业务连续性计划

出自 MBA智库百科(http://wiki.mbalib.com/)

业务连续性计划概述

　　业务连续性计划是一套基于业务运行规律的管理要求和规章流程，使一个组织在突发事件面前能够迅速作出反应，以确保关键业务功能可以持续，而不造成业务中断或业务流程本质的改变。

　　业务连续性是指企业有应对风险、自动调整和快速反应的能力，以保证企业业务的连续运转。为企业重要应用和流程提供业务连续性应该包括以下三个方面。

　　1.高可用性（High availability） 。它是指提供在本地故障情况下，能继续访问应用的能力。无论这个故障是业务流程、物理设施，还是IT软硬件故障。

　　2.连续操作（Continuous operations）。 它是指当所有设备无故障时保持业务连续运行的能力。用户不需要仅仅因为正常的备份或维护而需要停止应用的能力。

　　3.灾难恢复（Disaster Recovery）。它是指当灾难破坏生产中心时，在不同的地点恢复数据的能力。

　　同时，上述三个部分不是相互孤立的，是相互关联，而且有交叉的。

　　区分业务连续性和灾难恢复是很必要的。严格地说，灾难恢复是恢复数据的能力，是业务连续性计划的一部分。

…… …… 余下全文

业务连续性管理计划

    项目名称：

备注：“业务连续性计划”是一个组织在突发事件面前能够迅速作出反应，以确保关键业务功能可以持续，而不造成业务中断或业务流程本质的改变。业务连续性要有应对风险、自动调整和快速反应的能力，以保证企业业务的连续运转。业务连续性计划主要包括三方面：高可用性、连续操作、灾难恢复。

…… …… 余下全文

业务连续性管理体系(BCMS)的文件体系包括:

1、BCMS范围说明书；

2、BCM参考术语；

3、BCM方针；

4、业务影响分析；

5、风险评估；

6、BCM战略/策略；

7、适用性声明；

8、培训计划；

9、事件管理计划；

10、业务连续性计划；

11、SLA、合同和其他依据。

业务连续管理（BCM）十大最佳实践标准 收藏

1.项目启动和管理

确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

2.风险评估和控制

确定可能造成机构及其设施中断和灾难、具有负面影响的事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。

3.业务影响分析

确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定关键功能、其恢复优先顺序和相关性以便确定恢复时间目标。

4.制定业务连续性策略

确定和指导备用业务恢复运行策略的选择，以便在恢复时间目标范围内恢复业务和信息技术，并维持机构的关键功能。

…… …… 余下全文

事先制定一个完备的业务连续性计划(Business Continuity Planning,缩写为BCP)，积极防范并且应变处理灾难发生的一系列后果，将灾难的蔓延和损失控制在企业能够承担的范围以内，已成为现代企业管理范畴内的一个十分重要的任务。

【第一部分】

BCP的基本要素

笼统地说，BCP的目标只有一个，那就是确定并减少危险可能带来的损失，有效地保障业务的连续性。而有关BCP的一些特定目标我们将在以下各个部分中加以描述。

BCP实施的最终结果是：

●一组防范危险的评测指标；

●一支执行团队，在经过培训后可以处理各种危险事件；

●一套计划，提供危险发生时的路线图。该计划应该是充分和完备的，必须详细落实到该计划实施范围内的每一个单位、人员或设备。

我们下面所要讨论的主要是与企业中IT设施相关的内容，没有涉及到企业人员在危险状况下的安全管理问题。 每个企业所制定的BCP都应该有每个企业或者所处行业独有的特色，彼此之间不会完全一致，但大致上说来，一个完备的BCP主要是由以下一些关键部分构成的：

一、危险评估

危险评估就是认识并分析各种潜在危险的结果。这些危险的来源可能是：

…… …… 余下全文

（Business Continuity Planning,缩写为BCP）

业务连续性计划概述

业务连续性计划是一套基于业务运行规律的管理要求和规章流程，使一个组织在突发事件面前能够迅速作出反应，以确保关键业务功能可以持续，而不造成业务中断或业务流程本质的改变。 业务连续性是指企业有应对风险、自动调整和快速反应的能力，以保证企业业务的连续运转。为企业重要应用和流程提供业务连续性应该包括以下三个方面。

1.高可用性（High availability） 。它是指提供在本地故障情况下，能继续访问应用的能力。无论这个故障是业务流程、物理设施，还是IT软硬件故障。

2.连续操作（Continuous operations）。 它是指当所有设备无故障时保持业务连续运行的能力。用户不需要仅仅因为正常的备份或维护而需要停止应用的能力。

3.灾难恢复（Disaster Recovery）。它是指当灾难破坏生产中心时，在不同的地点恢复数据的能力。

同时，上述三个部分不是相互孤立的，是相互关联，而且有交叉的。

区分业务连续性和灾难恢复是很必要的。严格地说，灾难恢复是恢复数据的能力，是业务连续性计划的一部分。

…… …… 余下全文

目    录

…… …… 余下全文

业务连续性计划测试要点

对已经制定业务连续性计划的企业来讲，不断维护计划，确保计划的时效性和实用性，就成为了企业实施业务连续性管理的的主要任务。企业可以通过实施变更管理来实现业务持续计划的不断更新，通常定期的审计是一种可行的办法。除此以外，还需要进行定期的测试（包括演练）。通过测试一方面可以全面检查计划的有效性和可行性，另一方面可以确保组织成员能够以正确的流程、规范的行动高效应对危机。正因为如此，企业应该至少每年做一次全面的测试。

简单来讲，测试的目标就是确认一个组织在发生灾难（或者危机事件）时，执行业务连续性计划的能力。但如何组织和管理测试和演习，以确保测试的规范性和有效性，是许多用户关心的问题。 测试前的准备工作

首先要明确测试的目的和测试的方式。测试方式多种多样，根据测试的目的不同，测试的方式可以是简单的桌面测试，也可以是全面的场景演习等等。

测试过程的管理团队很重要，测试应该由训练有素的团队来规划、实施和控制。通常起草业务持续性计划的人员是管理和控制测试的最佳人选（在应急恢复过程中承担重要角色的人员除外）。为了确保测试的组织效果，应该事先对实施测试过程的团队进行培训。

在测试之前，需要“设计”一个供测试用的模拟场景。场景应该包括一系列很可能发生的事件。这些事件应该经过恰当的设计，确保可以测试到计划中的全部（或者相应部分，视测试的范围而定）行动要素。

…… …… 余下全文

业务连续性管理程序

1目的

本程序规定了组织运行信息系统业务连续性的职责权限、内容方法和要求。

2适用范围

本程序适用于组织信息安全管理所覆盖的所有部门对业务连续性的控制管理。

3术语和定义

4职责

4.1信息安全委员会

负责领导业务连续性管理工作，并提供所需要的资源。

4.2信息安全部

在信息安全委员会的领导下，负责协调业务连续性管理工作。

4.3信息安全战略推进组

负责编制业务连续性管理的相关指南，并提供相关培训和指导。

4.4相关部门

负责相关业务系统的业务影响分析，制定和执行相关的业务连续性计划。

5管理流程及内容

5.1预防业务中断

a)定期备份数据是把重要数据复制到本机以外的地方，并加以安全保存。这些备份数据可用于业务中断后的系统必得。 b)备份数据的介质可有多种。例如：磁带、光盘、硬盘等，具体备份方法见《数据备份管理规》。

5.2进行业务影响分析

5.2.1定义关键业务优先级

每个部门都有一个名多个业务工作。有些业务是关键的，称为关键业务。关键业务是按其重要性又可分为若干个级别，称为优先级。优先级的定义是基于最长可接受的停工期。因此关键业务的优先级也是中断后的恢复先级。

…… …… 余下全文