我们很少在灾难要发生时提前得到通知。即便有一些先导时间,但是,多件事情可能会出错; 每一个事件都是独一无二的,以意想不到的方式展现。
这就是业务连续性计划发挥作用的地方。为了让你的组织在灾难发生时取得成功,你需要将现有的测试计划置于负责执行该计划任何部分的所有人员手中。缺乏计划不仅仅意味着你的组织将需要更长的时间来从事件或事故恢复。你可能会歇业。
什么是业务连续性?
业务连续性(BC)是指维护业务功能或在发生重大干扰的情况下迅速将其恢复,无论是由火灾,洪水或网络犯罪分子的恶意攻击造成的。业务连续性计划概述了组织在面对这种灾害时必须遵循的程序和指示;它涵盖业务流程、资产、人力资源、业务伙伴等。
很多人认为灾难恢复(DR)计划与业务连续性计划相同,但灾难恢复计划主要侧重于危机后IT基础架构和运营的恢复。这实际上只是完整的业务连续性计划的一部分,因为业务连续性计划着眼于整个组织的连续性。
你有没有办法得到人力资源,制造和销售以及功能上的支持,以便公司可以在灾难发生后继续赚钱?比如说,如果你的客户服务代表所在的建筑物被龙卷风夷为平地,你是否知道这些代表该如何处理客户电话?他们会暂时在家里工作,还是从另一个地点工作?业务连续性计划解决了这些类型的问题。
请注意,业务影响分析(BIA)是业务连续性计划的另一部分。业务影响分析识别突发性业务功能损失的影响,通常以成本计量。这样的分析还可以帮你评估是否应该将你的业务连续性计划中的非核心活动外包出去,这可能会带来自身的风险。业务影响分析实际上帮你查看整个组织的流程并确定哪些是最重要的。
为什么业务连续性规划很重要
无论你经营小企业还是大型企业,你都要努力保持竞争力。在增加客户群的同时保留现有客户至关重要——而且再也没有什么比在不利的事件发生后做到这点更能考验你的能力了。
由于恢复IT对于大多数公司至关重要,因此有很多灾难恢复解决方案可用。你可以依靠IT来实现这些解决方案。但是,其余的业务功能呢?你公司的未来取决于你的人员和流程。能有效处理任何事件对你的公司的声誉和市场价值会产生积极影响,这样可以增强客户的信心。
Experian的业务连续性全球负责人Lorraine O'Donnell说:“如今,消费者和监管机构对安全性的预期有所增加。组织必须了解业务中的流程以及这些流程随时间的推移而流失的影响,这些损失可以是财务、法律、声誉和监管上的。组织的‘经营许可证’被监管机构撤回或被施加了条件(回顾性的或前瞻性的)可能会对市场价值和消费者信心产生不利影响。以这些流程所允许的自由支配时间为准来构建你的恢复策略。”
业务连续性计划的解剖
如果你的组织没有业务连续性计划,请首先评估你的业务流程,确定哪些领域是薄弱的,如果这些流程暂停一天、几天或一周的可能造成的潜在损失。这本质上是一个业务影响分析。
接下来,制定一个计划。这包括六个一般步骤:
1.确定计划的范围。
2.确定关键业务领域。
3.确定关键功能。
4.确定各种业务领域和功能之间的依赖关系。
5.确定每个关键功能可接受的停机时间。
6.创建维护运营的计划。
一个常见的业务连续性计划工具是一个清单,它包括耗材和设备、数据备份和备份站点的位置,计划在哪里实施和谁应该拥有它,以及应急响应人员、关键人员和备份站点提供商的联系信息。
请记住,灾难恢复计划是业务连续性计划的一部分,因此,如果你还没有一个灾难恢复计划,那么发展这样一个计划应成为你的流程的一部分。如果你已经有灾难恢复计划,那么O'Donnell警告说,不要以为所有要求都已经被考虑进去了。你需要确保恢复时间被定义,并且“确保它符合业务期望”。
在你制定计划时,要考虑在成功挺过灾难的组织中采访关键人员。人们一般喜欢分享“战争的故事”,以及帮上大忙的步骤和技巧(或聪明的点子)。他们的见解在帮你制定坚实的计划方面可能是非常有价值的。
测试业务连续性计划的重要性
测试一个计划是真正了解它是否会奏效的唯一方法。O'Donnell说:“显然,一个真实的事件就是一个真正的考验,而且是理解事情是否有效的最好方式,但是受控的测试策略更令人感到舒适,而且还提供了一个确认差距和改进的机会。”
你必须严格测试一个计划以了解其是否完整并达到预期的目的。事实上,O'Donnell建议你试着打破它。“不要选择容易的方案,总是选择让人觉得可信但有挑战性的,这是改进的唯一途径。同时确保目标是可衡量和延伸的,只做最低限度的事情并试图‘逃脱’只会导致不牢靠的计划并对真实的事件没有信心。”
很多组织每年进行二到四次业务连续性计划测试。时间表取决于你的组织类型,关键人员的流动率以及自上一轮测试以来发生的业务流程和IT变化的数量。
常见的测试包括沙盘演练,结构化预排和模拟。测试团队通常由恢复协调员和每个功能单元的成员组成。
沙盘演练通常在会议室中进行,团队对计划进行调查,寻找差距,并确保所有业务部门都被代表。
在结构化预排中,每个团队成员详细分析了计划的组成部分以便识别弱点。通常,经历过测试的人都会把特殊灾难记在心上。一些组织将演习和灾难角色扮演并入结构化预排中。应纠正所有的弱点,并将更新的计划分发给所有相关人员。
每年至少进行一次全面的紧急疏散演习也是个好主意。这种类型的测试可以让你确定是否需要对有体力限制的工作人员进行特别安排。
最后,灾难模拟测试可能相当复杂,应该每年进行一次。对于该测试,创建一个模拟实际灾难的环境,包括需要的所有设备,用品和人员(包括业务伙伴和供应商)。模拟的目的是确定在事件中是否可以执行关键的业务功能。
在业务连续性计划测试的每个阶段,都纳入一些新员工到测试团队中。“新的眼光”可能会检测到老练的团队成员可能忽视的信息的差距或失误。
审查和改进你的业务连续性计划
在业务连续性计划的创建和初步测试方面需要付出巨大的努力。一旦这项工作完成,有些组织就让它闲着,而其它更重要的任务则会引起关注。当这种情况发生时,计划会变得僵化,在需要时派不上用场。
技术日新月异,人们来来去去,所以计划也需要更新。至少每年将关键人员联合起来审查计划,并讨论必须修改的领域。
在审查之前,征求工作人员的意见并将其纳入计划。请所有部门或业务部门审查计划,包括分支机构或其他远程单位。如果你不幸遇到灾难而不得不把计划付诸行动,一定要吸取经验教训。很多组织与沙盘演练排练预演一起进行审查。
如何确保业务连续性计划的支持:意识
决定你的计划不成功的一个因素是对其重要性采取无所谓的态度。必须从上到下支持每个业务连续性计划。这意味着在创建和更新计划时,高层管理人员必须被代表; 没有人可以将责任下放给下属。此外,如果高级管理层将其重点放在适当的审查和测试时间上,这个计划可能会保持独创和可行。
管理也是提升用户感知的关键。如果员工不了解计划,在分秒必争的时刻他们如何能够做出恰当的反应?虽然计划分配和培训可由业务部门经理或人力资源人员来指挥,但是要让最高层人员启动培训,并强调其重要性。这将对所有员工产生更大的影响,给予计划更多的可信度和紧迫性。
