- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
业务连续性计划测试要点
对已经制定业务连续性计划的企业来讲,不断维护计划,确保计划的时效性和实用性,就成为了企业
实施业务连续性管理的的主要任务。企业可以通过实施变更管理来实现业务持续计划的不断更新,通
常定期的审计是一种可行的办法。除此以外,还需要进行定期的测试(包括演练)。通过测试一方面
可以全面检查计划的有效性和可行性,另一方面可以确保组织成员能够以正确的流程、规范的行动高
效应对危机。正因为如此,企业应该至少每年做一次全面的测试。
简单来讲,测试的目标就是确认一个组织在发生灾难(或者危机事件)时,执行业务连续性计划的能
力。但如何组织和管理测试和演习,以确保测试的规范性和有效性,是许多用户关心的问题。
测试前的准备工作
首先要明确测试的目的和测试的方式。测试方式多种多样,根据测试的目的不同,测试的方式可以是
简单的桌面测试,也可以是全面的场景演习等等。
测试过程的管理团队很重要,测试应该由训练有素的团队来规划、实施和控制。通常起草业务持续性
计划的人员是管理和控制测试的最佳人选(在应急恢复过程中承担重要角色的人员除外)。为了确保
测试的组织效果,应该事先对实施测试过程的团队进行培训。
在测试之前,需要设“计”一个供测试用的模拟场景。场景应该包括一系列很可能发生的事件。这些事
件应该经过恰当的设计,确保可以测试到计划中的全部(或者相应部分,视测试的范围而定)行动要
素。
对测试的结果进行分析和评估是必须的。因此,要事先制定测试反馈信息表,做好收集反馈信息的准
备工作,确保测试结束后可以尽快收集到反馈信息。
应该积极与领导沟通。测试需要费用,所以事先要有相应的预算,并报请领导批准。此外,测试过程
不可避免地会影响到员工的正常工作,甚至影响业务的进展,这一点也需要事先得到领导的认可。另
外员工可能会在测试的日期正好出差在外,这些都需要做充分的考虑。
如果测试需要单位外部的人员(例如业务持续性计划中提到的应急产品供应商等)参与,则更需要积
极进行协调和沟通,事先要仔细考虑外部人员参与的方式和程度。
测试过程规划
测试的过程需要进行详细的规划。规划主要步骤包括:分析业务持续性计划,制定测试计划,设计测
试场景,准备测试反馈意见表等。其中分析业务持续性计划是其他工作的基础。
测试计划的制定过程本身可能也很复杂,所以也需要精心安排。应该考虑到制定测试规划过程中的所
有步骤,每个步骤的执行时间和负责人,以及每个步骤之间的前后顺序。可以考虑采用项目管理软件
来辅助完成。
测试的参与者应该涉及组织的各个关键部门,而且,应该包括了业务持续性计划中的相应角色。实际
上,在测试过程中有两类参与者,第一类参与者积极行动,应对危机“”;第二类人员管理和控制测试
过程,包括收集现场的数据。两类参与者的具体人选都非常重要。
测试场景的设计
企业应该充分重视测试场景的重要性。未经仔细考虑、不够完善的场景常常会使整个测试的效果大打
折扣。
在设计场景时,要重点关注危机发生后的2~4小时。场景应该包括一系列需要积极响应的事件,并
尽可能覆盖危机计划中定义的关键行动。
场景应该能反映对业务影响较大的威胁和风险。应该首先考虑在风险评估阶段提供的风险信息。由于
在应对不同的风险时,需要不同的应急响应流程和行动,因此可能需要设计和测试的场景不只一个。
因为参与者要随着测试场景的发展及时做出反应,所以场景应该足够逼真。在描述场景时,应该尽可
能采用真实的客户姓名、员工姓名、地点名称、产品名称、设施名称等等,名称越真实,会给测试者
越逼真“”的感觉,测试的效果就越好。但由于采用了真实的名称,有可能在测试的时刻,真实的名称
需要做最后的确定,这一点一定要注意。另外,为了获得测试的真实效果,应该对场景设计信息保密,
避免测试参与者事先获得信息,从而使测试成为走过场。
测试结果的分析
测试完成后,应该及时收集测试参与者的反馈信息。通过反馈的信息,可以检查计划的有效性。在必
要时可以对计划进行调整,还可能需要考虑做进一步的测试。注意应该收集所有参与测试者的反馈信
息,包括被测试的人员和测试的组织管理者。
测试结束后,需要分析的内容很多,而且具体的分析内容与具体的业务持续计划有关。但一般来讲,
在对测试结果进行分析时,通常需要回答如下几方面的问题:
·计划可行么?
·测试流程能否满足时间要求?
·基本的通讯手段是否有效?
·是否计划中的每个人都充分了解了自己的角色?
·各类应急设施在恢复时能否工作正常?
·每位员工都能很好地完成自己的工作么?
IT·设施工作正常与否?
·需要恢复的数据
文档评论(0)