回顾历史,不少人经历过全球范围内的局部战争、恐怖袭击、金融危机、病毒大流行、自然灾害等等事件。如同它们一样,当今世界局势不稳,全球经济和社会体系都将在未知前景下,持续运行几十年。对此,昆明亭长朗然科技有限公司信息安全研究员董志军表示:唯一不变的就是变化,在不确定性中,文明世界中的人们能够做到的就是使我们具备降低风险和领导组织、企业和社区恢复工作的专业知识和技能。

业务持续性管理的核心内容是业务持续性计划的编制。有很多标准可能会有不同的表现方式,但它们都会产生一个完整的计划来保持业务持续运行。

组织机构通常是以国际最佳实践为基础,按各自的实际情况(包括文化背景、习惯、以及所应遵守的相应法规等)而进行编制。业务持续性计划的开发也遵循PDCA循环——Plan(计划)、Do(执行)、Check(检查)和Action(处理)的循环往复生命周期过程。如下我们通过列出一个典型的业务持续性计划开发的四个步骤。

一.业务持续性计划治理

业务持续性计划需要一个治理结构来确保高级管理层的支持和授权。这通常由一个委员会来实现,该委员会也有助于确定高级管理层的角色和职责。

该委员会负责启动、开发、批准、测试、审核和实施业务持续性计划。通常包括从项目开始到结束的所有内容。应根据各自的实际情况设置业务持续性管理组织架构。

业务持续性计划委员会通常由以下成员组成:

  • 计划发起人——委员会的全面负责人,提供高级管理层的支持和指导,提供足够的资金。
  • 协调员——制定、协调和监督业务持续性管理政策与流程,确保有效的参与者输入,建立工作小组和团队并确定其职责协调适当的培训,并定期测试和审查业务持续性计划。
  • 安全总监——与协调员合作,确保业务持续性计划的所有方面都符合组织的安全要求。
  • 首席信息官——与业务持续性计划协调员和IT专家密切合作,以规划有效和协调的连续性。
  • 业务部门代表——提供输入并协助执行和分析业务影响分析的结果。

二.业务影响分析

业务持续性管理的具体活动和任务都需要围绕业务而开展,当业务越来越多时,基于成本效益平衡的原则,就需要把注意力集中在对持续经营最为重要或最不容有失的地方。业务影响分析的目的是找出关键的服务或产品,对服务或产品的优先顺序进行排序,以便保持连续性或快速恢复,并确定灾难或中断带来的内部和外部影响。

确定必须交付的产品或服务。

根据最低可接受的交付水平和在遭受严重损害之前的停机时间可接受的最长期限来确定关键服务或产品的优先级。

要确定关键服务或产品的排名,应该执行以下操作:

确定中断的影响。中断对关键服务或业务产品的影响决定了组织在没有服务或产品的情况下可以运行多长时间,以及客户接受其不可用性的时间。

确定潜在的收入损失。确定支持服务或产品交付的哪些流程和功能与创造收入有关。如果不执行这些流程和功能,收入会变少吗?会少多少?如果无法提供服务或商品,组织会失去收入吗?会少多少?如果客户无法访问某些服务或产品,他们会转到其他提供商,从而导致进一步的收入损失么?

确定额外费用。如果业务功能或流程无法运行,在得到恢复之前还需要多长时间?还需要多少外部人力?违反法律责任、协议或法律法规的罚款是否会成为问题,如果是,那么惩罚会是什么?

识别无形损失。需要估算来确定消费者和投资者信心丧失的大致成本、声誉损害、竞争力丧失、市场份额减少以及对法规的触犯。

对服务或产品进行排序。收集并汇总所有相关信息后,可以生成关键业务服务或产品的排名。排名基于潜在的收入损失、恢复时间以及中断可能造成的影响严重程度。然后确定最低服务水平和最大允许停机时间。

识别依赖关系。识别关键服务或产品的内部和外部依赖关系非常重要,因为服务交付依赖于这些依赖关系。

内部依赖性包括员工可用性;公司资产如设备、设施、计算机应用程序、数据、工具和车辆;以及支持服务如财务、人力资源以及安全和信息技术支持。

外部依赖包括供应商;所有外部公司资产如设备、设施、计算机应用、数据、工具和车辆;以及所有外部支持服务如设施管理、水电、通信、运输、金融、保险、政府服务、法律服务、健康和安全服务。

在业务功能丧失、中断或损坏的情况下,灾难对目标达成的影响是随着中断时间的推移而逐渐变化的,因此在业务影响分析过程中制定的指标多与时间因素有关。最长容忍中断时间MTD是企业在严重损失或业务失败之前可以接受的最长可停留时间。每个公司都可以拥有自己的MTD,具体取决于风险类型。如果可能,最好使恢复点目标(RPO)和恢复时间目标(RTO)之间的时间范围为零或接近零。这是一个非常昂贵的解决方案,即使接近于零仍然非常昂贵。只有少数组织试图实现这一目标,如股票市场和航空公司。

三.业务连续性计划的准备程序

业务持续性计划基于业务影响分析的结果。有的组织机构可能有执行风险管理流程,风险评估和脆弱性评估是业务影响分析的重要组成部分,通过它可以识别风险。在业务影响分析或全面风险评估中确定威胁和风险之后,将研究解决方案,提出风险应对措施并进一步分析之后的剩余风险。

在考虑威胁的排序时,如果预算或资源允许,每一项都应该减轻,除非业务持续性管理委员会认为没有必要减轻。

应考虑计划中每种可能选项的风险和收益,同时考虑成本、灵活性和可能的​​中断情况。对于每个关键服务或产品,在创建整体计划时选择最实际有效的选项。在投资新技术之前,分析当前系统和控制是否可以用于应对,如缓解影响和降低风险。

对灾难或危机做出适当的响应需要业务持续性管理团队的领导,以及对恢复和响应操作的支持。团队成员应从经过培训且经验丰富的人员中挑选,他们了解自己的责任。团队的数量和范围将根据组织的规模,功能和结构而有所不同,可能包括:

1)指挥团队,包括危机管理团队、响应和恢复管理团队。

2)以任务为导向的团队,包括候补现场协调团队、合同和采购团队、灾害评估和救援团队、财务和会计团队、危险材料团队、保险团队、法律问题团队、通讯团队、机械设备团队、主机/服务器团队、沟通团队、IT团队、公共和媒体关系团队、运输协调团队和重要记录管理团队等等。

3)必须确定每个团队的职责和责任,包括确定团队成员和权限,确定团队的具体任务、成员的角色和职责;创建联系人列表;以及确定可能的候补成员。

通过以上各阶段的工作,我们能够得到:关键服务或产品列表、风险列表、各部门关键流程的RTO和RPO列表、业务影响分析报告、业务持续性管理组织机构图、业务恢复战略选项、危机管理计划、灾难恢复计划等等。

四.质量保证技术(演练、维护和审核)

持续演练和评估业务持续性计划对于保持其准确性、相关性和有效性至关重要。评估和审核有利于确定业务持续性计划的哪些方面需要改进。可以通过组织的内部审查或顾问的外部审计来执行。

建议组织按计划(每年或每半年)演练和审核业务持续性计划。此外,建议当威胁环境发生变化时、组织发生实质性变化时、以及在灾难恢复之后进行评估和审核。

最后,让我们回顾一下实施业务持续性管理的成功要素:

  • 切实获得高级管理层的支持
  • 业务持续管理产生的新职能与组织现有的组织架构对应落实
  • 明确业务持续与业务系统连续性之间的关联
  • 业务持续性管理与现有各类应急预案的融合
  • 业务持续性计划演练的规划和实施

您已经掌握了业务持续性计划的编制步骤。当前世界局势动荡,瘟疫与战争持续,美国遏制中国崛起,中美冲突加剧,灾难和危机随时可能到来。所有人都应该有所准备,将业务持续管理相关的知识和方法灵活利用于日常生活和实际工作之中。在平时认真执行业务持续性计划的演练,在遭遇灾难之时,快速执行危机响应预案,有效地从灾难中恢复,这意味着保证业务的持续性,降低不必要的损失。

我们知道,在这些充满挑战的时期,您所属的组织机构、公司企业和社区单位依赖于专业的指导。而我们是来帮忙的。昆明亭长朗然科技有限公司推出了针对所有人员的业务持续性管理意识宣教视频课程,欢迎有兴趣的客户及伙伴联系我们,预览作品并进行洽谈采购事宜。