何谓业务持续计划 (BCP)?

BCP可被定义为一种先知先觉的流程, 它可以帮助企业确认影响业务发展的关键性因素及其可能面临的威胁。由此而拟定的一系列计划与步骤可以确保企业无论处于何种状况下，这些关键因素的作用都能正常而持续地发挥。BCP的目标是建立一种合理有效的成本控制方案，以平衡由威胁带来的可能的业务或资产的损失及为保证业务连续性运作而进行的成本投入。

何谓业务持续管理（BCM）？

业务连续性对确保灾难发生时企业的生存是至关重要的，不过与之同等重要的是要保证企业日常的业务运行平稳有序。BCM是一种整体管理流程，它能够确定可能发生的冲击及对企业运作造成的威胁，并提供一个架构来阻止或有效的抵消这些威胁，以保护股东的利益、公司的名誉及品牌。

BCP运作流程

BCP运作共有6个阶段，分别为：

1） 项目初始化
2） 风险分析及业务影响
3） 策略及实施
4） BCP开发
5） 培训计划
6） 测试及维护

1） 项目初始化

l   获得管理层的支持与投入
为了确保该程序能够成功，高级管理层必须参与其中。BCP计划必须成为公司的战略性业务计划之一。同时，公司必须设定合理预算，并为BCP提供独立的预算。

l   建立团队
必须建立一个团队，人员包括财务部，审计部，信息技术部，人事部，行政部等等。当灾难开始时，这些部门在继续扮演他们承担的支援角色的同时，也必须实施重大的机构转变以援助受影响的区域。法律部、公关部与投资部在事件发生后需要向公众及股东通告公司的运作状况。

2） 风险分析及业务影响分析

决定BCP需求的关键驱动力是“企业能在灾难中承受多少金额的损失”？业务影响分析的目的是回答以下问题：

l   保护何种资产？(资产识别与评估)
l   资产的威胁与脆弱点？(脆弱点和威胁评估)
l   有没有控制措施？控制措施能否预防或减少潜在的威胁？(评估控制)
l   投入金额/劳力的多少？(决定)
l   投入资金的效率如何？(通讯和监控)

当进行业务影响分析时，应考虑以下几方面：

l   金额的影响：如果不采取相应的措施，则组织的经济损失是多少？
l   客户的影响：如果发生业务中断，则组织会损失多少市场占有率
l   法律的影响：组织是否遵从法律的要求？
l   内部依赖关系的影响：中断的业务是否会其他领域的关键业务？

作为业务影响分析的一部分，应该评估业务允许中断的时间长短；

组织能提供多常时间的信息；当信息重新可用时，允许损失的信息是多少？这些问题可以通过恢复时间目标（recovery time objective (RTO)）和恢复点目标（recovery point objective (RPO)）来决定。

决定BCP需求的另一个因素是“灾难实际发生的可能性”。此因素由威胁的级别和组织具有的薄弱点范围决定，威胁的程度取决于下列因素：

l   有恶意性的破坏，如轰炸、纵火、工业间谍等。
l   意外事故，如组织的办公场所、环境，内部系统和处理程序的质量。

3） 业务持续性策略及实施

l   业务持续性策略

业务影响分析为制定业务持续性策略提供必要的信息，下来，根据提供的信息，可以确定多种满足组织业务持续管理的方案。必须为各种业务持续方案进行成本、效益及风险分析，包括：

﹡    满足业务持续目标的能力
﹡    影响的可能性
﹡    安装设备的成本
﹡    维护、测试及调用设备的成本
﹡    中断对于技术、组织、文化和管理的干扰及未采取持续管理的潜在影响

应该仔细考虑采取业务持续方案确实解决了具体的风险但不会增加其它风险。通过风险降低和业务持续方案成本的平衡来决定业务持续策略以降低风险达到业务持续的目标。 

l   实施

﹡    设立组织及准备实施计划书
﹡    实施备份安排
﹡    实施降低风险的措施

4）  BCP开发

开发业务持续计划之前，确定灾难发生的情况下执行的行动，你需要熟悉每天的操作任务。这意味这你需要熟悉每一个业务处理过程的基本文档。在开发业务持续计划之前，须考虑下列措施是否已经存在：

l      变更控制流程
l      最终用户的标准操作流程
l      操作人员的具体需求和特殊外围设备需求
l      数据流图表及问题管理程序
l      重要记录
l      磁带备份/记录管理日常安排
l      异地存储

开发BCP计划时，需考虑在计划执行的七个阶段中为每个恢复小组分派任务：

l      评估与声明
l      通告
l      应急反应
l      过渡期处理
l      抢救
l      重新安置及启动
l      重新正常运做

5） 培训计划

一些员工需要的特殊培训如下：

l      有紧急情况时可应用替代的技术流程
l      当自动操作系统正在恢复时可替代的人工操作流程
l      确保团队成员达到推动BCP所需能力的技术培训

6） 测试及维护

进行演示及有规律的测试，增强信心及效率，确保其相关的文档时常更新。

总结

公司没有业务持续计划就像是不设防，不可能阻止任何不可预测的破坏所造成的各种损失。所以公司必须认真的对待业务持续计划。

 sun6869@21cn.com

孙强 中国信息化推进联盟IT治理专业委员会副主任。美国注册信息系统审计师，一直致力于IT治理理论与实务的研究，熟悉信息系统审计和监理，了解国内外IT标准和咨询方法论。发表多篇关于IT治理、信息系统审计和监理的文章。参与《信息系统工程监理》培训教材编写，主编《IT审计：理论与实务》、《IT服务管理：发展、理解与实施》等。