业务连续性计划清单BCP

业务连续性计划事先制定一个完备的业务连续性计划（BusinessContinuityPlanning,缩写为BCP），积极防范并且应变解决劫难发生的一系列后果，将劫难的蔓延和损失控制在公司可以承担的范围以内，已成为现代公司管理范畴内的一个十分重要的任务。【第一部分】BCP的基本要素笼统地说，BCP的目的只有一个，那就是拟定并减少危险也许带来的损失，有效地保障业务的连续性。而有关BCP的一些特定目的我们将在以下各个部分中加以描述。BCP实行的最终结果是：●一组防范危险的评测指标；

●一支执行团队，在通过培训后可以解决各种危险事件；

●一套计划，提供危险发生时的路线图。该计划应当是充足和完备的，必须具体贯彻到该计划实行范围内的每一个单位、人员或设备。我们下面所要讨论的重要是与公司中IT设施相关的内容，没有涉及到公司人员在危险状况下的安全管理问题。每个公司所制定的BCP都应当有每个公司或者所处行业独有的特色，彼此之间不会完全一致，但大体上说来，一个完备的BCP重要是由以下一些关键部分构成的：一、危险评估危险评估就是结识并分析各种潜在危险的结果。这些危险的来源也许是：●各种区域性的天然劫难，如洪水、地震、疫病等；

●人为事故或蓄意破坏导致的严重劫难，如火灾、恐怖主义袭击等；

●安全威胁、硬件、网络或通信故障；

●劫难性的应用系统错误。所有的危险都应纳入公司的危险评估范围，并且应对各种危险的也许来源地进行较准确的定位。对于每一种危险的来源都应当结识到：

●危险的类型；

●危险的限度；

●危险发生的也许性。比如说，假如按照有无警示性先兆来分，各类危险还可以分为：●有些危险也许没有任何先兆而忽然发生，无法事先防范；

●有些危险可以有一定的先兆，可以迅速启动应急计划加以防范，比如疫病的传播；

●有些危险也许历来不会发生。假如按照危险的破环类型或限度来分，它们对业务的影响可以分为：●经营场合及设备完全破环；

●经营场合及设备部分破环；

●经营场合及设备完好，但人员不能进入，比如疫病的隔离、恐怖威胁导致的人员输散等。显然，对于公司来说，一个完备的BCP必须尽也许多地考虑到所有也许的危险情况，只有解决劫难性事件的计划而没有解决应用系统失误的计划，这样的BCP是不完备的；反之亦然。公司所制定的BCP应当同时兼顾两个方面——防止和控制。例如，人为事故和蓄意破坏可以通过物理安全和个人行为的评测来防止。而应用系统的错误则可以通过对软件的有效评测与测试来防止。危险评估的最后结果应当是一份有关危险效益分析的具体陈述报告，要有对危险的精确描述、哪些危险也许发生，以及需要采用的保障业务连续性和缓和危险的措施，同时要有由于克服了危险而带来的收益分析。这份报告还应当描述清楚任何现有的前提或者限制因素。二、业务影响分析（BIA）业务影响分析（BusinessImpactAnalysis）实质上就是对关键性的公司功能、以及当这些功能一旦失去作用时也许导致的损失和影响的分析。对于公司业务运营的关键人员来说，他们需要分析：A.影响●哪种功能对于公司的整体战略而言是生死攸关的

●该功能在多长时间内失效不会导致影响和损失

●公司的其他业务功能由于该功能的失效会受到何种影响——运营影响分析

●该功能的失效也许导致的收入影响——财务影响分析

●该功能是否会对客户关系导致影响——客户信心的损失

●该功能是否会对市场份额导致影响——市场占有率的下滑

●该功能是否会对公司在行业中的地位导致影响——公司竞争力的损失

●该功能是否会影响此后的销售——机会的丧失

●什么是最大的/可承受的/可允许的失效B.业务恢复需求●要使该功能连续，需要哪些资源和数据纪录

●最少的资源需求是什么

●哪些资源也许来自公司外部

●它与公司其他功能的依赖关系以及依赖限度

●公司的其他功能与该功能的依赖关系以及依赖限度

●该功能与公司的外部业务/供应商/其他厂商的依赖关系以及依赖限度

●在缺少实验环境的情况下进行恢复，需要采用如何的防止措施或检查手段在进行了这些分析之后，才有也许对公司的各种功能进行分类：a)关键功能——假如这类功能被中断或失效，就会彻底危及公司的业务并导致严重损失。

b)基础功能——这些功能一旦失效将会严重影响公司长期运营的能力。

c)必要功能——公司可以继续运营，但这些功能的失效会在很大限度上限制公司的效率。

d)有利功能——这些功能对公司是有利的；但它们的缺失不会影响公司的运营能力。根据各种功能的恢复需求，公司便可为上述各类功能制定标准的恢复时间架构。例如，关键功能<1天；基础功能：2～4天；必要功能：5～7天；有利功能：>10天。影响分析可以帮助公司拟定各类业务功能的优先顺序，换句话说，也就拟定了各业务功能的优先恢复顺序。BIA有助于定义恢复对象。在进行了影响分析之后也许会发现，在一次劫难之后恢复业务运营时，一方面恢复部分功能就足够了，比如说在24小时内先恢复平常业务的40%就够了。具体定义好在劫难或业务中断之后保障业务功能运营的资源需求也是也许的。这些资源需求涉及基础设施、人力资源、文档、记录、设备、电话、传真机等，无论需要什么资源都要有完备的规范规定。拥有适当的细节规定是非常重要的，由于在危险事件发生时，会产生一定限度的慌乱，到那时再决定这类细节已经不也许了。成本因素在进行影响分析时也是不能忽略的。我们需要记住以下一些事项：●收入的损失和商机的丧失与恢复所需的时间直接成正比

●一种恢复策略的成本与恢复所需的时间成反比

●也许的恢复策略的成本必须和在采纳该策略之前由于业务功能中断而导致的实际损失进行比较。假如所建议的恢复策略的成本远高于预计的成本，那么这种策略就是不可取的。三、策略BCP应涉及以下策略：A.防止

防止的目的在于减少劫难发生的也许性。有关防止的策略应当涉及制止和防止控制。制止控制可以减少危险的也许性。防止控制则是保护公司的弱点区域，以防御危险的发生并减少其影响。这两类控制在实际运营中广泛存在，比如经营场合的安全、人员控制、相关基础设施（如UPS、后备电池、烟火探测器、灭火器等）、软件控制、相关的存储和恢复等。公司希望保障其资源（涉及信息资产）的可用性和安全性，其安全策略必须针对这些对象而制定，并且提供有关资源使用和管理的指南。在熟悉了公司的所有资源、资源的布局以及危险管理等之后，才也许拿出实行安全策略所需的必要的控制措施。这些控制措施或安全举措必须时时加以检查和测试。假如一种安全策略，能将防止措施都部署到位，可以监控对系统的入侵并防范那些试图破坏系统的行为，那么其自身就是一种制止控制。防止计划的执行必须小心谨慎。必须保证实行安全策略时既不能对平常业务带来限制，出现瓶颈，也不能引起可用性问题，或者给系统的访问和使用带来障碍。B.响应

响应就是当危险发生时的反映。它必须可以阻止危险的进一步扩大，评估危险的限度，通过与外部世界的正常通信联络挽回公司的声誉，并启动必要的恢复时间表。对业务中断的第一反映应当是告知所有相关的人员。假如危险有事前警示的话（比如这次的非典爆发），那么这种告知就可以提前进行。及时的告知非常重要，由于这也许会给阻止危险的进一步扩大发明机会。假如在适当的时机执行一次关机、一次转换或者一次撤离，甚至有也许完全防止危险的发生。但是这需要有诊断或探测控制的存在。这类控制或者可以连续扫描以探测发生中断的征候（网络、服务器），或者可以从外部资源搜集信息（自然灾害）。准确的告知程序必须事先制定好。必须清楚地记录在案：需要告知谁，如何告知，由谁告知，并且还得有逐步扩大的机制。在BCP中必须设立好一棵告知树。最初的告知发送给一组人，然后再由他们中的每个人去告知另一组人，依次类推。属于这棵告知树的人都有不同的责任和作用，所涉及的人员应涉及：●管理团队——需要获得有关危险发展状况的信息。该团队有权力启动紧急响应体系和下一步的行动。管理团队还要负责与媒体、公众、客户以及股东们打交道。

●危险评估团队——需要立刻对危险进行评估，评价业务中断的严重限度。

●技术团队——应当为关键决策制定者如何采用下一步BCP行动提供服务。

●运营团队——应当执行BCP的实际运作。尚有很重要的一点就是每一个团队都应明确第二负责人。万一第一负责人没有告知到或者无法负起责任，那么必须告知第二负责人。告知可以使用各种工具或手段：如手机、呼机、短信、电话和E-mail。每个团队都应当有相应的配备。危险评估团队应当是最早（或者与管理团队同时）被告知的。他们应当最早来到现场，以便评估所遭受的危险限度和级别。假如工作现场已经遭到破坏，那么他们就应当做好各项准备，一旦允许进入现场就开始工作。评估过程自身也应有计划地进行，必须与保障业务连续性的优先顺序密切相关。这就是说评估团队应当意识到危险所影响到的工作区域和工作流程是否对整个业务的运营至关重要。这将有助于他们优化其评估进程，同时也可对的地关注关键性工作区域。这支团队需要察看以下事项：●中断的因素是什么

●阻止危险扩大的前景如何

●基础设施和设备受损情况

●业务受影响状况

●关键记录受损情况

●可以挽回什么损失

●什么设备需要修理、恢复和更换有了危险评估团队提供的有关受损限度和受损区域的详尽信息，技术团队便可立刻投入工作。BCP必须拥有一组基于业务影响分析和连续性目的的预设参数，这些参数应当可以区分出中断和劫难的不同性质，同时也能评价出危险的严重限度。当危险评估团队和技术团队开始工作时，其他BCP团队也应依照警示告知到位，以便按照连续性计划采用应当采用的行动。C.业务接续（Resumption）

业务接续只涉及那些时间敏感的业务流程，要么是在中断发生后立即接续，要么是在可允许的一段平均时间后接续，但不是对所有业务的恢复。一旦BCP被激活，命令将从指挥中心发出。这个指挥中心应当是在一个不同于平常经营场合的地方。该中心应配备相应的通信设施、办公设备，也许的话还应当构建局域网和VPN。需要做出的第一个决策是，关键性业务的运营能否在平常的工作场合或者在一个备选场合不久恢复运营。备选场合可以提成以下几类：(a)空场合（ColdSite）——该场合只需配备必要的环境条件即可，比如说，应配备电话插座、电源以及UPS等，但要避免其内有任何其他设备，它的作用就是准备将保障业务连续所需的所有设备搬移进来。(b)热场合（HotSite）——该场合是一个完全的备份场合，有人员工作的空间，所有设施一应俱全，数据备份也是最新的。一旦劫难发生，BCP团队只需进驻该场合就可开始工作，不会有额外的时间迟延。(c)温场合（WarmSite）——该场合事实上就是配备了部分设备的热场合，数据备份不算最新，但也不能太旧。(d)机动场合（MobileSite）——该场合是一个具有较小设施配置的机动场合。可以位于重要经营场合附近，因而也可节省关键人员在路程上花费的时间。(e)镜像场合（MirroredSite）——该场合在所有方面都与重要经营场合完全相同，信息和数据也与重要场合同步。事实上该场合就是正常状况下的一个冗余场合，因而通常也是成本最高的一种选择。在备选场合（或重要场合，假如仍然可用的话），工作环境需要恢复。通信、网络和工作站需要设立。与外界的联系必须连续畅通。公司可以一方面手动恢复一些业务，直到关键的IT业务可以继续运营为止。当然，假如恢复计划（下面就要讲到）允许，那么关键业务功能也可采用自动方式迅速恢复。D.业务恢复（Recovery）

业务恢复是启动时间敏感度稍低一些的业务流程。业务恢复的开始时间要取决于接续那些时间敏感的业务流程需要的时间。在进行业务恢复的场合（可以是重要经营场合或备选场合），需要在备份的设备上恢复操作系统，并按照关键性顺序恢复必要的应用系统。当服务于关键功能的应用系统恢复之后，则需要从备份磁带或其他异地备份媒介上恢复数据。备份数据也必须经常保持同步，也就是说，重建的数据应当与业务中断之前的某一预先拟定的时点的数据相吻合。该时点的选择取决于关键业务的规定。由于商业数据有各种不同的来源，因此重建的每一种数据都必须达成所需的数据一致性状态。通过同步的数据必须经常进行复查并保持其有效。这种复查必须强制执行，由于在危险发生的紧急关头，不也许再有闲暇来测试数据是否可用。因此，必须要有一套清楚的方法、策略或复查清单来执行这个让数据保持其有效性的过程。一旦数据达成了可靠的状态，公司的事务就可以加速运营，由于劫难已经得到解决，所有的关键性功能都已得到接续。逐步地，其他业务也可开始恢复其功能。E.复原（Restoration）

复原则是修复并恢复重要的经营场合。最终是要在原有的场合或者一个全新的场合完全恢复所有的业务流程。就在恢复团队开始从某个备选场合开始支持恢复运营的时候，对重要场合的所有功能进行复原的工作也可以展开。假如原有场合在劫难后的确无法恢复，则需要在一个新的场合进行复原工作。恢复团队和复原团队的成员有也许是同一组人。必须保证该复原场配备必要的基础设施、设备、硬件、软件和通信设备。并且要对该场合能否解决所有的业务流程进行测试。执行上述所有行动的计划应当涉及一个时间跨度定义，拟定在某一跨度内必须完毕哪些行动。这个时间跨度的定义必须与公司的恢复目的相一致。BCP团队必须意识到，假如在任一时点，他们的行动超过了规定的时间跨度，那么这个意外事件就必须立刻上报到指挥中心，由指挥中心立即制定相应的解决办法，否则公司就无法实现其恢复目的。四、指标定义在危险评估和业务影响分析阶段之后，保持业务连续的基础业务就已经显现出来。我们在上面已经说过，按照业务术语可将公司的业务功能提成4类，即关键业务、基础业务、必要业务和有利业务。这种分类可以让业务连续的优先顺序十分清楚，这样，业务恢复的目的就可以用下面的指标进行量化：●恢复的时间目的（RTO）——最大可允许中断时间

●恢复的时点目的（RPO）——数据损失可允许的最远回溯时点

●由于引进了BCP的评测指标而导致的公司性能退化

●实行BCP的成本

【第二部分】技术需求一、可用的技术选择A.存储与服务器解决方案●传统备份——就是对服务器数据进行备份，然后将备份磁带送至一个安全的备选场合

●RAID——是一种有效的冗余解决方案。根据需要，可以选择适当级别的RAID。

●远程日记——是搜集各种工作记录和日记并将它们传送到一个远程场合的解决过程。这一过程可以实时进行，即同步传送纪录，也可以将记录存档然后定期传送。这一过程不会更新数据库，只是传送日记，因此恢复就可以回溯到最近的传送时点。这几乎意味着没有数据损失。远程日记并不是一种独立的方法，它需要一个起点，亦即应用到日记的那个点。以下几个部分本报在以前的报道中有过充足的描述，此处不再赘述。●异地备份

●磁盘复制（镜像和映射）

●后备系统

●虚拟存储（NAS和SAN）B.网络解决方案●HotNetworkNodes——即在备选场合拥有一个可运营的网络。这个网络可以经常进行功能监控，因而可以节省灾后设立和测试网络的时间。●VPN——可用于远程恢复。VPN在公用网络上运营，并允许接入公司网络。一旦接入公司网络，它的特性就像是在Internet上的公司的Intranet。当劫难发生时，VPN允许恢复团队甚至在尚未到达备选场合之前就可以开始在恢复服务器上进行恢复工作。二、实行不同类型的IT系统或业务流程也将决定实现BCP目的的技术手段。根据业务影响分析制定出实际的技术方案是很重要的。1台式电脑——虽然它们通常对BCP不会产生影响，但假如必要，台式机也应当涉及进BCP中。应当指导台式机用户备份他们的数据。假如这不是可以接受的方式，那么就可以使用网络磁盘。网络磁盘可以经常进行备份，然后将备份介质送达至某个异地存储场合。2软件及其许可证——这些资源由于最初是花了不少的投资获得的，因此必须加以备份并保存到异地存储场合。3LAN——复原规定网络配置以及所有的设备都必须记录在案。在重要场合被破坏后，后备场合的LAN应当与本来的LAN设立保持一致。4服务器——服务器一旦遭受损失，后果是极为严重的。所以应采用异地备份、RAID、远程日记、虚拟存储等方法。5网站——网站很容易受到黑客的袭击，所以必须实行安全控制。网站的文档、配置、应用代码都需要快速恢复。恢复过程中，有也许需要具有不同IP地址的后备网站，因此在进行网站设计时就应当考虑到这一点。6业务流程——在进行业务流程设计时应当考虑冗余设计。比如银行系统除了柜台交易外，还应当设计好电话银行和网上银行。构建冗余系统需要额外的成本，所以公司重要应当为其最经常使用的业务或最赢利的业务流程实行冗余设计。有关支持BCP的技术保障措施，请读者参阅本专刊的《BC基石论》。如何制定一个BCP一、典型内容下面我们给出一份较典型的业务连续性计划大纲。业务连续性计划既可以提成几个单独的计划：即防止、响应、业务接续、业务恢复和复原计划，也可以由每一个这样的计划构成总的计划书中的不同章节。1．基本项目●目的制定计划的目的必须加以说明。还应当说明即划分几个阶段试时，每个阶段所要实现的目的是什么。●范围说明有哪些部门和运营业务需要实行BCP。假如一个BCP只针对某些劫难而非所有劫难，则需要针对这些特殊劫难制定专门的实行解决脚本。●必备条件/前提条件和限制因素形成一份BCP的前提条件需要在此说明。在某些情况下，还须说明BCP成功的必备条件。比如说，服务器的数据备份间隔不得超过多少小时，受过训练的运营恢复团队必须呼之即来，备选场合必须在劫难发生之后多少小时之内一切准备就绪等等。假如BCP计划的执行还存在一些限制条件的话，也应在此列出。●团队BCP团队的组织/负责人选、下属哪些分支团队、团队的作用和责任等，都必须在此说明。●指标作为一种策略，公司必须由用于恢复的RPO和RTO指标，以及性能指标等，这些指标应当在此加以说明，并向客户和股东说明。2．防止保护作为BCP中的一个实行部分，防止措施需要在此说明。这些措施可以概括如下：●监督

●访问控制

●身份认证

●防病毒

●过滤

●入侵检测系统

●备份计划3．紧急响应●响应的准备在响应阶段需要哪些资源应当在此列出，同时具体申明这些资源的配置和所需数量。假如还需要一些文档和记录的硬拷贝，也必须在此申明。●告知树

●危险评估

●何时对外宣布

●激活BCP的关键标准4．业务接续从紧急响应阶段到业务接续阶段如何进行衔接是需要在这里说明的。有关业务接续运营的决策过程、在哪里以及如何进行业务接续、需要采用什么行动，以及接续哪些业务到何种限度等等，都需要在此加以说明。还要为BCP团队中的各个小组指定各自应当采用的行动，每个小组要完毕指定的任务。BCP中的这一部分也称为业务接续计划（BRP）。5．业务恢复执行业务恢复的程序在此加以说明。BCP的这一部分也可称为劫难恢复计划（DRP）。这一部分计划文档的组织可以有很多种方式。一种方式就是简朴地列出所有的恢复目的（按照RPO、RTO、目的服务器/网络等来列）。根据每一目标进行计划分解，同时明确相应的团队/负责人以及任务。尚有一种方式就是按部门来组织。无论采用哪种方式，都应保证所有的BCP目的都能覆盖到。计划的这一