第一页
信息化改变了企业,计算机逐渐必不可缺。以前人们用手工来记账、制造产品,如今都已经被计算机所替代。计算机可以用几倍、几十倍的速度完成这些工作,并且错误率极低。商业模式改变了。很显然,一旦计算机出现故障,我们不可能再回到手工时代,即使企业能提供足够的人力,也无法保证这些人还拥有相应的业务技能。于是灾难恢复行业应运而生。今天,灾难恢复(Disaster Recovery)一词一般意味着技术环境的恢复。
对灾难恢复的认知需要时间,很多行业直到911事件之后才认识到数据中心对企业的重要性。拥有数据中心的唯一理由是为了企业的业务运行——数据中心的运营人员有时候会忘记了这一点。如果不是为了那些给企业赢利的业务,我们就不会需要数据中心了。
企业面临的风险
为了说服领导层同意建立一套切实可行的业务连续计划,你需要去帮助他们了解如果没有这一计划,企业将面临怎样的风险,以及风险发生时企业将会蒙受怎样的损失。通常,企业所面临的风险包括财务(企业将损失多少钱)、声誉(企业将面临顾客和股东的责难),以及合规性(监管机构罚款及诉讼)。
财务风险通常可以被量化,并可以用来帮助企业决定应该在恢复计划上投入多少资金。计算财务风险的一个方法是使用公式P×M=C。P指的是损害可能性,即损害事件发生的可能性;M指的是损害程度,即可能对企业财务的损害程度;C代表防止灾难发生的平均成本,即实施事件防御措施所需的费用。
名誉风险相对来说难以量化,但是很明显无论身处哪一行业你都会有许多竞争对手。如果今天你不能满足客户的需求,明天他们很可能就投入另一家企业的怀抱。对灾难的管理不当往往也会对企业的股价带来消极的影响。你可以向管理层展示安然、安达信等案例,同时问问他们的想法。有效的危机与业务连续管理很可能是一个从灾难中恢复的企业和一个在灾难中消失的企业之间的唯一区别。
合规性风险已经被企业所处行业的监管机构明确定义。无论你身处哪个行业,有一条法则被广泛地应用,即对待企业事务要跟对待个人事务那样投入同样的精力。
如何建立?
当你获得管理层的许可之后,要建立一个企业范围的业务连续计划,第一步就是组建你的团队。要建立一个可行有效的计划,你需要企业每个部门中的至少一位人员的协助。为使计划顺利制定,这些人将被分配完成一系列任务。下面这个表格列出了每一个参与规划的人员需要完成的任务,以及每项任务完成的频率。根据每个企业各自的特点,这些任务可能会有所不同。
业务连续规划人员首先应该明确,当发生了影响业务运行的灾难时,他们需要联系哪些部门的人,并在此基础上建立一个紧急通知名单(ENL)。
下一步要做的是确保恢复业务运行所需的所有备份都被存储在一个安全的异地场所,该场所必须不会受同一事件的影响,并且可以在事件发生后随时启用。这些备份既包括传统备份比如服务器备份和纸质文档,也包括非传统备份比如流程手册、表格和信头等。
一旦团队组建完毕,相关备份也已经到位,下一个重要的步骤就是进行业务影响分析(BIA)。业务影响分析的作用在于帮助企业决定哪些是需要恢复的,以及需要在多长时间内恢复。这一步骤中不要使用“关键的”或者“重要的”这样的词汇,因为没有人会认为自己是“不重要的”,可以使用的词汇是“时间紧迫的”。
一般来说,企业不会雇佣员工去做没有用的事情。每一项业务都有相应的目标,但是在有限的时间和资源情况下,其中一些相对来说时间更为紧迫。你可以这样想,如果银行由于发生火灾而停止了业务,作为一个顾客,你不会去关注他们什么时候恢复市场营销计划或恢复他们的总帐系统,但如果在几个星期内都无法存取款你将会非常沮丧。
企业应该用同样的方式来考虑每一个业务功能。在不发生重大财务损失、客户流失或监管处罚的前提下,我们可以在多长时间内不考虑恢复某一业务功能?
在恢复优先权的基础上对所有业务功能进行分类,之后规划团队需要明确执行这些恢复所必须的资源,包括应用系统、最少的员工需求、电话、座席、内外部支持等等,同时按照业务支持的需要来细分每个应用系统的恢复优先权。
网友评论