业务连续性计划清单BCP.pdfVIP

标准实用 业务连续性计划 事先制定一个完备的业务连续性计划（ Business Continuity Planning, 缩写为 BCP），积极防范并且应变处理灾难发 生的一系列后果， 将灾难的蔓延和损失控制在企业能够承担的范围以 内，已成为现代企业管理范畴内的一个十分重要的任务。 【第一部分】 BCP的基本要素 笼统地说， BCP的目标只有一个，那就是确定并减少危险可能带 来的损失， 有效地保障业务的连续性。 而有关 BCP的一些特定目标我 们将在以下各个部分中加以描述。 BCP实施的最终结果是： ● 一组防范危险的 评测 指标； ● 一支执行团队，在经过培训后可以处理各种危险事件； ● 一套计划，提供危险发生时的路线图。该计划应该是充分和 完备的，必须详细落实到该计划实施范围内的每一个单位、 人员或设 备。 我们下面所要讨论的主要是与企业中 IT 设施相关的内容，没有 涉及到企业人员在危险状况下的安全管理问题。 文案大全 标准实用 每个企业所制定的 BCP都应该有每个企业或者所处行业独有的 特色，彼此之间不会完全一致，但大致上说来，一个完备的 BCP主要 是由以下一些关键部分构成的： 一、 危险评估 危险评估就是认识并分析各种潜在危险的结果。 这些危险的来源 可能是： ● 各种区域性的天然灾难，如洪水、地震、疫病等； ● 人为事故或蓄意破坏造成的严重灾难，如火灾、恐怖主义袭 击等； ● 安全威胁、硬件、网络或通信故障； ● 灾难性的应用系统错误。 所有的危险都应纳入企业的危险评估范围， 并且应对各种危险的 可能来源地进行较准确的定位。对于每一种危险的来源都应该认识 到： ● 危险的类型； ● 危险的程度； ● 危险发生的可能性。 比如说，如果按照有无警示性先兆来分，各类危险还可以分为： 文案大全 标准实用 ● 有些危险可能没有任何先兆而突然发生，无法事先防范； ● 有些危险可以有一定的先兆，可以迅速启动应急计划加以防 范，比如疫病的传播； ● 有些危险可能从来不会发生。 如果按照危险的破环类型或程度来分， 它们对业务的影响可以分 为： ● 经营场所及设备完全破环； ● 经营场所及设备部分破环； ● 经营场所及设备完好，但人员不能进入，比如疫病的隔离、 恐怖威胁造成的人员输散等。 显然，对于企业来说， 一个完备的 BCP必须尽可能多地考虑到所 有可能的危险情况， 只有处理灾难性事件的计划而没有处理应用系统 失误的计划，这样的 BCP是不完备的；反之亦然。 企业所制定的 BCP应该同时兼顾两个方面——预防和控制。例 如，人为事故和蓄意破坏可以通过物理安全和个人行为的评测来预 防。而应用系统的错误则可以通过对软件的有效评测与测试来预防。 危险评估的最后结果应该是一份有关危险效益分析的详细陈述 报告，要有对危险的精确描述、哪些危险可能发生，以及需要采取的 保障业务连续性和缓和危险的措施， 同时要有因为克服了危险而带来 文案大全 标准实用 的收益分析。这份报告还应该描述清楚任何现有的前提或者限制因