第3章 业务连续性计划

3.1 业务连续性计划概述

业务连续性计划涉及评估组织流程的风险，以及创建策略、计划和程序，以最大限度地减小这些风险发生时对组织产生的不良影响。

BCP用于在紧急情况下维持业务的连续运营。

BCP计划者的目标是通过综合实施策略、程序和流程，将潜在的破坏性事件对业务的影响降至最小。

BCP专注于在降低的或受限的基础设施能力或资源上维持业务运营。

只要能维持组织连续执行关键工作任务的能力，就可以利用BCP管理和恢复生产环境。

BCP的总体目标是在紧急情况下提供快速、冷静和有效的响应，提高公司从破坏性事件中快速恢复的能力。

BCP流程有四个主要阶段：

•项目范围和计划

•业务影响分析

•连续性计划

•计划批准和实施

接下来的四个小节将详细介绍这些阶段。

最后一节将介绍在编写组织的业务连续性计划文档时应考虑的一些要素。

3.2 项目范围和计划

与任何正式的业务流程一样，制订具有恢复能力的业务连续性计划时需要使用成熟的方法。

组织在规划过程中应牢记以下目标：

•从危机规划的角度对业务组织进行结构化分析。

•在高级管理层的批准下创建BCP团队。

•评估可用于业务连续性活动的资源。

•分析在处理灾难性事件方面，组织需要遵守的法律以及所处的监管环境。

具体流程取决于组织及其业务的规模和性质。业务连续性计划没有“放之四海而皆准”的指南。

你应咨询组织内的项目规划专业人员，并根据组织文化确定最有效的方法。

此阶段的目的是确保组织投入足够的时间和精力来制订项目范围和计划，并对这些活动进行记录以供将来参考。

3.2.1 组织分析

负责业务连续性计划的人员的首要职责之一是对业务组织进行分析，以识别与BCP流程具有利害关系的所有部门和个人。

需要考虑的范围如下：

•负责向客户提供核心服务业务的运营部门。

•关键支持服务部门，如IT部门、设施和维护人员以及负责维护支持运营部门系统的其他团队。

•负责物理安全的公司安全团队。他们在多数情况下是安全事故的第一响应者，也负责主要基础设施和备用处理设施的物理保护。

•高级管理人员和对组织持续运营来说至关重要的其他人员。

出于以下两个原因，这个识别过程非常重要。

首先，它完成了确定BCP团队潜在成员所需的基础工作（见下一节）。

其次，为在BCP过程中开展其他工作打下了基础。

通常，业务组织分析由负责BCP工作的人员执行。

有些组织会聘请专职的业务连续性经理来管理这些工作，而有些组织则会让一位IT管理者来兼任该职责。

这些做法都是可以接受的，因为组织通常使用分析结果来协助选择BCP团队的其他成员。

不过，整个BCP团队成立后要完成的第一项任务是对分析结果进行一次全面审查。

这一步非常关键，因为执行原始分析的人员可能忽略了某些关键业务功能，而BCP团队中的其他成员却对这些内容非常了解。

如果BCP团队未能修正存在错误的分析结果，整个BCP流程将受到负面影响，导致制订的业务连续性计划无法完全满足整个组织的应急响应需求。

3.2.2 选择BCP团队

在有些组织中，IT和安全部门承担业务连续性计划的全部工作责任，不从其他运营和支持部门获得输入信息。

这些部门在灾难发生或危机爆发前甚至都不知道BCP的存在。

这是一个非常致命的错误！孤立地开发业务连续性计划，可能从两个方面导致灾难。

首先，计划本身可能没有考虑负责日常运营的业务人员需要的知识。

其次，关于计划详情的操作要素在计划实施前一直不能确定下来。

这两个因素都可能导致组织不认同计划条款和不能适当地执行计划，并使组织无法通过结构化培训和测试计划获取收益。

为防止这些情况对BCP程序造成不利影响，负责这项工作的人员在选择BCP团队时应特别慎重。

BCP团队应至少包括下列人员：

•负责执行业务核心服务的每个组织部门的代表。

•根据组织分析确定的来自不同职能区域的业务单元团队成员。

•BCP所涉领域内拥有技术专长的IT专家。

•掌握BCP流程知识的网络安全团队成员。

•负责工厂实体物理安全和设施管理的团队。

•熟悉公司法规、监管和合同责任的律师。

•可解决人员配置问题以及对员工个人产生影响的人力资源团队成员。

•需要制订类似的计划以确定在发生中断时如何与利益相关方和公众进们沟通的公共关系团队成员。

•高级管理层代表，这些代表能设定愿景，确定优先级别和分配资源。

每个团队成员对BCP 过程都有独特看法，存在个人倾向。

例如，每个运营部门的代表通常都认为他们的部门对组织的持续运营最重要。

尽管这些倾向初看起来可能引起分歧，但BCP团队的领导者应坦然接受，并以富有成效的方式加以利用。

每个代表都提出其部门的需求，如果可以有效利用，这些倾向将有助于在最终计划中实现健康的平衡。

另一方面，如果缺乏恰当的领导力，这些倾向可能转变为破坏性的地盘争斗，进而破坏BCP成果，并损害整个组织。

3.2.3 资源需求

BCP团队确认组织分析结果后，就开始评估BCP工作的资源需求。

这项评估涉及BCP的三个不同阶段所需的资源。

•BCP开发

BCP团队需要一些资源来执行BCP流程的四个阶段（项目范围和计划、业务影响分析、连续性计划以及计划批准和实施）。

这个BCP阶段主要耗费人力资源，即BCP团队成员和召集过来协助制订计划的支持人员所付出的人力。

•BCP测试、培训和维护

BCP的测试、培训和维护阶段将需要一些硬件和软件资源；

同样，这个阶段的主要资源是参与这些活动的员工付出的人力。

•BCP实施

当灾难发生且BCP团队认为有必要全面实施业务连续性计划时，将需要大量资源。

这些资源包括大量实施工作(BCP可能成为组织关注的重点）和直接的财务费用。

出于这个原因， BCP团队必须果断且明智地使用其BCP实施权力。

有效的业务连续性计划需要耗费大量资源，包括冗余计算设施的购买和部署，以及团队成员编写计划草稿所用的笔纸。

但如前所述， BCP过程中消耗的最重要资源之一是人力。

许多安全专业人员忽视计算所耗人力资源的重要性。

不过你可放心，高级管理层不会忘掉所耗费的人力资源。

企业领导能敏锐意识到耗时的BCP活动对组织运营生产的影响以及对员工工资、福利与失去市场机会的实际成本的影响。

当你请求高级管理人员花时间参与BCP时，这些问题会变得特别重要。

你应该意识到，管理资源的领导者会严格审核你提交的BCP方案，你需要用有条理的、逻辑严密的BCP业务案例观点来证明该计划的必要性。

3.2.4 法律和法规要求

受到联邦、州和地方法律或法规约束的许多行业可能发现，这些法律或法规要求他们实施不同程度的BCP。

本章已讨论过一个例子，即上市公司的高管和董事在执行业务连续性职责时负有受托责任，需要实施尽职审查。

其他情况下，要求可能更严格，失职的后果更严重。

应急服务机构（如警察局、消防队和救护队）负责在灾难发生时维持社会的持续运行。

实际上，在公共安全受到威胁的紧急情况下，应急服务机构提供的服务变得更重要。

如果他们不能成功实施可靠的BCP, 可能导致生命和／或财产的损失，并削弱民众对政府的信心。

在许多国家/地区，金融机构（如银行、证券公司和其处理数据的公司）都受到严格的政府法规以及国际银行和证券法规的约束。

这些规定必须十分严格，因为其旨在确保机构作为经济的关键部分能继续运作。

当制药企业在灾难发生后或为应对快速出现的流行病而必须在非理想情况下生产药品时，将需要向政府监管机构证明药品纯度。

无数个实例说明，多个法律法规对紧急情况下的持续运营提出了要求。

即使不受这些法律法规要求的约束，你也可能要对客户承担合同义务，这要求你实施合理的BCP实践。

如果合同中包含对客户的SLA承诺，那么当灾难导致服务中断时，你会发现自己违反了这些合同。

许多客户可能为你感到遗憾，并希望继续使用你的产品/服务，但业务需求可能会迫使他们终止合同，并寻找新的供应商。

另一方面，开发完善的、文档化的业务连续性计划，可帮助组织赢得新客户和现有客户的其他业务。

如果能向客户展示出灾难发生后，公司具备的恰当响应程序能持续向客户提供服务，他们将对公司更有信心，且很可能将公司视为他们的首选供应商。

这会让公司处于十分有利的位置！

所有这些问题都指向一个结论，即有必要让组织的法律顾问参与BCP过程。

法律顾问非常熟悉适用于组织的法律、法规和合同义务，可帮助团队实现计划来满足这些要求，

同时保证组织的持续运营，使所有员工、股东、供应商和客户都从中受益。

本章分别从定最和定性的角度阐述BIA过程。

不过， BCP团队更倾向于使用数字进行定量评估，而忽略更主观的定性评估结果。

BCP团队应对影响BCP过程的因素进行定性分析。

例如，如果业务高度依赖于少数几个重要客户，那么管理团队可能愿意承担较大的短期财务损失以长久地留住这些客户。

BCP团队（最好有高级管理层的参与）必须一起仔细进行定性分析，以找出满足所有利益相关方的综合解决方法。

3.3.1 确定优先级

BCP团队要完成的第一个BIA任务是确定业务优先级。

根据业务范围，当灾难发生时，有些活动对于维持日常运营极为关键。

应创建一份涵盖关键业务功能的综合列表，并按重要性对其进行排序。

尽管这项任务看起来有些令人生畏，但实际上并非如此困难。

基于每个组织的使命，这些关键业务功能因组织而异。

这些业务活动如果受到干扰，将危及该组织实现其目标的能力。

例如，在线零售商会将通过网站销售产品并迅速完成订单的能力视为关键业务功能。

可在团队成员之间划分工作任务，让每个参与者负责制订一个涵盖其部门业务功能的优先级列表。

当整个BCP团队开会讨论时，团队成员可基于这些优先级列表为整个组织创建优先级主列表。

采用这种方法的一个注意事项是：如果团队不能真正全面代表组织，就可能错过关键的优先事项。

要确保收集到组织中各个组成部分的意见，尤其是BCP团队中没有代表的领域的意见。

这个过程有助于定性地确足业务优先级。

前面提过同时开展定性和定量BIA的尝试。

要开始定量评估，BCP团队需要一起制订组织资产清单，并为每项资产分配货币形式的资产价值(AV) 。

这些数值构成了在后续BIA 过程中进行风险计算的基础。

BCP 团队必须开发的第一个量化指标是MTD（maximum tolerable downtime, 最大允许中断时间），

有时也被称为最大容忍中断时间(maximum tolerable outage, MTO) 。

MTD是业务功能出现故障但不会对业务产生无法弥补的损害所允许的最长时间。

在执行BCP和DRP时，MTD提供了重要信息。

组织的关键业务功能列表在这个过程中起着至关重要的作用。

关键业务功能的MTD应低于未被确定为关键业务活动的MTD。

继续以在线零售商为例，销售产品的网站的MTD可能只有几分钟，而内部电子邮件系统的MTD可能以小时为单位。

每个业务功能的恢复时间目标(recovery time objective, RTO)是指中断发生后实际恢复业务功能所需的时间。

RTO与MTD密切相关。一旦定义了恢复目标，就可以设计和规划所需的步骤去完成恢复任务。

当执行BCP工作时，应确保业务功能的RTO小于其MTD, 这可使一个业务功能不可用的时间永远不会超过最大允许中断时间。

虽然RTO和MTD度量了恢复操作的时间以及恢复时间对操作的影响，但组织还必须注意在可用性事件期间可能发生的潜在数据丢失。

根据收集、存储和处理信息的方式，可能会丢失一些数据。

恢复点目标(recovery point objective, RPO)相当于在数据丢失时间上的RTO。

RPO定义了事件发生前组织应该能够从关键业务流程中恢复数据的时间点。

例如，组织可能每15分钟执行一次数据库事务曰志备份。

在这种情况下，RPO将是15分钟，这意味着组织可能在事件发生后丢失多达15分钟的数据。

如果事件发生在上午8: 30, 那么最后一次事务日志备份必须发生在上午8: 15到8: 30之间。

根据事件发生和备份的准确时间，组织可能会不可挽回地损失0到15分钟的数据。

3.3.2 风险识别

接下来的BIA阶段是识别组织面临的风险。

在这个阶段，有些常见威胁很容易被识别出来，但若要识别其他一些较模糊（实际上更可能发生）的风险，可能需要付出一番努力。

风险可分为两种类型：自然风险和人为风险。

下面列出些引发自然风险的事件：

•暴风雨/飓风/龙卷风/暴风雪

•雷击

•地震

•泥石流/雪崩

•火山喷发

•流行病

人为风险包括以下事件：

•恐怖活动/战争/内乱

••盗窃/破坏

•火灾/爆炸

•长时间断电

•建筑物倒塌

•运输故障

•互联网中断

•服务提供商停运

•经济危机

记住，上面并未列出所有风险，只是确定了许多组织面临的一些常见风险。

可将这些风险作为起点；但若要罗列出组织面临的所有风险，还需要BCP团队成员的共同努力。

BIA过程的风险识别部分本质上是纯粹的定性分析。

在这个过程中， BCP团队不需要关注每种风险实际发生的可能性，或风险发生后会对业务持续运营造成的损害程度。

这种分析结果有助于对接下来的BIA任务执行定性和定量分析。

3.3.3 可能性评估

在前面的步骤中，BCP团队完整列出可能对组织构成威胁的事件。

你可能认识到某些事件比其他事件更容易发生。

例如，对于南加州的企业而言，遭受地震的风险比遭受热带风暴的风险更大；而对十佛罗里达川州的企业来说，情况正好相反。

为解释这些差异，业务影响分析的下一阶段就是确定每种风险发生的可能性。

此处使用类似于第2章中用于风险评估的过程来描述这种可能性。

首先，要确定年度发生率(ARO),它反映企业每年预期遭受特定灾难的次数。

通过计算年度发生率，可简化不同风险规模的比较。

BCP团队应该一起为上一节中识别出的每种风险确定ARO。

这些数据应基于公司历史、团队成员的专业经验以及专家（如气象学家、地震学家、防火专业人员和其他顾问等，根据需要选择）的建议

许多情况下，你可能可以免费获得由专家提供的某些风险的可能性评估结果。

例如，美国地质勘探局(USGS)提供的地震灾害地图说明了美国各地区的地震ARO。

同样，美国联邦应急管理署(FEMA)协调绘制美国各地区的详细洪水地图。

这些资源都可在线获取，可为组织进行业务影响分析提供大量信息。

3.3.4 影响分析

顾名思义，影响分析是业务影响分析中最关键的部分之一。

此阶段将分析在风险识别和可能性评估期间收集的数据，并尝试确定每个已识别风险对业务的影响。

从定量的角度看，此阶段将涉及三个具体指标：暴露因子、单一损失期望和年度损失期望。

这些指标中的每一个都描述了先前阶段中评估的每个特定风险/资产组合。

暴露因子(EF)是风险对资产造成的损害程度，以资产价值的百分比表示。

例如，如果BCP团队咨询消防专家并确定建筑物发生火灾后将导致70％的建筑物被摧毁，那么建筑物火灾的暴露因子将是70% 。

单一损失期望(SLE)是每次风险发生后预期造成的货币损失。可用以下公式计算SLE:

SLE=AV* EF

继续前面的例子，如果建筑物价值是500 000美元，那么单一损失期望就是500000美元的70%，

即350 000美元。可解释为：若建筑物发生一次火灾，预计将造成350 000美元的损失。

年度损失期望(ALE)是在一个普通年份内由于风险危害资产而给公司带来的预期货币损失。

SLE是每次风险发生后预期造成的货币损失，ARO（来自可能性分析）是风险每年预期发生的次数。

可将这两个数字简单相乘来计算ALE:

ALE= SLE * ARO

再回到前面提到的建筑物示例，如果火灾专家预测建筑物每30年会发生一次火灾，

这就具体给出了在任何给定年中发生火灾的可能性，即0.03。

ALE则是350 000美元SLE的3%,即10 500美元。

可将这个数字解释为：由于建筑物失火，公司每年预期将损失10500美元。

显然，不一定每年都会发生火灾，这个数字代表了30年间发生火灾的平均成本。

在考虑预算时，这个数字没有特别用途，但在给特定风险划分BCP资源优先级时，它就能体现原本无法衡量的价值。

当然，业务领导者可能会认为火灾风险仍然是不可接受的，并采取与定量分析不一致的行动。

那就要发挥定性评估的作用了。从定性角度看，你必须考虑中断可能对业务产生的、不能以货币价值衡量的影响。

例如，可能需要考虑以下事项：

•在客户群中丧失的信誉

•长时间停工后造成员工流失

•公众的社会/道德责任

•负面宣传

在影响分析的定量分析中，很难用货币价值来衡量这些方面所造成的影响，但它们同样重要。

要知道，如果损失客户基础，即使准备好重新开始运营，也无法返回到先前的业务状态！

3.3.5 资源优先级排序

BIA的最后一步是划分针对各种风险所分配的业务连续性资源的优先级，前面的BIA任务己对这些风险进行了识别和评估。

从定量的角度看，这个过程相对简单。

只需要创建一个在BIA过程中分析过的所有风险的列表，并根据影响分析阶段计算的ALE按降序对其进行排序。

这个步骤提供了需要处理的风险的优先级列表。

从列表顶部选择想要并且能够同时处理的尽可能多的风险，并按照你自己的方式逐一解决。

最终，你将达到这个状况：处理完列表中的全部风险（不太可能）或耗尽所有可用资源（更有可能）。

前面小节中已强调过用定性方式分析关键问题的重要性。

在BIA 的前几个阶段，虽然有些分析略有重复，我们仍将定量和定性分析都视为独立的重要功能。

现在是时候合并两个优先级列表了；这更像一门艺术，而不是一门科学。

你必须与BCP 团队和高级管理团队的代表一起将两个列表合并为一个优先级列表。

定性分析可证实对风险优先级的提高或降低是否正确，这些风险存在于定量分析结果列表中并按ALE排序。

例如，如果你经营一家消防公司，尽管地震可能造成更多物理损害，但排在第一优先级的可能是防止主要营业场所发生火灭。

如果消防公司遭到火灾的破坏，这将在商界造成无丛挽回的声誉损失，并最终导致公司倒闭，因此要调高优先级。

3.4 连续性计划

BCP流程的前两个阶段（项目范围和计划以及业务影响分析）重点确定BCP流程将如何运行，

并对必须保护以防止中断的业务资产进行优先级排序。

BCP开发的下个阶段是编制连续性计划，重点是开发和实施连续性战略，尽量减少已发生的风险对被保护资产的影响。

连续性计划包括两个主要的子任务：

•策略开发

•预备和处理

这个过程的目标是创建连续性运营计划 (COOP)。

连续性运营计划关注的是组织如何才能在中断发生不久后就开始执行关键业务功能，并维持长达一个月的持续运营。

3.4.1 策略开发

策略开发阶段在业务影响分析与BCP开发的连续性计划阶段之间架起桥梁。

BCP团队现在必须采用由定量和定性资源优先排序工作提出的优先级问题清单，确定业务连续性计划将处理哪些风险。

要完全解决所有意外事件，就需要实施在面临所有可能的风险时保持零故障时间的预备和处理。

出于显而易见的原因，根本不可能实施这样一个综合策略。

BCP团队应回顾在BIA早期阶段创建的MTD估值，并确定哪些风险是可接受的，以及哪些风险必须通过BCP连续性措施予以缓解。

有些决定是显而易见的，如暴风雪袭击埃及运营设施的风险可被视为可接受风险，可以忽略不计；

而新德里雨季的风险非常大，必须通过BCP措施予以减轻。

一旦BCP团队确定哪些风险需要缓解以及将为每个缓解任务提供的资源水平，他们就准备进入连续性汁划的“预备和处理”阶段。

3.4.2 预备和处理

连续性计划的预备和处理阶段是整个业务连续性计划的关键部分。

在这个任务中，BCP团队设计具体的流程和机制来减轻在策略开发阶段被认为不可接受的风险。

有三类资产必须通过BCP预备和处理进行保护：人员、建筑物/设施和基础设施。

接下来探讨一些可用于保护这些资产类型的技术。

1.人员

首先，你必须确保组织内的人员在紧急情况发生前、发生期间和发生后都是安全的。

实现这一目标后，需要制订条款，允许员工在特定情况下以尽可能正常的方式执行他们的BCP和操作任务。

管理层应该为团队成员提供其完成所分配任务必需的全部资源。

同时，如果情况需要人们长时间待在办公场所，还必须安排好住所和食物。

任何需要这些预备品的连续性计划都应包括BCP团队在面对灾难事件时的详细指导。

组织应在可访问的位置保持充足的储备库存以便长时间为业务和支持小组提供支持。

计划应明确指出这些库存物品需要定期更换以防变质。

2. 建筑物／设施

许多业务需要专业设施来执行其关键操作。

这些设施可能包括标准办公设备、生产工厂、运营中心、仓库、配送/物流中心以及维修/维修站等。

在执行BIA时，你将确定在组织持续运营中发挥关键作用的设施。

连续性计划应针对每个关键设施的以下两方面进行说明。

•加固预备措施

BCP应概述可实施的机制和程序来保护现有设施，使其免受策略开发阶段中定义的风险的影响。

加固预备措施可能包括：

一些像修补漏水屋顶这样简单的步骤，或像安装强化的防风百叶窗和防火墙这样复杂的步骤。

•替代站点

如果无法通过加固设施来抵御风险，BCP应识别出可用于立即恢复业务活动（或至少可在少于最大容忍中断时间内提供所有关键业务功能）的备用站点。

通常，备用站点与DRP（而不是BCP)相关联。

组织可能在BCP开发期间确定对备用站点的需求，但需要在实际中断发生后启用该站点，故此备用站点属于DRP。

3. 基础设施

每个业务的关键流程都依赖于某种基础设施。

对许多公司而言，基础设施的关键部分是通信的IT主干，以及处理订单、管理供应链、处理客户交互和执行其他业务功能的计算机系统。

通信的IT主干包括许多服务器、工作站和不同站点之间的关键通信链路。

BCP必须确定如何使这些系统免受策略开发阶段识别出的风险的影响。

与面对建筑物和设施时一样，可采用两种主要方法对基础设施进行保护。

•物理性加固系统

可引入计算机安全灭火系统和不间断电源等保护措施来保护系统。

•备用系统

可引入冗余（冗余组件或依赖于不同设施的完全冗余系统/通信链路）来保护业务功能。

这些原则同样适用于为关键业务流程提供服务的任何基础设施组件，包括运输系统、电网、银行系统、财务系统和供水系统等。

虽然组织将许多技术操作迁移到云端，但这并没有降低他们对物理基础设施的依赖。

尽管公司可能不再自己运营基础设施，但他们仍然依赖云服务提供商的物理基础设施，

应采取措施确保他们对这些提供商执打的连续性计划级别感到满意。

一个影呴组织自身关键业务功能的重要云提供商的中断可能与组织自身基础设施发生的故障具有相同的破坏性。

3.5 计划批准和实施

BCP团队一旦完成BCP文档的设计阶段，就应当请最高管理层批准该计划。

如果幸运，整个计划的开发阶段都有高级管理人员参与，那么获得批准就是相当简单的过程。

相反，如果这是你第一次向高级管理层提交BCP文件，那么你应该准备好对该计划的目的和具体规定进行详细解释。

3.5.1 计划批准

如有可能，应该尝试让企业高层（如首席执行官、主席、总裁或类似的业务领导）批准该计划。

这可证明计划对整个组织的重要性，并展示业务领导对业务连续性的承诺。

高层领导在计划中的签名，也使计划在其他高级管理人员眼中具有更高的重要性和可信度，否则他们可能将其视为一项必要但微不足道的IT计划。

3.5.2 计划实施

一旦获得高级管理层的批准，即可开始实施计划。

BCP团队应该共同开发实施计划，该计划使用分配的资源，根据给定的修改范围和组织环境，尽快实现所描述的过程和预备目标。

完全部署所有资源后，BCP团队应对BCP维护程序的设计和执行情况进行监督。

这个程序确保计划能响应业务需求的不断变化。

3.5.3 培训和教育

培训和教育是BCP实施的基本要素。

所有直接或间接参与计划的人员都应接受关于总体计划及个人职责的培训。

组织中的每个人都应该至少收到一份计划简报。

简报让员工相信业务领导已考虑到业务持续运营可能面临时风险，并制订了计划来或轻中断发生时对组织的影响。

直接负责BCP工作的人员应接受培训，并对特定BCP任务进行评估以确保他们能在灾难发生时有效完成这些任务。

此外，应为每个BCP任务至少培训一名备用人员，确保在紧急情况下当人员受伤或无法到达工作场所时有备用人员。

3.5.4 BCP文档化

文档化是业务连续性计划过程中的关键步骤。将BCP方法记录到纸上的做法可提供几个重要好处。

•确保在紧急情况下，即使没有高级BCP团队成员来指导工作， BCP人员也有一份书面的连续性计划可以参考。

•提供BCP过程的历史记录，这有助于将来的人员理解各种过程背后的原因并对计划进行必要的修改。

•促使团队成员将想法写下来，这个过程通常有助于识别计划中的缺陷。

若在纸上制订计划，还可将文件草稿分发给不在BCP团队中的人员进行“合理性检查”。

1. 连续性计划的目标

首先，该计划应描述BCP团队和高级管理层提出的连续性计划的目标。

这些目标应在第一次BCP团队会议中或之前确定，并很可能在BCP的整个生命周期内保持不变。

最常见的BCP目标很简单：确保在紧急情况下业务的持续运营。

为满足组织需求，该文档也可能列出其他目标。

例如，可将目标设置为：客户呼叫中心的连续停机时间不超过15分钟，或备份服务器可在启用后1小时内处理75％的负载。

2. 重要性声明

重要性声明反映了BCP对组织持续运营能力的重要性。

这份文件通常以信函形式提供给员工，说明为什么组织将大量资源用于BCP开发过程，并要求所有人员在BCP实施阶段予以配合。

这就是获取高级管理人员支持的重要性所在。

如果信函中有首席执行官(CEO)或类似级别领导的签名，那么当你尝试在整个组织中进行改变时，这个计划将产生极大影响。

如果是较低级别经理的签名，那么在尝试与组织中不由其直接领导的其他部门互动时，可能遇到阻力。

3. 优先级声明

优先级声明是业务影响分析的优先级确认阶段的直接产物。

它只按优先顺序列出对业务连续运营至关重要的功能。

在列出这些优先级时，还应添加一个声明，表明这是BCP过程的一部分，并说明紧急情况下这些功能对业务连续运营的重要性。

否则，这个优先级列表可能用于非预期目标，并导致竞争组织之间的争斗，进而损害业务连续性计划。

4. 组织职责声明

组织职责声明也来自高级管理人员，可与重要性声明合并在同一文档中。

它呼应了“业务连续件是每个人的职责”这个观点。组织职责声明重申组织对业务连续性计划的承诺。

它告知员工、供应商和附属企业，组织希望他们尽力协助BCP过程的实施。

5. 紧急程度和时限声明

紧急程度和时限声明表达了实施BCP的重要性，概述了由BCP团队决定的并由高层管理人员批准的实施时间表。

该声明的措辞将取决于组织领导层给BCP过程指定的实际紧急程度。

考虑添加一个详细的实施时间表，以培养紧迫感。

6. 风险评估

BCP文档的风险评估部分基本上重述了业务影响分析期间的决策过程。

它应该包括对BIA过程中所有关键业务功能的讨论，以及为评估这些功能的风险而进行的定量分析和定性分析。

对于定量分析，应该包括实际的AV、EF、ARO、SLE和ALE数值。

对于定性分析，应该向阅读者提供风险分析背后的思考过程。

最后，需要注意，风险评估反映的是某个时间点的评估结果，团队必须对其定期更新以反映不断变化的情况。

7. 风险接受／风险缓解

BCP文件中的风险接受／风险缓解部分包含BCP过程的策略开发部分的结果。

它应涵盖风险分析部分确定的所有风险，并对下面两个思考过程中的一个进行说明。

•对于被认为可接受的风险，应概述接受原因以及未来可能需要重新考虑此决定的可能事件。

•对于被认为不可接受的风险，应概述要采取的缓解风险的预备措施和过程，以降低风险对组织持续运营的影响。

8. 重要记录计划

BCP文件还应概述组织的量要记录计划。

该文档说明了存储关键业务记录的位置以及建立和存储这些记录的备份副本的过程。

实施重要记录计划时首先应识别重要记录，这是最大的挑战之一！

当许多组织从基于纸质的工作流过渡到数字工作流时，常失去创建和维护正式文件结构的严谨性。

重要记录现在可能分布在各种IT系统和云服务中。

有些可能存储在团队可访问的中央服务器上，而其他的可能位于分配给单个员工的数字仓库中。

如果遇到这种混乱状况，你可能首先需要识别对业务而言真正关键的重要记录。

与职能部门的领导一起探讨，并询问他们：

“如果我们今天需要在一个完全陌生的地方重建我们的组织，并且无法访问任何电脑或文件，你们需要哪些记录？”

以这种方式提出的问题迫使团队认真思考重建操作的实际过程当他们在脑海中遍历这些步骤时，将生成组织重要记录的清单。

这份清单会随着人们不断记起其他重要信息源而发生变化，因此你应该考虑通过召开多次会议来完善它。

一旦确定了组织认为至关重要的记录，下一个任务就艰难了：找到它们！

你应该能够识别出重要记录清单中确定的每条记录的存储位置。

完成此任务后，使用这个重要记录清单来报告余下的业务连续性计划工作。

9. 应急响应指南

应急响应指南概述组织和个人立即响应紧急事件的职责。

该文档为第一个发现紧急事件的员工提供了启动BCP预案的步骤，BCP预案不会自动启动。

这些指南应包括以下内容：

•立即响应程序（安全和安保程序、灭火程序，以及通知合适的应急响应机构等）。

•事故通知人员名单（高管、BCP团队成员等）。

•第一响应人员在等待BCP团队集结时应采取的二级响应程序。

应急响应指南应该很容易被组织的所有人员理解，每个人都可能是紧急事件的第一响应人员。

当中断发生时，时间非常宝贵。激活业务连续性过程的延缓可能导致业务运营出现非预期的中断。

10. 维护

BCP文件和计划本身必须即时更新。每个组织都在不断变化，这种动态性使得业务连续性要求随之变化。

BCP团队不应在计划开发出来后就立即解散，而是应定期开会讨论该计划并审核计划测试的结果，以确保其一直能满足组织需求。

若要对计划进行微小改动，不需要从头执行完整的BCP开发过程，在BCP团队的非正式会议上达成一致即可。

但请记住，如果组织的使命或资源发生巨大改变，则可能需要从头开发BCP。

每次更改BCP时，都必须进行良好的版本控制。

所有BCP旧版本都应该被物理销毁并替换为最新版本，这样便于弄清哪个是正确的BCP实施版本。

不妨将BCP组件纳入岗位描述中，这样可确保BCP持续更新并使团队成员更有可能正确履行其BCP职责。

在员工的岗位描述中添加BCP职责的做法也可保证绩效考核过程中的公平竞争。

11. 测试和演练

BCP文档中还应包含一个正式的演练程序，以确保该计划仍然有效。演练还能验证团队成员是否接受了充分培训，以便在发生灾难时履行职责。