有关BCP的一些特定目标我们将在以下各个部分中加以描述。
BCP实施的最终结果是:
●一组防范危险的评测指标;
●一支执行团队,在经过培训后可以处理各种危险事件;
●一套计划,提供危险发生时的路线图。该计划应该是充分和完备的,必须详细落实到该计划实施范围内的每一个单位、人员或设备。
我们下面所要讨论的主要是与企业中IT设施相关的内容,没有涉及到企业人员在危险状况下的安全管理问题。
每个企业所制定的BCP都应该有每个企业或者所处行业独有的特色,彼此之间不会完全一致,但大致上说来,一个完备的BCP主要是由以下一些关键部分构成的:
一、危险评估
危险评估就是认识并分析各种潜在危险的结果。这些危险的来源可能是:
●各种区域性的天然灾难,如洪水、地震、疫病等;
●人为事故或蓄意破坏造成的严重灾难,如火灾、恐怖主义袭击等;
●安全威胁、硬件、网络或通信故障;
●灾难性的应用系统错误。
所有的危险都应纳入企业的危险评估范围,并且应对各种危险的可能来源地进行较准确的定位。对于每一种危险的来源都应该认识到:
●危险的类型;
●危险的程度;
●危险发生的可能性。
比如说,如果按照有无警示性先兆来分,各类危险还可以分为:
●有些危险可能没有任何先兆而突然发生,无法事先防范;
●有些危险可以有一定的先兆,可以迅速启动应急计划加以防范,比如疫病的传播;
●有些危险可能从来不会发生。
如果按照危险的破环类型或程度来分,它们对业务的影响可以分为:
●经营场所及设备完全破环;
●经营场所及设备部分破环;
●经营场所及设备完好,但人员不能进入,比如疫病的隔离、恐怖威胁造成的人员输散等。
显然,对于企业来说,一个完备的BCP必须尽可能多地考虑到所有可能的危险情况,只有处理灾难性事件的计划而没有处理应用系统失误的计划,这样的BCP是不完备的;反之亦然。
企业所制定的BCP应该同时兼顾两个方面——预防和控制。例如,人为事故和蓄意破坏可以通过物理安全和个人行为的评测来预防。而应用系统的错误则可以通过对软件的有效评测与测试来预防。
危险评估的最后结果应该是一份有关危险效益分析的详细陈述报告,要有对危险的精确描述、哪些危险可能发生,以及需要采取的保障业务连续性和缓和危险的措施,同时要有因为克服了危险而带来
的收益分析。这份报告还应该描述清楚任何现有的前提或者限制因素。
二、业务影响分析(BIA)
业务影响分析(Business Impact Analysis)实质上就是对关键性的企业功能、以及当这些功能一旦失去作用时可能造成的损失和影响的分析。
对于企业业务运营的关键人员来说,他们需要分析:
A. 影响
●哪种功能对于企业的整体战略而言是生死攸关的
●该功能在多长时间内失效不会造成影响和损失
●企业的其他业务功能由于该功能的失效会受到何种影响——运营影响分析
●该功能的失效可能造成的收入影响——财务影响分析
●该功能是否会对客户关系造成影响——客户信心的损失
●该功能是否会对市场份额造成影响——市场占有率的下滑
●该功能是否会对企业在行业中的地位造成影响——企业竞争力的损失
●该功能是否会影响今后的销售——机会的丧失
●什么是最大的/可承受的/可允许的失效
B. 业务恢复需求
●要使该功能连续,需要哪些资源和数据纪录
●最少的资源需求是什么
●哪些资源可能来自企业外部
●它与企业其他功能的依赖关系以及依赖程度
●企业的其他功能与该功能的依赖关系以及依赖程度
●该功能与企业的外部业务/供应商/其他厂商的依赖关系以及依赖程度
●在缺少试验环境的情况下进行恢复,需要采取怎样的预防措施或检验手段
在进行了这些分析之后,才有可能对企业的各种功能进行分类:
a)关键功能——如果这类功能被中断或失效,就会彻底危及企业的业务并造成严重损失。
b)基础功能——这些功能一旦失效将会严重影响企业长期运营的能力。
c)必要功能——企业可以继续运营,但这些功能的失效会在很大程度上限制企业的效率。
d)有利功能——这些功能对企业是有利的;但它们的缺失不会影响企业的运营能力。
根据各种功能的恢复需求,企业便可为上述各类功能制定标准的恢复时间架构。例如,关键功能<1天;基础功能:2~4天;必要功能:5~7天;有利功能:>10天。
影响分析可以帮助企业确定各类业务功能的优先顺序,换句话说,也就确定了各业务功能的优先恢复顺序。
BIA有助于定义恢复对象。在进行了影响分析之后可能会发现,在一次灾难之后恢复业务运营时,首先恢复部分功能就足够了,比如说在24小时内先恢复日常业务的40%就够了。
详细定义好在灾难或业务中断之后保障业务功能运营的资源需
求也是可能的。这些资源需求包括基础设施、人力资源、文档、记录、设备、电话、传真机等,无论需要什么资源都要有完备的规范要求。拥有适当的细节要求是非常重要的,因为在危险事件发生时,会产生一定程度的慌乱,到那时再决定这类细节已经不可能了。
成本因素在进行影响分析时也是不能忽略的。我们需要记住以下一些事项:
●收入的损失和商机的丧失与恢复所需的时间直接成正比
●一种恢复策略的成本与恢复所需的时间成反比
●可能的恢复策略的成本必须和在采纳该策略之前由于业务功能中断而造成的实际损失进行比较。如果所建议的恢复策略的成本远高于预计的成本,那么这种策略就是不可取的。
三、策略
BCP应包括以下策略:
A.预防预防的目的在于减少灾难发生的可能性。有关预防的策略应该包括制止和预防控制。制止控制可以减少危险的可能性。预防控制则是保护企业的弱点区域,以防御危险的发生并降低其影响。这两类控制在实际运营中广泛存在,比如经营场所的安全、人员控制、相关基础设施(如UPS、后备电池、烟火探测器、灭火器等)、软件控制、相关的存储和恢复等。
企业希望保障其资源(包括信息资产)的可用性和安全性,其安全策略必须针对这些对象而制定,并且提供有关资源使用和管理的指南。在熟悉了企业的所有资源、资源的布局以及危险管理等之后,才可能拿出实施安全策略所需的必要的控制措施。这些控制措施或安全举措必须时时加以检查和测试。
如果一种安全策略,能将预防措施都部署到位,可以监控对系统的入侵并防范那些试图破坏系统的行为,那么其本身就是一种制止控制。预防计划的执行必须小心谨慎。必须保证实施安全策略时既不能对日常业务带来限制,出现瓶颈,也不能引起可用性问题,或者给系统的访问和使用带来障碍。