《业务连续性计划概要.doc》由会员分享,可在线阅读,更多相关《业务连续性计划概要.doc(24页珍藏版)》请在金锄头文库上搜索。
1、业务连续性管理体系(BCMS)的文件体系包括:1、BCMS范围说明书;2、BCM参考术语;3、BCM方针;4、业务影响分析;5、风险评估;6、BCM战略/策略;7、适用性声明;8、培训计划;9、事件管理计划;10、业务连续性计划;11、SLA、合同和其他依据。业务连续管理(BCM)十大最佳实践标准 收藏 1.项目启动和管理 确定业务连续性计划(BCP)过程的需求,包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。2.风险评估和控制 确定可能造成机构及其设施中断和灾难、具有负面影响的事件和周边环境因素,以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控
2、制措施方面的投资达到消减风险的目的。3.业务影响分析 确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相关性以便确定恢复时间目标。 4.制定业务连续性策略 确定和指导备用业务恢复运行策略的选择,以便在恢复时间目标范围内恢复业务和信息技术,并维持机构的关键功能。5.应急响应和运作 制定和实施用于事件响应以及稳定事件所引起状况的规程,包括建立和管理紧急事件运作中心,该中心用于在紧急事件中发布命令。6.制定和实施业务连续性计划设计、制定和实施业务连续性计划以便在恢复时间目标范围内完成恢复。 7.意识培养和培训项目 准备建立对机构人员进行意
3、识培养和技能培训的项目,以便业务连续性计划能够得到制定、实施、维护和执行。 8.维护和演练业务连续性计划 对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果。制定维持连续性能力和BCP文档更新状态的方法使其与机构的策略方向保持一致。通过与适当标准的比较来验证BCP的效率,并使用简明的语言报告验证的结果。 9.公共关系和危机通信 制定、协调、评价和演练在危机情况下与媒体交流的计划。制定、协调、评价和演练与员工及其家庭、主要客户、关键供应商、业主股东以及机构管理层进行沟通和在必要情况下提供心理辅导的计划。确保所有利益群体能够得到所需的信息。 10.与公共当局的协调 建立适用的规程和策略
4、用于同地方当局协调响应、连续性和恢复活动以确保符合现行的法令和法规。 制定完备的业务连续性计划 世界商业评论ICXO.COM ( 日期:2004-04-27 18:03)四、指标定义在危险评估和业务影响分析阶段之后,保持业务连续的基础业务就已经显现出来。我们在上面已经说过,按照业务术语可将企业的业务功能分成4类,即关键业务、基础业务、必要业务和有利业务。这种分类可以让业务连续的优先顺序十分清晰,这样,业务恢复的目标就可以用下面的指标进行量化:恢复的时间目标(RTO)最大可允许中断时间恢复的时点目标(RPO)数据损失可允许的最远回溯时点由于引进了BCP的评测指标而导致的企业性能退化实施BCP的成
5、本【第二部分】技术需求一、可用的技术选择A.存储与服务器解决方案传统备份就是对服务器数据进行备份,然后将备份磁带送至一个安全的备选场所RAID是一种有效的冗余解决方案。根据需要,可以选择适当级别的RAID。远程日志是搜集各种工作记录和日志并将它们传送到一个远程场所的处理过程。这一过程可以实时进行,即同步传送纪录,也可以将记录存档然后定期传送。这一过程不会更新数据库,只是传送日志,因此恢复就能够回溯到最近的传送时点。这几乎意味着没有数据损失。远程日志并不是一种独立的方法,它需要一个起点,亦即应用到日志的那个点。以下几个部分本报在以前的报道中有过充分的描述,此处不再赘述。异地备份磁盘复制(镜像和映
6、射)后备系统虚拟存储(NAS和SAN)B.网络解决方案Hot Network Nodes即在备选场所拥有一个可运营的网络。这个网络可以经常进行功能监控,因而能够节省灾后设置和测试网络的时间。VPN可用于远程恢复。VPN在公用网络上运行,并允许接入企业网络。一旦接入企业网络,它的特性就像是在Internet上的企业的Intranet。当灾难发生时,VPN允许恢复团队甚至在尚未到达备选场所之前就可以开始在恢复服务器上进行恢复工作。二、实施不同类型的IT系统或业务流程也将决定实现BCP目标的技术手段。根据业务影响分析制定出实际的技术方案是很重要的。1台式电脑虽然它们通常对BCP不会产生影响,但如果必
7、要,台式机也应该包括进BCP中。应当指导台式机用户备份他们的数据。如果这不是可以接受的方式,那么就可以使用网络磁盘。网络磁盘可以经常进行备份,然后将备份介质送达至某个异地存储场所。2软件及其许可证这些资源因为最初是花了不少的投资获得的,因此必须加以备份并保存到异地存储场所。3 LAN复原要求网络配置以及所有的设备都必须记录在案。在主要场所被破坏后,后备场所的LAN应该与原来的LAN设置保持一致。4服务器服务器一旦遭受损失,后果是极为严重的。所以应采取异地备份、RAID、远程日志、虚拟存储等方法。5网站网站很容易受到黑客的攻击,所以必须实施安全控制。网站的文档、配置、应用代码都需要快速恢复。恢复
8、过程中,有可能需要具有不同IP地址的后备网站,因此在进行网站设计时就应该考虑到这一点。6业务流程在进行业务流程设计时应该考虑冗余设计。比如银行系统除了柜台交易外,还应该设计好电话银行和网上银行。构建冗余系统需要额外的成本,所以企业主要应该为其最经常使用的业务或最赢利的业务流程实施冗余设计。有关支持BCP的技术保障措施,请读者参阅本专刊的BC基石论。【第三部分】如何制定一个BCP一、典型内容下面我们给出一份较典型的业务连续性计划大纲。业务连续性计划既可以分成几个单独的计划:即预防、响应、业务接续、业务恢复和复原计划,也可以由每一个这样的计划构成总的计划书中的不同章节。1.基本项目目的制定计划的目
9、的必须加以说明。还应该说明即划分几个阶段试时,每个阶段所要实现的目标是什么。范围说明有哪些部门和运营业务需要实施BCP。如果一个BCP只针对某些灾难而非全部灾难,则需要针对这些特殊灾难制定专门的实施处理脚本。必备条件/前提条件和限制因素形成一份BCP的前提条件需要在此说明。在某些情况下,还须说明BCP成功的必备条件。比如说,服务器的数据备份间隔不得超过多少小时,受过训练的运营恢复团队必须呼之即来,备选场所必须在灾难发生之后多少小时之内一切准备就绪等等。如果BCP计划的执行还存在一些限制条件的话,也应在此列出。团队BCP团队的组织/负责人选、下属哪些分支团队、团队的作用和责任等,都必须在此说明。
10、指标作为一种策略,企业必须由用于恢复的RPO和RTO指标,以及性能指标等,这些指标应该在此加以说明,并向客户和股东说明。2.预防保护作为BCP中的一个实施部分,预防措施需要在此说明。这些措施可以概括如下:监督访问控制身份认证防病毒过滤入侵检测系统备份计划3.紧急响应响应的准备在响应阶段需要哪些资源应当在此列出,同时详细申明这些资源的配置和所需数量。如果还需要一些文档和记录的硬拷贝,也必须在此申明。告知树危险评估何时对外宣布激活BCP的关键标准4.业务接续从紧急响应阶段到业务接续阶段如何进行衔接是需要在这里说明的。有关业务接续运营的决策过程、在哪里以及怎样进行业务接续、需要采取什么行动,以及接续
11、哪些业务到何种程度等等,都需要在此加以说明。还要为BCP团队中的各个小组指定各自应该采取的行动,每个小组要完成指定的任务。BCP中的这一部分也称为业务接续计划(BRP)。5.业务恢复执行业务恢复的程序在此加以说明。BCP的这一部分也可称为灾难恢复计划(DRP)。这一部分计划文档的组织可以有很多种方式。一种方式就是简单地列出所有的恢复目标(按照RPO、RTO、目标服务器/网络等来列)。根据每一目标进行计划分解,同时明确相应的团队/负责人以及任务。还有一种方式就是按部门来组织。无论采用哪种方式,都应确保所有的BCP目标都能覆盖到。计划的这一部分必须编排得像一本操作手册,由一系列简单明确的指令构成,
12、恢复团队完全可以按照这些指令进行恢复操作。各种操作之间的相互关系也必须加以明确说明。所有的指令和说明必须明白无误,以免因可能引起误解或不明了而导致时间损失。6.复原为业务运营复原原有场所应采取的步骤在此加以说明。需要标明每个团队/负责人的责任和任务。二、BCP的测试制定好的BCP需要进行适当地测试才能投入使用。这一过程必须经常周期性地进行。省略了这一过程就意味着BCP只能等灾难实际发生之后进行实地测试,这样做的风险太大,恐怕任何一家企业都不敢做这种尝试。规划一次BCP测试需要规定以下事项:测试脚本将可能发生的灾难定义为测试的一个部分。测试计划定义检查程序、各种测试脚本、任务的类型、任务的参与者
13、,比如说主要团队或者主要团队与预备团队的混合行动。简而言之,在测试BCP时,需要执行下列行动准备一份测试计划,选择测试脚本,说明预期要达到的结果。执行该计划记录测试结果评估测试结果,报告存在差距将测试结果和报告向团队公布确认需要做何改进以弥补差距培训团队三、BCP的维护一个BCP必须周期性地加以检查和维护。一旦有新的系统、新的业务流程、或者新的商业行动计划加入企业的生产系统或者信息系统,引起企业整体系统发生变化时,就更应该强制启动这种检查程序。除此之外,像联系人名单的更改这样微小的变动都可能触发BCP计划的更新。每一次在进行这种检查程序时,最好是与对BCP的改进相互结合。例如,在测试过程中发现
14、的问题、企业为了实现连续性对机构所作的调整,或者在保持业务连续性测试时发现了更好的行动方式和计划等等。因此,BCP的维护应该是变化和改进的结合与不断促进。每一次对BCP计划所作的改动都应该及时通知所有的BCP团队,并具体落实到每一次的培训和测试过程中去。最后,与业务连续性相关的资源人和设备也会受到维护的影响。人员会通过培训和测试程序受到影响,设备会通过维护程序受到影响。只有当这些资源始终处于良好状态,才能在危机发生时成为可靠和可依赖的资源。用 来规范2008-12-17 10:28:47 业界 | 评论(0) | 浏览(146) 近年来,恐怖活动、种族冲突、SARS、禽流感、海啸、雪灾、地震等各种天灾人祸,使不少企业陷入困境。面对这些灾难,企业高层和管理人员如何未雨绸缪,妥善应对这些冲击呢? 简单的灾难备份是远远不够的,答案只有一个:进行业务持续性管理,即BCM。而全球业务持续性管理框架标准BS 25999为企业提供了构建BCM的指南。 BS 25999把业务持续性管理框架分成六个部分,分别为BCM管理程序、理解组织、决定BCM战略、开发并实施BCM响应计划、演练维护和评审回顾以及把BCM植入企业文化。现以一家虚拟冷冻食品运输企业FOOD公司来说明BS
