业务连续性计划.docx

1、业务连续性计划业务连续性计划事先制定一个完备的业务连续性计划（Business Continuity Planning, 缩写为BCP），积极防范并且应变处理灾难发生的一系列后果，将灾难的蔓 延和损失控制在企业能够承担的范围以内，已成为现代企业管理范畴内的一 个十分重要的任务。【第一部分】BCP的基本要素笼统地说，BCP的目标只有一个，那就是确定并减少危险可能带来的 损失，有效地保障业务的连续性。而有尖BCP的一些特定目标我们将在 以下各个部分中加以描述。BCP实施的最终结果是：一组防范危险的评测指标；一支执行团队，在经过培训后可以处理各种危险事件；一套计划，提供危险发生时的路线图。该计划应该

2、是充分和完备 的，必须详细落实到该计划实施范围内的每一个单位、人员或设备。我们下面所要讨论的主要是与企业中IT设施相矢的内容，没有 涉及到企业人员在危险状况下的安全管理问题。每个企业所制定的BCP都应该有每个企业或者所处行业独有的特色， 彼此之间不会完全一致，但大致上说来，一个完备的BCP主要是由以下一 些尖键部分构成的：危险评估危险评估就是认识并分析各种潜在危险的结果。这些危险的来源 可能是：各种区域性的天然灾难，如洪水、地震、疫病等；人为事故或蓄意破坏造成的严重灾难，如火灾、恐怖主义袭击等；安全威胁、硬件、网络或通信故障；灾难性的应用系统错误。所有的危险都应纳入企业的危险评估范围，并且应对

3、各种危险的可能 来源地进行较准确的定位。对于每一种危险的来源都应该认识到：？危险的类型；危险的程度；危险发生的可能性。比如说，如果按照有无警示性先兆来分，各类危险还可以分为：有些危险可能没有任何先兆而突然发生5无法事先防范；有些危险可以有一定的先兆，可以迅速启动应急计划加以防范，比 如疫病的传播；有些危险可能从来不会发生。如果按照危险的破环类型或程度来分，它们对业务的影响可以分为：经营场所及设备完全破环；经营场所及设备部分破环；经营场所及设备完好，但人员不能进入，比如疫病的隔离、恐怖威 胁造成的人员输散等。显然，对于企业来说，一个完备的BCP必须尽可能多地考虑到所有可 能的危险情况，只有处理灾

4、难性事件的计划而没有处理应用系统失误的计 划，这样的BCP是不完备的；反之亦然。企业所制定的BCP应该同时兼顾两个方面一一预防和控制。例如，人 为事故和蓄意破坏可以通过物理安全和个人行为的评测来预 防。而应用系统 的错误则可以通过对软件的有效评测与测试来预防。危险评估的最后结果应该是一份有尖危险效益分析的详细陈述报告，要 有对危险的精确描述、哪些危险可能发生，以及需要采取的保障业务连续性 和缓和危险的措施，同时要有因为克服了危险而带来的收益分析。这份报告 还应该描述清楚任何现有的前提或者限制因素。二、业务影响分析(BIA)业务影响分析(Business Impact Analysis )实质上

5、就是对尖键性的企 业功能、以及当这些功能一旦失去作用时可能造成的损失和影 响的分析。对于企业业务运营的矢键人员来说，他们需要分析:A.影响响分析B.哪种功能对于企业的整体战略而言是生死攸尖的该功能在多长时间内失效不会造成影响和损失企业的其他业务功能由于该功能的失效会受到何种影响一一运营影该功能的失效可能造成的收入影响一一财务影响分析该功能是否会对客户尖系造成影响一一客户信心的损失该功能是否会对市场份额造成影响一一市场占有率的下滑该功能是否会对企业在行业中的地位造成影响一一企业竞争力的损该功能是否会影响今后的销售一一机会的丧失什么是最大的/可承受的/可允许的失效业务恢复需求要使该功能连续，需要哪

6、些资源和数据纪录最少的资源需求是什么哪些资源可能来自企业外部它与企业其他功能的依赖矢系以及依赖程度企业的其他功能与该功能的依赖尖系以及依赖程度程度该功能与企业的外部业务/供应商/其他厂商的依赖尖系以及依赖在缺少试验环境的情况下进行恢复，需要采取怎样的预防措施或检验手段在进行了这些分析之后，才有可能对企业的各种功能进行分类：a） 尖键功能一一如果这类功能被中断或失效，就会彻底危及企业的业 务并造成严重损失。b） 基础功能一一这些功能一旦失效将会严重影响企业长期运营的能 力。c） 必要功能一一企业可以继续运营，但这些功能的失效会在很大程度 上限制企业的效率。d） 有利功能一一这些功能对企业是有利的

7、；但它们的缺失不会影响企 业的运营能力根据各种功能的恢复需求，企业便可为上述各类功能制定标准的恢复 时间架构。例如，矢键功能1天；基础功能：24天；必要功能：57 天；有利功能：10天。影响分析可以帮助企业确定各类业务功能的优先顺序，换句话说，也就 确定了各业务功能的优先恢复顺序。BIA有助于定义恢复对象。在进行了影响分析之后可能会发现，在一次 灾难之后恢复业务运营时，首先恢复部分功能就足够了，比如说在24小 时内先恢复日常业务的40%就够了。详细定义好在灾难或业务中断之后保障业务功能运营的资源需求也是可能的。这些资源需求包括基础设施、人力资源、文档、记录、设备、电 话、传真机 等，无论需要什

8、么资源都要有完备的规范要求。拥有适当的细节 要求是非常重要的，因为在危险事件发生时，会产生一定程度的慌乱，到 那时再决定这类细节已经不可能了。成本因素在进行影响分析时也是不能忽略的。我们需要记住以下一些 事项：收入的损失和商机的丧失与恢复所需的时间直接成正比一种恢复策略的成本与恢复所需的时间成反比可能的恢复策略的成本必须和在采纳该策略之前由于业务功能中断 而造成的实际损失进行比较。如果所建议的恢复策略的成本远高于预计的成 本，那么这种策略就是不可取的。三、策略BCP应包括以下策略：A.预防？预防的目的在于减少灾难发生的可能性。有矢预防的策略应 该包括制止和预防控制。制止控制可以减少危险的可能性

9、。预防控制则是 保护企业的弱点区域，以防御危险的发生并降低其影响。这两类控制在实际 运营中广泛存在，比如经营场所的安全、人员控制、相尖基础设施（如 UPS、后备电池、烟火探测器、灭火器等）、软件控制、相矢的存储和恢复 等。企业希望保障其资源（包括信息资产）的可用性和安全性，其安 全策略 必须针对这些对象而制定，并且提供有尖资源使用和管理的指南。在熟悉了企业的所有资源、资源的布局以及危险管理等之后，才可能拿出实施安全策 略所需的必要的控制措施。这些控制措施或安全举措必须时时加以检查和测 试。如果一种安全策略，能将预防措施都部署到位，可以监控对系统的入 侵并防范那些试图破坏系统的行为，那么其本身就

10、是一种制止控制。预防计 划的执行 必须小心谨慎。必须保证实施安全策略时既不 能对日常业务带来限 制，出现瓶颈，也不能引起可用性问题，或者给 系统的访问和使用带来障 碍。B.响应？响应就是当危险发生时的反应。它必须能够阻止危险的 进 一步扩大，评估危险的程度，通过与外部世界的正常通信联络挽回企业的声 誉，并启动必要的恢复时间表。对业务中断的第一反应应该是告知所有相矢的人员。如果危险有事前 警示的话（比如这次的非典爆发），那么这种告知就可以提前进行。及时的 告知非常重要，因为这可能会给阻止危险的进一步扩大创造机会。如果在适 当的时机执行一次尖机、一次转换或者一次撤离，甚至有可能完全防止危险 的发生

11、。但是这需要有诊断或探测控制的存在。这类控制或者可以持续扫描 以探测发生中断的征候（网络、服务器），或者可以从外部资源搜集信息（自然灾害）。准确的告知程序必须事先制定好。必须清楚地记录在案：需要告知 谁，怎样告知，由谁告知，而且还得有逐步扩大的机制。在BCP中必须设立好一棵告知树。最初的告知发送给一组人，然后 再由他们中的每个人去告知另一组人，依次类推。属于这棵告知树的人都 有不同的责任和作用，所涉及的人员应包括：管理团队一一需要获得有尖危险发展状况的信息。该团队有权力启 动紧急响应体系和下一步的行动。管理团队还要负责与媒体、公众、客户以 及股东们打交道。危险评估团队一一需要立刻对危险进行评估

12、，评价业务中断的严重 程度。技术团队一一应当为尖键决策制定者如何采取下一步 BCP行动提供服务。运营团队一一应当执行BCP的实际运作。还有很重要的一点就是每一个团队都应明确第二负责人。万一第一负 责人没有通知到或者无法负起责任，那么必须告知第二负责人。告知可以使 用各种工具或手段：如手机、呼机、短信、电话和E-mail。每个团队都应 当有相应的配备。危险评估团队应该是最早（或者与管理团队同时）被告知的。他们应当 最早来到现场，以便评估所遭受的危险程度和级别。如果工作现场已经遭 到破坏，那么他们就应该做好各项准备，一旦允许进入现场就开始工作。评估过程本身也应有计划地进行，必须与保障业务连续性的优

13、先顺序 密切相尖这就是说评估团队应当意识到危险所影响到的工作区域和工作流 程是否对整个业务的运行至尖重要。这将有助于他们优化其评估进程，同时也可正确地矢注尖键T生工作区域。这支团队需要察 看以下事项:中断的原因是什么阻止危险扩大的前景如何基础设施和设备受损情况业务受影响状况尖键记录受损情况可以挽回什么损失什么设备需要修理、恢复和更换有了危险评估团队提供的有尖受损程度和受损区域的详尽信息，技术团 队便可立刻投入工作。BCP必须拥有一组基于业务影响分析和持续性目标的预设参数，这些参 数应该能够区分出中断和灾难的不同性质，同时也能评价出危险的严重程 度。当危险评估团队和技术团队开始工作时，其他BCP

14、团队也应依照警示 告知到位，以便按照连续性计划采取应当采取的行动。C.业务接续(Resumption)?业务接续只涉及那些时间敏感的业务流 程，要么是在中断发生后立即接续，要么是在可允许的一段平均时间后接 续，但不是对所有业务的恢复。一旦BCP被激活，命令将从指挥中心发出。这个指挥中心应该是在一 个不同于日常经营场所的地方。该中心应配备相应的通信设施、办公设备， 可能的话还应该构建局域网和VPN。需要做出的第一个决策是，矢键性业务的运营能否在日常的工作场所 或者在一个备选场所很快恢复运营。备选场所可以分成以下几类：(a)空场所(Cold Site)一一该场所只需配备必要的环境条件即可，比 如说

15、，应配备电话插座、电源以及UPS等，但要避免其内有任何其他设 备，它的作用就是准备将保障业务持续所需的全部设备搬移进来。(b)热场所(Hot Site )一一该场所是一个完全的备份场所，有 人员工作 的空间，所有设施一应俱全，数据备份也是最新的。一旦灾难发生，BCP 团队只需进驻该场所就可开始工作，不会有额外的时间拖延。(c)温场所(Warms ite) 一该场所实际上就是配备了部分设备的热场 所5数据备份不算最新5但也不能太旧。(d)机动场所(Mobile Site)该场所是一个具有较小设施配置的机 动场所。可以位于主要经营场所附近，因而也可节省尖键人员在路程上花 费的时间。(e)镜像场所(

16、Mirrored Site )一一该场所在所有方面都与主要经营场 所完全相同，信息和数据也与主要场所同步。实际上该场所就是正常状况 下的一个冗余场所，因而通常也是成本最高的一种选择在备选场所（或主要场所，如果仍然可用的话），工作环境需要 恢复。通 信、网络和工作站需要设置。与外界的联系必须持续畅通。企业可以首先手 动恢 复一些业务，直到尖键的IT业务可以继续运行 为止。当然，如果恢复 计划（下面就要讲到）允许，那么尖键业务功 能也可采用自动方式迅速恢 复。D.业务恢复（Recovery） ?业务恢复是启动时间敏感度稍低一些的 业务流程业务恢复的开始时间要取决于接续那些时间敏感的业务 流程需要

17、的时间。在进行业务恢复的场所（可以是主要经营场所或备选场所），需 要在备 份的设备上恢复操作系统，并按照尖键性次序恢复必要的应用 系统。当服务 于矢键功能的应用系统恢复之后，则需要从备份磁带或其他异地备份媒介上 恢复数据。备份数据也必须经常保持同步，也就是说，重建的数据应当与业务中 断之前的某一预先确定的时点的数据相吻合。该时点的选择取决于尖键业务 的要求。由于商业数据有各种不同的来源，因此重建的 每一种数据都必须达 到所需的数据一致性状态。经过同步的数据必须经常进行复查并保持其有 效。这种复查必须强制执 行，因为在危险发生的紧急尖头，不可能再有闲暇 来测试数据是否可用。因此，必须要有一套清楚

18、的方法、策略或复查清单来 执行这个让数据保持其有效性的过程。一旦数据达到了可靠的状态，企业的事务就可以加速运行，因为灾难 已经得到处理，所有的尖键性功能都已得到接续。逐步地，其他业务也可开 始恢复其功能。E.复M( Restoration )?复原则是修复并恢复主要的经营场所。 最终是要在原有的场所或者一个全新的场所完全恢复所有的业务流程。就在恢复团队开始从某个备选场所幵始支持恢复运营的时候，对主要 场所的全部功能进行复原的工作也可以展开。如果原有场所在灾难后的确无 法恢复，则需要在一个新的场所进行复原工作。恢复团队和复原团队的成 员有可能是同一组人。必须确保该复原场配备必要的基础设施、设备、

19、硬件、软件和通信设 备。而且要对该场所能否处理全部的业务流程进行测试。执行上述所有行动的计划应当包括一个时间跨度定义，确定在某一跨 度内必须完成哪些行动。这个时间跨度的定义必须与企业的恢复目标相一 致。BCP团队必须意识到，如果在任一时点，他们的行动超出了规定的时 间跨度，那么这个意外事件就必须立刻上报到指挥中心，由指挥中心马上制 定相应的解决办法，否则企业就无法实现其恢复目标。四、指标定义在危险评估和业务影响分析阶段之后，保持业务连续的基础业务就已 经显现出来。我们在上面已经说过，按照业务术语可将企业的业务功能分 成4类，即尖键业务、基础业务、必要业务和有利业务。这种分类可以让业务连续的优先

20、顺序十分清晰，这样，业务恢复的目 标就可以用下面的指标进行量化：恢复的时间目标（RTO）最大可允许中断时间 恢复的时点目标（RPO）数据损失可允许的最远回溯时点由于引进了 BCP的评测指标而导致的企业性能退化实施BCP的成本?【第二部分】技术需求一、可用的技术选择A.存储与服务器解决方案传统备份一一就是对服务器数据进行备份，然后将备份磁带送至一个 安全的备选场所RAID 一一是一种有效的冗余解决方案。根据需要，可以选择适当级 别的RAID。远程日志一一是搜集各种工作记录和日志并将它们传送到一个远程 场所的处理过程。这一过程可以实时进行，即同步传送纪录，也可以将记 录存档然后定期传送。这一过程不

21、会更新数据库，只是传送日志，因此恢 复就能够回溯到最近的传送时点。这几乎意味着没 有数据损失。远程日志 并不是一种独立的方法，它需要一个起点，亦即应用到日志的那个点。以下几个部分本报在以前的报道中有过充分的描述，此处不再赘述。异地备份磁盘复制（镜像和映射）后备系统虚拟存储（NAS和SAN）B.网络解决方案Hot Network Nodes 即在备选场所拥有一个可运营的网 络。这个网络可以经常进行功能监控，因而能够节省灾后设置和测试网络 的时间。VPN-可用于远程恢复。VPN在公用网络上运行，并允许接入 企业网络。一旦接入企业网络，它的特性就像是在Internet上的 企业的 Intranet。

22、当灾难发生时，VPN允许恢复团队甚至在尚未到达备选场所之 前就可以开始在恢复服务器上进行恢复工作。二、实施不同类型的IT系统或业务流程也将决定实现BCP目标的技术手段。 根据业务影响分析制定出实际的技术方案是很重要的。1台式电脑一一虽然它们通常对BCP不会产生影响，但如果必要，台 式机也应该包括进BCP中。应当指导台式机用户备份他们的数据。如果这 不是可以接受的方式，那么就可以使用网络磁盘。网络磁盘可以经常进行备 份，然后将备份介质送达至某个异地存储场所。2软件及其许可证一一这些资源因为最初是花了不少的投资获得的，因此必须加以备份并保存到异地存储场所3 LAN复原要求网络配置以及所有的设备都必

23、须记录在案。在主要 场所被破坏后，后备场所的LAN应该与原来的LAN设置保持一致。4服务器一一服务器一旦遭受损失，后果是极为严重的。所以应采取 异地备份、RAID、远程日志、虚拟存储等方法。5网站一一网站很容易受到黑客的攻击，所以必须实施安全控制。网站 的文档、配置、应用代码都需要快速恢复。恢复过程中，有可能需要具有不 同IP地址的后备网站，因此在进行网站设计时就应 该考虑到这一点。6业务流程一一在进行业务流程设计时应该考虑冗余设计。比如银行 系统除了柜台交易外，还应该设计好电话银行和网上银行。构建冗余系统 需要额外的成本，所以企业主要应该为其最经常使用的业务或最贏利的业务 流程实施冗余设计。

24、有矢支持BCP的技术保障措施，请读者参阅本专刊的BC基石 论。如何制定一个BCP一、典型内容下面我们给出一份较典型的业务连续性计划大纲。业务连续f生计划既 可以分成几个单独的计划：即预防、响应、业务接续、业务恢复和复原计 划，也可以由每一个这样的计划构成总的计划书中的不同章节。1 基本项目目的制定计划的目的必须加以说明。还应该说明即划分几个阶段试时，每个 阶段所要实现的目标是什么。范围说明有哪些部门和运营业务需要实施BCP如果一个BCP只针对某些灾难而非全部灾难，则需要针对这些特殊灾难制定专门的实施处理脚本。必备条件/前提条件和限制因素形成一份BCP的前提条件需要在此说明。在某些情况下，还须说

25、明 BCP成功的必备条件。比如说，服务器的数据备份间隔不得超过多少小 时，受过训练的运营恢复团队必须呼之即来，备选场所必须在灾难发生之后 多少小时之内一切准备就绪等等。如果BCP计划的执行还存在一些限制条件的话，也应在此列出。团队BCP团队的组织/负责人选、下属哪些分支团队、团队的作用和责任 等，都必须在此说明。指标作为一种策略，企业必须由用于恢复的RPO和RTO指标，以及性能指标等，这些指标应该在此加以说明，并向客户和股东说明。2预防保护作为BCP中的一个实施部分，预防措施需要在此说明。这些措施可 以概括如下：监督访问控制身份认证防病毒过滤入侵检测系统备份计划3紧急响应响应的准备在响应阶段需

26、要哪些资源应当在此列出，同时详细申明这些资源的配 置和所需数量。如果还需要一些文档和记录的硬拷贝，也必须在此申明。告知树危险评估何时对外宣布 激活BCP的尖键标准4业务接续从紧急响应阶段到业务接续阶段如何进行衔接是需要在这里说明的。有 尖业务接续运营的决策过程、在哪里以及怎样进行业务接续、需要采取什么 行动，以及接续哪些业务到何种程度等等，都需要在此加以说明。还要为 BCP团队中的各个小组指定各自应该采取的行动，每个小组要完成指定的任务。BCP中的这一部分也称为业务接续计划 （BRP）。5业务恢复执行业务恢复的程序在此加以说明。BCP的这一部分也可称为灾难恢 复计划（DRP）。这一部分计划文档

27、的组织可以有很多种方式。一种方式就是简单地列 出所有的恢复目标（按照RPO、RTO、目标服务器/网络等来列）。根 据每一目标进行计划分解，同时明确相应的团队/负责人以及任务。还有一 种方式就是按部门来组织。无论采用哪种方式，都应确保所有的BCP目标 都能覆盖到。计划的这一部分必须编排得像一本操作手册，由一系列简单明确的指 令构成，恢复团队完全可以按照这些指令进行恢复操作。各种操作之间的 相互尖系也必须加以明确说明。所有的指令和说明必须明白无误，以免因可 能引起误解或不明了而导致时间损失。6 复原为业务运营复原原有场所应采取的步骤在此加以说明。需要标明每个团队/负责人的责任和任务二、BCP的测试

28、制定好的BCP需要进行适当地测试才能投入使用。这一过程必须经常 周期性地进行。省略了这一过程就意味着BCP只能等灾难实际发生之后进 行实地测试，这样做的风险太大，恐怕任何一家企业都不敢做这种尝试。规划一次BCP测试需要规定以下事项：测试脚本一一将可能发生的灾难定义为测试的一个部分。测试计划一一定义检查程序、各种测试脚本、任务的类型、任务的参与者，比如说主要团队或者主要团队与预备团队的混合行动。简而言之，在测试BCP时，需要执行下列行动准备一份测试计划，选择测试脚本，说明预期要达到的结果。执行该计划记录测试结果评估测试结果，报告存在差距将测试结果和报告向团队公布确认需要做何改进以弥补差距培训团队

29、三、BCP的维护一个BCP必须周期性地加以检查和维护。一旦有新的系统新的业 务流程、或者新的商业行动计划加入企业的生产系统或者信息系统，引起企 业整体系统发生变化时，就更应该强制启动这种检查程序。除此之外，像联系人名单的更改这样微小的变动都可能触发BCP计划的更新每一次在进行这种检查程序时，最好是与对BCP的改进相互结合。例 如，在测试过程中发现的问题、企业为了实现连续性对机构所作的调整，或 者在保持业务连续性测试时发现了更好的行动方式和计划等等。因此，BCP 的维护应该是变化和改进的结合与不断促进。每一次对BCP计划所作的改动都应该及时通知所有的BCP团队，并 具体落实到每一次的培训和测试过程中去。最后，与业务连续性相矢的资源一一人和设备一一也会受到维护的影 响。人员会通过培训和测试程序受到影响，设备会通过维护程序受到影响。 只有当这些资源始终处于良好状态，才能在危机发生时成为可靠和可依赖的 资源。？（完）