507
如何創建高效的業務連續性計劃
業務連續性計劃概述了組織在麵對災難,無論是火災、洪水或網絡攻擊時必須遵循的程序和指示。下麵談談如何創造一個讓你的業務幸免於這類事件的連續性計劃的最佳機會。
我們很少在災難要發生時提前得到通知。即便有一些先導時間,但是,多件事情可能會出錯; 每一個事件都是獨一無二的,以意想不到的方式展現。
這就是業務連續性計劃發揮作用的地方。為了讓你的組織在災難發生時取得成功,你需要將現有的測試計劃置於負責執行該計劃任何部分的所有人員手中。缺乏計劃不僅僅意味著你的組織將需要更長的時間來從事件或事故恢複。你可能會歇業。
什麼是業務連續性?
業務連續性(BC)是指維護業務功能或在發生重大幹擾的情況下迅速將其恢複,無論是由火災,洪水或網絡犯罪分子的惡意攻擊造成的。業務連續性計劃概述了組織在麵對這種災害時必須遵循的程序和指示;它涵蓋業務流程、資產、人力資源、業務夥伴等。
很多人認為災難恢複(DR)計劃與業務連續性計劃相同,但災難恢複計劃主要側重於危機後IT基礎架構和運營的恢複。這實際上隻是完整的業務連續性計劃的一部分,因為業務連續性計劃著眼於整個組織的連續性。
你有沒有辦法得到人力資源,製造和銷售以及功能上的支持,以便公司可以在災難發生後繼續賺錢?比如說,如果你的客戶服務代表所在的建築物被龍卷風夷為平地,你是否知道這些代表該如何處理客戶電話?他們會暫時在家裏工作,還是從另一個地點工作?業務連續性計劃解決了這些類型的問題。
請注意,業務影響分析(BIA)是業務連續性計劃的另一部分。業務影響分析識別突發性業務功能損失的影響,通常以成本計量。這樣的分析還可以幫你評估是否應該將你的業務連續性計劃中的非核心活動外包出去,這可能會帶來自身的風險。業務影響分析實際上幫你查看整個組織的流程並確定哪些是最重要的。
為什麼業務連續性規劃很重要
無論你經營小企業還是大型企業,你都要努力保持競爭力。在增加客戶群的同時保留現有客戶至關重要——而且再也沒有什麼比在不利的事件發生後做到這點更能考驗你的能力了。
由於恢複IT對於大多數公司至關重要,因此有很多災難恢複解決方案可用。你可以依靠IT來實現這些解決方案。但是,其餘的業務功能呢?你公司的未來取決於你的人員和流程。能有效處理任何事件對你的公司的聲譽和市場價值會產生積極影響,這樣可以增強客戶的信心。
Experian的業務連續性全球負責人Lorraine O'Donnell說:“如今,消費者和監管機構對安全性的預期有所增加。組織必須了解業務中的流程以及這些流程隨時間的推移而流失的影響,這些損失可以是財務、法律、聲譽和監管上的。組織的‘經營許可證’被監管機構撤回或被施加了條件(回顧性的或前瞻性的)可能會對市場價值和消費者信心產生不利影響。以這些流程所允許的自由支配時間為準來構建你的恢複策略。”
業務連續性計劃的解剖
如果你的組織沒有業務連續性計劃,請首先評估你的業務流程,確定哪些領域是薄弱的,如果這些流程暫停一天、幾天或一周的可能造成的潛在損失。這本質上是一個業務影響分析。
接下來,製定一個計劃。這包括六個一般步驟:
1.確定計劃的範圍。
2.確定關鍵業務領域。
3.確定關鍵功能。
4.確定各種業務領域和功能之間的依賴關係。
5.確定每個關鍵功能可接受的停機時間。
6.創建維護運營的計劃。
一個常見的業務連續性計劃工具是一個清單,它包括耗材和設備、數據備份和備份站點的位置,計劃在哪裏實施和誰應該擁有它,以及應急響應人員、關鍵人員和備份站點提供商的聯係信息。
請記住,災難恢複計劃是業務連續性計劃的一部分,因此,如果你還沒有一個災難恢複計劃,那麼發展這樣一個計劃應成為你的流程的一部分。如果你已經有災難恢複計劃,那麼O'Donnell警告說,不要以為所有要求都已經被考慮進去了。你需要確保恢複時間被定義,並且“確保它符合業務期望”。
在你製定計劃時,要考慮在成功挺過災難的組織中采訪關鍵人員。人們一般喜歡分享“戰爭的故事”,以及幫上大忙的步驟和技巧(或聰明的點子)。他們的見解在幫你製定堅實的計劃方麵可能是非常有價值的。
測試業務連續性計劃的重要性
測試一個計劃是真正了解它是否會奏效的唯一方法。O'Donnell說:“顯然,一個真實的事件就是一個真正的考驗,而且是理解事情是否有效的最好方式,但是受控的測試策略更令人感到舒適,而且還提供了一個確認差距和改進的機會。”
你必須嚴格測試一個計劃以了解其是否完整並達到預期的目的。事實上,O'Donnell建議你試著打破它。“不要選擇容易的方案,總是選擇讓人覺得可信但有挑戰性的,這是改進的唯一途徑。同時確保目標是可衡量和延伸的,隻做最低限度的事情並試圖‘逃脫’隻會導致不牢靠的計劃並對真實的事件沒有信心。”
很多組織每年進行二到四次業務連續性計劃測試。時間表取決於你的組織類型,關鍵人員的流動率以及自上一輪測試以來發生的業務流程和IT變化的數量。
常見的測試包括沙盤演練,結構化預排和模擬。測試團隊通常由恢複協調員和每個功能單元的成員組成。
沙盤演練通常在會議室中進行,團隊對計劃進行調查,尋找差距,並確保所有業務部門都被代表。
在結構化預排中,每個團隊成員詳細分析了計劃的組成部分以便識別弱點。通常,經曆過測試的人都會把特殊災難記在心上。一些組織將演習和災難角色扮演並入結構化預排中。應糾正所有的弱點,並將更新的計劃分發給所有相關人員。
每年至少進行一次全麵的緊急疏散演習也是個好主意。這種類型的測試可以讓你確定是否需要對有體力限製的工作人員進行特別安排。
最後,災難模擬測試可能相當複雜,應該每年進行一次。對於該測試,創建一個模擬實際災難的環境,包括需要的所有設備,用品和人員(包括業務夥伴和供應商)。模擬的目的是確定在事件中是否可以執行關鍵的業務功能。
在業務連續性計劃測試的每個階段,都納入一些新員工到測試團隊中。“新的眼光”可能會檢測到老練的團隊成員可能忽視的信息的差距或失誤。
審查和改進你的業務連續性計劃
在業務連續性計劃的創建和初步測試方麵需要付出巨大的努力。一旦這項工作完成,有些組織就讓它閑著,而其它更重要的任務則會引起關注。當這種情況發生時,計劃會變得僵化,在需要時派不上用場。
技術日新月異,人們來來去去,所以計劃也需要更新。至少每年將關鍵人員聯合起來審查計劃,並討論必須修改的領域。
在審查之前,征求工作人員的意見並將其納入計劃。請所有部門或業務部門審查計劃,包括分支機構或其他遠程單位。如果你不幸遇到災難而不得不把計劃付諸行動,一定要吸取經驗教訓。很多組織與沙盤演練排練預演一起進行審查。
如何確保業務連續性計劃的支持,意識
決定你的計劃不成功的一個因素是對其重要性采取無所謂的態度。必須從上到下支持每個業務連續性計劃。這意味著在創建和更新計劃時,高層管理人員必須被代表; 沒有人可以將責任下放給下屬。此外,如果高級管理層將其重點放在適當的審查和測試時間上,這個計劃可能會保持獨創和可行。
管理也是提升用戶感知的關鍵。如果員工不了解計劃,在分秒必爭的時刻他們如何能夠做出恰當的反應?雖然計劃分配和培訓可由業務部門經理或人力資源人員來指揮,但是要讓最高層人員啟動培訓,並強調其重要性。這將對所有員工產生更大的影響,給予計劃更多的可信度和緊迫性。
本文轉自d1net(轉載)
最後更新:2017-07-27 16:03:17