1、（完整版）業(yè)務連續(xù)性計劃BCP業(yè)務連續(xù)性計劃事先制定一個完備的業(yè)務連續(xù)性計劃（BusinessContinuityPlanning,縮寫為BCP），積極防范并且應變處理災難發(fā)生的一系列后果，將災難的蔓延和損失控制在企業(yè)能夠承擔的范圍以內，已成為現代企業(yè)管理范疇內的一個十分重要的任務?！镜谝徊糠帧緽CP的基本要素籠統(tǒng)地說,BCP的目標只有一個，那就是確定并減少危險可能帶來的損失，有效地保障業(yè)務的連續(xù)性。而有關BCP的一些特定目標我們將在以下各個部分中加以描述。BCP實施的最終結果是：一組防范危險的評測指標；一支執(zhí)行團隊，在經過培訓后可以處理各種危險事件；一套計劃，提供危險發(fā)生時的路線圖。該計劃應

2、該是充分和完備的，必須詳細落實到該計劃實施范圍內的每一個單位、人員或設備。我們下面所要討論的主要是與企業(yè)中IT設施相關的內容，沒有涉及到企業(yè)人員在危險狀況下的安全管理問題。每個企業(yè)所制定的BCP都應該有每個企業(yè)或者所處行業(yè)獨有的特色，彼此之間不會完全一致，但大致上說來，一個完備的BCP主要是由以下一些關鍵部分構成的：（完整版）業(yè)務連續(xù)性計劃BCP一、危險評估危險評估就是認識并分析各種潛在危險的結果。這些危險的來源可能是：各種區(qū)域性的天然災難，如洪水、地震、疫病等；人為事故或蓄意破壞造成的嚴重災難，如火災、恐怖主義襲擊等；安全威脅、硬件、網絡或通信故障；災難性的應用系統(tǒng)錯誤。所有的危險都應納入企

3、業(yè)的危險評估范圍，并且應對各種危險的可能來源地進行較準確的定位。對于每一種危險的來源都應該認識到：危險的類型;危險的程度；危險發(fā)生的可能性。比如說,如果按照有無警示性先兆來分,各類危險還可以分為：有些危險可能沒有任何先兆而突然發(fā)生，無法事先防范；有些危險可以有一定的先兆，可以迅速啟動應急計劃加以防范，比如疫病的傳播；有些危險可能從來不會發(fā)生。如果按照危險的破環(huán)類型或程度來分，它們對業(yè)務的影響可以分為：經營場所及設備完全破環(huán)；經營場所及設備部分破環(huán)；（完整版）業(yè)務連續(xù)性計劃BCP（完整版）業(yè)務連續(xù)性計劃BCP經營場所及設備完好,但人員不能進入，比如疫病的隔離、恐怖威脅造成的人員輸散等.顯然，對于

4、企業(yè)來說，一個完備的BCP必須盡可能多地考慮到所有可能的危險情況，只有處理災難性事件的計劃而沒有處理應用系統(tǒng)失誤的計劃，這樣的BCP是不完備的；反之亦然。企業(yè)所制定的BCP應該同時兼顧兩個方面-一預防和控制.例如，人為事故和蓄意破壞可以通過物理安全和個人行為的評測來預防。而應用系統(tǒng)的錯誤則可以通過對軟件的有效評測與測試來預防。危險評估的最后結果應該是一份有關危險效益分析的詳細陳述報告,要有對危險的精確描述、哪些危險可能發(fā)生，以及需要采取的保障業(yè)務連續(xù)性和緩和危險的措施，同時要有因為克服了危險而帶來的收益分析。這份報告還應該描述清楚任何現有的前提或者限制因素。二、業(yè)務影響分析（BIA）業(yè)務影響分

5、析（BusinessImpactAnalysis）實質上就是對關鍵性的企業(yè)功能、以及當這些功能一旦失去作用時可能造成的損失和影響的分析。對于企業(yè)業(yè)務運營的關鍵人員來說，他們需要分析：A。影響哪種功能對于企業(yè)的整體戰(zhàn)略而言是生死攸關的該功能在多長時間內失效不會造成影響和損失企業(yè)的其他業(yè)務功能由于該功能的失效會受到何種影響一-運營影響分析該功能的失效可能造成的收入影響財務影響分析該功能是否會對客戶關系造成影響-客戶信心的損失該功能是否會對市場份額造成影響市場占有率的下滑該功能是否會對企業(yè)在行業(yè)中的地位造成影響企業(yè)競爭力的損失該功能是否會影響今后的銷售機會的喪失什么是最大的/可承受的/可允許的失效業(yè)

6、務恢復需求要使該功能連續(xù)，需要哪些資源和數據紀錄最少的資源需求是什么哪些資源可能來自企業(yè)外部它與企業(yè)其他功能的依賴關系以及依賴程度企業(yè)的其他功能與該功能的依賴關系以及依賴程度該功能與企業(yè)的外部業(yè)務/供應商/其他廠商的依賴關系以及依賴程度在缺少試驗環(huán)境的情況下進行恢復，需要采取怎樣的預防措施或檢驗手段在進行了這些分析之后，才有可能對企業(yè)的各種功能進行分類:a）關鍵功能如果這類功能被中斷或失效，就會徹底危及企業(yè)的業(yè)務并造成嚴重損失.b）基礎功能這些功能一旦失效將會嚴重影響企業(yè)長期運營的能力.c）必要功能企業(yè)可以繼續(xù)運營，但這些功能的失效會在很大程度上限制企業(yè)的效率.d）有利功能這些功能對企業(yè)是有利

7、的；但它們的缺失不會影響企業(yè)的運營能力。（完整版）業(yè)務連續(xù)性計劃BCP（完整版）業(yè)務連續(xù)性計劃BCP根據各種功能的恢復需求,企業(yè)便可為上述各類功能制定標準的恢復時間架構。例如，關鍵功能1天；基礎功能：24天；必要功能：57天；有利功能：10天。影響分析可以幫助企業(yè)確定各類業(yè)務功能的優(yōu)先順序，換句話說，也就確定了各業(yè)務功能的優(yōu)先恢復順序。BIA有助于定義恢復對象。在進行了影響分析之后可能會發(fā)現,在一次災難之后恢復業(yè)務運營時，首先恢復部分功能就足夠了，比如說在24小時內先恢復日常業(yè)務的40就夠了。詳細定義好在災難或業(yè)務中斷之后保障業(yè)務功能運營的資源需求也是可能的。這些資源需求包括基礎設施、人力資源

8、、文檔、記錄、設備、電話、傳真機等,無論需要什么資源都要有完備的規(guī)范要求。擁有適當的細節(jié)要求是非常重要的，因為在危險事件發(fā)生時,會產生一定程度的慌亂，到那時再決定這類細節(jié)已經不可能了。成本因素在進行影響分析時也是不能忽略的.我們需要記住以下一些事項：收入的損失和商機的喪失與恢復所需的時間直接成正比一種恢復策略的成本與恢復所需的時間成反比可能的恢復策略的成本必須和在采納該策略之前由于業(yè)務功能中斷而造成的實際損失進行比較。如果所建議的恢復策略的成本遠高于預計的成本，那么這種策略就是不可取的。三、策略BCP應包括以下策略：預防預防的目的在于減少災難發(fā)生的可能性。有關預防的策略應該包括制止和預防控制。

9、制止控制可以減少危險的可能性。預防控制則是保護企業(yè)的弱點區(qū)域，以防御危險的發(fā)生并降低其影響。這兩類控制在實際運營中廣泛存在，比如經營場所的安全、人員控制、相關基礎設施（如UPS、后備電池、煙火探測器、滅火器等）、軟件控制、相關的存儲和恢復等。企業(yè)希望保障其資源（包括信息資產）的可用性和安全性，其安全策略必須針對這些對象而制定,并且提供有關資源使用和管理的指南。在熟悉了企業(yè)的所有資源、資源的布局以及危險管理等之后，才可能拿出實施安全策略所需的必要的控制措施。這些控制措施或安全舉措必須時時加以檢查和測試。如果一種安全策略,能將預防措施都部署到位，可以監(jiān)控對系統(tǒng)的入侵并防范那些試圖破壞系統(tǒng)的行為，那

10、么其本身就是一種制止控制。預防計劃的執(zhí)行必須小心謹慎。必須保證實施安全策略時既不能對日常業(yè)務帶來限制，出現瓶頸，也不能引起可用性問題，或者給系統(tǒng)的訪問和使用帶來障礙。B。響應響應就是當危險發(fā)生時的反應.它必須能夠阻止危險的進一步擴大，評估危險的程度，通過與外部世界的正常通信聯絡挽回企業(yè)的聲譽，并啟動必要的恢復時間表。對業(yè)務中斷的第一反應應該是告知所有相關的人員。如果危險有事前警示的話（比如這次的非典爆發(fā)），那么這種告知就可以提前進行。及時的告知非常重要，因為這可能會給阻止危險的進一步擴大創(chuàng)造機會。如果在適當的時機執(zhí)行一次關機、一次轉換或者一次撤離,甚至有可能完全防止危險的發(fā)生。但是這需要有診斷

11、或探測控制的存在。這類控制或者可以持續(xù)掃描以探測發(fā)生中斷的征候（網絡、服務器），或者可以從外部資源搜集信息（自然災害）。（完整版）業(yè)務連續(xù)性計劃BCP準確的告知程序必須事先制定好。必須清楚地記錄在案：需要告知誰，怎樣告知，由誰告知，而且還得有逐步擴大的機制。在BCP中必須設立好一棵告知樹。最初的告知發(fā)送給一組人，然后再由他們中的每個人去告知另一組人,依次類推。屬于這棵告知樹的人都有不同的責任和作用，所涉及的人員應包括：管理團隊-需要獲得有關危險發(fā)展狀況的信息.該團隊有權力啟動緊急響應體系和下一步的行動。管理團隊還要負責與媒體、公眾、客戶以及股東們打交道.危險評估團隊-需要立刻對危險進行評估，評

12、價業(yè)務中斷的嚴重程度。技術團隊應當為關鍵決策制定者如何采取下一步BCP行動提供服務。運營團隊應當執(zhí)行BCP的實際運作。還有很重要的一點就是每一個團隊都應明確第二負責人。萬一第一負責人沒有通知到或者無法負起責任,那么必須告知第二負責人。告知可以使用各種工具或手段:如手機、呼機、短信、電話和Email。每個團隊都應當有相應的配備.危險評估團隊應該是最早（或者與管理團隊同時）被告知的.他們應當最早來到現場,以便評估所遭受的危險程度和級別。如果工作現場已經遭到破壞,那么他們就應該做好各項準備，一旦允許進入現場就開始工作。評估過程本身也應有計劃地進行，必須與保障業(yè)務連續(xù)性的優(yōu)先順序密切相關這就是說評估團

13、隊應當意識到危險所影響到的工作區(qū)域和工作流程是否對整個業(yè)務的運行至關重要。這將有助于他們優(yōu)化其評估進程,同時也可正確地關注關鍵性工作區(qū)域。這支團隊需要察看以下事項：(完整版)業(yè)務連續(xù)性計劃BCP(完整版)業(yè)務連續(xù)性計劃BCP中斷的原因是什么阻止危險擴大的前景如何基礎設施和設備受損情況業(yè)務受影響狀況關鍵記錄受損情況可以挽回什么損失什么設備需要修理、恢復和更換有了危險評估團隊提供的有關受損程度和受損區(qū)域的詳盡信息，技術團隊便可立刻投入工作。BCP必須擁有一組基于業(yè)務影響分析和持續(xù)性目標的預設參數，這些參數應該能夠區(qū)分出中斷和災難的不同性質，同時也能評價出危險的嚴重程度。當危險評估團隊和技術團隊開始

14、工作時,其他BCP團隊也應依照警示告知到位，以便按照連續(xù)性計劃采取應當采取的行動。C。業(yè)務接續(xù)(Resumption)業(yè)務接續(xù)只涉及那些時間敏感的業(yè)務流程，要么是在中斷發(fā)生后立即接續(xù),要么是在可允許的一段平均時間后接續(xù)，但不是對所有業(yè)務的恢復。一旦BCP被激活，命令將從指揮中心發(fā)出.這個指揮中心應該是在一個不同于日常經營場所的地方.該中心應配備相應的通信設施、辦公設備,可能的話還應該構建局域網和VPN。需要做出的第一個決策是，關鍵性業(yè)務的運營能否在日常的工作場所或者在一個備選場所很快恢復運營。備選場所可以分成以下幾類：空場所(ColdSite)該場所只需配備必要的環(huán)境條件即可，比如說，應配備電

15、話插座、電源以及UPS等，但要避免其內有任何其他設備，它的作用就是準備將保障業(yè)務持續(xù)所需的全部設備搬移進來.熱場所(HotSite)該場所是一個完全的備份場所，有人員工作的空間，所有設施一應俱全，數據備份也是最新的。一旦災難發(fā)生，BCP團隊只需進駐該場所就可開始工作，不會有額外的時間拖延。溫場所(WarmSite)該場所實際上就是配備了部分設備的熱場所，數據備份不算最新，但也不能太舊。機動場所(MobileSite)該場所是一個具有較小設施配置的機動場所?？梢晕挥谥饕洜I場所附近,因而也可節(jié)省關鍵人員在路程上花費的時間。鏡像場所(MirroredSite)該場所在所有方面都與主要經營場所完全相

16、同,信息和數據也與主要場所同步。實際上該場所就是正常狀況下的一個冗余場所，因而通常也是成本最高的一種選擇。在備選場所(或主要場所,如果仍然可用的話)，工作環(huán)境需要恢復。通信、網絡和工作站需要設置。與外界的聯系必須持續(xù)暢通。企業(yè)可以首先手動恢復一些業(yè)務，直到關鍵的IT業(yè)務可以繼續(xù)運行為止。當然，如果恢復計劃(下面就要講到)允許，那么關鍵業(yè)務功能也可采用自動方式迅速恢復。Do業(yè)務恢復(Recovery)業(yè)務恢復是啟動時間敏感度稍低一些的業(yè)務流程。業(yè)務恢復的開始時間要取決于接續(xù)那些時間敏感的業(yè)務流程需要的時間.（完整版）業(yè)務連續(xù)性計劃BCP在進行業(yè)務恢復的場所（可以是主要經營場所或備選場所），需要在

17、備份的設備上恢復操作系統(tǒng),并按照關鍵性次序恢復必要的應用系統(tǒng)。當服務于關鍵功能的應用系統(tǒng)恢復之后，則需要從備份磁帶或其他異地備份媒介上恢復數據。備份數據也必須經常保持同步，也就是說,重建的數據應當與業(yè)務中斷之前的某一預先確定的時點的數據相吻合。該時點的選擇取決于關鍵業(yè)務的要求。由于商業(yè)數據有各種不同的來源，因此重建的每一種數據都必須達到所需的數據一致性狀態(tài).經過同步的數據必須經常進行復查并保持其有效。這種復查必須強制執(zhí)行,因為在危險發(fā)生的緊急關頭，不可能再有閑暇來測試數據是否可用。因此，必須要有一套清楚的方法、策略或復查清單來執(zhí)行這個讓數據保持其有效性的過程。一旦數據達到了可靠的狀態(tài)，企業(yè)的事

18、務就可以加速運行，因為災難已經得到處理，所有的關鍵性功能都已得到接續(xù)。逐步地，其他業(yè)務也可開始恢復其功能.E。復原（Restoration）復原則是修復并恢復主要的經營場所。最終是要在原有的場所或者一個全新的場所完全恢復所有的業(yè)務流程。就在恢復團隊開始從某個備選場所開始支持恢復運營的時候，對主要場所的全部功能進行復原的工作也可以展開。如果原有場所在災難后的確無法恢復，則需要在一個新的場所進行復原工作.恢復團隊和復原團隊的成員有可能是同一組人.必須確保該復原場配備必要的基礎設施、設備、硬件、軟件和通信設備。而且要對該場所能否處理全部的業(yè)務流程進行測試。執(zhí)行上述所有行動的計劃應當包括一個時間跨度定

19、義，確定在某一跨度內必須完成哪些行動.這個時間跨度的定義必須與企業(yè)的恢復目標相一致。BCP團隊必須意識到,如果在任一時點，他們的行動超出了規(guī)定的時間跨度，那么這個意外事件（完整版）業(yè)務連續(xù)性計劃BCP就必須立刻上報到指揮中心，由指揮中心馬上制定相應的解決辦法，否則企業(yè)就無法實現其恢復目標。四、指標定義在危險評估和業(yè)務影響分析階段之后，保持業(yè)務連續(xù)的基礎業(yè)務就已經顯現出來.我們在上面已經說過，按照業(yè)務術語可將企業(yè)的業(yè)務功能分成4類，即關鍵業(yè)務、基礎業(yè)務、必要業(yè)務和有利業(yè)務。這種分類可以讓業(yè)務連續(xù)的優(yōu)先順序十分清晰，這樣，業(yè)務恢復的目標就可以用下面的指標進行量化:恢復的時間目標（RTO）最大可允許

20、中斷時間恢復的時點目標（RPO）-一數據損失可允許的最遠回溯時點由于引進了BCP的評測指標而導致的企業(yè)性能退化實施BCP的成本【第二部分】技術需求一、可用的技術選擇A.存儲與服務器解決方案傳統(tǒng)備份一一就是對服務器數據進行備份，然后將備份磁帶送至一個安全的備選場所RAID是一種有效的冗余解決方案。根據需要，可以選擇適當級別的RAID。（完整版）業(yè)務連續(xù)性計劃BCP遠程日志是搜集各種工作記錄和日志并將它們傳送到一個遠程場所的處理過程.這一過程可以實時進行，即同步傳送紀錄，也可以將記錄存檔然后定期傳送。這一過程不會更新數據庫，只是傳送日志，因此恢復就能夠回溯到最近的傳送時點。這幾乎意味著沒有數據損失

21、。遠程日志并不是一種獨立的方法,它需要一個起點，亦即應用到日志的那個點。以下幾個部分本報在以前的報道中有過充分的描述，此處不再贅述。異地備份磁盤復制（鏡像和映射）后備系統(tǒng)虛擬存儲（NAS和SAN）B。網絡解決方案HotNetworkNodes即在備選場所擁有一個可運營的網絡。這個網絡可以經常進行功能監(jiān)控,因而能夠節(jié)省災后設置和測試網絡的時間.VPN可用于遠程恢復。VPN在公用網絡上運行，并允許接入企業(yè)網絡.一旦接入企業(yè)網絡，它的特性就像是在Internet上的企業(yè)的Intranet.當災難發(fā)生時，VPN允許恢復團隊甚至在尚未到達備選場所之前就可以開始在恢復服務器上進行恢復工作.二、實施不同類型

22、的IT系統(tǒng)或業(yè)務流程也將決定實現BCP目標的技術手段。根據業(yè)務影響分析制定出實際的技術方案是很重要的.（完整版）業(yè)務連續(xù)性計劃BCP1臺式電腦雖然它們通常對BCP不會產生影響，但如果必要，臺式機也應該包括進BCP中.應當指導臺式機用戶備份他們的數據。如果這不是可以接受的方式，那么就可以使用網絡磁盤.網絡磁盤可以經常進行備份,然后將備份介質送達至某個異地存儲場所.2軟件及其許可證-這些資源因為最初是花了不少的投資獲得的,因此必須加以備份并保存到異地存儲場所。3LAN復原要求網絡配置以及所有的設備都必須記錄在案。在主要場所被破壞后，后備場所的LAN應該與原來的LAN設置保持一致。4服務器-服務器一

23、旦遭受損失，后果是極為嚴重的。所以應采取異地備份RAID、遠程日志、虛擬存儲等方法。5網站網站很容易受到黑客的攻擊,所以必須實施安全控制。網站的文檔配置、應用代碼都需要快速恢復?；謴瓦^程中，有可能需要具有不同IP地址的后備網站，因此在進行網站設計時就應該考慮到這一點。6業(yè)務流程-在進行業(yè)務流程設計時應該考慮冗余設計。比如銀行系統(tǒng)除了柜臺交易外，還應該設計好電話銀行和網上銀行。構建冗余系統(tǒng)需要額外的成本，所以企業(yè)主要應該為其最經常使用的業(yè)務或最贏利的業(yè)務流程實施冗余設計。有關支持BCP的技術保障措施，請讀者參閱本?？腂C基石論。如何制定一個BCP一、典型內容（完整版）業(yè)務連續(xù)性計劃BCP下面我

24、們給出一份較典型的業(yè)務連續(xù)性計劃大綱.業(yè)務連續(xù)性計劃既可以分成幾個單獨的計劃：即預防、響應、業(yè)務接續(xù)、業(yè)務恢復和復原計劃,也可以由每一個這樣的計劃構成總的計劃書中的不同章節(jié)。1基本項目目的制定計劃的目的必須加以說明.還應該說明即劃分幾個階段試時，每個階段所要實現的目標是什么。范圍說明有哪些部門和運營業(yè)務需要實施BCP。如果一個BCP只針對某些災難而非全部災難,則需要針對這些特殊災難制定專門的實施處理腳本。必備條件/前提條件和限制因素形成一份BCP的前提條件需要在此說明。在某些情況下，還須說明BCP成功的必備條件.比如說，服務器的數據備份間隔不得超過多少小時，受過訓練的運營恢復團隊必須呼之即來，

25、備選場所必須在災難發(fā)生之后多少小時之內一切準備就緒等等。如果BCP計劃的執(zhí)行還存在一些限制條件的話,也應在此列出。團隊BCP團隊的組織/負責人選、下屬哪些分支團隊、團隊的作用和責任等,都必須在此說明。（完整版）業(yè)務連續(xù)性計劃BCP（完整版）業(yè)務連續(xù)性計劃BCP指標作為一種策略，企業(yè)必須由用于恢復的RPO和RTO指標，以及性能指標等，這些指標應該在此加以說明，并向客戶和股東說明.2預防保護作為BCP中的一個實施部分，預防措施需要在此說明.這些措施可以概括如下：監(jiān)督訪問控制身份認證防病毒過濾入侵檢測系統(tǒng)備份計劃3緊急響應響應的準備在響應階段需要哪些資源應當在此列出,同時詳細申明這些資源的配置和所需

26、數量.如果還需要一些文檔和記錄的硬拷貝，也必須在此申明。告知樹危險評估何時對外宣布激活BCP的關鍵標準4業(yè)務接續(xù)從緊急響應階段到業(yè)務接續(xù)階段如何進行銜接是需要在這里說明的。有關業(yè)務接續(xù)運營的決策過程、在哪里以及怎樣進行業(yè)務接續(xù)、需要采取什么行動，以及接續(xù)哪些業(yè)務到何種程度等等，都需要在此加以說明。還要為BCP團隊中的各個小組指定各自應該采取的行動，每個小組要完成指定的任務。BCP中的這一部分也稱為業(yè)務接續(xù)計劃（BRP）。5業(yè)務恢復執(zhí)行業(yè)務恢復的程序在此加以說明。BCP的這一部分也可稱為災難恢復計劃（DRP）。這一部分計劃文檔的組織可以有很多種方式。一種方式就是簡單地列出所有的恢復目標（按照RPO、RTO、目標服務器/網絡等來列）.根據每一目標進行計劃分解，同時明確相應的團隊/負責人以及任務.還有一種方式就是按部門來組織。無論采用哪種方式，都應確保所有的BCP目標都能覆