一．引言

“非典”这场突如其来的危机在对我们的生命、健康、生活等多方面构成威胁的同时，也影响到一些单位业务的正常运营。目前在金融、电信等重要行业单位已相继启动危机管理与业务持续计划，但是我国的中小型单位普遍缺乏危机管理意识。为此，我们研究制定本指导原则，旨在帮助公司使用科学的危机管理机制，降低非典型肺炎对公司业务正常运作的影响，把损失减少到最低限度。

业务持续计划是一套用来降低组织对于其重要的营运功能遭受未经预期的中断风险的作业程序，可能是人工的或系统自动的。业务持续计划是高层管理人员的首要职责，因为他们被委任保护公司的资产及公司的生存。业务持续计划的目的在于当一个组织及其信息系统能够在灾难事件发生时仍可以继续运作。为了对事件能有适当的因应对策，严密的计划及相关资源的投入是必须的。

二．公司管理层的责任

业务持续运营管理需要公司管理层对整个过程负责，这包括：

1. 决定公司所要维持的运营水平

当公司工作环境被“非典”病毒污染时，或有员工是非典疑似病人，或被确认为非典病人时，公司管理层有责任视情做出决策，是否启动危机管理与业务持续计划，以保障关键性业务正常运营。

2. 设定恢复业务运作的目标

为了使业务运营达到所确定的水平及促使公司制定更适用的业务持续计划，公司管理层需要：· 设定恢复业务运作的目标
· 限定恢复此目标的时间
· 安排足够的资源
· 制定达到这些目标所需的实际措施
· 测试和实施
· 维护

三． 一般原则

一般原则包括预防措施、缓解原则及为突发事件指定公司恢复计划。

预防原则

预防原则通常分为两个层面：

1. 个人层面：

人员遵从医学专家的建议，采取预防非典型肺炎的必要措施，如：保持个人卫生和环境卫生，充足休息，适量运动，保持办公室和居所空气畅通等。这一层面的措施也包括减少到非典型肺炎疫区的行程，避免肢体接触(例如：实施“不握手”政策)，规定人员在发现类似“非典”感染的症状时，主动汇报并立刻去医院检查等。

2. 组织层面：

公司也应该采取措施，修改工作程序和惯例做法，这包括：

· 全面宣传贯彻预防“非典”的必要知识，做到“早发现、早报告、早隔离、早治疗”，采取一切必要措施切断“非典”传播的病源。
· 尽量减少各类会议和出差，鼓励用电视、电话或网络会议代替正常会议。
· 酌情考虑人员在家办公。
· 进行简单的非典型肺炎情况检查，方法是填写问卷调查表，此表参见附录。
· 教育员工千万不要掉以轻心。
· 减少过激措施。不鼓励管理层采取极端措施，如把所有的员工遣散回家而推卸责任。
· 要有畅通的意外事件应急汇报渠道。

缓解措施

缓解措施将减少工作场所非典型肺炎事故所造成的影响。这些措施包括：

1. 确认非典不会影响到所有关键业务人员

在确认关键业务人员的基础上，通过行之有效的方法确保即使发生非典事故，但也不会影响到所有关键业务人员。可采取的方法如下：

· 把关键业务人员分散在两个或两个以上的地点，并把他们隔离。如果在一个地点的人员感染非典型肺炎被隔离治疗，在其它地点的人员能继续执行关键业务。
· 鼓励人员在家里或非疫区异地办公，以达到隔离的目的。全部人员划分成A、B班，在两个地点(通常是家里和办公室)定期轮流上班。另一种方法是只让关键业务人员参与定期轮流在家里和办公室工作。
· 安排A、B班人员轮班工作，避免轮班人员之间的接触。
· 在可行和有必要时，安排异地的人员到本地接替重要职务。

2. 确认相互依赖的风险

采取措施防止互相依赖链中的一环失效而影响公司的业务持续计划。互相依赖的例子包括：

· 公司内职务之间的联系(人力资源、财务、生产)
· 业务伙伴之间的联系(供应商和顾客之间的关系)
· 公司与技术服务供应商的联系(如灾难救援服务供应商)
· 对基础设施供应商的依赖(如通讯和电力)

 公司应采取步骤，以避免其关键业务运作因内在因素( 如人员方面的故障)或外在因素(如原材料供应商意外情况)而陷于瘫痪。

3. 在业务持续计划中清楚地分配人员的任务和职责。例如，全体人员必须知道一旦在公司内发现疑似病例时，应该向谁报告；谁负责宣布本公司发生此类事件；谁又负责向其他人员传递这个信息等。在条件允许的情况下，公司应举行测试和演习，以帮助员工了解他们的角色和职责。

制定业务持续计划

业务持续计划应该保证，在事故发生后能够在需要的时间内执行计划，维护或恢复业务运作。并且，针对每项核心业务流程，都应有相对应的单独应急变计划。因此，业务持续计划过程应该考虑下列情况：

Ø 了解企业所面临的风险及其影响，包括关键的业务的识别和优先化处理。
Ø 了解中断很有可能对关键业务的影响，找到威胁组织生存能力的关键事件的处理办法。
Ø 考虑购买可能影响业务持续性的关键部分的保险。
Ø 阐明和归档业务持续性策略并在业务目标和优先权上达成一致。
Ø 保证业务持续性管理被并入组织处理流程和结构中。
Ø 所有责任和紧急事件过程的识别。
Ø 在需要的时间范围内实施紧急恢复，应特别关注相关部门的配合情况。
Ø 培训员工在紧急情况下的恢复处理流程。
Ø 指定执行计划的各个组成部分的具体人员以及备用人选。
Ø 业务持续计划的负责人员，选择技术服务的解决方案等。
Ø 实施前进行测试。
Ø 当情况发生变更时应及时更新计划。

公司的事后灾难恢复计划

公司有了完备的恢复计划，就能更好地处理危机情况。公司在拟定危机计划时，需要考虑以下几点：

1. 公司的恢复计划应能处理主要可能发生的情况。例如，在工作环境中出现非典疑似病例时，一些人员在医院观察治疗，并隔离观察另外一些人员。

2. 公司恢复计划应清楚列明与外界有关的协调程序，这些方面包括有关部门、合作伙伴及客户等。在出现非典的情况下，公司应了解处理非典情况的程序，其中涉及到医疗机构、合作伙伴(医疗机构可能需要追查与病人接触过的人士)等。

3. 公司恢复计划不应假设当业务持续计划启动后，所有人员及资源等都会到位。像非典这种情况，应该考虑到公司内部的许多部门将会因数名人员感染而受到影响，而不只是一个部门完全丧失其运作能力的问题。

总之，公司业务持续计划是一个不断进行的过程，并不是一个能够应付所有局面的万全之策。每家公司应检查业务持续计划的进展与程序、决定能确保业务持续的目标，并找出对策，满足关键业务的需要。我们提议那些尚未进行这项工作的公司立刻采取行动。我们将继续与他们分享最好的经验与建议，以助他们一臂之力。 

非典时期业务持续计划专家热线：010-88559017   E-mail: sun6869@21cn.com

孙强 中国信息化推进联盟IT治理专业委员会副主任。美国注册信息系统审计师，一直致力于IT治理理论与实务的研究，熟悉信息系统审计和监理，了解国内外IT标准和咨询方法论。发表多篇关于IT治理、信息系统审计和监理的文章。参与《信息系统工程监理》培训教材编写，主编《IT审计：理论与实务》、《IT服务管理：发展、理解与实施》等。