BC/DR计划

降低企业风险 构建企业域BC/DR计划  

信息化改变了企业，计算机逐渐必不可缺。以前人们用手工来记账、制造产品，如今都已经被计算机所替代。计算机可以用几倍、几十倍的速度完成这些工作，并且错误率极低。商业模式改变了。很显然，一旦计算机出现故障，我们不可能再回到手工时代，即使企业能提供足够的人力，也无法保证这些人还拥有相应的业务技能。于是灾难恢复行业应运而生。今天，灾难恢复（Disaster Recovery）一词一般意味着技术环境的恢复。

　　对灾难恢复的认知需要时间，很多行业直到911事件之后才认识到数据中心对企业的重要性。拥有数据中心的唯一理由是为了企业的业务运行——数据中心的运营人员有时候会忘记了这一点。如果不是为了那些给企业赢利的业务，我们就不会需要数据中心了。

　　企业面临的风险

　　为了说服领导层同意建立一套切实可行的业务连续计划，你需要去帮助他们了解如果没有这一计划，企业将面临怎样的风险，以及风险发生时企业将会蒙受怎样的损失。通常，企业所面临的风险包括财务（企业将损失多少钱）、声誉（企业将面临顾客和股东的责难），以及合规性（监管机构罚款及诉讼）。

　　财务风险通常可以被量化，并可以用来帮助企业决定应该在恢复计划上投入多少资金。计算财务风险的一个方法是使用公式P×M=C。P指的是损害可能性，即损害事件发生的可能性；M指的是损害程度，即可能对企业财务的损害程度；C代表防止灾难发生的平均成本，即实施事件防御措施所需的费用。

　　名誉风险相对来说难以量化，但是很明显无论身处哪一行业你都会有许多竞争对手。如果今天你不能满足客户的需求，明天他们很可能就投入另一家企业的怀抱。对灾难的管理不当往往也会对企业的股价带来消极的影响。你可以向管理层展示安然、安达信等案例，同时问问他们的想法。有效的危机与业务连续管理很可能是一个从灾难中恢复的企业和一个在灾难中消失的企业之间的唯一区别。

　　合规性风险已经被企业所处行业的监管机构明确定义。无论你身处哪个行业，有一条法则被广泛地应用，即对待企业事务要跟对待个人事务那样投入同样的精力。

　　如何建立？

　　当你获得管理层的许可之后，要建立一个企业范围的业务连续计划，第一步就是组建你的团队。要建立一个可行有效的计划，你需要企业每个部门中的至少一位人员的协助。为使计划顺利制定，这些人将被分配完成一系列任务。下面这个表格列出了每一个参与规划的人员需要完成的任务，以及每项任务完成的频率。根据每个企业各自的特点，这些任务可能会有所不同。