DRII业务持续性规划者实践指南

1、1. DRII业务持续性规划者实践指南DRIIDisaster Recovery Institute International (国际灾难恢复协会)DRII业务持续规划者实践指南包括以下10个主题：（1）项目启动和管理 确定业务持续性管理（BCM）过程或功能的需求，包括恢复策略、恢复目标、业务持续和应急管理预案、获得管理支持，组织和管理包括各种关键要素的综合风险管理预案。 （2）风险评估和控制 确定可能造成机构及其设施中断和灾难、具有负面影响的突发事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。 （3）

2、业务影响分析 确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相互依赖性以便确定恢复时间目标。 （4）制定业务持续性策略 确定和指导备用业务恢复运行策略的选择，以便在恢复时间目标和恢复点目标范围内恢复业务和信息技术，并维持机构的关键功能。 （5）应急响应和运作 制定和实施用于突发事件响应以及平息突发事件所引起状况的政策制度，包括建立和管理突发事件运作中心，该中心用于在突发事件中发布命令。 （6）制定和实施业务持续性预案 设计、制定和实施业务持续性预案以便在恢复时间和恢复点目标范围内完成恢复。 （7）意识培养和技能培训建立对机构人员进

3、行意识培养和技能培训的机制，以便业务持续性预案能够得到制定、实施、维护和执行。 （8）演练和维护业务持续性预案 对预案和预案间的协调性进行演练、并评估和记录预案演练的结果。制定维持持续性能力和BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证BCP的效率，并使用简明的语言报告验证的结果。 （9）危机通信 制定、协调、评价和演练在危机情况下与媒体交流的预案，以便联系组织内部利益相关者（员工、公司管理层，等）、组织外部利益相关者（客户、股东、厂商、供应商，等）、媒体（报刊、广播电台、电视台、互联网，等）。 （10）与外部机构合作 建立适用的政策制度和策略用于外部机构（

4、地方、州、中央政府、应急响应组织、国防部，等）合作开展持续性和恢复活动，同时确保遵守适用的法规或规章。 主题1：项目启动和管理 确定业务持续性管理（BCM）过程中业务管理规划（BCP）的需求，包括恢复策略、恢复目标、业务持续和应急管理预案、获得管理支持，组织和管理包括各种关键要素的综合风险管理预案，组织和管理项目使其符合时间和预算的限制。A. 专业角色是：1. 引导项目发起人定义目标、政策和关键成功要素a. 范围和目标 b. 法律和需求动机 c. 案例和业界最佳实践 2.通过策划指导委员会和项目任务组，协调和组织管理BCP项目和整体BCP过程 3. 使用效益控制方法和更改管理机制检查BCP过程

5、 4. 向管理层和关键人员介绍（推销）BCP过程5. 制定项目计划和预算（来启动BCP过程） 6. 定义和建议过程结构和管理方式 7. 管理项目以制定和实施BCP过程 B. 专家应该证明其具有以下领域的实务知识： 1. 确定业务持续性需求 a. 参考相关的法律法规法令合同的需求和约束 b. 如果合适，参考相关的行业贸易组织或机构的规定 c. 参考相关当局的当前建议 d. 将立法、规章和要求与机构的政策相联系 e. 识别机构政策与相关外部需求的任何冲突 f. 识别任何审计记录 g. 提出解决机构政策与相关外部需求之间任何冲突的方法，可以包括BCP在内 h. 识别可能对机构灾难恢复能力具有负面影响

6、的业务措施。 2. 传播业务持续性预案的需求 a. 通过正式的报告和介绍进行意识培养 b. 陈述BCP的优点并将其与机构的使命、目标和营运利益联系起来。 c. 获得机构对BCP过程的承诺 d. 制定BCP过程的任务条款宪章 3. 将行政管理层包括在BCP过程中 a. 解释行政管理层在BCP过程中的角色 b. 解释和传播管理层在BCP过程中的职责和义务。 4. 建立一个规划策划指导委员会：角色和职责、机构的类型、控制和发展、以及成员 a. 选择适当的人员 b. 定义角色和职责 c. 制定一套适当的BCP过程目标 5. 编制预算需求 a. 清晰定义资源需求 b. 获得财务需求评估 c. 验证资源需

7、求的正确性 d. 验证财务需求评估 e. 与管理层协商资源和财务需求 f. 获得财务需求的执行承诺 6. 确定计划团队及职责 a. 突发事件管理突发事件响应应急管理团队 b. 业务持续性规划团队（多地点、多分支、等。） c. 恢复响应团队和复原团队 7. 制定和协调项目行动计划以制定和实施BCP过程 a. 制定包含现实的时间评估和进度表的全面项目计划 8. 确定对BCP过程进行持续管理和记录的需求 9. 向高级管理层汇报并获得高级管理层的批准承诺 a. 建立向高级管理层汇报BCP过程进度的时间表 b. 定期为高级管理层制作状态报告，其中应包括高级管理层容易理解并感兴趣的简明的、中肯的、正确的和

8、及时的关键状态信息。 主题2：风险评估和控制 确定可能造成机构及其设施中断和灾难、具有负面影响的突发事件和周边环境因素，以及突发事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。 A. 专业角色是： 1. 识别对机构的潜在威胁 a. 可能性 b. 后果影响 2. 理解机构中降低消减风险的功能 3. 识别所需的外部专门技术 4. 识别暴露 5. 识别降低消减风险的可选措施 6. 与管理层确认可接受的风险水平 7. 记录并提交所发现的内容 B. 专家应该证明其具有以下领域的实务知识： 1. 理解损失的潜在可能性 a. 识别来源于内部和

9、外部的暴露。这些应包括，但不限于以下内容 (1) 自然的、人为的、技术的或政治的灾难 (2) 无意的与故意的 (3) 内部的与外部的 (4) 可控的风险与机构控制范围以外的风险 (5) 有先期预警的事件与没有先期预警的事件 b. 确定突发事件的可能性 (1) 信息来源 (2) 可信度 c. 创建信息收集的方法 d. 制定一种评估可能性和严重程度的正确方法 e. 建立对评估过程的持续支持 f. 识别相关的规章的和或法律问题 g. 建立对所确定的潜在损失可能性进行成本效益分析的方法 2. 确定机构对潜在损失可能性的暴露 a. 识别机构所面对的首要暴露，以及可能因为这些暴露而造成实际损失的次要间接事

10、件（如飓风威胁可能会造成多种事件包括强风、洪水、火灾、建筑和屋顶垮塌等） b. 选择最可能发生以及会产生最大破坏的暴露 3. 识别防止和或消减潜在损失可能性影响的控制和防范措施 需要考虑的事项：用于降低突发事件发生可能性的措施将削弱执行业务的能力 a. 物理保护 (1) 了解对建筑物、房屋和其它封闭场所的房屋施行限制访问的需要，这种限制应该考虑到“三维”的方向 (2) 了解设置障碍和强化结构以防止故意的、意外的和或非受权进入的需要 (3) 位置：物理结构、地理位置、社区邻居、建筑的基础设施、社区的基础设施 b. 物理存在 (1) 了解使用专门人员对关键进入点执行检查的需要 (2) 了解使用人工

11、的和或监视记录设备来控制访问点和禁区的需要，其中包括探测、提醒和抑制功能 (3) 理解安全和访问控制、承租人保险、租赁协议 c. 逻辑保护 (1) 了解系统对所存储、处理或转换中的数据提供保护的需要，包括信息备份和保护。 (2) 了解探测、提醒和抑制功能 (3) 了解信息安全：硬件、软件、数据、网络 d. 资产的位置 (1) 了解使关键资产远离风险源而提供的固有保护 (2) 人事规程 (3) 所需的预防性维护和服务 (4) 公用事业：双份的公用事业服务、内建的冗余（电信、电力、供水等） (5) 与外部机构的联系（供应商、厂商、外包服务商等） 4. 评估、选择和使用适当的风险分析方法和工具 a.

12、 识别可选的风险分析方法和工具 (1) 定性的和定量的方法 (2) 优势和劣势 (3) 可靠性可信程度 (4) 所使用的数学公式的依据 b. 选择用于整个公司范围的正确方法和工具 5. 确定和实施信息收集活动 a. 制定与业务问题和机构政策相一致的策略 b. 制定能够跨越业务分支和机构的位置进行管理的策略 c. 创建整个机构范围的信息收集和分发方法 (1) 表格和问卷 (2) 会面 (3) 会议 (4) 文档查阅 (5) 分析 6. 评估控制和防范措施的效率 a. 制定与其它内部部门分支以及外部服务商的通信流程 b. 同供应商以及机构内外的客户组织建立业务持续性服务水平协议 c. 制定防御性和

13、预先预案选项 (1) 费用效益 (2) 实施的优先顺序、规程和控制 (3) 测试 (4) 审计功能和职责 d. 了解风险管理和对适当的或具有成本效益的响应进行选择的选项，如风险规避、转移或风险接受 7. 风险评估和控制 a. 根据机构暴露所可能导致的风险建立灾难场景。灾难场景应该建立在这样的标准类型上：在数量上非常严重、发生在最不利的时间、对机构执行业务的能力造成严重损害 b. 对风险进行评估并根据相关的标准对其进行分类，这些标准包括：在机构控制之下的风险、超出机构控制范围之外的风险、有先期预警的暴露（如龙卷风和台风）以及没有先期预警的暴露（如地震） c. 根据与执行业务操作相关的重要因素来评

14、估风险和暴露的影响：人员的可用性、信息技术的可用性、通信技术的可用性、基础设施的状态（包括交通）等 d. 如果需要，应评估控制和所要求的更改以减少因风险和暴露所造成的影响 (1) 对造成影响的暴露进行抑制的控制：防御性控制（如口令、烟雾探测器和防火墙） (2) 对暴露造成的影响进行补偿的控制：反应性控制（如热站点） 8. 安全 a. 确定机构可能的安全暴露，包括以下特定的安全风险类型： (1) 所有房产的物理安全 (2) 信息安全 计算机房和介质存储区域的安全 (3) 通讯安全 语音和数据通讯安全 (4) 网络安全 内联网和互联网安全 b. 对防御降低安全相关风险和暴露所需的可行的和具有成本效

15、益的安全措施提出建议 9. 关键记录的管理 a. 识别机构需要的关键记录，包括书面和电子记录 b. 评估现有的用于备份和恢复关键记录的规程 c. 建议和实施用于备份和恢复所有形式的机构关键记录的可行的、具有成本效益的规程 主题3：业务影响分析确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和依赖性以便确定恢复时间、恢复点目标。 A. 专业角色是： 1. 识别具有相关知识的职能部门代表（参与BIA过程） 2. 识别机构功能包括信息和资源（人、技术、设施等） 3. 识别和定义关键程度标准 4. 获得管理层对所定义标准的批准 5. 对分析进

16、行调整6. 识别相互依赖性（对机构内部和外部的） 7. 定义恢复目标和时间范围 8. 定义报告格式 9. 准备最终的BIA并呈交给管理层 B. 专家应该证明其具有以下领域的实务知识： 1. 建立项目 a. 识别和获得BIA活动的项目发起人 b. 定义BIA项目的目标和范围 c. 选择适当的BIA项目计划方法工具 d. 识别BIA项目的参与者并告知其项目的目的 e. 识别培训需求、建立培训进度表，如果合适执行培训 f. 达成最终项目时间进度的一致意见并启动BIA项目 2. 评价中断、损失暴露和业务影响的后果 a. 中断的后果 (1) 资产的损失：关键人员、物理资产、信息资产、无形资产 (2) 服

17、务和运作持续性的中断 (3) 违反法律法规 (4) 引起公众关注 b. 中断对业务的影响 (1) 经济的 (2) 客户和供应商的 (3) 公共关系信誉的 (4) 法律的 (5) 规章要求考虑的事项 (6) 环境的 (7) 运作的 (8) 人事的 (9) 其它资源的 c. 确定损失暴露 (1) 财产损失 (2) 收入损失 (3) 罚款 (4) 现金流 (5) 帐户的可接受性 (6) 帐户的可支付性 (7) 法律责任 (8) 人力资源 (9) 附加的花费增加的工作费用 d.定性的 (1) 人力资源 (2) 士气 (3) 信心 (4) 法律 (5) 社会和团体形象 (6) 金融界的信誉 e.定量的

18、3. 业务影响分析（BIA） 一种建议的方法 了解评估技术：定量的和定性的方法 a. BIA数据收集方法 (1) 确定一种正确的数据收集方法（如问卷、会面、研习会、或协商一致的组合形式） (a) 通过问卷进行数据收集 (i) 了解问卷正确设计和分发的需要，包括目的的解释、部门负责人和重要人员的参与 (ii) 了解项目开局会议的任务并举行会议以便分发和解释问卷 (iii) 了解答卷人的任务并支持其完成问卷 (iv) 检查完成的问卷并确定需要进一步安排的会面 (v) 当需要澄清和或额外数据时进行进一步的讨论 (b) 仅通过会面进行数据收集 (i) 了解每次会面的结构一致性和事先设定并遵循统一格式的

19、需要 (ii) 确保每次会面所收集的基本数据符合预先设定的要求 (iii) 了解对初始会面结果进行检查并由被会面人检验的需要 (iv) 如果初始会面表明需要对以收集的数据进行澄清或添加就应重新安排下一步的会面进度 (c) 通过研习会进行数据收集 (i) 了解建立明确议程和一系列目标的需要 (ii) 确定适当的研习会管理方式并获得认同 (iii) 选择适当的地点、对可获得的位置、设施和人员情况进行评估 (iv) 在讨论中承担主持人和领导者的角色 (v) 确保研习会目标的完成 (vi) 确保在研习会结束时所有突出的议题被确认并就其解决方案的责任达成共识 (2) 提出并获得如何量化和评估潜在财务和非

20、财务影响的一致意见。 (3) 提出并获得非量化影响信息需求的一致意见并尽可能多地达成一致 (4) 制定问卷（如果需要）并完成答卷说明 (5) 确定数据分析方法（手工或计算机方式） b. 业务影响分析（BIA）报告 (1) 准备包含初始影响发现和论点在内的BIA报告草稿 (2) 向参与的负责人分发报告草稿并要求获得反馈 (3) 检查负责人的反馈并在合适的情况下根据反馈修订发现或增加重要论点 (4) 如果需要，安排有参与的负责人参加的、讨论初始发现的研习会或会议 (5) 确保原始发现得到更新以反映这些会议形成的变化 (6) 根据机构的要求准备BIA报告 (7) 准备并将正式的、体现BIA发现的报告

21、提交给委员会或行政机构 注意：不存在BIA报告格式或分发的标准，所以这些报告在不同的机构是不同的 4. 定义业务功能和记录的关键程度，并排定其优先顺序 a. 建立关键程度的定义，并与管理层协商单一或多种关键程度水平定义 b. 识别并排定关键功能的优先顺序 (1) 业务功能 (2) 支持功能 c. 识别并排定支持业务持续性和业务复原的关键记录 5. 确定恢复时间范围和最小资源需求 a. 根据关键程度级别确定关键业务功能的恢复时间范围 b. 根据并行和相互依赖的情况确定关键业务功能、支持功能和系统恢复的顺序 c. 确定恢复、继续关键功能和执行系统的最小资源需求 (1) 内部和外部资源 (2) 自有

22、与非自有的资源 (3) 现有资源和需要添加得的资源 6. 识别和排定业务处理的优先顺序 a. 业务处理的相互依赖性 b. 过程和技术的依赖性 (1) 部门内的 (2) 部门间的 (3) 外部的 7. 确定更换时间 a. 设备 b. 关键人员 c. 原材料组件 d. 其它 8. 关键记录管理 a. 识别机构所需要的关键记录，包括纸质、电子记录 b. 评估关键记录现有的备份、恢复流程c. 对机构所有关键记录的备份、恢复流程提出切实可行的建议主题4：制定业务持续性性策略 确定和指导备用业务恢复运行策略的选择，以便在恢复时间目标范围内恢复业务和信息技术，并维持机构的关键功能。 A. 专业角色是： 1.

23、 理解可用选项及其优势、劣势和费用范围，包括作为恢复策略的消减措施 2. 识别业务功能领域可行的恢复策略 3. 巩固策略 4. 识别备用场地和备用设施的需求 5. 制定业务单元策略 6. 获得管理层对制定策略的承诺 B. 专家应该证明其具有以下领域的实务知识： 1. 识别企业范围内和业务单元的持续性策略需求 a. 检查业务持续性问题 (1) 时间范围 (2) 选项 (3) 位置 (4) 人员 (5) 通信（危机媒体和语音数据） b. 检查各项支持服务的技术持续性问题 c. 检查各项支持服务的非技术持续性问题，包括那些不依赖于技术的支持系统 d. 比较内部外部解决方案 e. 识别可选的持续性策略

24、 (1) 不作任何事情 (2) 遏制措施 (3) 人工规程 (4) 互惠协议 (5) 备用站点或业务设施 (6) 备用产品来源 (7) 第三方服务商外包服务商 (8) 分布式处理 (9) 备用通信 (10) 消减措施 (11) 预案 f. 比较内部和外部的解决方案 g. 评估每种可选持续性策略伴随的风险 2. 根据业务影响分析的结果评估可选的策略 a. 有效分析业务需求的标准 b. 清晰定义持续性预案的目标 c. 制定一致的评估方法 d. 为持续性策略选项设定基线标准 3. 准备持续性策略的成本效益分析并将发现呈交给高级管理层 a. 实施实用的和容易理解的方法 b. 设定符合实际的评估和报告撰

25、写时间进度 c. 向高级管理层提出简明具体的建议 4. 选择备用站点和离站存储 a. 标准 b. 通信 c. 协议的考虑事项 d. 比较技术 e. 采购 f. 合同的考虑事项 5. 了解业务持续性服务的合同协议 a. 了解和准备用于提供持续性服务的正式协议中使用的需求陈述，如果合适，应包括司法规章需求 b. 在招标说明中明确表达任何所需的技术规格说明 c. 解释供应商提出的外部协议与所设定的原始需求的关联。 d. 识别任何不包含在所提出的标准协议中的特定要求 e. 了解并对可选和基本部分的内容提供建议 主题5：应急响应和运作 制定和实施用于突发事件响应以及平息突发事件所引起状况的规程，包括建立

26、和管理突发事件运作中心，该中心用于在突发事件中发布命令。 A. 专业角色是： 1. 识别潜在的突发事件类型和所需的响应（如火灾、危险物质泄漏、疾病等） 2. 识别现有的、正确的突发事件响应规程 3. 建议制定还没有的突发事件规程 4. 将灾难恢复业务持续性规程与突发事件规程整合起来 5. 识别管理突发事件的命令和控制需求 6. 建议制定对角色、职权进行定义的命令和控制规程以及管理突发事件的通信过程 7. 确保突发事件响应规程与公共当局的要求相统一 B. 专家应该证明其具有以下领域的实务知识： 1. 识别突发事件响应规程的要件 a. 报告规程 (1) 内部的（逐级规程） (a) 本地的 (b)

27、机构的（决策过程） (2) 外部的（响应规程） (a) 公共机构和媒体 (b) 产品和服务的供应商 b. 突发事件前的准备 (1) 根据灾难的类型 (a) 自然的事件 (b) 事故 (c) 有意的破坏 (2) 管理和职权的持续性 (3) 指定人员的角色 c. 紧急措施 (1) 疏散 (2) 医疗和人员咨询 (3) 危险材料响应 (4) 灭火 (5) 通知 (6) 其它 d. 设施的稳定 e. 消减损失 f. 测试规程和责任 2. 制定详细的突发事件响应规程 a. 人员的保护 (1) 人员集合的位置以及确保所有员工识别和安全的过程，如果需要包括适当的逐级过程 (2) 认识和了解充分和更严格地履行

28、任何相关法规要求的重要性 (3) 识别直接部署和后续合同的选项 (4) 了解法律规定的内在含义 b. 突发事件的控制 (1) 了解拯救和损失控制的原则 (2) 了解对用于控制业务影响的突发事件服务工作进行补充的可用选项 (3) 了解业务功能本身控制灾难影响的可能性 c. 后果的评估 (1) 分析形势并提供有效的评估报告 (2) 评价突发事件对机构的直接影响 (3) 将形势通报给相关设施和机构其它地点中的员工 (4) 提供对媒体可能关注事项的理解并与现存的公共关系和或市场部门联合制定响应方案 d. 决定最适宜的行动 (1) 了解在建议或决定持续性选项过程中需要考虑的事项 (2) 了解突发事件服务

29、的角色 (3) 维护安全的原则（人员、物理和信息） a. 设计和装备突发事件运作中心 b. 在突发事件中命令和决策的职权角色 c. 通信载体（如电子邮件、无线电、信使和移动电话等） d. 日志和记录的方法 3. 识别命令和控制需求 4. 命令和控制规程 a. 开启突发事件运作中心 b. 突发事件运作中心的安全 c. 突发事件运作中心团队的进度安排 d. 突发事件运作中心的管理和运作 e. 关闭突发事件运作中心 5. 突发事件响应和分类救护 a. 制定、实施和演练突发事件响应和分类救护规程，包括确定突发事件中行动的优先顺序 b. 制定、实施和演练分类救护规程，如急救和医疗；确定地点和制定到附近医

30、院的运输规程 6. 拯救和复原 a. 集合适当的团队 (1) 了解通过电话进行有效诊断的需要 (2) 了解在受到影响的地点对相关资源进行有效集中的需要 (3) 制定内部逐级规程以便在突发事件响应展开的现场提供所需等级的资源 b. 定义初始现场的行动策略 (1) 了解对直接消减损失和拯救需求进行识别的需要 (2) 了解其需求并在需要的情况下准备站点保安、安全和稳定措施计划 (3) 识别保护现场资产的适当方法，包括设备、房产和文档 (4) 认识建立与外部机构联络的潜在需要（如法规机构、突发事件服务如消防部门以及警察、保险公司、损失理赔等） (5) 了解业务需求和对其进行解释以协助物理资产的恢复 (

31、6) 与公共当局建立设施访问的规程 (7) 与第三方服务提供商建立规程，包括适当的合同协议 主题6：制定和实施业务持续性预案 设计、制定和实施业务持续性预案以便在恢复时间目标范围内完成恢复。 A. 专业角色是： 1. 识别规划过程的要件 a. 规划的方法 b. 规划的组织 c. 工作的指导 d. 人员的需求 2. 控制规划的过程和制作 3. 实施规划 4. 测试规划 5. 维护规划 B. 专家应该证明其具有以下领域的实务知识： 1. 确定预案制定的需求 a. 角色和责任 b. 制定行动计划检查列表 c. 检查和评估工具，如业务持续性规划软件 d. 获取业务过程、技术模型和流程图 e. 制定获取

32、信息的表格 f. 确定信息数据库的需求 g. 识别其它支持文档 2. 定义持续性管理和控制需求 a. 定义范围 (1) 识别可能会用到的事故突发事件过程 (2) 建议可能用于创建定义的严重程度标准 (3) 设计逐级标准 b. 确定和就持续性关键步骤的方法达成一致；记录一致的方法 c. 建立将突发事件响应转换为业务持续性规划的规程 3. 识别和定义主要预案要件的格式和结构 a. 预案的设计和格式 (1) 定义如何使预案的格式符合机构的情况 (2) 记录部门持续性预案的结构和设计 (3) 确保内建的机制易于管理 (4) 定义用于收集完成预案所需数据的过程 b. 分配任务和责任 (1) 识别需要完成

33、的任务 (2) 识别完成所需任务需要的团队 (3) 设定团队的责任 (4) 识别和列出关键合同、供应商和资源 4. 起草预案 a. 选择预案制定和维护的适当工具 b. 起草业务持续性规划（BCP），确保有完成规划所需的充足和适当的人员 c. 继续收集所需的数据以确保BCP的完全和正确 5. 定义业务持续性过程 a. 定位和分类机构信息 (1) 识别和确认对机构关键业务具有重要意义的过程和文档 (2) 识别和决定哪些信息处理应该被复制 (3) 识别存储需求 (4) 识别关键供应商 (5) 选择或建议业务备份的适当方法，包括了解存放周期和备份复制进度表等 b. 保护和复制策略 (1) 定义约束复制

34、选择和存储策略的假设 (2) 定义复制和存储特定类别和类型信息的项目 (3) 理解这些方法的优势和劣势 (a) 备份方法 (b) 复制方法 (c) 存储方法 (4) 理解可用的保护方法的优势和劣势 (5) 预测存储信息的保存期限 (6) 了解在介质的使用和环境条件下，在存储期间可能需要的适当处理方式 c. 信息恢复 (1) 建议适当的规程，考虑 (a) 最佳的恢复顺序 (b) 读取、写入设备和存储介质的兼容性 (c) 根据业务需求确定的时间范围 (d) 根据法律需求确定的时间范围 (e) 每天或每周例行任务的需求（如果可行） (2) 确定过程或处理信息的恢复或起始点 (3) 制定一系列合理的假

35、设，考虑各种现实的场景 d. 制定可选的业务方法 (1) 建议在受到灾难或其它中断事件影响而无法获得正常资源时，在成功完成恢复规程之前执行业务的备用方法 (2) 建议将业务功能方便地从任何备用、临时或紧急运行状态转换到新的被替换的重新安装的服务中的方法规程 6. 损害评估 a. 损害评估 (1) 创建评估损害的行动计划 (2) 了解修复与更换的经济性 (3) 了解拯救专家在选择和使用相关损害分析方法方面的能力 (4) 了解在选择适当的拯救运作分包商时所采用的标准 (5) 将损害评估与机构的业务持续性清晰地联系在一起 b. 定义还原策略 (1) 为恢复需求提供合理的、相关的和实用的方法 (2)

36、显示减少间接损失的能力 (3) 对业务资产的复原方法达成一致（如设备、电力、文档、数据、家具、房产、车间、计算机等） (4) 了解复原的批准过程，特别是批件的内在含义 (5) 定义复原的策略 7. 关键资源的采购 8. 安全 9. 人力资源和人事考虑 10. 制定一般性介绍或概述 a. 一般信息 (1) 介绍 (2) 范围 (3) 目标 (4) 假设 (5) 责任概述 (6) 测试 (7) 维护 b. 预案启动 (1) 通知 (a) 首要的 (b) 次要的 (2) 灾难宣布规程 (3) 动员规程 (4) 损害评估概念 (a) 初始的 (b) 详细的 (c) 团队成员 c. 团队组织 (1) 团

37、队描述 (2) 团队组织 (3) 团队领导的责任 d. 政策陈述 e. 突发事件运作中心 11. 制定管理部分 a. 识别具体支持功能的恢复功能 (1) 人事人力资源 (2) 安全 (3) 保险风险管理 (4) 设备物品采购 (5) 运输 (6) 法律 b. 了解公共关系媒体传播协调人的需要 (1) 资格 (2) 责任 c. 其它专业协调人团队责任 (1) 与法规实体的联系联络 (2) 与投资者的关系 (3) 与其它相关组织的关系（如客户和供应商） d. 识别关键记录项目的要件 e. 行动部分 (1) 恢复团队 (a) 人员 (b) 责任 (c) 资源 f. 行动计划 (1) 部门个人计划 (

38、2) 检查列表 (3) 技术性规程 12. 制定业务运作计划 a. 运作部门的计划 (1) 基本业务功能 (2) 信息的保护和恢复 (3) 启动措施 (4) 灾难站点恢复复原措施 (5) 最终用户的计算需求 b. 关键记录项目的要件 c. 行动部分 (1) 恢复团队 (a) 人员 (b) 责任 (c 资源 d. 行动计划 (1) 特定部门个人计划 (2) 检查列表 (3) 技术性规程 13. 制定信息技术恢复计划 a. 恢复站点的启动 (1) 管理 (2) 行政后勤 (3) 新设备 (4) 技术性服务 (5) 应用支持 (6) 网络通信 (7) 网络工程 (8) 运作 (9) 站点间的后勤和通

39、信 (10) 数据准备 (11) 生产控制 (12) 最终用户联络 b. 关键记录项目的要件 c. 行动部分 (1) 恢复团队 (a) 人员 (b) 责任 (c) 资源 d. 行动计划 (1) 特定部门个人计划 (2) 检查列表 (3) 技术性规程 14. 制定通讯系统预案 a. 语音通讯恢复预案 (1) 电话线路，包括接听、免费（1-800）线路和传真线路 (2) 语音邮件、语音应答单元和其它基于语音的服务 (3) 灾难期间自动语音应答的备用安排 b. 数据通讯恢复预案 (1) 基于大型机信息系统的数据通讯 (2) 以恢复工作区域为目的的局域网（LAN）恢复 (3) 以恢复全局连接性为目的的

40、广域网（WAN）恢复 (4) 电子邮件、工作组软件和其它基于数据通讯的工作支持 c. 强调和确保整个企业中的语音和数据通信网络具有详细和得到更新的文档 15. 制定最终用户应用预案 a. 预案的设计和结构 (1) 识别备用预案和结构的例子 (2) 定义如何将预案的结构与机构的情况紧密相连 (3) 记录部门持续性预案的结构和设计 (4) 确保内建的机制易于维护 (5) 预案和实施完成预案所需的数据收集 b. 识别并就恢复的关键步骤的方法达成一致；将达成一致的方法记录在文档中 c. 分配工作和责任 (1) 将恢复团队和部门团队区分开来 (2) 识别要完成的工作 (3) 识别完成所需工作需要的团队

41、(4) 给团队设定责任 (5) 识别和列出关键合同、供应商和资源的清单 16. 实施预案 a. 制定教育项目 (1) 用于制定和实施持续性预案的标准指导方针 (2) 持续性预案中定义的员工的角色和责任 (3) 整个机构中员工所要遵循的规程 (4) 对管理层和员工进行培训和意识培养的演示内容 b. 完成所需的任务 (1) 采购附加的设备 (2) 合同协议 (3) 准备备份和离站存储 c. 制定测试预案、进度表和报告规程 d. 制定维护、更新和报告规程 17. 持续性行动和规程 18. 建立预案分发和控制规程 a. 建立业务持续性预案的分发和控制规程 b. 建立预案演练结果的分发和控制规程 c.

42、建立预案更改和更新的分发和控制规程 主题7：意识培养和培训项目 准备建立对机构人员进行意识培养和技能培训的项目，以便业务持续性预案能够得到制定、实施、维护和执行。 A. 专业角色是： 1. 建立整体BCM意识培养和培训项目的目标和要件 2. 识别意识培养和培训的功能性需求 3. 制定意识培养和培训的方法 4. 采购或开发意识培养和培训的工具 5. 识别外部的意识培养和培训的机会 6. 识别整体意识培养和培训的可选选项 B. 专家应该证明其具有以下领域的实务知识： 1. 定义意识培养和培训的目标 2. 制定并提供各种类型的培训项目（如果需要） a. 基于计算机的 b. 教室 c. 基于测试的 d

43、. 教导性的指南和模板 3. 制定意识培养计划 a. 管理层 b. 团队成员 c. 新员工岗前和现有员工复习项目 4. 识别其它的教育机会 a. 业务持续性预案的专业会议和课程 b. 用户组织和社团 c. 出版物和相关的互联网站点 主题8：演练和维护业务持续性预案 对预案和预案间的协调性进行演练、并评估和记录预案演练的结果。制定维持持续性能力和BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证BCP的效率，并使用简明的语言报告验证的结果。 A. 专业角色是： 1. 预先计划和协调演练 2. 推动演练 3. 评估和记录演练结果 4. 更新预案 5. 向管理层报告结果

44、评估情况 6. 协调持续的预案维护 7. 协助建立对业务持续性预案的审计项目 B. 专家应该证明其具有以下领域的实务知识： 1. 建立演练项目 a. 制定演练策略，该策略应避免使机构陷于风险，应该对机构是实用的、具有成本效益的和恰当的，策略应确保机构在恢复能力方面具有很高的信心。 b. 使用逻辑的和结构化的方法（有效分析复杂问题） c. 创建一套正确的演练指导方针 2. 确定演练的需求 a. 定义演练的目标和建立可接受的成功等级 b. 识别演练的类型及其优势和劣势 (1) 排演桌面 (2) 模拟 (3) 模块部件（呼叫树、应用等） (4) 功能的（特定的业务流程） (5) 宣布的计划的 (6)

45、 非宣布的突然的 c. 建立和记录演练的范围（参与者、时间等） 3. 制定现实的场景 a. 创建最接近于机构可能经历的突发事件类型及其引起的问题的演练场景 b. 将所识别的场景对应到不同的测试类型中 4. 建立演练评估标准和记录发现 a. 制定与演练目标和范围一致的标准 (1) 可测量的和定量的 (2) 定性的 b. 按照所确定的标准记录结果 (1) 预期的与实际的结果 (2) 非预期的结果 5. 建立演练进度表 a. 制定逐步展开的进度表 b. 设定现实的时间尺度 6. 准备演练控制计划和报告 a. 定义演练的目标和选择适当的场景 b. 定义假设和描述限制条件 c. 识别执行演练所需的资源，

46、确定参与者；确保所有人理解目标及其角色 d. 识别演练的裁判者（仲裁者），并明确识别所有的角色和责任 e. 提供演练所需的项目清单和演练环境的规格说明 f. 提供演练的时间表并将其分发给所有的参与者、协助者和裁判者 g. 在演练时发生真实突发事件的情况下，需要事先制定的机制来取消演练，并调用真实的业务持续性过程 7. 推进演练 a. 按照如上计划执行演练 b. 审计演练活动 8. 演练后的报告 a. 提供令人信服的、全面的和包含建议的总结，应与演练仲裁者裁判者要求的或目标机构设定的信任级别相当 9. 反馈和监视由演练导致的行动 a. 召开任务报告会来检查演练的结果并确定进行改进的行动项目 b. 识别所建议的行动和建议人；告知建议人建议已收到 c. 确认完成或检查议定行动的时间进度 d. 监视（需要时逐级进行）完成议定行动的进程 10. 定义预案的维护方案和进度 a. 定义预案数据的拥有权 b. 准备维护进度和检查规程 (1) 选择工具 (2) 监视活动 (3) 建立更新过程 (4) 审计和控制 c. 确保进度中的预案维护涉及到所有所记录的建议 11. 阐明更改控制规程 a. 分析业务持续性预案中业务更改的含义 b. 设定用于对预案功