越来越多的公司重视SARS的危害性，在紧急研究各种对策和应急计划。我们认为不要只把业绩下降和外在环境恶劣当作威胁，我们应该做的不是抱怨，而是要逆境突围，化危机为机会。事实上公司员工知道有危机，反而愿意一起和公司并肩作战，学习不同的工作技能，业务持续计划就是目前迫切需要公司员工学习的技能。

非典时期的公司业务持续计划就是要保证：一旦发生人员感染SARS病毒事故，能够在需要的时间内执行计划，维护或恢复业务运作。这样，业务持续计划过程应该考虑下列情况：

• 了解公司所面临的风险及其影响，包括关键业务的识别和优先化处理。
• 了解中断可能对关键业务的影响，找到威胁公司生存能力的关键事件的处理办法，建立信息处理设施的业务目标。
• 考虑购买可能影响业务持续性的关键部分的保险。
• 阐明和归档业务持续性策略并在业务目标和优先权上达成一致。
• 保证业务持续性管理被并入组织处理流程和结构中。
• 所有责任和紧急事件过程的识别。
• 在需要的时间范围内实施紧急恢复，应特别关注相关部门的配合情况。
• 培训员工在紧急情况下的恢复处理流程。
• 指定执行计划的各个组成部分的具体人员以及备用人选。
• 业务持续计划的负责人员，选择技术服务的解决方案等。
• 实施前进行测试。
• 当组织发生变更时应及时更新计划。

计划的过程应该着重于确认关键业务目标，例如在指定时间内恢复客户的某种服务。围绕该服务的各种资源应该予以考虑，包括人员、信息处理资源以及信息处理设施等。

一．  制定业务持续计划策略条款

为了确保公司业务持续计划需求的有效性和能够被相关人员充分理解，业务持续计划必须建立在清晰定义的策略之上。业务持续计划策略描述应该定义公司整体的持续性目标并建立业务持续计划的整体框架和职责。为了确保成功，管理高层必须支持业务持续性项目。高层领导应该参与到制定项目策略、结构、目标、角色和职责的过程中。公司应该对其信息系统、操作和需求进行评估以确定是否需要更多的业务持续计划需求。关键的策略因素应该包括：

• 角色和职责
• 业务持续计划所涉及的平台和范围
• 资源需求
• 培训需求
• 演练和测试进度表
• 计划维护进度表
• 备份和备份介质存储频率

在业务持续计划策略的制定过程中，应该与相关的公司活动协调一致，这些活动包括信息系统安全、物理安全、人力资源、IT操作和紧急事件准备活动。业务持续性活动应该和这些领域的项目需求相一致，业务持续性人员应该与来自各领域的代表进行协调以便对策略、项目和能力的更新和发展保持了解。业务持续计划的编写必须和其它系统相关计划进行协调。制定业务持续计划策略条款的步骤应该包括：

• 确定业务持续计划的法令和法规需求
• 制定业务持续计划策略条款
• 获得对策略的批准
• 公布策略

二．进行业务影响分析（BIA）

在业务持续计划中，进行业务影响分析(Business Impact Analysis BIA)是一个关键步骤，BIA能确定影响业务持续性操作的事件及其对组织的影响。

为了正确地进行BIA，首先应该了解组织的整体情况、关键业务处理流程和组织处理关键业务使用的IT资源。这些工作应该得到高级管理人员、执行层管理人员和最终用户的支持，以识别影响组织关键业务过程的信息资源(应用程序、数据、网络、系统软件、设备等)。

执行BIA有许多方法。其中最流行的方法是问卷调查法，首先要设计一个详细的调查问卷，并分发给重要的业务人员和IT人员，然后对收集的信息进行归类、分析，如果发现有用的信息，BIA团队则与相关人员联系做进一步了解。另一种比较流行的方法是拜访关键用户，通过分析面谈收集来的信息，开发一个详细的BIA计划和策略。
在业务影响分析过程中应该注意考虑下列问题：

一．什么是关键IT资源？

信息系统有可能非常复杂，包含大量的组件、接口和程序。系统经常要完成多个任务，这些任务关系到系统服务或能力的不同侧重点。对于BIA的第一步，是对信息系统进行评估以确定系统所执行关键功能并执行这些功能所需的特定的系统资源。完成此步骤通常需要两项活动内容：

• 业务持续计划的负责人应确定和协调与系统进行联系的内部和外部关键点，以确定它们对相关信息系统的依赖程度或支持方式的特点。在确定联系时，与系统提供信息和从系统接受信息的组织的联系是很重要的。这种协调应该使系统管理者能够确定系统所提供的所有支持的特点，包括安全的、管理的、技术的和操作的需求。
• 业务持续计划负责人应该对系统进行评估以便将这些关键服务和系统资源联系起来。这样的分析通常需要确定诸如电源、通信连接和环境控制之类的基础需求。特定的信息技术设备，如路由器、应用服务器和数据库服务器等通常是很重要的，而打印机或打印服务器等则不是关键服务所必须的。

二．业务中断造成的影响有多大？业务允许的中断时间是多少？

在这一步骤中，业务持续计划负责人应该分析上一个步骤中确定的关键资源并确定如果关键资源中断或遭到破坏对业务运行所产生的影响。分析应该从以下两个方面而评估中断的影响。

• 中断的影响可以通过时间跟踪确定。这使灾难恢复计划负责人可以确定无法获得资源的最大允许时间，在这个时间之内重要功能的执行还不至于被阻止或禁止。
• 中断的影响可以通过相关的资源和所依赖的系统跟踪确定，确定当被中断的系统影响其它所依赖的进程时所产生的迭加效果。

灾难恢复计划负责人应该通过对系统无法运行所产生的费用与恢复系统所需资源的费用进行平衡以确定恢复系统的最佳平衡点。

三．恢复优先级顺序如何？

上一个步骤中确定的中断影响和允许的中断时间，使得业务持续计划负责人可以制定在业务持续计划启动时相关人员所要执行的恢复策略并确定其优先级。例如，如果在中断影响步骤中确定系统必须在4个小时之内恢复，业务持续计划负责人将需要采取措施满足这一需求。同样的，如果多数系统部件可以容许24小时中断但关键部件只能够停用8个小时，业务持续计划负责人将为关键业务优先提供所需资源。通过对恢复策略排定优先级，业务持续计划负责人可以根据重要资源的分配和做出更准确、更符合实际的决定，以节约时间、精力和费用。

保持业务持续性首先应识别能造成中断的事件，然后进行风险评估，确定中断（在破坏规模方面和恢复时间方面）的影响，需要商业资源和过程的所有者参与评估。根据风险评估的结果，制定业务持续计划，并由管理层签署，全面执行。

 三．确定防御性控制

BIA可以为业务持续计划负责人提供关于系统可用性和恢复需求的关键信息。在一些情况下，BIA中确定的中断影响可以通过遏制、探测或降低对系统影响的防御性措施予以消减或清除。在可行和比较划算的情况下，防御性方法要比中断后为了恢复系统所采取的活动更好。有很多防御性控制可供选择，它依赖于系统类型和配置；但是一些常用措施如下所列：

• 规模适当的不间断电源（UPS）为所有的系统部件（包括环境和保护控制）提供短期的备份电源
• 汽油或柴油发电机提供长期备份电源
• 具有富余容量的空调系统允许如压缩机等部件出现故障
• 消防系统
• 火灾和烟雾探测器
• 计算机房天花板和地板中的水探测器
• 将塑料布铺在系统设备上以防御水害
• 用来放置备份介质和关键数据记录的耐热防水容器
• 紧急主系统断路开关
• 备份介质、非电子记录和系统文档的异地存储。
• 技术性安全控制如密钥管理系统和最小特权访问控制
• 经常和有计划地备份

四．制定恢复策略

恢复策略提供了在服务中断之后快速有效地恢复业务运行的方法。这些策略应涉及到在BIA中确定的中断影响和允许的中断时间。所选择的恢复策略应该涉及到BIA中确定的潜在影响并且应该在系统生命周期的设计和实施阶段将其整合到系统体系中。该策略应该包括互相补充的方法组合以提供整个事件范围内的恢复能力。应该考虑各种各样的恢复方法，根据事件、系统类型及其运行需求确定合适的选择。恢复方法可以包括与冷站、温站或热站等备用站点，也应该考虑诸如独立磁盘冗余阵列（RAID）、自动故障切换、不间断电源（UPS）和镜像系统等技术。
 
备用站点可以由公司（内部恢复）拥有和运行，也可以通过签订合同得到商业站点。如果和供应商签订站点合同，必须就充足的测试时间、工作场地、安全需求、硬件需求、电信需求、支持服务和恢复日数（机构在恢复期间占用空间的长短）进行协商并明确地写入合同。客户应该明白会有多个机构与供应商就同一个备用站点签订合同；这就造成了该站点在灾难同时影响到这些客户时可能无法容纳所有的客户。供应商就此情况的解决策略和优先级安排应该在合同商定时予以协调。通常，合同或协议应至少涉及到以下因素：

• 合同或协议的有效时间
• 灾难宣布和占用（每日使用）、管理、维护、测试的成本／费用结构、每年成本／费用的增长、运输支持费用（可能的情况下，接收和返还异地数据／用品）、成本／花费分配（可能的情况下）以及记账和付款的时间表
• 灾难宣布（如环境造成的灾难、通知程序）
• 站点／设施访问和／或使用的优先顺序
• 站点的可用性
• 站点的保证
• 可能的情况下，其它客户订购同样资源和站点以及站点订购者的总数
• 合同／协议变化和更改方法
• 合同／协议的终止条件
• 协商扩展服务的方法
• 兼容性保证
• 信息系统对硬件、软件的需求（包括数据和电信需求）以及特殊的系统需要（硬件和软件）
• 变化管理和通知需求，包括硬件、软件和基础设施
• 安全需求，包括特殊的安全需要
• 提供／不提供人员支持
• 提供／不提供设施服务（使用办公设备、自助餐厅等）
• 测试，包括时间安排、可用性、测试持续时间和可能需要的额外测试
• 记录管理，包括电子介质和硬拷贝
• 服务水平管理（性能测量和所提供的IT服务的质量管理）
• 工作空间需求（如椅子、桌子、电话和个人电脑）
• 提供／不提供用品（如办公用品）
• 其它地方没有涉及到的费用
• 可能的情况下，其它合同事项
• 可能的情况下，其它技术需求

五． 制定业务持续计划

业务持续计划的制定是执行全面业务持续计划项目过程中的关键一步，此计划应该适应组织及其需求。计划包括与业务系统中断后进行恢复相关的角色、职责、团队和流程的详细内容。制定一套有效的业务持续计划应该按下列步骤执行：

• 识别及定义系统的顺序及中断时需要的资源（执行BIA）；
• 选择适当的恢复策略，最少应包含足够的信息处理设施使公司在主生产中心未完成恢复前能够继续运作；
• 开发详细的信息处理设施恢复程序（灾难恢复计划）；
• 开发详细的在最低限度下关键业务能够持续运营的作业程序（业务持续计划）；
• 测试计划的可行性；
• 当运营环境或信息系统变更时将计划及时更新。

一般而言，业务持续计划的内容组成包含通知、启动、恢复、重建和附录等部分。通知、启动、恢复和重建阶段涉及到在公司遇到系统中断或紧急情况时要采取的特定行动，支持信息和计划附录部分提供了确保计划全面性的重要信息。计划的格式应该能够为事件中不熟悉计划的人员或被要求进行恢复操作的系统提供快速明确的指导。计划应该明确、简洁、易于在紧急情况下执行。如果可能，应该使用检查列表和详细流程。简明和公司良好的计划将非常利于在紧急情况下的操作与执行。 

• 支持信息

支持信息部分包括介绍和操作的概念部分，这部分提供了重要的背景或相关信息，使业务持续计划更容易理解、实施和维护。这些细节有助于理解业务持续计划的适用范围，并且为使用计划中的决策，提供和计划相关或在计划范围之外的信息。

• 通知与启动阶段

通知与启动阶段定义在检测到系统中断或紧急情况发生或即将到来时采取的初步行动。这个阶段包括通知恢复人员、评估系统损害和实施计划的活动。一旦完成了此阶段的活动，恢复人员将准备在临时基础上执行恢复系统功能的应急措施。

• 恢复阶段

启动业务持续计划、完成损害评估（如果可能）、通知相关人员和调动相关团队后开始恢复操作。恢复阶段的行动集中于建立临时IT处理能力、修复原系统损害、在原系统或新设施中恢复运行能力的应急措施。在恢复阶段完成时，信息系统将可以运行并执行计划中指定的功能。依据计划中定义的业务持续性策略，这些功能可以包括临时人工处理、在备用系统上恢复和运行或在备用站点重新部署和恢复。具有恢复职责的团队应该在事件初期无法得到书面计划的情况下了解并有能力执行这些恢复策略，依然能够完成恢复计划。

• 重建阶段

在重建阶段，终止恢复行动，公司转回正常运作状态。如果公司的原设施无法恢复，这个阶段的行动也可以在满足系统处理需求的新设施中进行。当原站点或新站点恢复到可以支持信息系统及其正常处理的水平时，系统就可以转回原站点或新站点。在完成主系统恢复和测试以前，应急系统应该继续运行。重建阶段应该设定负责恢复或替换站点及信息系统的团队。

六． 计划的测试、培训和演练

计划的测试是确保业务持续计划有效的关键要素。测试能够确定和解决计划的缺陷，测试还有助于提高评估及恢复人员快速有效实施计划的能力。每一个业务持续计划要素都应该得到测试，以确保各个恢复流程的正确性和计划整体的有效性。业务持续性测试应该涉及到以下方面：

• 在备用平台上使用备份介质进行系统恢复
• 在恢复团队之间进行协调
• 内部和外部的连接性
• 使用备用设备的系统性能
• 正常操作的恢复
• 通知流程

为了能从测试中获得更多价值，业务持续计划负责人应亲自参与制定测试计划。测试计划应设计为对所选择的测试要素有明确的测试目标和成功标准，测试目标和成功标准的使用可以增加每个测试要素的有效性并对整个计划进行评估。测试计划也应该包括每个测试的详细的事件表和测试的参与者。测试计划还应该清晰地描述范围、场景和后勤，场景可以选择为最糟糕的事故或最有可能发生的事故，它应尽量模仿真实情况，有两种基本的演练方式： 

• 课堂演练 课堂演练的参与者在桌面上对流程进行排演而不实际进行恢复操作。这种演练方式很经济，应该在功能演练之前执行。
   
• 功能演练 功能演练比桌面上的演练更进一步，要求虚构事件。功能演练包括模拟和战术演练。通常，为扮演外部公司角色的演员写好脚本，或者让真正的相关公司及供应商参与。功能演练可以包括针对备用站点的实际系统切换。

对于业务持续计划职责的培训应该是对测试的补充。培训至少每年举办一次，拥有计划规定职责的新雇员应该在被雇用后接受短期培训。业务持续计划相关人员的培训应使他们达到无需实际文档的协助就能执行相应的恢复流程。这在由于灾难的影响造成最初几个小时里无法获得书面或电子版本计划的情况下具有非常重要的意义。以下为业务持续计划培训的主要内容：

• 业务持续计划的目的
• 团队之间的协作与沟通
• 汇报流程
• 安全需求
• 团队特有的处理过程（通知、启动、恢复和重建阶段）
• 个人职责（通知、启动、恢复和重建阶段）

七．业务持续计划的维护

为了更加有效, 业务持续计划必须维持在能够正确反映系统需求、流程、组织架构和策略的就绪状态。由于业务变化、技术的更新或新的内外政策会造成信息系统的频繁变化。所以，业务持续计划的定期检查和更新是至关重要的，应该作为组织变革管理过程的一部分，以确保新的信息能够及时添加进来，应急措施能够根据新的需要进行修订。计划应该至少每年进行一次针对正确性和完整性的检查，此检查在计划的任何部分发生重大变化时也应该进行，这是一项基本的要求。某些部分应该得到更频繁的检查，如联络名单。根据系统类型和重要程度的不同，对有些计划内容和流程的评估可能会更加频繁。计划的检查至少要关注以下内容：

• 运行需求
• 安全需求
• 技术流程
• 硬件、软件和其它设备（类型、规格和数量）
• 团队成员的姓名和联络信息
• 供应商，包括备用和异地供应商联络人的姓名和联络信息
• 备用和异地设施需求
• 关键记录（电子的或硬拷贝）

总之，SARS时期做业务持续规划，要设想最糟糕的状况一定会出现，管理者在面对危机时必须迅速做出判断，不能有丝毫迟疑；但是在和公司全体成员沟通时，却一定要有耐心，确保每个人员都能了解细节，清楚进行改变的真正用意，这也就是说"决策要化繁为简，但执行却是要化简为繁"。

    （作者孙强，赛迪顾问业务拓展总监，中国信息化推进联盟IT治理专业委员会副主任。美国注册信息系统审计师，国际信息系统审计与控制协会会员，中国信息系统审计与控制专业委员会（筹）发起人。发表多篇关于IT治理、信息系统审计和监理的文章。参与《信息系统工程监理》培训教材编写，主编《IT审计：理论与实务》、《IT服务管理：发展、理解与实施》等。欢迎您与作者孙强探讨您的观点和看法，联系电话：010-88559017电子邮件：sun6869@tom.com ）