业务连续性计划测试要点.pdf

业务连续性计划测试要点

对已经制定业务连续性计划的企业来讲，不断维护计划，确保计划的时效性和实用性，就成为了企业

实施业务连续性管理的的主要任务。企业可以通过实施变更管理来实现业务持续计划的不断更新，通

常定期的审计是一种可行的办法。除此以外，还需要进行定期的测试（包括演练）。通过测试一方面

可以全面检查计划的有效性和可行性，另一方面可以确保组织成员能够以正确的流程、规范的行动高

效应对危机。正因为如此，企业应该至少每年做一次全面的测试。

简单来讲，测试的目标就是确认一个组织在发生灾难（或者危机事件）时，执行业务连续性计划的能

力。但如何组织和管理测试和演习，以确保测试的规范性和有效性，是许多用户关心的问题。

测试前的准备工作

首先要明确测试的目的和测试的方式。测试方式多种多样，根据测试的目的不同，测试的方式可以是

简单的桌面测试，也可以是全面的场景演习等等。

测试过程的管理团队很重要，测试应该由训练有素的团队来规划、实施和控制。通常起草业务持续性

计划的人员是管理和控制测试的最佳人选（在应急恢复过程中承担重要角色的人员除外）。为了确保

测试的组织效果，应该事先对实施测试过程的团队进行培训。

在测试之前，需要设“计”一个供测试用的模拟场景。场景应该包括一系列很可能发生的事件。这些事

件应该经过恰当的设计，确保可以测试到计划中的全部（或者相应部分，视测试的范围而定）行动要

素。

对测试的结果进行分析和评估是必须的。因此，要事先制定测试反馈信息表，做好收集反馈信息的准

备工作，确保测试结束后可以尽快收集到反馈信息。

应该积极与领导沟通。测试需要费用，所以事先要有相应的预算，并报请领导批准。此外，测试过程

不可避免地会影响到员工的正常工作，甚至影响业务的进展，这一点也需要事先得到领导的认可。另

外员工可能会在测试的日期正好出差在外，这些都需要做充分的考虑。

如果测试需要单位外部的人员（例如业务持续性计划中提到的应急产品供应商等）参与，则更需要积

极进行协调和沟通，事先要仔细考虑外部人员参与的方式和程度。

测试过程规划

测试的过程需要进行详细的规划。规划主要步骤包括：分析业务持续性计划，制定测试计划，设计测

试场景，准备测试反馈意见表等。其中分析业务持续性计划是其他工作的基础。

测试计划的制定过程本身可能也很复杂，所以也需要精心安排。应该考虑到制定测试规划过程中的所

有步骤，每个步骤的执行时间和负责人，以及每个步骤之间的前后顺序。可以考虑采用项目管理软件

来辅助完成。

测试的参与者应该涉及组织的各个关键部门，而且，应该包括了业务持续性计划中的相应角色。实际

上，在测试过程中有两类参与者，第一类参与者积极行动，应对危机“”；第二类人员管理和控制测试

过程，包括收集现场的数据。两类参与者的具体人选都非常重要。

测试场景的设计

企业应该充分重视测试场景的重要性。未经仔细考虑、不够完善的场景常常会使整个测试的效果大打

折扣。

在设计场景时，要重点关注危机发生后的2～4小时。场景应该包括一系列需要积极响应的事件，并

尽可能覆盖危机计划中定义的关键行动。

场景应该能反映对业务影响较大的威胁和风险。应该首先考虑在风险评估阶段提供的风险信息。由于

在应对不同的风险时，需要不同的应急响应流程和行动，因此可能需要设计和测试的场景不只一个。

因为参与者要随着测试场景的发展及时做出反应，所以场景应该足够逼真。在描述场景时，应该尽可

能采用真实的客户姓名、员工姓名、地点名称、产品名称、设施名称等等，名称越真实，会给测试者

越逼真“”的感觉，测试的效果就越好。但由于采用了真实的名称，有可能在测试的时刻，真实的名称

需要做最后的确定，这一点一定要注意。另外，为了获得测试的真实效果，应该对场景设计信息保密，

避免测试参与者事先获得信息，从而使测试成为走过场。

测试结果的分析

测试完成后，应该及时收集测试参与者的反馈信息。通过反馈的信息，可以检查计划的有效性。在必

要时可以对计划进行调整，还可能需要考虑做进一步的测试。注意应该收集所有参与测试者的反馈信

息，包括被测试的人员和测试的组织管理者。

测试结束后，需要分析的内容很多，而且具体的分析内容与具体的业务持续计划有关。但一般来讲，

在对测试结果进行分析时，通常需要回答如下几方面的问题：

·计划可行么？

·测试流程能否满足时间要求？

·基本的通讯手段是否有效？

·是否计划中的每个人都充分了解了自己的角色？

·各类应急设施在恢复时能否工作正常？

·每位员工都能很好地完成自己的工作么？

IT·设施工作正常与否？

·需要恢复的数据