第3章 业务连续性计划

3.1 业务连续性计划简介

业务连续性计划(Business Continuity Plan, BCP)：

用于在紧急情况下维持业务的连续运营。目标是通过策略、程序、流程将潜在的破坏性事件对业务的影响降至最低。

组织中的每个人，都应接收业务连续性计划的基本意识培训。

具有特定角色的人员，例如急救人员和高级管理人员，还应接受详细的、针对特定角色的培训。

问题：谁应该在组织中接受初步业务连续性计划培训？（组织中的每个人）

业务连续性计划和灾难恢复计划区别，

• 业务连续性计划，

战略性，关注上层，以业务流程和运营为中心。

• 灾难恢复计划(Distribution requirement planning），

更具战术性，描述恢复站点、备份和容错等技术活动。

区别：

通常我们实施灾难恢复计划，基本都是在IT部门内部；

而实施业务连续性计划，需要上到业务部门一起配合，甚至上升到CEO级别。

业务连续性计划的四个阶段，项目范围和计划、业务影响评估、连续性计划、计划批准和实施。

3.2项目范围和计划，

3.2.1 业务组织分析

这是首要职责。对业务组织进行分析，以识别与BCP流程具有利害关系的所有部门和个人。

3.2.2 选择BCP团队

一般要包括IT、业务、安全、律师、人力、高层管理者。

通常整个BCP团队成立后，对分析结果进行全面的审查，主要是确保之前的业务组织分析是否有遗漏。

* 慎重选择团队成员！目标应是创建一支尽可能多样化且能和谐共处的团队。

* BCP 团队负责人在制定业务连续性计划时，必须尽可能争取高级管理层的积极支持。

3.2.3 资源需求

一般需要三方面的资源：1.开发，2.测试、培训维护，3.实施 （最重要的资源之一是人力）

3.2.4 法律和法规要求及监管环境，

政府要求，行业监管、对客户承担合同义务等。比如：银行的业务连续性计划要遵循银监会的要求、合同中包含对客户SLA的承诺。

项目范围和规划阶段包括四项行动：

组织结构分析、BCP 团队的创建、可用资源的评估、法律和监管环境的分析。

3.3业务影响评估（Business Impact Assessment，BIA）定性和定量

3.3.1 确定优先级

* MTD（Maximum Tolerable Downtime, 最大允许中断时间）：

MTD 是业务功能出现故障但不会对业务产生无法弥补的损害所允许的最长时间（有时也称为最大容忍中断时间(Maximum Tolerable Outage, MTO)
* RTO (Recovery Time Objective, 故障恢复时间即恢复时间目标)：

RTO 是指当中断发生后实际恢复业务功能所需的时间。

* AV（Asset Value，资产价值）：

统计货币形式的资产价值

* BCP 过程的目标是确保RTO 小于MTD, 这使一个业务功能不可用的时间永远不会超过最大允许中断时间。

3.3.2 风险识别

* 风险的两种形式：自然风险、人为风险

自然风险：

暴风雨／飓风／龙卷风／暴风雪、雷击、地震、泥石流／雪崩、火山喷发。

人为风险：

恐怖活动／战争／内乱、盗窃／破坏、火灾／爆炸、长时间断电、建筑物倒塌、运输故障、互联网中断、服务提供商停运。

3.3.3 可能性评估

* ARO（Annualized Rate of Occurrence, 年度发生率）：

可能性的评估结果通常用年度发生率(ARO)表示，年度发生率反映企业每年预期遭受特定灾难的次数。

* BCP 团队应该一起为之前识别出的每种风险确定ARO 。

些数字应基于公司历史、团队成员的专业经验以及专家（如气象学家、地震学家、防火专业人员和其他顾问）的建议。

3.3.4 影响评估

将分析在风险识别和可能性评估期间收集的数据，并尝试确定每个已识别风险对业务的影响。

* 暴露因子(Exposure Factor，EF)，是风险对资产造成的损害程度，以资产价值的百分比表示。

* 单一损失期望(Single loss expectancy，SLE)，是每次风险发生后预期造成的货币损失。

* 年度损失期望(Annualized loss expectancy，ALE)，是一年内由于风险危害资产给公司预期带来的货币损失

* 年度发生率(ARO)，（来自可能性分析）是风险每年预期发生的次数。

※ 公式：SLE=AV×EF， ALE=SLE×ARO

* 从定性角度看，你必须考虑中断可能对业务产生的、不能以货币价值衡量的影响。

例如：在客户群中丧失的信誉、长时间停工后造成员工流失、公众的社会／道德责任、负面宣传。

3.3.5 资源优先级排序

* 资源永远是有限的，需要对资源进行排序，知道将所有风险处理完（通常不可能），或者耗尽所有资源。

* 从定量的角度看，这个过程相对简单。只需要创建一个在BIA 过程中分析过的所有风险的列表，并根据影响评估阶段计算的ALE 按降序对其进行排序，这提供了需要处理的风险的优先级列表。

* 定性分析可证实对风险优先级的提高或降低是否正确，这些风险在定量分析结果列表中存在并按ALE 排序。

3.4连续性计划

3.4.1 策略开发（Strategy development）

确定BCP将处理哪些风险，因为有些风险可能完全不考虑，比如在一些大城市，就不考虑地震风险。

3.4.2 预备和处理（Provisions and Processes）

三类资产须通过BCP预备和处理进行保护，

(1) 人员：

保证安全，提供所需的资源。比如发生问题时，要先考虑人的安全，以及加班的时候，需要提供吃喝等资源；

(2) 建筑物和设施：

加固预备措施/替代站点，比如楼房的地基加固等；

(3) 基础设施：

物理性加固系统/备用系统，比如UPS系统就是电力的备用系统，甚至很多大型数据中心都备有自己的柴油发电机，这比UPS的可能性更高；

可采用两种主要方法对基础设施进行保护，物理性加固、备用系统。

3.5计划批准和实施，

3.5.1计划批准

需要高层批准，级别越高越好。

3.5.2计划实施：

BCP团队应该共同开发实施计划，该计划使用分配的资源，根据给定的修改范围和组织环境，尽快实现所描述的过程和预备目标。

完全部署所有资源后，BCP团队应监督相应BCP维护程序的执行情况，以确保计划能响应业务需求的不断变化。

3.5.3培训与教育：

* 组织中的每个人都应该至少收到一份计划简报。

* 直接负责BCP工作的人员应接受培训，并对特定BCP任务进行评估以确保他们能在灾难发生时有效完成这些任务。

* 应为每个BCP任务至少培训一名备用人员，确保在紧急情况下人员受伤或无法到达工作场所时有备用人员。

3.5.4 BCP文档化：

将计划记录下来，可在灾难发生时，给组织提供一个可遵守的书面程序。

* 书面业务连续性计划的重要组成部分

（1）连续性计划的目标，首先描述BCP团队和高级管理层提出的连续性计划的目标。

（2）重要性声明，反映了BCP对组织持续运行的重要性。

（3）优先级声明，业务影响评估的优先级确认阶段的直接产物（哪些系统有限，一般是BCP组做）。

（4）组织职责声明，反映了“业务连续性是每个人的职责”。告知员工、供应商和附属企业，要求他们尽力协助实施BCP 过程。

（5）紧急程度和时限声明

（6）风险评估

（7）风险接受/风险缓解

（8）重要记录计划，该文档说明了存储关键业务记录的位置以及建立和存储这些记录的备份副本的过程。

（9）应急响应指南，应急响应指南概述组织和个人立即响应紧急事件的职责。

（10）维护，BCP文件和计划本身必须即时更新。

对计划进行微小改动不需要从头开发完整的BCP, 只需要在BCP团队的非正式会议上一致通过即可。

如果组织的任务或资源发生巨大改变，则可能需要从头开发BCP。

（11）测试和演练，BCP文档中还应包括一个正式的演练程序，以确保该计划仍然有效，并确保所有相关人员都经过充分培训，能在发生灾难时履行职责。