2022年业务连续性计划测试要点

1、业务连续性方案测试要点 对已经制定业务连续性方案的企业来讲,不断保护方案,确保方案的时效性和有用性,就成为了企业实施业务连续性治理的的主要任务；企业可以通过实施变更治理来实现业务连续方案的不断更新,通常定期的审计是一种可行的方法；除此以外,仍需要进行定期的测试（包括演练）；通过测试一方面可以全面检查方案的有效性和可行性,另一方面可以确保组织成员能够以正确的流程、规范的行动高效应对危机；正由于如此,企业应当至少每年做一次全面的测试；简洁来讲,测试的目标就是确认一个组织在发生灾难（或者危机大事）时,执行业务连续性方案的能力；但如何组织和治理测试和演习,以确保测试的规范性和有效性,是很多用户关怀的问

2、题；测试前的预备工作第一要明确测试的目的和测试的方式；测试方式多种多样,依据测试的目的不同,测试的方式可以是简洁的桌面测试,也可以是全面的场景演习等等；测试过程的治理团队很重要,测试应当由训练有素的团队来规划、实施和掌握；通常起草业务连续性方案的人员是治理和掌握测试的正确人选（在应急复原过程中承担重要角色的人员除外）；为了确保测试的组织成效,应当事先对实施测试过程的团队进行培训；在测试之前,需要 “设计 ”一个供测试用的模拟场景；场景应当包括一系列很可能发生的大事；这些事件应当经过恰当的设计,确保可以测试到方案中的全部（或者相应部分,视测试的范畴而定）行动要素；对测试的结果进行分析和评估是必需

3、的；因此,要事先制定测试反馈信息表,做好收集反馈信息的准备工作,确保测试终止后可以尽快收集到反馈信息；应当积极与领导沟通；测试需要费用,所以事先要有相应的预算,并报请领导批准；此外,测试过程不行防止地会影响到员工的正常工作,甚至影响业务的进展,这一点也需要事先得到领导的认可；另外员工可能会在测试的日期正好出差在外,这些都需要做充分的考虑；假如测试需要单位外部的人员（例如业务连续性方案中提到的应急产品供应商等）参加,就更需要积极进行和谐和沟通,事先要认真考虑外部人员参加的方式和程度；测试过程规划测试的过程需要进行具体的规划；规划主要步骤包括：分析业务连续性方案,制定测试方案,设计测试场景,预备测

4、试反馈看法表等；其中分析业务连续性方案是其他工作的基础；测试方案的制定过程本身可能也很复杂,所以也需要细心支配； 应当考虑到制定测试规划过程中的所有步骤,每个步骤的执行时间和负责人,以及每个步骤之间的前后次序；可以考虑采纳项目治理软件来帮助完成；测试的参加者应当涉及组织的各个关键部门,而且,应当包括了业务连续性方案中的相应角色；实际 上,在测试过程中有两类参加者,第一类参加者积极行动,应对“危机 ”；其次类人员治理和掌握测试 过程,包括收集现场的数据；两类参加者的具体人选都特别重要；测试场景的设计企业应当充分重视测试场景的重要性；折扣；在设计场景时,要重点关注危机发生后的 尽可能掩盖危机方案中

5、定义的关键行动；未经认真考虑、 不够完善的场景经常会使整个测试的成效大打24 小时；场景应当包括一系列需要积极响应的大事,并场景应当能反映对业务影响较大的威逼和风险；应当第一考虑在风险评估阶段供应的风险信息；由于在应对不同的风险时,需要不同的应急响应流程和行动,因此可能需要设计和测试的场景不只一个；由于参加者要随着测试场景的进展准时做出反应,所以场景应当足够逼真；在描述场景时,应当尽可能采纳真实的客户姓名、员工姓名、地点名称、产品名称、设施名称等等,名称越真实,会给测试者越“逼真 ”的感觉,测试的成效就越好；但由于采纳了真实的名称,有可能在测试的时刻,真实的名称需要做最终的确定, 这一点肯定要

6、留意； 另外,为了获得测试的真实成效,应当对场景设计信息保密,防止测试参加者事先获得信息,从而使测试成为走过场；测试结果的分析测试完成后,应当准时收集测试参加者的反馈信息；通过反馈的信息,可以检查方案的有效性；在必要时可以对方案进行调整,仍可能需要考虑做进一步的测试；留意应当收集全部参加测试者的反馈信息,包括被测试的人员和测试的组织治理者；测试终止后,需要分析的内容很多,而且具体的分析内容与具体的业务连续方案有关；但一般来讲,在对测试结果进行分析时,通常需要回答如下几方面的问题：方案可行么？测试流程能否满意时间要求？基本的通讯手段是否有效？是否方案中的每个人都充分明白了自己的角色？各类应急设施在复原时能否工作正常？每位员工都能很好地完成自己的工作么？IT 设施工作正常与否？需要复原的数据是否正确？有多少员工需要进行改进？场景可信度怎么样？需要做什么后续改