版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
业务连续性计划(BusinessContinuityPlanning,缩写为BCP)业务连续性计划概述业务连续性计划是一套基于业务运行规律的\o"管理"管理要求和规章\o"流程"流程,使一个\o"组织"组织在\o"突发事件"突发事件面前能够迅速作出反应,以确保关键业务功能可以持续,而不造成业务中断或\o"业务流程"业务流程本质的改变。\o"业务连续性"业务连续性是指\o"企业"企业有应对风险、自动调整和快速反应的能力,以保证企业业务的连续运转。为企业重要应用和流程提供业务连续性应该包括以下三个方面。1.高可用性(Highavailability)。它是指提供在本地故障情况下,能继续访问应用的能力。无论这个故障是业务流程、物理设施,还是\o"IT"IT软硬件故障。2.连续操作(Continuousoperations)。它是指当所有设备无故障时保持业务连续运行的能力。用户不需要仅仅因为正常的备份或维护而需要停止应用的能力。3.灾难恢复(DisasterRecovery)。它是指当灾难破坏生产中心时,在不同的地点恢复数据的能力。同时,上述三个部分不是相互孤立的,是相互关联,而且有交叉的。区分业务连续性和灾难恢复是很必要的。严格地说,灾难恢复是恢复数据的能力,是业务连续性计划的一部分。让业务连续性计划成为企业变化管理文化的一部分。在制定企业业务连续性计划之后,不要把这个计划放在一边。要确保该计划的切实可行,就需要把它变成活动的文档。如果企业的业务模式发生了变化,或是业务过程进行了重新设计,或是发生突发状况时的重要联系人不再为公司工作,旧的计划就需要及时进行更新。当有变化时,每个员工都应该问问自己该变化会对业务连续性计划中涉及到自己的部分会产生怎样的影响。业务连续性计划的重要性现在的社会特别是\o"经济"经济社会对网络的依赖日益加深,传统的备份恢复式安全计划已经无法保证企业业务的连续运行。业务连续性计划正是因此而生,它根据业务流程而非针对技术进行制订,有助于建立起更具统筹能力的\o"安全管理"安全管理制度。据\o"GartnerGroup"GartnerGroup的调查结果显示,如果企业的大型数据中心和信息基础设施停止运行10日以上,超过百分之三十的企业在一个季度内倒闭,而接近90%的企业在一年内倒闭。这些数据说明了保证业务连续有效的运行对企业来说是多么重要,同时也可以看出企业花费大量的资金于业务连续性计划最核心的原因。业务连续性计划的基本要素BCP的基本要素笼统地说,BCP的目标只有一个,那就是确定并减少危险可能带来的损失,有效地保障业务的连续性。而有关BCP的一些特定目标我们将在以下各个部分中加以描述。BCP实施的最终结果是:一组防范危险的评测指标;一支执行\o"团队"团队,在经过\o"培训"培训后可以处理各种危险事件;一套计划,提供危险发生时的路线图。该计划应该是充分和完备的,必须详细落实到该计划实施范围内的每一个单位、人员或设备。每个企业所制定的BCP都应该有每个企业或者所处行业独有的特色,彼此之间不会完全一致,但大致上说来,一个完备的BCP主要是由以下一些关键部分构成的:一、危险评估危险评估就是认识并分析各种潜在危险的结果。这些危险的来源可能是:各种区域性的天然灾难,如洪水、地震、疫病等;人为事故或蓄意破坏造成的严重灾难,如火灾、恐怖主义袭击等;安全威胁、硬件、网络或通信故障;灾难性的应用\o"系统"系统错误。所有的危险都应纳入企业的危险评估范围,并且应对各种危险的可能来源地进行较准确的\o"定位"定位。对于每一种危险的来源都应该认识到:危险的类型;危险的程度;危险发生的可能性。比如说,如果按照有无警示性先兆来分,各类危险还可以分为:有些危险可能没有任何先兆而突然发生,无法事先防范;有些危险可以有一定的先兆,可以迅速启动\o"应急计划"应急计划加以防范,比如疫病的传播;有些危险可能从来不会发生。如果按照危险的破环类型或程度来分,它们对业务的影响可以分为:\o"经营"经营场所及设备完全破环;经营场所及设备部分破环;经营场所及设备完好,但人员不能进入,比如疫病的隔离、恐怖威胁造成的人员输散等。显然,对于企业来说,一个完备的BCP必须尽可能多地考虑到所有可能的危险情况,只有处理\o"灾难性事件"灾难性事件的计划而没有处理应用系统失误的计划,这样的BCP是不完备的;反之亦然。企业所制定的BCP应该同时兼顾两个方面——预防和\o"控制"控制。例如,人为事故和蓄意破坏可以通过物理安全和个人行为的评测来预防。而应用系统的错误则可以通过对软件的有效评测与测试来预防。危险评估的最后结果应该是一份有关危险效益分析的详细陈述报告,要有对危险的精确描述、哪些危险可能发生,以及需要采取的保障业务连续性和缓和危险的措施,同时要有因为克服了危险而带来的收益分析。这份报告还应该描述清楚任何现有的前提或者限制因素。二、\o"业务影响分析"业务影响分析(\o"BIA"BIA)业务影响分析(\o"BusinessImpactAnalysis"BusinessImpactAnalysis)实质上就是对关键性的企业功能、以及当这些功能一旦失去作用时可能造成的损失和影响的分析。对于企业业务运营的关键人员来说,他们需要分析:A.影响哪种功能对于企业的整体\o"战略"战略而言是生死攸关的该功能在多长时间内失效不会造成影响和损失企业的其他业务功能由于该功能的失效会受到何种影响——运营影响分析该功能的失效可能造成的收入影响——财务影响分析该功能是否会对\o"客户关系"客户关系造成影响——客户信心的损失该功能是否会对\o"市场份额"市场份额造成影响——市场占有率的下滑该功能是否会对企业在行业中的地位造成影响——\o"企业竞争力"企业竞争力的损失该功能是否会影响今后的销售——机会的丧失什么是最大的/可承受的/可允许的失效B.业务恢复\o"需求"需求要使该功能连续,需要哪些\o"资源"资源和数据纪录最少的资源需求是什么哪些资源可能来自企业外部它与企业其他功能的依赖关系以及依赖程度企业的其他功能与该功能的依赖关系以及依赖程度该功能与企业的外部业务/\o"供应商"供应商/其他厂商的依赖关系以及依赖程度在缺少试验环境的情况下进行恢复,需要采取怎样的预防措施或检验手段在进行了这些分析之后,才有可能对企业的各种功能进行分类:a)关键功能——如果这类功能被中断或失效,就会彻底危及企业的业务并造成严重损失。b)基础功能——这些功能一旦失效将会严重影响企业长期运营的能力。c)必要功能——企业可以继续运营,但这些功能的失效会在很大程度上限制企业的效率。d)有利功能——这些功能对企业是有利的;但它们的缺失不会影响企业的\o"运营能力"运营能力。根据各种功能的恢复需求,企业便可为上述各类功能制定标准的恢复时间架构。例如,关键功能<1天;基础功能:2~4天;必要功能:5~7天;有利功能:>10天。影响分析可以帮助企业确定各类业务功能的优先顺序,换句话说,也就确定了各业务功能的优先恢复顺序。BIA有助于定义恢复对象。在进行了影响分析之后可能会发现,在一次灾难之后恢复业务运营时,首先恢复部分功能就足够了,比如说在24小时内先恢复日常业务的40%就够了。详细定义好在灾难或业务中断之后保障业务功能运营的资源需求也是可能的。这些资源需求包括\o"基础设施"基础设施、\o"人力资源"人力资源、文档、记录、设备、电话、传真机等,无论需要什么资源都要有完备的规范要求。拥有适当的细节要求是非常重要的,因为在危险事件发生时,会产生一定程度的慌乱,到那时再决定这类细节已经不可能了。\o"成本"成本因素在进行影响分析时也是不能忽略的。我们需要记住以下一些事项:收入的损失和商机的丧失与恢复所需的时间直接成正比一种恢复策略的成本与恢复所需的时间成反比可能的恢复策略的成本必须和在采纳该策略之前由于业务功能中断而造成的实际损失进行比较。如果所建议的恢复策略的成本远高于预计的成本,那么这种策略就是不可取的。三、策略BCP应包括以下策略:A.预防预防的目的在于减少灾难发生的可能性。有关预防的策略应该包括制止和预防控制。制止控制可以减少危险的可能性。预防控制则是保护企业的弱点区域,以防御危险的发生并降低其影响。这两类控制在实际运营中广泛存在,比如经营场所的安全、人员控制、相关基础设施(如UPS、后备电池、烟火探测器、灭火器等)、软件控制、相关的存储和恢复等。企业希望保障其资源(包括\o"信息资产"信息资产)的可用性和安全性,其安全策略必须针对这些对象而制定,并且提供有关资源使用和管理的指南。在熟悉了企业的所有资源、资源的布局以及危险管理等之后,才可能拿出实施安全策略所需的必要的控制措施。这些控制措施或安全举措必须时时加以检查和\o"测试"测试。如果一种安全策略,能将预防措施都部署到位,可以监控对系统的入侵并防范那些试图破坏系统的行为,那么其本身就是一种制止控制。预防计划的执行必须小心谨慎。必须保证实施安全策略时既不能对日常业务带来限制,出现\o"瓶颈"瓶颈,也不能引起可用性问题,或者给系统的访问和使用带来障碍。B.响应响应就是当危险发生时的反应。它必须能够阻止危险的进一步扩大,评估危险的程度,通过与外部世界的正常通信联络挽回企业的声誉,并启动必要的恢复时间表。对业务中断的第一反应应该是告知所有相关的人员。如果危险有事前警示的话(比如这次的非典爆发),那么这种告知就可以提前进行。及时的告知非常重要,因为这可能会给阻止危险的进一步扩大创造机会。如果在适当的时机执行一次关机、一次转换或者一次撤离,甚至有可能完全防止危险的发生。但是这需要有诊断或探测控制的存在。这类控制或者可以持续扫描以探测发生中断的征候(网络、服务器),或者可以从外部资源搜集信息(自然灾害)。准确的告知程序必须事先制定好。必须清楚地记录在案:需要告知谁,怎样告知,由谁告知,而且还得有逐步扩大的\o"机制"机制。在BCP中必须设立好一棵告知树。最初的告知发送给一组人,然后再由他们中的每个人去告知另一组人,依次类推。属于这棵告知树的人都有不同的责任和作用,所涉及的人员应包括:管理团队——需要获得有关危险发展状况的信息。该团队有权力启动紧急响应体系和下一步的行动。管理团队还要负责与媒体、\o"公众"公众、\o"客户"客户以及\o"股东"股东们打交道。危险评估团队——需要立刻对危险进行评估,评价业务中断的严重程度。技术团队——应当为关键决策制定者如何采取下一步BCP行动提供\o"服务"服务。运营团队——应当执行BCP的实际运作。还有很重要的一点就是每一个团队都应明确第二负责人。万一第一负责人没有通知到或者无法负起责任,那么必须告知第二负责人。告知可以使用各种工具或手段:如手机、呼机、短信、电话和E-mail。每个团队都应当有相应的配备。危险评估团队应该是最早(或者与管理团队同时)被告知的。他们应当最早来到现场,以便评估所遭受的危险程度和级别。如果工作现场已经遭到破坏,那么他们就应该做好各项准备,一旦允许进入现场就开始工作。评估过程本身也应有计划地进行,必须与保障业务连续性的优先顺序密切相关。这就是说评估团队应当意识到危险所影响到的工作区域和工作流程是否对整个业务的运行至关重要。这将有助于他们优化其评估进程,同时也可正确地关注关键性工作区域。这支团队需要察看以下事项:中断的原因是什么阻止危险扩大的前景如何基础设施和设备受损情况业务受影响状况关键记录受损情况可以挽回什么损失什么设备需要修理、恢复和更换有了危险评估团队提供的有关受损程度和受损区域的详尽信息,技术团队便可立刻投入工作。BCP必须拥有一组基于业务影响分析和持续性目标的预设参数,这些参数应该能够区分出中断和灾难的不同性质,同时也能评价出危险的严重程度。当危险评估团队和技术团队开始工作时,其他BCP团队也应依照警示告知到位,以便按照连续性计划采取应当采取的行动。C.业务接续(Resumption)业务接续只涉及那些时间敏感的业务流程,要么是在中断发生后立即接续,要么是在可允许的一段平均时间后接续,但不是对所有业务的恢复。一旦BCP被激活,命令将从指挥中心发出。这个指挥中心应该是在一个不同于日常经营场所的地方。该中心应配备相应的通信设施、办公设备,可能的话还应该构建\o"局域网"局域网和\o"VPN"VPN。需要做出的第一个\o"决策"决策是,关键性业务的运营能否在日常的工作场所或者在一个备选场所很快恢复运营。备选场所可以分成以下几类:(a)空场所(ColdSite)——该场所只需配备必要的环境条件即可,比如说,应配备电话插座、电源以及UPS等,但要避免其内有任何其他设备,它的作用就是准备将保障业务持续所需的全部设备搬移进来。(b)热场所(HotSite)——该场所是一个完全的备份场所,有人员工作的空间,所有设施一应俱全,数据备份也是最新的。一旦灾难发生,BCP团队只需进驻该场所就可开始工作,不会有额外的时间拖延。(c)温场所(WarmSite)——该场所实际上就是配备了部分设备的热场所,数据备份不算最新,但也不能太旧。(d)机动场所(MobileSite)——该场所是一个具有较小设施配置的机动场所。可以位于主要经营场所附近,因而也可节省关键人员在路程上花费的时间。(e)镜像场所(MirroredSite)——该场所在所有方面都与主要经营场所完全相同,信息和数据也与主要场所同步。实际上该场所就是正常状况下的一个冗余场所,因而通常也是成本最高的一种选择。在备选场所(或主要场所,如果仍然可用的话),\o"工作环境"工作环境需要恢复。通信、网络和工作站需要设置。与外界的联系必须持续畅通。企业可以首先手动恢复一些业务,直到关键的IT业务可以继续运行为止。当然,如果恢复计划(下面就要讲到)允许,那么关键业务功能也可采用自动方式迅速恢复。D.业务恢复(Recovery)业务恢复是启动时间敏感度稍低一些的业务流程。业务恢复的开始时间要取决于接续那些时间敏感的业务流程需要的时间。在进行业务恢复的场所(可以是主要经营场所或备选场所),需要在备份的设备上恢复操作系统,并按照关键性次序恢复必要的应用系统。当服务于关键功能的应用系统恢复之后,则需要从备份磁带或其他异地备份媒介上恢复数据。备份数据也必须经常保持同步,也就是说,重建的数据应当与业务中断之前的某一预先确定的时点的数据相吻合。该时点的选择取决于关键业务的要求。由于\o"商业"商业数据有各种不同的来源,因此重建的每一种数据都必须达到所需的数据一致性状态。经过同步的数据必须经常进行复查并保持其有效。这种复查必须强制执行,因为在危险发生的紧急关头,不可能再有闲暇来测试数据是否可用。因此,必须要有一套清楚的方法、策略或复查清单来执行这个让数据保持其有效性的过程。一旦数据达到了可靠的状态,企业的事务就可以加速运行,因为灾难已经得到处理,所有的关键性功能都已得到接续。逐步地,其他业务也可开始恢复其功能。E.复原(Restoration)复原则是修复并恢复主要的经营场所。最终是要在原有的场所或者一个全新的场所完全恢复所有的业务流程。就在恢复团队开始从某个备选场所开始支持恢复运营的时候,对主要场所的全部功能进行复原的工作也可以展开。如果原有场所在灾难后的确无法恢复,则需要在一个新的场所进行复原工作。恢复团队和复原团队的成员有可能是同一组人。必须确保该复原场配备必要的基础设施、设备、硬件、软件和通信设备。而且要对该场所能否处理全部的业务流程进行测试。执行上述所有行动的计划应当包括一个时间跨度定义,确定在某一跨度内必须完成哪些行动。这个时间跨度的定义必须与企业的恢复目标相一致。BCP团队必须意识到,如果在任一时点,他们的行动超出了规定的时间跨度,那么这个意外事件就必须立刻上报到指挥中心,由指挥中心马上制定相应的解决办法,否则企业就无法实现其恢复目标。四、指标定义在危险评估和业务影响分析阶段之后,保持业务连续的基础业务就已经显现出来。我们在上面已经说过,按照业务术语可将企业的业务功能分成4类,即关键业务、基础业务、必要业务和有利业务。这种分类可以让业务连续的优先顺序十分清晰,这样,业务恢复的目标就可以用下面的指标进行量化:恢复的时间目标(RTO)——最大可允许中断时间恢复的时点目标(RPO)——数据损失可允许的最远回溯时点由于引进了BCP的评测指标而导致的企业性能退化实施BCP的成本业务连续性计划的内容业务连续性计划既可以分成几个单独的计划:即预防、响应、业务接续、业务恢复和复原计划,也可以由每一个这样的计划构成总的计划书中的不同章节。1.基本\o"项目"项目目的制定计划的目的必须加以说明。还应该说明即划分几个阶段试时,每个阶段所要实现的目标是什么。范围说明有哪些部门和运营业务需要实施BCP。如果一个BCP只针对某些灾难而非全部灾难,则需要针对这些特殊灾难制定专门的实施处理脚本。必备条件/前提条件和限制因素形成一份BCP的前提条件需要在此说明。在某些情况下,还须说明BCP成功的必备条件。比如说,服务器的数据备份间隔不得超过多少小时,受过训练的运营恢复团队必须呼之即来,备选场所必须在灾难发生之后多少小时之内一切准备就绪等等。如果BCP计划的执行还存在一些限制条件的话,也应在此列出。团队BCP团队的组织/负责人选、下属哪些分支团队、团队的作用和责任等,都必须在此说明。指标作为一种策略,企业必须由用于恢复的RPO和RTO指标,以及性能指标等,这些指标应该在此加以说明,并向客户和股东说明。2.预防保护作为BCP中的一个实施部分,预防措施需要在此说明。这些措施可以概括如下:监督访问控制身份认证防病毒过滤入侵检测系统备份计划3.紧急响应响应的准备在响应阶段需要哪些资源应当在此列出,同时详细申明这些资源的配置和所需数量。如果还需要一些文档和记录的硬拷贝,也必须在此申明。告知树危险评估何时对外宣布激活BCP的关键标准4.业务接续从紧急响应阶段到业务接续阶段如何进行衔接是需要在这里说明的。有关业务接续运营的决策过程、在哪里以及怎样进行业务接续、需要采取什么行动,以及接续哪些业务到何种程度等等,都需要在此加以说明。还要为BCP团队中的各个小组指定各自应该采取的行动,每个小组要完成指定的任务。BCP中的这一部分也称为业务接续计划(BRP)。5.业务恢复执行业务恢复的程序在此加以说明。BCP的这一部分也可称为灾难恢复计划(DRP)。这一部分计划文档的组织可以有很多种方式。一种方式就是简单地列出所有的恢复目标(按照RPO、RTO、目标服务器/网络等来列)。根据每一目标进行计划分解,同时明确相应的团队/负责人以及任务。还有一种方式就是按部门来组织。无论采用哪种方式,都应确保所有的BCP目标都能覆盖到。计划的这一部分必须编排得像一本操作手册,由一系列简单明确的指令构成,恢复团队完全可以按照这些指令进行恢复操作。各种操作之间的相互关系也必须加以明确说明。所有的指令和说明必须明白无误,以免因可能引起误解或不明了而导致时间损失。6.复原为业务运营复原原有场所应采取的步骤在此加以说明。需要标明每个团队/负责人的责任和任务。业务连续性计划的运作流程BCP运作共有6个阶段,分别为:1、项目初始化、2、\o"风险分析"风险分析及业务影响、3、策略及实施、4、BCP开发、5、\o"培训计划"培训计划、6、测试及维护。1、项目初始化获得管理层的支持与投入为了确保该程序能够成功,高级管理层必须参与其中。BCP计划必须成为公司的战略性业务计划之一。同时,公司必须设定合理\o"预算"预算,并为BCP提供独立的预算。建立团队必须建立一个团队,人员包括财务部,审计部,信息技术部,人事部,行政部等等。当灾难开始时,这些部门在继续扮演他们承担的支援角色的同时,也必须实施重大的机构转变以援助受影响的区域。法律部、\o"公关部"公关部与投资部在事件发生后需要向公众及股东通告公司的运作状况。2、风险分析及业务影响分析决定BCP需求的关键驱动力是“企业能在灾难中承受多少金额的损失”?业务影响分析的目的是回答以下问题:保护何种\o"资产"资产?(资产识别与评估)资产的威胁与脆弱点?(脆弱点和威胁评估)有没有控制措施?控制措施能否预防或减少潜在的威胁?(评估控制)投入金额/劳力的多少?(决定)\o"投入资金"投入资金的效率如何?(通讯和监控)当进行业务影响分析时,应考虑以下几方面:金额的影响:如果不采取相应的措施,则组织的经济损失是多少?客户的影响:如果发生业务中断,则组织会损失多少市场占有率法律的影响:组织是否遵从法律的要求?内部依赖关系的影响:中断的业务是否会其他领域的关键业务?作为业务影响分析的一部分,应该评估业务允许中断的时间长短;组织能提供多常时间的信息;当信息重新可用时,允许损失的信息是多少?这些问题可以通过恢复时间目标(recoverytimeobjective(RTO))和恢复点目标(recoverypointobjective(RPO))来决定。决定BCP需求的另一个因素是“灾难实际发生的可能性”。此因素由威胁的级别和组织具有的薄弱点范围决定,威胁的程度取决于下列因素:有恶意性的破坏,如轰炸、纵火、工业间谍等。意外事故,如组织的办公场所、环境,内部系统和处理程序的\o"质量"质量。3、业务持续性策略及实施业务持续性策略业务影响分析为制定业务持续性策略提供必要的信息,下来,根据提供的信息,可以确定多种满足组织业务持续管理的方案。必须为各种业务持续方案进行成本、效益及风险分析,包括:满足业务持续目标的能力影响的可能性安装设备的成本维护、测试及调用设备的成本中断对于技术、组织、文化和管理的干扰及未采取\o"持续管理"持续管理的潜在影响应该仔细考虑采取业务持续方案确实解决了具体的风险但不会增加其它风险。通过风险降低和业务持续方案成本的平衡来决定业务持续策略以降低风险达到业务持续的目标。实施设立组织及准备实施计划书实施备份安排实施降低风险的措施4、BCP开发开发业务持续性计划之前,确定灾难发生的情况下执行的行动,你需要熟悉每天的操作任务。这意味这你需要熟悉每一个业务处理过程的基本文档。在开发业务持续性计
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 装裱书画合同书
- 完整版夫妻婚内忠诚协议
- 2024年度服装生产设备购置合同
- 借用他人名义购房协议书
- 家具专卖店装修合同下载
- 2024年度建筑节能改造合同4篇
- 污水运输合同协议书
- 土地测绘合同范本
- 创新精神课件英文
- 应当自用工之日起几日内订立书面劳动合同
- 全包装修合同(2024版)
- 国家职业大典
- 大学生劳动教育概论智慧树知到期末考试答案章节答案2024年南昌大学
- 以案说纪违反六大纪律典型案例学习教育课件
- 网络安全技能竞赛(CTF)考试题库-下(多选、判断题)
- 使用单位特种设备日管控、周排查、月调度记录
- 《生物安全培训》课件-2024鲜版
- 责任保险行业可行性分析报告
- 劳务派遣人员薪资管理办法
- 医疗设备清单-2
- 生命哲学:爱、美与死亡智慧树知到期末考试答案章节答案2024年四川大学
评论
0/150
提交评论