1、事先制定一個完備的業(yè)務(wù)連續(xù)性計劃(Business Continuity Planning,縮寫為BCP)，積極防范并且應(yīng)變處理災(zāi)難發(fā)生的一系列后果，將災(zāi)難的蔓延和損失控制在企業(yè)能夠承擔的范圍以內(nèi)，已成為現(xiàn)代企業(yè)管理范疇內(nèi)的一個十分重要的任務(wù)。 【第一部分】 BCP的基本要素 籠統(tǒng)地說，BCP的目標只有一個，那就是確定并減少危險可能帶來的損失，有效地保障業(yè)務(wù)的連續(xù)性。而有關(guān)BCP的一些特定目標我們將在以下各個部分中加以描述。 BCP實施的最終結(jié)果是： 一組防范危險的評測指標； 一支執(zhí)行團隊，在經(jīng)過培訓(xùn)后可以處理各種危險事件； 一套計劃，提供危險發(fā)生時的路線圖。該計劃應(yīng)該是充分和完備的，必須詳細

2、落實到該計劃實施范圍內(nèi)的每一個單位、人員或設(shè)備。 我們下面所要討論的主要是與企業(yè)中IT設(shè)施相關(guān)的內(nèi)容，沒有涉及到企業(yè)人員在危險狀況下的安全管理問題。 每個企業(yè)所制定的BCP都應(yīng)該有每個企業(yè)或者所處行業(yè)獨有的特色，彼此之間不會完全一致，但大致上說來，一個完備的BCP主要是由以下一些關(guān)鍵部分構(gòu)成的： 一、危險評估 危險評估就是認識并分析各種潛在危險的結(jié)果。這些危險的來源可能是： 各種區(qū)域性的天然災(zāi)難，如洪水、地震、疫病等； 人為事故或蓄意破壞造成的嚴重災(zāi)難，如火災(zāi)、恐怖主義襲擊等； 安全威脅、硬件、網(wǎng)絡(luò)或通信故障； 災(zāi)難性的應(yīng)用系統(tǒng)錯誤。 所有的危險都應(yīng)納入企業(yè)的危險評估范圍，并且應(yīng)對各種危險的可

3、能來源地進行較準確的定位。對于每一種危險的來源都應(yīng)該認識到： 危險的類型； 危險的程度； 危險發(fā)生的可能性。 比如說，如果按照有無警示性先兆來分，各類危險還可以分為： 有些危險可能沒有任何先兆而突然發(fā)生，無法事先防范； 有些危險可以有一定的先兆，可以迅速啟動應(yīng)急計劃加以防范，比如疫病的傳播； 有些危險可能從來不會發(fā)生。 如果按照危險的破環(huán)類型或程度來分，它們對業(yè)務(wù)的影響可以分為： 經(jīng)營場所及設(shè)備完全破環(huán)； 經(jīng)營場所及設(shè)備部分破環(huán)； 經(jīng)營場所及設(shè)備完好，但人員不能進入，比如疫病的隔離、恐怖威脅造成的人員輸散等。顯然，對于企業(yè)來說，一個完備的BCP必須盡可能多地考慮到所有可能的危險情況，只有處理災(zāi)

4、難性事件的計劃而沒有處理應(yīng)用系統(tǒng)失誤的計劃，這樣的BCP是不完備的；反之亦然。 企業(yè)所制定的BCP應(yīng)該同時兼顧兩個方面預(yù)防和控制。例如，人為事故和蓄意破壞可以通過物理安全和個人行為的評測來預(yù)防。而應(yīng)用系統(tǒng)的錯誤則可以通過對軟件的有效評測與測試來預(yù)防。 危險評估的最后結(jié)果應(yīng)該是一份有關(guān)危險效益分析的詳細陳述報告，要有對危險的精確描述、哪些危險可能發(fā)生，以及需要采取的保障業(yè)務(wù)連續(xù)性和緩和危險的措施，同時要有因為克服了危險而帶來的收益分析。這份報告還應(yīng)該描述清楚任何現(xiàn)有的前提或者限制因素。 二、業(yè)務(wù)影響分析(BIA) 業(yè)務(wù)影響分析(Business Impact Analysis)實質(zhì)上就是對關(guān)鍵性

5、的企業(yè)功能、以及當這些功能一旦失去作用時可能造成的損失和影響的分析。 對于企業(yè)業(yè)務(wù)運營的關(guān)鍵人員來說，他們需要分析： A.影響 哪種功能對于企業(yè)的整體戰(zhàn)略而言是生死攸關(guān)的 該功能在多長時間內(nèi)失效不會造成影響和損失 企業(yè)的其他業(yè)務(wù)功能由于該功能的失效會受到何種影響運營影響分析 該功能的失效可能造成的收入影響財務(wù)影響分析 該功能是否會對客戶關(guān)系造成影響客戶信心的損失 該功能是否會對市場份額造成影響市場占有率的下滑 該功能是否會對企業(yè)在行業(yè)中的地位造成影響企業(yè)競爭力的損失 該功能是否會影響今后的銷售機會的喪失 什么是最大的/可承受的/可允許的失效 B.業(yè)務(wù)恢復(fù)需求 要使該功能連續(xù)，需要哪些資源和數(shù)據(jù)

6、紀錄 最少的資源需求是什么 哪些資源可能來自企業(yè)外部 它與企業(yè)其他功能的依賴關(guān)系以及依賴程度 企業(yè)的其他功能與該功能的依賴關(guān)系以及依賴程度 該功能與企業(yè)的外部業(yè)務(wù)/供應(yīng)商/其他廠商的依賴關(guān)系以及依賴程度 在缺少試驗環(huán)境的情況下進行恢復(fù)，需要采取怎樣的預(yù)防措施或檢驗手段 在進行了這些分析之后，才有可能對企業(yè)的各種功能進行分類： a)關(guān)鍵功能如果這類功能被中斷或失效，就會徹底危及企業(yè)的業(yè)務(wù)并造成嚴重損失。 b)基礎(chǔ)功能這些功能一旦失效將會嚴重影響企業(yè)長期運營的能力。 c)必要功能企業(yè)可以繼續(xù)運營，但這些功能的失效會在很大程度上限制企業(yè)的效率。 d)有利功能這些功能對企業(yè)是有利的；但它們的缺失不會影

7、響企業(yè)的運營能力。 根據(jù)各種功能的恢復(fù)需求，企業(yè)便可為上述各類功能制定標準的恢復(fù)時間架構(gòu)。例如，關(guān)鍵功能10天。 影響分析可以幫助企業(yè)確定各類業(yè)務(wù)功能的優(yōu)先順序，換句話說，也就確定了各業(yè)務(wù)功能的優(yōu)先恢復(fù)順序。 BIA有助于定義恢復(fù)對象。在進行了影響分析之后可能會發(fā)現(xiàn)，在一次災(zāi)難之后恢復(fù)業(yè)務(wù)運營時，首先恢復(fù)部分功能就足夠了，比如說在24小時內(nèi)先恢復(fù)日常業(yè)務(wù)的40%就夠了。 詳細定義好在災(zāi)難或業(yè)務(wù)中斷之后保障業(yè)務(wù)功能運營的資源需求也是可能的。這些資源需求包括基礎(chǔ)設(shè)施、人力資源、文檔、記錄、設(shè)備、電話、傳真機等，無論需要什么資源都要有完備的規(guī)范要求。擁有適當?shù)募毠?jié)要求是非常重要的，因為在危險事件發(fā)生

8、時，會產(chǎn)生一定程度的慌亂，到那時再決定這類細節(jié)已經(jīng)不可能了。 成本因素在進行影響分析時也是不能忽略的。我們需要記住以下一些事項： 收入的損失和商機的喪失與恢復(fù)所需的時間直接成正比 一種恢復(fù)策略的成本與恢復(fù)所需的時間成反比 可能的恢復(fù)策略的成本必須和在采納該策略之前由于業(yè)務(wù)功能中斷而造成的實際損失進行比較。如果所建議的恢復(fù)策略的成本遠高于預(yù)計的成本，那么這種策略就是不可取的。 三、策略 BCP應(yīng)包括以下策略： A.預(yù)防預(yù)防的目的在于減少災(zāi)難發(fā)生的可能性。有關(guān)預(yù)防的策略應(yīng)該包括制止和預(yù)防控制。制止控制可以減少危險的可能性。預(yù)防控制則是保護企業(yè)的弱點區(qū)域，以防御危險的發(fā)生并降低其影響。這兩類控制在實

9、際運營中廣泛存在，比如經(jīng)營場所的安全、人員控制、相關(guān)基礎(chǔ)設(shè)施(如UPS、后備電池、煙火探測器、滅火器等)、軟件控制、相關(guān)的存儲和恢復(fù)等。 企業(yè)希望保障其資源(包括信息資產(chǎn))的可用性和安全性，其安全策略必須針對這些對象而制定，并且提供有關(guān)資源使用和管理的指南。在熟悉了企業(yè)的所有資源、資源的布局以及危險管理等之后，才可能拿出實施安全策略所需的必要的控制措施。這些控制措施或安全舉措必須時時加以檢查和測試。 如果一種安全策略，能將預(yù)防措施都部署到位，可以監(jiān)控對系統(tǒng)的入侵并防范那些試圖破壞系統(tǒng)的行為，那么其本身就是一種制止控制。預(yù)防計劃的執(zhí)行必須小心謹慎。必須保證實施安全策略時既不能對日常業(yè)務(wù)帶來限制，

10、出現(xiàn)瓶頸，也不能引起可用性問題，或者給系統(tǒng)的訪問和使用帶來障礙。 B.響應(yīng)響應(yīng)就是當危險發(fā)生時的反應(yīng)。它必須能夠阻止危險的進一步擴大，評估危險的程度，通過與外部世界的正常通信聯(lián)絡(luò)挽回企業(yè)的聲譽，并啟動必要的恢復(fù)時間表。 對業(yè)務(wù)中斷的第一反應(yīng)應(yīng)該是告知所有相關(guān)的人員。如果危險有事前警示的話(比如這次的非典爆發(fā))，那么這種告知就可以提前進行。及時的告知非常重要，因為這可能會給阻止危險的進一步擴大創(chuàng)造機會。如果在適當?shù)臅r機執(zhí)行一次關(guān)機、一次轉(zhuǎn)換或者一次撤離，甚至有可能完全防止危險的發(fā)生。但是這需要有診斷或探測控制的存在。這類控制或者可以持續(xù)掃描以探測發(fā)生中斷的征候(網(wǎng)絡(luò)、服務(wù)器)，或者可以從外部資源

11、搜集信息(自然災(zāi)害)。 準確的告知程序必須事先制定好。必須清楚地記錄在案：需要告知誰，怎樣告知，由誰告知，而且還得有逐步擴大的機制。 在BCP中必須設(shè)立好一棵告知樹。最初的告知發(fā)送給一組人，然后再由他們中的每個人去告知另一組人，依次類推。屬于這棵告知樹的人都有不同的責(zé)任和作用，所涉及的人員應(yīng)包括： 管理團隊需要獲得有關(guān)危險發(fā)展狀況的信息。該團隊有權(quán)力啟動緊急響應(yīng)體系和下一步的行動。管理團隊還要負責(zé)與媒體、公眾、客戶以及股東們打交道。 危險評估團隊需要立刻對危險進行評估，評價業(yè)務(wù)中斷的嚴重程度。 技術(shù)團隊應(yīng)當為關(guān)鍵決策制定者如何采取下一步BCP行動提供服務(wù)。 運營團隊應(yīng)當執(zhí)行BCP的實際運作。

12、還有很重要的一點就是每一個團隊都應(yīng)明確第二負責(zé)人。萬一第一負責(zé)人沒有通知到或者無法負起責(zé)任，那么必須告知第二負責(zé)人。告知可以使用各種工具或手段：如手機、呼機、短信、電話和E-mail。每個團隊都應(yīng)當有相應(yīng)的配備。 危險評估團隊應(yīng)該是最早(或者與管理團隊同時)被告知的。他們應(yīng)當最早來到現(xiàn)場，以便評估所遭受的危險程度和級別。如果工作現(xiàn)場已經(jīng)遭到破壞，那么他們就應(yīng)該做好各項準備，一旦允許進入現(xiàn)場就開始工作。 評估過程本身也應(yīng)有計劃地進行，必須與保障業(yè)務(wù)連續(xù)性的優(yōu)先順序密切相關(guān)。這就是說評估團隊應(yīng)當意識到危險所影響到的工作區(qū)域和工作流程是否對整個業(yè)務(wù)的運行至關(guān)重要。這將有助于他們優(yōu)化其評估進程，同時也

13、可正確地關(guān)注關(guān)鍵性工作區(qū)域。這支團隊需要察看以下事項： 中斷的原因是什么 阻止危險擴大的前景如何 基礎(chǔ)設(shè)施和設(shè)備受損情況 業(yè)務(wù)受影響狀況 關(guān)鍵記錄受損情況 可以挽回什么損失 什么設(shè)備需要修理、恢復(fù)和更換 有了危險評估團隊提供的有關(guān)受損程度和受損區(qū)域的詳盡信息，技術(shù)團隊便可立刻投入工作。 BCP必須擁有一組基于業(yè)務(wù)影響分析和持續(xù)性目標的預(yù)設(shè)參數(shù)，這些參數(shù)應(yīng)該能夠區(qū)分出中斷和災(zāi)難的不同性質(zhì)，同時也能評價出危險的嚴重程度。 當危險評估團隊和技術(shù)團隊開始工作時，其他BCP團隊也應(yīng)依照警示告知到位，以便按照連續(xù)性計劃采取應(yīng)當采取的行動。 C.業(yè)務(wù)接續(xù)(Resumption)業(yè)務(wù)接續(xù)只涉及那些時間敏感的業(yè)

14、務(wù)流程，要么是在中斷發(fā)生后立即接續(xù)，要么是在可允許的一段平均時間后接續(xù)，但不是對所有業(yè)務(wù)的恢復(fù)。 一旦BCP被激活，命令將從指揮中心發(fā)出。這個指揮中心應(yīng)該是在一個不同于日常經(jīng)營場所的地方。該中心應(yīng)配備相應(yīng)的通信設(shè)施、辦公設(shè)備，可能的話還應(yīng)該構(gòu)建局域網(wǎng)和VPN。 需要做出的第一個決策是，關(guān)鍵性業(yè)務(wù)的運營能否在日常的工作場所或者在一個備選場所很快恢復(fù)運營。 備選場所可以分成以下幾類： (a)空場所(Cold Site)該場所只需配備必要的環(huán)境條件即可，比如說，應(yīng)配備電話插座、電源以及UPS等，但要避免其內(nèi)有任何其他設(shè)備，它的作用就是準備將保障業(yè)務(wù)持續(xù)所需的全部設(shè)備搬移進來。 (b)熱場所(Hot

15、Site)該場所是一個完全的備份場所，有人員工作的空間，所有設(shè)施一應(yīng)俱全，數(shù)據(jù)備份也是最新的。一旦災(zāi)難發(fā)生，BCP團隊只需進駐該場所就可開始工作，不會有額外的時間拖延。 (c)溫場所(Warm Site)該場所實際上就是配備了部分設(shè)備的熱場所，數(shù)據(jù)備份不算最新，但也不能太舊。 (d)機動場所(Mobile Site)該場所是一個具有較小設(shè)施配置的機動場所?？梢晕挥谥饕?jīng)營場所附近，因而也可節(jié)省關(guān)鍵人員在路程上花費的時間。 (e)鏡像場所(Mirrored Site)該場所在所有方面都與主要經(jīng)營場所完全相同，信息和數(shù)據(jù)也與主要場所同步。實際上該場所就是正常狀況下的一個冗余場所，因而通常也是成本最

16、高的一種選擇。 在備選場所(或主要場所，如果仍然可用的話)，工作環(huán)境需要恢復(fù)。通信、網(wǎng)絡(luò)和工作站需要設(shè)置。與外界的聯(lián)系必須持續(xù)暢通。企業(yè)可以首先手動恢復(fù)一些業(yè)務(wù)，直到關(guān)鍵的IT業(yè)務(wù)可以繼續(xù)運行為止。當然，如果恢復(fù)計劃(下面就要講到)允許，那么關(guān)鍵業(yè)務(wù)功能也可采用自動方式迅速恢復(fù)。 D.業(yè)務(wù)恢復(fù)(Recovery)業(yè)務(wù)恢復(fù)是啟動時間敏感度稍低一些的業(yè)務(wù)流程。業(yè)務(wù)恢復(fù)的開始時間要取決于接續(xù)那些時間敏感的業(yè)務(wù)流程需要的時間。 在進行業(yè)務(wù)恢復(fù)的場所(可以是主要經(jīng)營場所或備選場所)，需要在備份的設(shè)備上恢復(fù)操作系統(tǒng)，并按照關(guān)鍵性次序恢復(fù)必要的應(yīng)用系統(tǒng)。當服務(wù)于關(guān)鍵功能的應(yīng)用系統(tǒng)恢復(fù)之后，則需要從備份磁帶或

17、其他異地備份媒介上恢復(fù)數(shù)據(jù)。 備份數(shù)據(jù)也必須經(jīng)常保持同步，也就是說，重建的數(shù)據(jù)應(yīng)當與業(yè)務(wù)中斷之前的某一預(yù)先確定的時點的數(shù)據(jù)相吻合。該時點的選擇取決于關(guān)鍵業(yè)務(wù)的要求。由于商業(yè)數(shù)據(jù)有各種不同的來源，因此重建的每一種數(shù)據(jù)都必須達到所需的數(shù)據(jù)一致性狀態(tài)。經(jīng)過同步的數(shù)據(jù)必須經(jīng)常進行復(fù)查并保持其有效。這種復(fù)查必須強制執(zhí)行，因為在危險發(fā)生的緊急關(guān)頭，不可能再有閑暇來測試數(shù)據(jù)是否可用。因此，必須要有一套清楚的方法、策略或復(fù)查清單來執(zhí)行這個讓數(shù)據(jù)保持其有效性的過程。 一旦數(shù)據(jù)達到了可靠的狀態(tài)，企業(yè)的事務(wù)就可以加速運行，因為災(zāi)難已經(jīng)得到處理，所有的關(guān)鍵性功能都已得到接續(xù)。逐步地，其他業(yè)務(wù)也可開始恢復(fù)其功能。 E.

18、復(fù)原(Restoration)復(fù)原則是修復(fù)并恢復(fù)主要的經(jīng)營場所。最終是要在原有的場所或者一個全新的場所完全恢復(fù)所有的業(yè)務(wù)流程。 就在恢復(fù)團隊開始從某個備選場所開始支持恢復(fù)運營的時候，對主要場所的全部功能進行復(fù)原的工作也可以展開。如果原有場所在災(zāi)難后的確無法恢復(fù)，則需要在一個新的場所進行復(fù)原工作?；謴?fù)團隊和復(fù)原團隊的成員有可能是同一組人。 必須確保該復(fù)原場配備必要的基礎(chǔ)設(shè)施、設(shè)備、硬件、軟件和通信設(shè)備。而且要對該場所能否處理全部的業(yè)務(wù)流程進行測試。 執(zhí)行上述所有行動的計劃應(yīng)當包括一個時間跨度定義，確定在某一跨度內(nèi)必須完成哪些行動。這個時間跨度的定義必須與企業(yè)的恢復(fù)目標相一致。BCP團隊必須意識到

19、，如果在任一時點，他們的行動超出了規(guī)定的時間跨度，那么這個意外事件就必須立刻上報到指揮中心，由指揮中心馬上制定相應(yīng)的解決辦法，否則企業(yè)就無法實現(xiàn)其恢復(fù)目標。 四、指標定義 在危險評估和業(yè)務(wù)影響分析階段之后，保持業(yè)務(wù)連續(xù)的基礎(chǔ)業(yè)務(wù)就已經(jīng)顯現(xiàn)出來。我們在上面已經(jīng)說過，按照業(yè)務(wù)術(shù)語可將企業(yè)的業(yè)務(wù)功能分成4類，即關(guān)鍵業(yè)務(wù)、基礎(chǔ)業(yè)務(wù)、必要業(yè)務(wù)和有利業(yè)務(wù)。 這種分類可以讓業(yè)務(wù)連續(xù)的優(yōu)先順序十分清晰，這樣，業(yè)務(wù)恢復(fù)的目標就可以用下面的指標進行量化： 恢復(fù)的時間目標(RTO)最大可允許中斷時間 恢復(fù)的時點目標(RPO)數(shù)據(jù)損失可允許的最遠回溯時點 由于引進了BCP的評測指標而導(dǎo)致的企業(yè)性能退化 實施BCP的成

20、本 【第二部分】 技術(shù)需求 一、可用的技術(shù)選擇 A.存儲與服務(wù)器解決方案 傳統(tǒng)備份就是對服務(wù)器數(shù)據(jù)進行備份，然后將備份磁帶送至一個安全的備選場所 RAID是一種有效的冗余解決方案。根據(jù)需要，可以選擇適當級別的RAID。 遠程日志是搜集各種工作記錄和日志并將它們傳送到一個遠程場所的處理過程。這一過程可以實時進行，即同步傳送紀錄，也可以將記錄存檔然后定期傳送。這一過程不會更新數(shù)據(jù)庫，只是傳送日志，因此恢復(fù)就能夠回溯到最近的傳送時點。這幾乎意味著沒有數(shù)據(jù)損失。遠程日志并不是一種獨立的方法，它需要一個起點，亦即應(yīng)用到日志的那個點。 以下幾個部分本報在以前的報道中有過充分的描述，此處不再贅述。 異地備份

21、 磁盤復(fù)制(鏡像和映射) 后備系統(tǒng) 虛擬存儲(NAS和SAN) B.網(wǎng)絡(luò)解決方案 Hot Network Nodes即在備選場所擁有一個可運營的網(wǎng)絡(luò)。 這個網(wǎng)絡(luò)可以經(jīng)常進行功能監(jiān)控，因而能夠節(jié)省災(zāi)后設(shè)置和測試網(wǎng)絡(luò)的時間。 VPN可用于遠程恢復(fù)。VPN在公用網(wǎng)絡(luò)上運行，并允許接入企業(yè)網(wǎng)絡(luò)。一旦接入企業(yè)網(wǎng)絡(luò)，它的特性就像是在Internet上的企業(yè)的Intranet。當災(zāi)難發(fā)生時，VPN允許恢復(fù)團隊甚至在尚未到達備選場所之前就可以開始在恢復(fù)服務(wù)器上進行恢復(fù)工作。 二、實施 不同類型的IT系統(tǒng)或業(yè)務(wù)流程也將決定實現(xiàn)BCP目標的技術(shù)手段。根據(jù)業(yè)務(wù)影響分析制定出實際的技術(shù)方案是很重要的。 1臺式電腦雖然

22、它們通常對BCP不會產(chǎn)生影響，但如果必要，臺式機也應(yīng)該包括進BCP中。應(yīng)當指導(dǎo)臺式機用戶備份他們的數(shù)據(jù)。如果這不是可以接受的方式，那么就可以使用網(wǎng)絡(luò)磁盤。網(wǎng)絡(luò)磁盤可以經(jīng)常進行備份，然后將備份介質(zhì)送達至某個異地存儲場所。 2軟件及其許可證這些資源因為最初是花了不少的投資獲得的，因此必須加以備份并保存到異地存儲場所。 3 LAN復(fù)原要求網(wǎng)絡(luò)配置以及所有的設(shè)備都必須記錄在案。在主要場所被破壞后，后備場所的LAN應(yīng)該與原來的LAN設(shè)置保持一致。 4服務(wù)器服務(wù)器一旦遭受損失，后果是極為嚴重的。所以應(yīng)采取異地備份、RAID、遠程日志、虛擬存儲等方法。 5網(wǎng)站網(wǎng)站很容易受到黑客的攻擊，所以必須實施安全控制。

23、網(wǎng)站的文檔、配置、應(yīng)用代碼都需要快速恢復(fù)。恢復(fù)過程中，有可能需要具有不同IP地址的后備網(wǎng)站，因此在進行網(wǎng)站設(shè)計時就應(yīng)該考慮到這一點。 6業(yè)務(wù)流程在進行業(yè)務(wù)流程設(shè)計時應(yīng)該考慮冗余設(shè)計。比如銀行系統(tǒng)除了柜臺交易外，還應(yīng)該設(shè)計好電話銀行和網(wǎng)上銀行。構(gòu)建冗余系統(tǒng)需要額外的成本，所以企業(yè)主要應(yīng)該為其最經(jīng)常使用的業(yè)務(wù)或最贏利的業(yè)務(wù)流程實施冗余設(shè)計。 有關(guān)支持BCP的技術(shù)保障措施，請讀者參閱本?？腂C基石論。 【第三部分】 如何制定一個BCP 一、典型內(nèi)容 下面我們給出一份較典型的業(yè)務(wù)連續(xù)性計劃大綱。業(yè)務(wù)連續(xù)性計劃既可以分成幾個單獨的計劃：即預(yù)防、響應(yīng)、業(yè)務(wù)接續(xù)、業(yè)務(wù)恢復(fù)和復(fù)原計劃，也可以由每一個這樣的計

24、劃構(gòu)成總的計劃書中的不同章節(jié)。 1.基本項目 目的 制定計劃的目的必須加以說明。還應(yīng)該說明即劃分幾個階段試時，每個階段所要實現(xiàn)的目標是什么。 范圍 說明有哪些部門和運營業(yè)務(wù)需要實施BCP。如果一個BCP只針對某些災(zāi)難而非全部災(zāi)難，則需要針對這些特殊災(zāi)難制定專門的實施處理腳本。 必備條件/前提條件和限制因素 形成一份BCP的前提條件需要在此說明。在某些情況下，還須說明BCP成功的必備條件。比如說，服務(wù)器的數(shù)據(jù)備份間隔不得超過多少小時，受過訓(xùn)練的運營恢復(fù)團隊必須呼之即來，備選場所必須在災(zāi)難發(fā)生之后多少小時之內(nèi)一切準備就緒等等。 如果BCP計劃的執(zhí)行還存在一些限制條件的話，也應(yīng)在此列出。 團隊 BC

25、P團隊的組織/負責(zé)人選、下屬哪些分支團隊、團隊的作用和責(zé)任等，都必須在此說明。 指標 作為一種策略，企業(yè)必須由用于恢復(fù)的RPO和RTO指標，以及性能指標等，這些指標應(yīng)該在此加以說明，并向客戶和股東說明。 2.預(yù)防保護 作為BCP中的一個實施部分，預(yù)防措施需要在此說明。這些措施可以概括如下： 監(jiān)督 訪問控制 身份認證 防病毒 過濾 入侵檢測系統(tǒng) 備份計劃 3.緊急響應(yīng) 響應(yīng)的準備 在響應(yīng)階段需要哪些資源應(yīng)當在此列出，同時詳細申明這些資源的配置和所需數(shù)量。如果還需要一些文檔和記錄的硬拷貝，也必須在此申明。 告知樹 危險評估 何時對外宣布 激活BCP的關(guān)鍵標準 4.業(yè)務(wù)接續(xù) 從緊急響應(yīng)階段到業(yè)務(wù)接續(xù)

26、階段如何進行銜接是需要在這里說明的。有關(guān)業(yè)務(wù)接續(xù)運營的決策過程、在哪里以及怎樣進行業(yè)務(wù)接續(xù)、需要采取什么行動，以及接續(xù)哪些業(yè)務(wù)到何種程度等等，都需要在此加以說明。還要為BCP團隊中的各個小組指定各自應(yīng)該采取的行動，每個小組要完成指定的任務(wù)。BCP中的這一部分也稱為業(yè)務(wù)接續(xù)計劃(BRP)。 5.業(yè)務(wù)恢復(fù) 執(zhí)行業(yè)務(wù)恢復(fù)的程序在此加以說明。BCP的這一部分也可稱為災(zāi)難恢復(fù)計劃(DRP)。 這一部分計劃文檔的組織可以有很多種方式。一種方式就是簡單地列出所有的恢復(fù)目標(按照RPO、RTO、目標服務(wù)器/網(wǎng)絡(luò)等來列)。根據(jù)每一目標進行計劃分解，同時明確相應(yīng)的團隊/負責(zé)人以及任務(wù)。還有一種方式就是按部門來組織。無論采用哪種方式，都應(yīng)確保所有的BCP目標都能覆蓋到。 計劃的這一