业务连续性专题计划BCP.docVIP

业务连续性计划 　　事先制订一个完备业务连续性计划（Business Continuity Planning,缩写为BCP），主动防范而且应变处理灾难发生一系列后果，将灾难蔓延和损失控制在企业能够负担范围以内，已成为现代企业管理范围内一个十分关键任务。 　　【第一部分】 　　BCP基础要素 　　笼统地说，BCP目标只有一个，那就是确定并降低危险可能带来损失，有效地保障业务连续性。而相关BCP部分特定目标我们将在以下各个部分中加以描述。 　　BCP实施最终止果是： 　　● 一组防范危险 评测指标； 　　● 一支实施团体，在经过培训后能够处理多种危险事件； 　　● 一套计划，提供危险发生时路线图。该计划应该是充足和完备，必需具体落实到该计划实施范围内每一个单位、人员或设备。 　　我们下面所要讨论关键是和企业中IT设施相关内容，没有包含到企业人员在危险情况下安全管理问题。 　　每个企业所制订BCP全部应该有每个企业或所处行业独有特色，相互之间不会完全一致，但大致上说来，一个完备BCP关键是由以下部分关键部分组成： 　　一、 危险评定 　　危险评定就是认识并分析多种潜在危险结果。这些危险起源可能是： 　　● 多种区域性天然灾难，如洪水、地震、疫病等； 　　● 人为事故或蓄意破坏造成严重灾难，如火灾、恐怖主义攻击等； 　　● 安全威胁、硬件、网络或通信故障； 　　● 灾难性应用系统错误。 　　全部危险全部应纳入企业危险评定范围，而且应对多种危险可能起源地进行较正确定位。对于每一个危险起源全部应该认识到：? 　　● 危险类型； 　　● 危险程度； 　　● 危险发生可能性。 　　比如说，假如根据有没有警示性先兆来分，各类危险还能够分为： 　　● 有些危险可能没有任何先兆而忽然发生，无法事先防范； 　　● 有些危险能够有一定先兆，能够快速开启应急计划加以防范，比如疫病传输； 　　● 有些危险可能历来不会发生。 　　假如根据危险破环类型或程度来分，它们对业务影响能够分为： 　　● 经营场所及设备完全破环； 　　● 经营场所及设备部分破环； 　　● 经营场所及设备完好，但人员不能进入，比如疫病隔离、恐怖威胁造成人员输散等。 　　显然，对于企业来说，一个完备BCP必需尽可能多地考虑到全部可能危险情况，只有处理灾难性事件计划而没有处理应用系统失误计划，这么BCP是不完备；反之亦然。 　　企业所制订BCP应该同时兼顾两个方面——预防和控制。比如，人为事故和蓄意破坏能够经过物理安全和个人行为评测来预防。而应用系统错误则能够经过对软件有效评测和测试来预防。 　　危险评定最终结果应该是一份相关危险效益分析具体陈说汇报，要有对危险正确描述、哪些危险可能发生，和需要采取保障业务连续性和缓解危险方法，同时要有因为克服了危险而带来收益分析。这份汇报还应该描述清楚任何现有前提或限制原因。 　　二、 业务影响分析（BIA） 　　业务影响分析（Business Impact Analysis）实质上就是对关键性企业功效、和当这些功效一旦失去作用时可能造成损失和影响分析。 　　对于企业业务运行关键人员来说，她们需要分析： 　　A. 影响 　　● 哪种功效对于企业整体战略而言是生死攸关 　　● 该功效在多长时间内失效不会造成影响和损失 　　● 企业其它业务功效因为该功效失效会受到何种影响——运行影响分析 　　● 该功效失效可能造成收入影响——财务影响分析 　　● 该功效是否会对用户关系造成影响——用户信心损失 　　● 该功效是否会对市场份额造成影响——市场拥有率下滑 　　● 该功效是否会对企业在行业中地位造成影响——企业竞争力损失 　　● 该功效是否会影响以后销售——机会丧失 　　● 什么是最大/可承受/可许可失效 　　B. 业务恢复需求 　　● 要使该功效连续，需要哪些资源和数据纪录 　　● 最少资源需求是什么 　　● 哪些资源可能来自企业外部 　　● 它和企业其它功效依靠关系和依靠程度 　　● 企业其它功效和该功效依靠关系和依靠程度 　　● 该功效和企业外部业务/供给商/其它厂商依靠关系和依靠程度 　　● 在缺乏试验环境情况下进行恢复，需要采取怎样预防方法或检验手段 　　在进行了这些分析以后，才有可能对企业多种功效进行分类： 　　a)关键功效——假如这类功效被中止或失效，就会根本危及企业业务并造成严重损失。 　　b)基础功效——这些功效一旦失效将会严重影响企业长久运行能力。 　　c)必需功效——企业能够继续运行，但这些功效失效会在很大程度上限制企业效率。 　　d)有利功效——这些功效对企业是有利；但它们缺失不会影响企业运行能力。 　　依据多种功效恢复需求，