业务连续性计划规划方案

早先拟定一个齐备的业务连续性计划（Business ContinuityPlanning,缩写为BCP ），踊跃防范并且应变办理灾害发生的一系列 结果，将灾害的延伸和损失控制在企业能够肩负的范围以内，已成为现 代企业管理范围内的一个十分重要的任务。【第一部分】BCP的基本因素抽象地说，BCP的目标只有一个，那就是确立并减少危险可能带 来的损失，有效地保障业务的连续性。而相关BCP的一些特定目标我 们将在以下各个部分中加以描述。BCP实行的最后结果是： 一组防范危险的评测指标； 一支执行团队，在经过培训后能够办理各种危险事件； 一套计划，供应危险发生时的路线图。该计划应该是充分和 齐备的，一定详尽落实到该计划实行范围内的每一个单位、 人员或设 备。我们下边所要谈论的主若是与企业中IT设施相关的内容，没有涉 及到企业人员在危险状况下的安全管理问题。每个企业所拟定的 BCP 都应该有每个企业也许所处行业特有的 特点，相互之间不会完整一致，但大体上说来，一个齐备的 BCP 主要 是由以下一些要点部分构成的：一、 危险评估危险评估就是认识并解析各种潜伏危险的结果。 这些危险的本源可能是： 各种地域性的天然灾害，如洪水、地震、疫病等； 人为事故或蓄意破坏造成的严重灾害，如火灾、恐惧主义侵袭等； 安全威迫、硬件、网络或通讯故障； 灾害性的应用系统错误。所有的危险都应归入企业的危险评估范围， 并且对付各种危险的可能本源地进行较正确的定位。对于每一种危险的本源都应该认识到： 危险的种类； 危险的程度； 危险发生的可能性。比方说，假如依照有无警示性预兆来分，各种危险还可以够分为： 有些危险可能没有任何预兆而忽然发生，没法早先防范； 有些危险能够有必定的预兆，能够迅速启动应急计划加以防 范，比方疫病的流传； 有些危险可能向来不会发生。假如依照危险的破环种类或程度来分， 它们对业务的影响能够分 为： 经营场所及设施完整破环； 经营场所及设施部分破环； 经营场所及设施完满，但人员不可以进入，比方疫病的隔 断、恐惧威迫造成的人员输散等。明显，对于企业来说， 一个齐备的 BCP 一定尽可能多地考虑到 所有可能的危险状况， 只有办理灾害性事件的计划而没有办理应用系 统失误的计划，这样的 BCP 是不齐备的；反之亦然。企业所拟定的 BCP 应该同时兼备两个方面预防和控制。比 方，人为事故和蓄意破坏能够经过物理安全和个人行为的评测来预 防。而应用系统的错误则能够经过对软件的有效评测与测试来预防。危险评估的最后结果应该是一份相关危险效益解析的详尽陈说报 告，要有对危险的精确描述、哪些危险可能发生，以及需要采纳的保 障业务连续性和缓和危险的措施， 同时要有因为战胜了危险而带来的收益解析。这份报告还应该描述清楚任何现有的前提也许限制因素。二、 业务影响解析( BIA)业务影响解析( Business Impact Analysis )实质上就是对要点性 的企业功能、以及当这些功能一旦失掉作用时可能造成的损失和影响的 解析。对于企业业务运营的要点人员来说，他们需要解析：A. 影响 哪一种功能对于企业的整体战略而言是存亡攸关的 该功能在多长时间内无效不会造成影响和损失 企业的其余业务功能因为该功能的无效会遇到何种影响 运营影响解析 该功能的无效可能造成的收入影响财务影响解析 该 功能能否会对客户关系造成影响客户信心的损失 该功 能能否会对市场份额造成影响市场占有率的下滑 该功 能能否会对企业内行业中的地位造成影响企业竞争力的损失 该功能能否会影响今后的销售机遇的丧失 什么是最大的 / 可承受的 / 可同意的无效B. 业务恢复需求 要使该功能连续，需要哪些资源和数据纪录 最少的资源需求是什么 哪些资源可能来自企业外面 它与企业其余功能的依赖关系以及依赖程度 企业的其余功能与该功能的依赖关系以及依赖程度该功能与企业的外面业务 / 供应商 / 其余厂商的依赖关系以及 依赖程度 在缺乏试验环境的状况下进行恢复，需要采纳如何的预防措 施或检验手段在进行了这些解析以后，才有可能对企业的各种功能进行分类：a) 要点功能假如这种功能被中断或无效， 就会完全危及企业 的业务并造成严重损失。b) 基础功能这些功能一旦无效将会严重影响企业长久运营的能力。c) 必需功能企业能够连续运营， 但这些功能的无效会在很大 程度上限制企业的效率。d) 有益功能这些功能对企业是有益的； 但它们的缺失不会影 响企业的运营能力。依据各种功能的恢复需求， 企业即可为上述各种功能拟定标准的恢复时间架构。比方，要点功能1天；基础功能：2一4天；必需功 能：5一7天；有益功能：10天。影响解析能够帮助企业确立各种业务功能的优先次序，换句话 说，也就确立了各业务功能的优先恢复次序。BIA有助于定义恢复对象。在进行了影响解析以后可能会发现， 在一次灾害以后恢复业务运营时， 第一恢复部分功能就足够了， 比方 说在 24小时内先恢复平常业务的 40% 就够了。详尽定义幸好灾害或业务中断以后保障业务功能运营的资源需 求也是可能的。 这些资源需求包含基础设施、 人力资源、文档、记录 设施、电话、传真机 等，无论需要什么资源都要有齐备的规范要求。拥 有合适的细节要求是特别重要的， 因为在危险事件发生时， 会产生 必定程度的慌乱，到那时再决定这种细节已经不 可能了。成本因素在进行影响解析时也是不可以忽视的。 我们需要记着以下一些事项： 收入的损失和商机的丧失与恢复所需的时间直接成正比 一种恢复策略的成本与恢复所需的时间成反比 可能的恢复策略的成本一定和在采用该策略从前因为业务功能 中断而造成的实质损失进行比较。 假如所建议的恢复策略的成本远高 于估计的成本，那么这种策略就是不行取的。、 策略BCP 应包含以下策略：A. 预防 预防的目的在于减少灾害发生的可能性。相关预防的 策略应该包含制止和预防控制。 制止控制能够减少危险的可能性。 预 防控制则是保护企业的短处地域， 以防守危 险的发生并降低其影响。 这两类控制在实质运营中广泛存在， 比方经营场所的安全、 人员控制、 相关基础设施（如 UPS 、后备电池、烟火探测器、灭火器等）、软 件 控制、相关的储存和恢复等。企业希望保障其资源（包含信息财富）的可用性和安全性，其安全 策略一定针对这些对象而拟定， 并且供应相关资源使用和管理的指 南。在熟习了企业的 所有资源、资源的布局以及危险管理等以后，才 可能取出实行安全策略所需的必需的控制措施。 这些控制措施或安全 措施一定不时加以检查和测试。假如一种安全策略， 能将预防措施都部署到位， 能够监控对系统 的入侵并防范那些试图破坏系统的行为， 那么其自己就是一种制止控 制。预防计划的执行 一定当心慎重。一定保证明行安全策略时既不可 以对平常业务带来限制，出现瓶颈，也不可以引起可用性问题，也许给 系统的接见和使用带来阻碍。B. 响应 响应就是当危险发生时的反应。它一定能够阻挡危险的 进一步扩大， 评估危险的程度， 经过与外面世界的正常通讯联系挽 回企业的声誉，并启动必需的恢复时间表。对业务中断的第一反应应该是见告所有相关的人员。 假如危险有 事先警示的话（比方此次的非典迸发），那么这种见告便能够提前进 行。及时的见告特别 重要，因为这可能会给阻挡危险的进一步扩大创建 机遇。假如在合适的机遇执行一次关机、 一次变换也许一次撤离， 甚至有可能完整防范危险的发生。但是这需要有 诊断或探测控制的存 在。这种控制也许能够连续扫描以探测发生中断的征候（网络、服务 器），也许能够从外面资源采集信息（自然灾祸）。正确的见告程序一定早先拟定好。 一定清楚地记录在案： 需要见 告谁，如何见告，由谁见告，并且还得有逐渐扩大的系统。在 BCP 中一定成立好一棵见告树。 最先的见揭发送给一组人， 而后再由他们中的每一个人去见告另一组人， 挨次类推。属于这棵见告 树的人都有不一样的责任和作用，所涉及的人员应包含： 管理团队需要获取相关危险发展状况的信息。该团队有 权利启动紧迫响应系统和下一步的行动。管理团队还要负责与媒体、 公众、客户以及股东们打交道。 危险评估团队需要马上对危险进行评估，谈论业务中断 的严重程度。技术团队应该为要点决策拟定者如何采纳下一步 BCP 行动 供应服务。运营团队应该执行 BCP 的实质运作。还有很重要的一点就是每一个团队都应明确第二负责人。 万一第 一负责人没有通知到也许没法负起责任，那么一定见告第二负责人。 见告能够使用各种工具或手段：如手机、呼机、短信、电话和E-mail。 每个团队都应该有相应的装备。危险评估团队应该是最早（也许与管理团队同时）被见告的。他们 应该最早到达现场， 以便评估所遭到的危险程度和级别。 假如工作现 场已经遇到破坏， 那么他们就应该做好各项准备， 一旦同意进入现场 就开始工作。评估过程自己也应有计划地进行， 一定与保障业务连续性的优先 次序亲近相关。这就是说评估团队应该意识到危险所影响到的工作地域 和工作流程能否对整个业务的运转至关重要。 这将有助于他们优化其 评估进度，同时也可正确地关着要点性工作地域。 这支团队需要观察 以下事项： 中断的原由是什么 阻挡危险扩大的远景如何 基础设施和设施受损状况 业务受影响状况 要点记录受损状况 能够挽回什么损失 什么设施需要维修、恢复和更换 有了危险评估团队供应的相关受损程度和受损地域的详尽信息， 技术团队即可马上投入工作。BCP 一定拥有一组基于业务影响解析和连续性目标的预设参数， 这些参数应该能够划分出中断和灾害的不一样性质， 同时也能谈论出 危险的严重程度。当危险评估团队和技术团队开始工作时， 其余 BCP 团队也应依照 警示见告到位，以便依照连续性计划采纳应该采纳的行动。C.业务接续(Resumption )业务接续只涉及那些时间敏感的业 务流程，要么是在中断发生后马上接续， 要么是在可同意的一段均匀 时间后接续，但不是对所有业务的恢复。一旦 BCP 被激活，命令将从指挥中心发出。 这个指挥中心应该 是在一个不一样于平常经营场所的地方。该中心应装备相应的通讯设 施、办公设施，可能的话还应该成立局域网和 VPN。需要做出的第一个决策是， 要点性业务的运营能否在平常的工作 场所也许在一个备选场所很快恢复运营。备选场所能够分成以下几类：(a) 空场所( Cold Site )该场所只需装备必需的环境条件即 可，比方说，应装备电话插座、电源以及 UPS 等，但要防范其内有任 何其余设施，它的作用就是准备将保障业务连续所需的所有设施搬移进 来。(b) 热场所( Hot Site )该场所是一个完整的备份场所，有 人员工作的空间，所有设施应有尽有，数据备份也是最新的。一旦灾 害发生， BCP 团队只需进驻该场所即可开始工作，不会有额外的时 间迟延。(c) 温场所( WarmSite )该场所实质上就是装备了部分设 施的热场所，数据备份不算最新，但也不可以太旧。(d) 灵活场所( Mobile Site )该场所是一个拥有较小设施配 置的灵活场所。 能够位于主要经营场所周边， 因此也可节约要点人员 内行程上花销的时间。(e) 镜像场所( Mirrored Site )该场所在所有方面都与主要经 营场所完整同样， 信息和数据也与主要场所同步。 实质上该场所就是 正常状况下的一个冗余场所，因此平常也是成本最高的一种选择。在备选场所(或主要场所，假如依旧可用的话)，工作环境需要恢 复。通讯、网络和工作站需要设置。与外界的联系一定连续畅达。企业 能够第一手动恢 复一些业务，直到要点的 IT 业务能够连续运转为止。自然，假如恢复计划（下边就要讲到）同意，那么要点业务功 能也可采用自动方式迅速恢复。D.业务恢复（Recovery ）业务恢复是启动时间敏感度稍低一些 的业务流程。业务恢复的开始时间要取决于接续那些时间敏感的业务 流程需要的时间。在进行业务恢复的场所（能够是主要经营场所或备选场所），需要 在备份的设施上恢复操作系统， 并依照要点性次序恢复必需的应用系 统。当服务于要点功能的应用系统恢复以后， 则需要从备份磁带或其 余异地备份媒介上恢复数据。备份数据也一定常常保持同步， 也就是说，重修的数据应该与业 务中断从前的某一早先确立的时点的数据相切合。 该时点的选择取决 于要点业务的要求。 因为商业数占有各种不一样的本源，所以重修的 每一种数据都一定达到所需的数据一致性状态。 经过同步的数据一定 常常进行复查并保持其有效。这种复查一定强迫执 行，因为在危险发 生的紧迫关头，不行能再有空暇来测试数据能否可用。所以，一定要有 一套清楚的方法、 策略或复查清单来执行这个让数据保持其有效性的 过程。一旦数据达到了靠谱的状态， 企业的事务便能够加快运转， 因为 灾害已经获取办理，所有的要点性功能都已获取接续。逐渐地，其余业 务也可开始恢复其功能。E.复原(Restoration ) 复原则是修复并恢复主要的经营场所。最后是要在原有的场所也许一个崭新的场所完整恢复所有的业务流 程。就在恢复团队开始从某个备选场所开始支持恢复运营的时候， 对主 要场所的所有功能进行复原的工作也能够睁开。 假如原有场所在灾害后 的确没法恢复， 则需要在一个新的场所进行复原工作。 恢复团队和复 原团队的成员有可能是同一组人。一定保证该复原场装备必需的基础设施、设施、硬件、软件和通 讯设施。并且要对该场所能否办理所有的业务流程进行测试。执行上述所有行动的计划应该包含一个时间跨度定义， 确立在某 一跨度内一定完成哪些行动。 这个时间跨度的定义一定与企业的恢复 目标相一致。 BCP 团队一定意识到，假如在任一时点，他们的行动超 出了规定的时间跨度，那么这个不测事件就一定马上上报到指挥中 心，由指挥中心马上拟定相应的解决方法，不然 企业就没法实现其恢 复目标。四、 指标定义在危险评估和业务影响解析阶段以后， 保持业务连续的基础业务 就已经显现出来。 我们在上边已经说过， 依照业务术语可将企业的业 务功能分成 4 类，即要点业务、基础业务、必需业务和有益业务。这种分类能够让业务连续的优先次序十分清楚， 这样，业务恢复 的目标便能够用下边的指标进行量化：恢复的时间目标（RTO ） 最大可同意中断时间恢复的时点目标 （ RPO ）数据损失可同意的最远回溯时点因为引进了 BCP 的评测指标而以致的企业性能退化实行 BCP 的成本【第二部分】技术需求一、可用的技术选择A.储存与服务器解决方案传统备份一一就是对服务器数据进行备份，而后将备份磁带送至一个安全的备选场所 RAID是一种有效的冗余解决方案。依据需要，能够选 择合适级其余 RAID。 远程日记是采集各种工作记录和日记并将它们传递到一个远程场所的办理过程。 这一过程能够及时进行， 即同步传递纪 录，也能够将记录存档而后按期传递。这 一过程不会更新数据库，不过 传递日记，所以恢复便能够回溯到近来的传递时点。 这几乎意味着没有数据损失。远程日记其实不是一种独立的方法， 它需要一个起点， 亦即应用到日记的那个点。以下几个部分本报在从前的报导中有过充分的描述， 此处不再赘述。 异地备份 磁盘复制（镜像和映照） 后备系统虚假储存（ NAS 和 SAN）B.网络解决方案 Hot Network Nodes 即在备选场所拥有一个可运营的网络。这个网络能够常常进行功能监控， 因此能够节约灾后设置和测试 网络的时间。 VPN可用于远程恢复。VPN在公用网络上运转，并同意接 入企业网络。一旦接入企业网络，它的特征就像是在 Internet 上的企业的 Intranet 。当灾害发生时， VPN 同意恢复团队甚至在还没有到 达备选场所从前便能够开始在恢复服务器长进行恢复工作。二、实行不一样种类的 IT 系统或业务流程也将决定实现 BCP 目标的技术手 段。依据业务影响解析拟定出实质的技术方案是很重要的。1 台式电脑固然它们平常对 BCP 不会产生影响，但假如必 需，台式机也应该包含进 BCP 中。应该指导台式机用户备份他们的数 据。假如这不是能够接受的方式，那么便能够使用网络磁盘。网络磁 盘能够常常进行备份，而后将备份介质送到至某个异地储存场所。2 软件及其同意证这些资源因为最先是花了许多的投资获取 的，所以一定加以备份并保存到异地储存场所。3 LAN复原要求网络配置以及所有的设施都一定记录在案。在主要场所被破坏后，后备场所的LAN应该与本来的LAN设置保持一 致。4 服务器服务器一旦遭到损失， 结果是极为严重的。 所以应 采纳异地备份、RAID、远程日记、虚假储存等方法。5网站网站很简单遇到黑客的攻击，所以一定实行安全控制。网站的文档、配置、应用代码都需要迅速恢复。恢复过程中，有 可能需要拥有不一样 IP 地址的后备网站，所以在进行网站设计时就 应该考虑到这一点。6 业务流程在进行业务流程设计时应该考虑冗余设计。 比方银 行系统除了柜台交易外， 还应该设计好电话银行和网上银行。 成立冗余系统需要额外的成本， 所以企业主要应该为其最常常使用的业 务或最盈利的业务流程实行冗余设计。相关支持 BCP 的技术保障措施，请读者参阅本专刊的 BC 基石 论。如何拟定一个 BCP一、 典型内容下边我们给出一份较典型的业务连续性计划大纲。 业务连续性计 划既能够分成几个单独的计划：即预防、响应、业务接续、业务恢复和 复原计划，也能够由每一个这样的计划构成总的计划书中的不一样章 节。1基本项目 目的拟定计划的目的一定加以说明。还应该说明即划分几个阶段试 时，每个阶段所要实现的目标是什么。 范围说明有哪些部门和运营业务需要实行 BCP 。假如一个 BCP 只针对 某些灾害而非所有灾害， 则需要针对这些特别灾害拟定特地的实行办理 脚本。必备条件 / 前提条件和限制因素形成一份 BCP 的前提条件需要在此说明。 在某些状况下， 还须说 明 BCP 成功的必备条件。 比方说，服务器的数据备份间隔不得超出多 少小时，受过训练的运营恢复团队一定呼之即来， 备选场所一定在灾 害发生以后多少小时以内全部准备就绪等等。假如 BCP 计划的执行还存在一些限制条件的话，也应在此列出。 团队BCP 团队的组织 / 负责人选、手下哪些分支团队、团队的作用和 责任等，都一定在此说明。 指标作为一种策略，企业一定由用于恢复的 RPO 和 RTO 指标，以及性 能指标等，这些指标应该在此加以说明，并向客户和股东说明。2预防保护作为 BCP 中的一个实行部分， 预防措施需要在此说明。 这些措施 能够概括以下： 督查 接见控制 身份认证 防病毒 过滤 入侵检测系统 备份计划3紧迫响应 响应的准备在响应阶段需要哪些资源应该在此列出， 同时详尽声明这些资源 的配置和所需数目。 假如还需要一些文档和记录的硬拷贝， 也一定在 此声明。 见告树 危险评估 何时对外宣告激活 BCP 的要点标准4业务接续从紧迫响应阶段到业务接续阶段如何进行连接是需要在这里说 明的。相关业务接续运营的决策过程、在哪里以及如何进行业务接续、 需要采纳什么行动， 以及接续哪些业务到何种程度等等，都需要在 此加以说明。还要为 BCP 团队中的各个小组指定各自应该采纳的行动，每个小组要完成指定的任务。 BCP 中的这一 部分也称为业务接续计划（ BRP）。5业务恢复执行业务恢复的程序在此加以说明。 BCP 的这一部分也可称为灾 害恢复计划（ DRP）。这一部分计划文档的组织能够有很多种方式。 一种方式就是简单地 列出所有的恢复目标（依照RPO、RTO、目标服务器/网络等来列）。 依据每一目 标进行计划分解，同时明确相应的团队 / 负责人以及任务。 还有一种方式就是按部门来组织。无论采用哪一种方式，都应保证所有的 BCP 目标都能覆盖到。计划的这一部分一定编排得像一本操作手册， 由一系列简单明确 的指令构成，恢复团队完整能够依照这些指令进行恢复操作。 各种操作 之间的互相关系也一定加以明确说明。 所有的指令和说明一定理解无 误，省得因可能引起误会或不了但是以致时间损失。6复原为业务运营复原原有场所应采纳的步骤在此加以说明。 需要注明 每个团队 / 负责人的责任和任务。二、 BCP 的测试拟定好的 BCP 需要进行合适地测试才能投入使用。 这一过程一定 常常周期性地进行。 省略了这一过程就意味着 BCP 只好等灾害实质发 生以后进行实地测试， 这样做的风险太大， 唯恐任何一家企业都不敢 做这种试试。规划一次 BCP 测试需要规定以下事项： 测试脚本将可能发生的灾害定义为测试的一个部分。 测试计划定义检查程序、各种测试脚本、任务的种类、 任务的参加者，比方说主要团队也许主要团队与预备团队的混杂行 动。简而言之，在测试 BCP 时，需要执行以下行动 准备一份测试计划， 选择测试脚本， 说明预期要达到的结果。 执行该计划 记录测试结果 评估测试结果，报告存在差距 将测试结果和报告向团队宣告 确认需要做何改进以填充差距 培训团队三、 BCP 的保护一个 BCP 一定周期性地加以检查和保护。 一旦有新的系统、 新的 业务流程、也许新的商业行动计划加入企业的生产系统也许信息系 统，引起企业整系统统发生变化时， 就更应该强迫启动这种检查程序。 除此以外，像联系人名单的改正这样细小的改动都可能触发 BCP 计划的 更新。每一次在进行这种检查程序时，最好是与对 BCP 的改进互相联 合。比方，在测试过程中发现的问题、企业为了实现连续性对机构所 作的调整，也许在保持业务连续性测试时发现了更好的行动方式和计 划等等。所以， BCP 的保护应该是变化和改进的联合与不停促进。每一次对 BCP 计划所作的改动都应该及时通知所有的 BCP 团队， 并详尽落实到每一次的培训和测试过程中去。最后，与业务连续性相关的资源人和设施也会遇到保护的 影响。人员会经过培训和测试程序遇到影响， 设施会经过保护程序遇 到影响。只有当这些资源一直处于优异状态， 才能在危机发生时成 为靠谱和可依赖的资源。（ 完）内容总结 （1）早先拟定一个齐备的业务连续性计划（ Business ContinuityPlanning,缩写为BCP），踊跃防范并且应变办理灾害发生的一系列辔，我们下边延谈损失若在企能够肩负的范围以内蓉，已成为现代企管1员围危险一个的安要理问题