业务连续性计划
业务连续性计划
BCP涉及评估组织流程的风险,并创建策略、计划和程序,以最大限度地降低这些风险发生时对组织产生的不良影响。
BCP计划者的目标是通过综合实施策略、程序和流程,将潜在的破坏性事件对业务的影响降至最低。
BCP专注于在降低的或受限的基础设施能力或资源上维持业务运营。只要能连续维护组织执行关键工作任务的能力,就可以利用
BCP流程有四个主要阶段:
项目范围和计划
业务影响评估
连续性计划
计划批准和实施
负责业务连续性计划的首要职责之一是对业务组织进行分析,以识别与BCP流程具有利害关系的所有部门和个人。需要考虑的范围如下:
负责向客户提供核心服务业务的运营部门。
关键支持服务部门(如IT部门)、设施和维护人员以及负责维护支持运营系统的其他团队。
负责物理安全的公司安全团队,他们在多数情况下是安全事故的第一响应者,也负责主要基础设施和备用处理设施的物理保护。
高级管理人员和对组织持续运营来说至关重要的其他人员。
这个识别过程非常重要。首先,它完成了确定BCP团队潜在成员所需的基础工作(见下一节)。其次,为在BCP过程中开展其他工作打下了基础。
通常,业务组织分析由负责BCP工作的人员执行。这是做法是被认可的,因为他们通常使用分析结果来协助选择BCP团队的其他成员。不过,整个BCP团队成立后要完成的第一项任务是对分析结果来协助选择BCP团队的其他成员。
制定业务连续性计划时,务必考虑总部和所有分支机构。该计划应考虑到组织开展业务的任何地点可能发生的灾难。
选择BCP团队
在这么多组织中,IT和/或安全部门负责BCP的所有工作,不从其他运营和支持部门获得输入信息。事实上,这些部门在灾难发生或危机爆发前甚至不知道BCP的存在。这是一个非常致命的错误!
孤立的开发业务连续性计划可能从两个方面导致灾难。 首先,计划本身可能没有考虑负责日常运营的业务人员需要的知识。其次,关于计划详情的操作要素在计划实施前一直不能确定下来。这降低了操作要素与计划条款保持一致并有效实施的可能性,还否认了组织针对该 计划进行结构化培训和测试所取得的效果。
BCP团队至少应包括下列人员:
负责执行业务核心服务的每个组织部门的代表
根据组织分析确定的来自不同职能区域的业务单元团队成员。
BCP所涉及领域内拥有技术专长的IT专家。
掌握BCP流程知识的网络安全团队成员。
负责工厂实体物理安全和设施管理的团队。
熟悉公司法规、监管和合同责任的律师
可解决人员配置问题以及对员工个人产生影响的人力资源团队成员。
需要制定在发生中断时如何与利益相关方和公众进行沟通的公共关系团队成员。
高级管理层代表,这些代表能设定愿景、确定优先级别和分配资源。
