业务连续性计划

《业务连续性计划》由会员分享，可在线阅读，更多相关《业务连续性计划（22页珍藏版）》请在装配图网上搜索。

1、事先制定一完备的业务连续性计划（Business ContinuityPlanning，缩写为BCP），积极防范并且应变处理灾难发生的一系列 后果，将灾难的蔓延和损失控制在企业能够承担的范围以内，已成为 现代企业管理范畴内的一个十分重要的任务。【第一部分】BCP的基本要素笼统地说，BCP的目标只有一个，那就是确定并减少危险可能带 来的损失，有效地保障业务的连续性。而有关BCP的一些特定目标我 们将在以下各个部分中加以描述。BCP实施的最终结果是： 一组防范危险的评测指标； 一支执行团队，在经过培训后可以处理各种危险事件； 一套计划，提供危险发生时的路线图。该计划应该是充分和 完备的，必须详细落

2、实到该计划实施范围内的每一个单位、人员或设 备。我们下面所要讨论的主要是与企业中IT设施相关的内容，没有 涉及到企业人员在危险状况下的安全管理问题。每个企业所制定的BCP都应该有每个企业或者所处行业独有的 特色，彼此之间不会完全一致，但大致上说来，一个完备的BCP主要 是由以下一些关键部分构成的：一、危险评估危险评估就是认识并分析各种潜在危险的结果。这些危险的来源 可能是：各种区域性的天然灾难，如洪水、地震、疫病等；人为事故或蓄意破坏造成的严重灾难，如火灾、恐怖主义袭击等;安全威胁、硬件、网络或通信故障；灾难性的应用系统错误。所有的危险都应纳入企业的危险评估范围，并且应对各种危险的 可能来源地

3、进行较准确的定位。对于每一种危险的来源都应该认识 到：危险的类型；危险的程度；危险发生的可能性。比如说，如果按照有无警示性先兆来分，各类危险还可以分为:有些危险可能没有任何先兆而突然发生，无法事先防范；有些危险可以有一定的先兆，可以迅速启动应急计划加以防范，比如疫病的传播；有些危险可能从来不会发生。如果按照危险的破环类型或程度来分，它们对业务的影响可以分 为：经营场所及设备完全破环；经营场所及设备部分破环；经营场所及设备完好，但人员不能进入，比如疫病的隔离、 恐怖威胁造成的人员输散等。显然，对于企业来说，一个完备的BCP必须尽可能多地考虑到所 有可能的危险情况，只有处理灾难性事件的计划而没有处

4、理应用系统 失误的计划，这样的BCP是不完备的；反之亦然。企业所制定的BCP应该同时兼顾两个方面一一预防和控制。例 如，人为事故和蓄意破坏可以通过物理安全和个人行为的评测来预 防。而应用系统的错误则可以通过对软件的有效评测与测试来预防。危险评估的最后结果应该是一份有关危险效益分析的详细陈述 报告，要有对危险的精确描述、哪些危险可能发生，以及需要采取的 保障业务连续性和缓和危险的措施，同时要有因为克服了危险而带来的收益分析。这份报告还应该描述清楚任何现有的前提或者限制因 素。二、业务影响分析(BIA)业务影响分析(Business Impact Analysis)实质上就是对关键 性的企业功能、

5、以及当这些功能一旦失去作用时可能造成的损失和影 响的分析。对于企业业务运营的关键人员来说，他们需要分析：A.影响哪种功能对于企业的整体战略而言是生死攸关的该功能在多长时间内失效不会造成影响和损失企业的其他业务功能由于该功能的失效会受到何种影响 运营影响分析该功能的失效可能造成的收入影响一一财务影响分析该功能是否会对客户关系造成影响一一客户信心的损失该功能是否会对市场份额造成影响一一市场占有率的下滑该功能是否会对企业在行业中的地位造成影响企业竞争 力的损失该功能是否会影响今后的销售机会的丧失什么是最大的/可承受的/可允许的失效B.业务恢复需求要使该功能连续，需要哪些资源和数据纪录最少的资源需求是

6、什么哪些资源可能来自企业外部它与企业其他功能的依赖关系以及依赖程度企业的其他功能与该功能的依赖关系以及依赖程度该功能与企业的外部业务/供应商/其他厂商的依赖关系以及 依赖程度在缺少试验环境的情况下进行恢复，需要采取怎样的预防措 施或检验手段在进行了这些分析之后，才有可能对企业的各种功能进行分类：a）关键功能如果这类功能被中断或失效，就会彻底危及企业 的业务并造成严重损失。b）基础功能一一这些功能一旦失效将会严重影响企业长期运营 的能力。c）必要功能企业可以继续运营，但这些功能的失效会在很大 程度上限制企业的效率。d）有利功能一一这些功能对企业是有利的；但它们的缺失不会影 响企业的运营能力。根据

7、各种功能的恢复需求，企业便可为上述各类功能制定标准的 恢复时间架构。例如，关键功能1天；基础功能：24天；必要功 能：57天；有利功能：10天。影响分析可以帮助企业确定各类业务功能的优先顺序，换句话 说，也就确定了各业务功能的优先恢复顺序。BIA有助于定义恢复对象。在进行了影响分析之后可能会发现， 在一次灾难之后恢复业务运营时，首先恢复部分功能就足够了，比如 说在24小时内先恢复日常业务的40%就够了。详细定义好在灾难或业务中断之后保障业务功能运营的资源需 求也是可能的。这些资源需求包括基础设施、人力资源、文档、记录、 设备、电话、传真机等，无论需要什么资源都要有完备的规范要求。 拥有适当的细

8、节要求是非常重要的，因为在危险事件发生时，会产生 一定程度的慌乱，到那时再决定这类细节已经不可能了。成本因素在进行影响分析时也是不能忽略的。我们需要记住以下 一些事项：收入的损失和商机的丧失与恢复所需的时间直接成正比 一种恢复策略的成本与恢复所需的时间成反比可能的恢复策略的成本必须和在采纳该策略之前由于业务功能中断而造成的实际损失进行比较。如果所建议的恢复策略的成本远 高于预计的成本，那么这种策略就是不可取的。三、策略BCP应包括以下策略：A. 预防 预防的目的在于减少灾难发生的可能性。有关预防的 策略应该包括制止和预防控制。制止控制可以减少危险的可能性。预 防控制则是保护企业的弱点区域，以防

9、御危险的发生并降低其影响。 这两类控制在实际运营中广泛存在，比如经营场所的安全、人员控制、 相关基础设施（如UPS、后备电池、烟火探测器、灭火器等）、软件 控制、相关的存储和恢复等。企业希望保障其资源（包括信息资产）的可用性和安全性，其安 全策略必须针对这些对象而制定，并且提供有关资源使用和管理的指 南。在熟悉了企业的所有资源、资源的布局以及危险管理等之后， 才可能拿出实施安全策略所需的必要的控制措施。这些控制措施或安 全举措必须时时加以检查和测试。如果一种安全策略，能将预防措施都部署到位，可以监控对系统 的入侵并防范那些试图破坏系统的行为，那么其本身就是一种制止控 制。预防计划的执行必须小心

10、谨慎。必须保证实施安全策略时既不 能对日常业务带来限制，出现瓶颈，也不能引起可用性问题，或者给 系统的访问和使用带来障碍。B. 响应响应就是当危险发生时的反应。它必须能够阻止危险 的进一步扩大，评估危险的程度，通过与外部世界的正常通信联络挽 回企业的声誉，并启动必要的恢复时间表。对业务中断的第一反应应该是告知所有相关的人员。如果危险有 事前警示的话（比如这次的非典爆发），那么这种告知就可以提前进 行。及时的告知非常重要，因为这可能会给阻止危险的进一步扩大 创造机会。如果在适当的时机执行一次关机、一次转换或者一次撤离， 甚至有可能完全防止危险的发生。但是这需要有诊断或探测控制的 存在。这类控制或

11、者可以持续扫描以探测发生中断的征候（网络、服 务器），或者可以从外部资源搜集信息（自然灾害）。准确的告知程序必须事先制定好。必须清楚地记录在案：需要告 知谁，怎样告知，由谁告知，而且还得有逐步扩大的机制。在BCP中必须设立好一棵告知树。最初的告知发送给一组人，然 后再由他们中的每个人去告知另一组人，依次类推。属于这棵告知树 的人都有不同的责任和作用，所涉及的人员应包括：管理团队一一需要获得有关危险发展状况的信息。该团队有 权力启动紧急响应体系和下一步的行动。管理团队还要负责与媒体、 公众、客户以及股东们打交道。危险评估团队一一需要立刻对危险进行评估，评价业务中断的严重程度。技术团队一一应当为关

12、键决策制定者如何采取下一步BCP行动提供服务。运营团队一一应当执行BCP的实际运作。还有很重要的一点就是每一个团队都应明确第二负责人。万一第 一负责人没有通知到或者无法负起责任，那么必须告知第二负责人。 告知可以使用各种工具或手段：如手机、呼机、短信、电话和E-mail o 每个团队都应当有相应的配备。危险评估团队应该是最早（或者与管理团队同时）被告知的。他 们应当最早来到现场，以便评估所遭受的危险程度和级别。如果工作 现场已经遭到破坏，那么他们就应该做好各项准备，一旦允许进入现 场就开始工作。评估过程本身也应有计划地进行，必须与保障业务连续性的优先 顺序密切相关。这就是说评估团队应当意识到危

13、险所影响到的工作区 域和工作流程是否对整个业务的运行至关重要。这将有助于他们优化 其评估进程，同时也可正确地关注关键性工作区域。这支团队需要察 看以下事项：中断的原因是什么阻止危险扩大的前景如何基础设施和设备受损情况业务受影响状况关键记录受损情况可以挽回什么损失什么设备需要修理、恢复和更换有了危险评估团队提供的有关受损程度和受损区域的详尽信息， 技术团队便可立刻投入工作。BCP必须拥有一组基于业务影响分析和持续性目标的预设参数， 这些参数应该能够区分出中断和灾难的不同性质，同时也能评价出危 险的严重程度。当危险评估团队和技术团队开始工作时，其他BCP团队也应依照 警示告知到位，以便按照连续性计

14、划采取应当采取的行动。C. 业务接续(Resumption) 业务接续只涉及那些时间敏感的 业务流程，要么是在中断发生后立即接续，要么是在可允许的一段平 均时间后接续，但不是对所有业务的恢复。一旦BCP被激活，命令将从指挥中心发出。这个指挥中心应该是 在一个不同于日常经营场所的地方。该中心应配备相应的通信设施、 办公设备，可能的话还应该构建局域网和VPN。需要做出的第一个决策是，关键性业务的运营能否在日常的工作 场所或者在一个备选场所很快恢复运营。备选场所可以分成以下几类:(a) 空场所(Cold Site)该场所只需配备必要的环境条件即 可，比如说，应配备电话插座、电源以及UPS等，但要避免

15、其内有任 何其他设备，它的作用就是准备将保障业务持续所需的全部设备搬移 进来。(b) 热场所(Hot Site)该场所是一个完全的备份场所，有 人员工作的空间，所有设施一应俱全，数据备份也是最新的。一旦灾 难发生，BCP团队只需进驻该场所就可开始工作，不会有额外的时间 拖延。(c) 温场所(WarmSite)该场所实际上就是配备了部分设备 的热场所，数据备份不算最新，但也不能太旧。(d )机动场所(Mobile Site)该场所是一个具有较小设施配 置的机动场所。可以位于主要经营场所附近，因而也可节省关键人员 在路程上花费的时间。(e)镜像场所(Mirrored Site)该场所在所有方面都与

16、主要 经营场所完全相同，信息和数据也与主要场所同步。实际上该场所就 是正常状况下的一个冗余场所，因而通常也是成本最高的一种选择。在备选场所(或主要场所，如果仍然可用的话)，工作环境需要 恢复。通信、网络和工作站需要设置。与外界的联系必须持续畅通。 企业可以首先手动恢 复一些业务，直到关键的IT业务可以继续运行 为止。当然，如果恢复计划（下面就要讲到）允许，那么关键业务功 能也可采用自动方式迅速恢复。D. 业务恢复（Recovery） 业务恢复是启动时间敏感度稍低一 些的业务流程。业务恢复的开始时间要取决于接续那些时间敏感的业 务流程需要的时间。在进行业务恢复的场所（可以是主要经营场所或备选场所

17、），需 要在备份的设备上恢复操作系统，并按照关键性次序恢复必要的应用 系统。当服务于关键功能的应用系统恢复之后，则需要从备份磁带或 其他异地备份媒介上恢复数据。备份数据也必须经常保持同步，也就是说，重建的数据应当与业 务中断之前的某一预先确定的时点的数据相吻合。该时点的选择取决 于关键业务的要求。由于商业数据有各种不同的来源，因此重建的 每一种数据都必须达到所需的数据一致性状态。经过同步的数据必须 经常进行复查并保持其有效。这种复查必须强制执行，因为在危险 发生的紧急关头，不可能再有闲暇来测试数据是否可用。因此，必须 要有一套清楚的方法、策略或复查清单来执行这个让数据保持其有效 性的过程。一旦

18、数据达到了可靠的状态，企业的事务就可以加速运行，因为 灾难已经得到处理，所有的关键性功能都已得到接续。逐步地，其他 业务也可开始恢复其功能。E. 复原(Restoration)复原则是修复并恢复主要的经营场所。最终是要在原有的场所或者一个全新的场所完全恢复所有的业务流 程。就在恢复团队开始从某个备选场所开始支持恢复运营的时候，对 主要场所的全部功能进行复原的工作也可以展开。如果原有场所在灾 难后的确无法恢复，则需要在一个新的场所进行复原工作。恢复团队 和复原团队的成员有可能是同一组人。必须确保该复原场配备必要的基础设施、设备、硬件、软件和通 信设备。而且要对该场所能否处理全部的业务流程进行测试

19、。执行上述所有行动的计划应当包括一个时间跨度定义，确定在某 一跨度内必须完成哪些行动。这个时间跨度的定义必须与企业的恢复 目标相一致。BCP团队必须意识到，如果在任一时点，他们的行动超 出了规定的时间跨度，那么这个意外事件就必须立刻上报到指挥中 心，由指挥中心马上制定相应的解决办法，否则企业就无法实现其 恢复目标。四、指标定义在危险评估和业务影响分析阶段之后，保持业务连续的基础业务 就已经显现出来。我们在上面已经说过，按照业务术语可将企业的业 务功能分成4类，即关键业务、基础业务、必要业务和有利业务。这种分类可以让业务连续的优先顺序十分清晰，这样，业务恢复 的目标就可以用下面的指标进行量化：恢

20、复的时间目标（RTO）最大可允许中断时间恢复的时点目标（RPO）数据损失可允许的最远回溯时点由于引进了 BCP的评测指标而导致的企业性能退化实施BCP的成本【第二部分】技术需求一、可用的技术选择A.存储与服务器解决方案传统备份就是对服务器数据进行备份，然后将备份磁带 送至一个安全的备选场所 RAID是一种有效的冗余解决方案。根据需要，可以选择 适当级别的RAID。远程日志一一是搜集各种工作记录和日志并将它们传送到 一个远程场所的处理过程。这一过程可以实时进行，即同步传送纪录, 也可以将记录存档然后定期传送。这一过程不会更新数据库，只是 传送日志，因此恢复就能够回溯到最近的传送时点。这几乎意味着

21、没 有数据损失。远程日志并不是一种独立的方法，它需要一个起点，亦 即应用到日志的那个点。以下几个部分本报在以前的报道中有过充分的描述，此处不再赘 述。异地备份磁盘复制（镜像和映射）后备系统 虚拟存储（NAS和SAN）B.网络解决方案 Hot Network Nodes即在备选场所拥有可运营的网络。这个网络可以经常进行功能监控，因而能够节省灾后设置和测试 网络的时间。 VPN可用于远程恢复。VPN在公用网络上运行，并允许接 入企业网络。一旦接入企业网络，它的特性就像是在Internet上的 企业的Intranet。当灾难发生时，VPN允许恢复团队甚至在尚未到达 备选场所之前就可以开始在恢复服务器

22、上进行恢复工作。二实施不同类型的IT系统或业务流程也将决定实现BCP目标的技术手 段。根据业务影响分析制定出实际的技术方案是很重要的。1台式电脑一一虽然它们通常对BCP不会产生影响，但如果必 要，台式机也应该包括进BCP中。应当指导台式机用户备份他们的数 据。如果这不是可以接受的方式，那么就可以使用网络磁盘。网络磁 盘可以经常进行备份，然后将备份介质送达至某个异地存储场所。2软件及其许可证一一这些资源因为最初是花了不少的投资获得 的，因此必须加以备份并保存到异地存储场所。3 LAN复原要求网络配置以及所有的设备都必须记录在案。 在主要场所被破坏后，后备场所的LAN应该与原来的LAN设置保持一

23、致。4服务器服务器一旦遭受损失，后果是极为严重的。所以应 采取异地备份、RAID、远程日志、虚拟存储等方法。5网站一一网站很容易受到黑客的攻击，所以必须实施安全控 制。网站的文档、配置、应用代码都需要快速恢复。恢复过程中，有 可能需要具有不同IP地址的后备网站，因此在进行网站设计时就应 该考虑到这一点。6业务流程在进行业务流程设计时应该考虑冗余设计。比如 银行系统除了柜台交易外，还应该设计好电话银行和网上银行。构建 冗余系统需要额外的成本，所以企业主要应该为其最经常使用的业务 或最赢利的业务流程实施冗余设计。有关支持BCP的技术保障措施，请读者参阅本专刊的BC基石 论。如何制定一个BCP一、典

24、型内容下面我们给出一份较典型的业务连续性计划大纲。业务连续性计 划既可以分成几个单独的计划：即预防、响应、业务接续、业务恢复 和复原计划，也可以由每一个这样的计划构成总的计划书中的不同章 节。1. 基本项目目的制定计划的目的必须加以说明。还应该说明即划分几个阶段试 时，每个阶段所要实现的目标是什么。范围说明有哪些部门和运营业务需要实施BCP。如果一个BCP只针对 某些灾难而非全部灾难，则需要针对这些特殊灾难制定专门的实施处 理脚本。必备条件/前提条件和限制因素形成一份BCP的前提条件需要在此说明。在某些情况下，还须说 明BCP成功的必备条件。比如说，服务器的数据备份间隔不得超过多 少小时，受过

25、训练的运营恢复团队必须呼之即来，备选场所必须在灾 难发生之后多少小时之内一切准备就绪等等。如果BCP计划的执行还存在一些限制条件的话，也应在此列出。团队BCP团队的组织/负责人选、下属哪些分支团队、团队的作用和 责任等，都必须在此说明。指标作为一种策略，企业必须由用于恢复的RPO和RTO指标，以及性 能指标等，这些指标应该在此加以说明，并向客户和股东说明。2. 预防保护作为BCP中的一个实施部分，预防措施需要在此说明。这些措施 可以概括如下：监督访问控制身份认证防病毒过滤入侵检测系统备份计划3. 紧急响应响应的准备在响应阶段需要哪些资源应当在此列出，同时详细申明这些资源 的配置和所需数量。如果

26、还需要一些文档和记录的硬拷贝，也必须在 此申明。告知树危险评估何时对外宣布激活BCP的关键标准4. 业务接续从紧急响应阶段到业务接续阶段如何进行衔接是需要在这里说 明的。有关业务接续运营的决策过程、在哪里以及怎样进行业务接续、 需要采取什么行动，以及接续哪些业务到何种程度等等，都需要在 此加以说明。还要为BCP团队中的各个小组指定各自应该采取的行动，每个小组要完成指定的任务。BCP中的这一部分也称为业务接 续计划（BRP）。5. 业务恢复执行业务恢复的程序在此加以说明BCP的这一部分也可称为灾 难恢复计划（DRP）。这一部分计划文档的组织可以有很多种方式。一种方式就是简单 地列出所有的恢复目标

27、（按照RPO、RTO、目标服务器/网络等来列）。 根据每一目标进行计划分解，同时明确相应的团队/负责人以及任 务。还有一种方式就是按部门来组织。无论采用哪种方式，都应确保 所有的BCP目标都能覆盖到。计划的这一部分必须编排得像一本操作手册，由一系列简单明确 的指令构成，恢复团队完全可以按照这些指令进行恢复操作。各种操 作之间的相互关系也必须加以明确说明。所有的指令和说明必须明白 无误，以免因可能引起误解或不明了而导致时间损失。6. 复原为业务运营复原原有场所应采取的步骤在此加以说明。需要标明 每个团队/负责人的责任和任务。二、BCP的测试制定好的BCP需要进行适当地测试才能投入使用。这一过程必

28、须 经常周期性地进行。省略了这一过程就意味着BCP只能等灾难实际发 生之后进行实地测试，这样做的风险太大，恐怕任何一家企业都不敢 做这种尝试。规划一次BCP测试需要规定以下事项：测试脚本将可能发生的灾难定义为测试的一个部分。测试计划定义检查程序、各种测试脚本、任务的类型、 任务的参与者，比如说主要团队或者主要团队与预备团队的混合行 动。简而言之，在测试BCP时，需要执行下列行动准备一份测试计划，选择测试脚本，说明预期要达到的结果。执行该计划记录测试结果评估测试结果，报告存在差距将测试结果和报告向团队公布确认需要做何改进以弥补差距培训团队三、BCP的维护一个BCP必须周期性地加以检查和维护。一旦

29、有新的系统、新的 业务流程、或者新的商业行动计划加入企业的生产系统或者信息系 统，引起企业整体系统发生变化时,就更应该强制启动这种检查程序。 除此之外，像联系人名单的更改这样微小的变动都可能触发BCP计划 的更新。每一次在进行这种检查程序时，最好是与对BCP的改进相互结 合。例如，在测试过程中发现的问题、企业为了实现连续性对机构所 作的调整，或者在保持业务连续性测试时发现了更好的行动方式和计 划等等。因此，BCP的维护应该是变化和改进的结合与不断促进。每一次对BCP计划所作的改动都应该及时通知所有的BCP团队， 并具体落实到每一次的培训和测试过程中去。最后，与业务连续性相关的资源一一人和设备一一也会受到维护 的影响。人员会通过培训和测试程序受到影响，设备会通过维护程序 受到影响。只有当这些资源始终处于良好状态，才能在危机发生时成 为可靠和可依赖的资源。 （完）