業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃的基礎(chǔ)知識(shí)

責(zé)任編輯:editor004

作者:litao984lt編譯

2016-03-22 11:01:13

摘自:機(jī)房360

摘要:良好的業(yè)務(wù)連續(xù)性計(jì)劃將確保您的企業(yè)組織業(yè)務(wù)的順利運(yùn)行,免遭諸如電源故障、IT系統(tǒng)崩潰、自然災(zāi)害、供應(yīng)鏈問題等等任何類型的擾亂。

摘要:良好的業(yè)務(wù)連續(xù)性計(jì)劃將確保您的企業(yè)組織業(yè)務(wù)的順利運(yùn)行,免遭諸如電源故障、IT系統(tǒng)崩潰、自然災(zāi)害、供應(yīng)鏈問題等等任何類型的擾亂。

災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性計(jì)劃能夠幫助企業(yè)組織為應(yīng)對各種破壞性事件做好充分的準(zhǔn)備——而這些破壞性事件可能包括颶風(fēng)災(zāi)害或者只是停車場的挖掘機(jī)造成的斷電事故。而在這一過程中,所涉及到的企業(yè)CSO們的工作職責(zé)則包括了計(jì)劃的監(jiān)督、提供輸入和支持、在緊急情況下采取行動(dòng)執(zhí)行該計(jì)劃。本文為廣大讀者介紹了關(guān)于業(yè)務(wù)連續(xù)性計(jì)劃的基本概念,并將圍繞該話題介紹更多的相關(guān)資源。

Q:“災(zāi)難恢復(fù)”這一概念似乎是不言自明,無需過多解釋的。但是,其與“業(yè)務(wù)連續(xù)性規(guī)劃”之間到底有什么區(qū)別呢?

A:災(zāi)難恢復(fù)是企業(yè)組織在遭受到一次破壞性事件后恢復(fù)業(yè)務(wù)的過程。這樣的破壞性事件可能是后果相當(dāng)惡劣的地震災(zāi)害;或像紐約世界貿(mào)易中心那樣的恐怖襲擊;或者一些危害較小的如由計(jì)算機(jī)病毒引起的軟件故障。

鑒于人們往往傾向于只看到光明的一面,許多企業(yè)管理人員很容易忽視“災(zāi)難恢復(fù)”,因?yàn)闉?zāi)難似乎是一個(gè)不太可能發(fā)生的事件。而“業(yè)務(wù)連續(xù)性規(guī)劃”則推薦了一套更為全面的方法確保您企業(yè)的業(yè)務(wù)部門能夠持續(xù)的創(chuàng)造營收,其不僅在發(fā)生了自然災(zāi)害之后,同時(shí)也包括在發(fā)生了較小的中斷事故之后,如員工生病或關(guān)鍵崗位的員工離職、供應(yīng)鏈合作伙伴出現(xiàn)問題或企業(yè)組織所需要時(shí)不時(shí)面臨的其他方面的挑戰(zhàn)問題。

盡管這兩者是有區(qū)別的,但這兩個(gè)術(shù)語通常都是同時(shí)出現(xiàn)BC/DR這一縮寫下的,因?yàn)樗麄冇性S多共同的考慮點(diǎn)。

這些計(jì)劃包括哪些內(nèi)容?

所有的BC/DR計(jì)劃都需要包括企業(yè)員工如何溝通、他們在此期間將去到何處、以及他們將如何繼續(xù)他們的工作的問題。而根據(jù)企業(yè)組織具體規(guī)模、業(yè)務(wù)領(lǐng)域以及業(yè)務(wù)方式的不同,其中的細(xì)節(jié)會(huì)有很大的不同。對于一些企業(yè)來說,供應(yīng)鏈物流等問題是最為關(guān)鍵的,其是整個(gè)計(jì)劃的重點(diǎn)。而對于另外一些企業(yè)來說,信息技術(shù)可能起著更為關(guān)鍵的作用,故而其BC/DR計(jì)劃可能有更多的關(guān)注于系統(tǒng)恢復(fù)方面。 例如,在一家全球性制造企業(yè)的計(jì)劃將會(huì)是必須要在四到六天的時(shí)間內(nèi)在備份站點(diǎn)從破壞性事件中恢復(fù)其關(guān)鍵主機(jī)上的重要數(shù)據(jù),在兩天內(nèi)獲得移動(dòng)PBX單元的3000個(gè)電話記錄,恢復(fù)企業(yè)的1,000多個(gè)局域網(wǎng)的業(yè)務(wù)需求,并在附近的一個(gè)訓(xùn)練設(shè)施為100個(gè)代理設(shè)置臨時(shí)呼叫中心。

但關(guān)鍵的一點(diǎn)是,既不能忽略其中的任何元素,也不能在物理資源、IT資源和人力資源相互孤立的情況下開發(fā)制定規(guī)劃。在這方面,BC/DR與安全融合(security convergence)有許多共通之處。在其核心, BC/DR是關(guān)于不斷的通信交流。

企業(yè)組織的業(yè)務(wù)部門領(lǐng)導(dǎo)、安全領(lǐng)導(dǎo)和IT領(lǐng)導(dǎo)人應(yīng)該聯(lián)合起來一起工作,以確定什么樣的計(jì)劃是必要的,哪些系統(tǒng)和業(yè)務(wù)部門對于企業(yè)組織而言是最為關(guān)鍵的。同樣,他們應(yīng)該決定有誰來負(fù)責(zé)宣布一個(gè)破壞性的事件的發(fā)生,并盡量減輕其影響。最重要的是,該計(jì)劃應(yīng)建立一個(gè)過程,以便能夠在發(fā)生一個(gè)災(zāi)難性的事件后定位員工對于他們進(jìn)行溝通。在一次災(zāi)難性的事故發(fā)生后(卡特麗娜颶風(fēng)是其中一個(gè)相對較新的例子),該計(jì)劃還需要考慮到比起回歸到工作崗位,許多員工將可能還有更為緊迫的擔(dān)憂問題。

我將從哪里開始著手呢?

一個(gè)良好的開端是從一個(gè)業(yè)務(wù)影響分析(BIA)開始的。這將確定企業(yè)組織最為重要的系統(tǒng)和流程,以及中斷對業(yè)務(wù)所造成的影響。潛在的影響越大,企業(yè)組織為了迅速恢復(fù)系統(tǒng)或業(yè)務(wù)流程所需花費(fèi)的成本就越多。

例如,一家股票交易公司可能決定支付完全冗余IT系統(tǒng),以便允許他們能夠立即開始在另一個(gè)位置處理交易。而另一方面,一家制造公司則可以決定,他們可以等待24個(gè)小時(shí)之后才恢復(fù)發(fā)貨。一個(gè)BIA將幫助企業(yè)組織建立一個(gè)恢復(fù)序列,以確定業(yè)務(wù)的哪個(gè)部分應(yīng)該被優(yōu)先恢復(fù)還原。

如下,是您企業(yè)組織的計(jì)劃絕對應(yīng)該包括的十大基本點(diǎn):

1 制定并實(shí)施一套應(yīng)急計(jì)劃,包括您企業(yè)的首席執(zhí)行官的繼任計(jì)劃。

2 提前培訓(xùn)執(zhí)行緊急任務(wù)的后備人才。您所能夠指望得上的在一個(gè)緊急情況下能發(fā)揮領(lǐng)導(dǎo)才能的員工并不是隨時(shí)都有的。

3 確定發(fā)生異地危機(jī)時(shí)的會(huì)議場所以及企業(yè)高管們的危機(jī)溝通計(jì)劃。與企業(yè)員工、客戶和外部世界實(shí)踐演習(xí)危機(jī)溝通。

4 投資于另一種替代的通信交流方式,以防電話網(wǎng)絡(luò)失靈。

5 確保所有的員工和管理人員都參與到這項(xiàng)演習(xí)中,這樣他們就可以在緊急情況下知道如何應(yīng)對。

6 確保業(yè)務(wù)連續(xù)性演習(xí)足夠真實(shí),并足以充分調(diào)動(dòng)員工們的情緒,這樣您可以看到當(dāng)形勢變得緊張時(shí)他們會(huì)如何反應(yīng)。

7 與當(dāng)?shù)丶本确磻?yīng)團(tuán)隊(duì)——消防員、警察和急救人員建立良好的合作伙伴工作關(guān)系。讓他們熟悉您的公司和站點(diǎn)。

8 在每次測試中評估您企業(yè)的表現(xiàn),并努力持續(xù)改進(jìn)。連續(xù)的演習(xí)應(yīng)該能夠揭示出相應(yīng)的弱點(diǎn)。

9 定期檢驗(yàn)?zāi)髽I(yè)的業(yè)務(wù)連續(xù)性計(jì)劃,以披露和適應(yīng)變化。任何一家公司的技術(shù)、人員和設(shè)施都在一個(gè)不斷變化的狀態(tài)中。

10 欲了解更多細(xì)節(jié),請參見該鏈接中業(yè)務(wù)影響分析的摘錄,包括一個(gè)BIA形式的示例。

與此同時(shí),實(shí)際的真人演習(xí)測試本身也會(huì)是“破壞性事件”。“如果我讓足夠多的人參與到撰寫和檢查我們的計(jì)劃中來,這是否足夠了呢?

讓我們給您舉一個(gè)一家企業(yè)認(rèn)為簡單的模擬研究是遠(yuǎn)遠(yuǎn)不夠的例子吧。以及,為什么他們的經(jīng)驗(yàn)證明了他們是正確的。

當(dāng)金融服務(wù)公司USAA公司的前首席信息官史蒂夫·耶茨剛剛加入該公司時(shí),其業(yè)務(wù)連續(xù)性計(jì)劃還僅僅只是停留在紙上。而每年,該公司的頂級員工們會(huì)聚集在會(huì)議室進(jìn)行角色扮演;他們會(huì)花一天時(shí)間檢查并模擬不同的場景,并討論他們認(rèn)為程序應(yīng)該如何定義,以及他們認(rèn)為員工們會(huì)如何應(yīng)對。

現(xiàn)場演習(xí)僅限于該公司的技術(shù)資產(chǎn)。USAA保險(xiǎn)公司將對不同的業(yè)務(wù)部門進(jìn)行周期性的數(shù)據(jù)恢復(fù)測試,比如讓人壽保險(xiǎn)部門從備份進(jìn)行數(shù)據(jù)恢復(fù)。

耶茨懷疑,這樣被動(dòng)性的措施是否能夠真實(shí)反映公司的現(xiàn)實(shí)狀況。他還想知道USAA保險(xiǎn)公司的員工們一個(gè)真正的緊急情況下是否知道如何遵循這樣的一套備災(zāi)計(jì)劃。當(dāng)911恐怖襲擊事件出現(xiàn)后,耶茨意識(shí)到該公司不得不做更多的工作。“911事件的確強(qiáng)迫我們提高了自己在這方面的標(biāo)準(zhǔn)。”耶茨說。

耶茨所聘請的外部顧問建議該公司在該地區(qū)建立第二處數(shù)據(jù)中心作為備份。而在經(jīng)過了權(quán)衡這樣一個(gè)項(xiàng)目的成本和收益之后,USAA保險(xiǎn)公司最初認(rèn)為在東海岸將租用服務(wù)空間將更有效。但在發(fā)生了世界貿(mào)易中心和五角大樓的恐怖襲擊事件之后,耶茨很快意識(shí)到將數(shù)據(jù)中心規(guī)劃設(shè)計(jì)得如此遙遠(yuǎn)是得不償失的。而具有諷刺意味的是,USAA保險(xiǎn)公司正是在911事件發(fā)生那一周簽署的租賃合同的。

相反,USAA保險(xiǎn)公司在德克薩斯建立了一處數(shù)據(jù)中心,距離其辦公地址只有200英里遠(yuǎn),驅(qū)車即可前往,同時(shí)該距離也足夠能夠利用不同的電網(wǎng)和水源來為該數(shù)據(jù)中心提供能源支持。該公司還計(jì)劃將關(guān)鍵員工部署到全國各地的其他辦公地點(diǎn)。

耶茨實(shí)地考察了FedEx聯(lián)邦快遞、First Union、美林銀行(Merrill Lynch)和美聯(lián)銀行(Wachovia)等公司,聽取了這些企業(yè)組織應(yīng)急計(jì)劃的方法。USAA也咨詢了公關(guān)公司福萊國際傳播咨詢(Fleishman-Hillard)關(guān)于如何在發(fā)生危機(jī)的情況下能夠?qū)崿F(xiàn)與客戶和員工最有效的溝通。

最后,耶茨提出了一系列的大型業(yè)務(wù)連續(xù)性的方案設(shè)計(jì),以測試的該保險(xiǎn)公司各個(gè)業(yè)務(wù)部門的性能表現(xiàn),以及該公司在發(fā)生大規(guī)模業(yè)務(wù)中斷的事件后的應(yīng)對情況。當(dāng)該公司模擬了其聯(lián)邦儲(chǔ)蓄銀行(Federal Savings Bank)的主數(shù)據(jù)中心發(fā)生數(shù)據(jù)損失的情況時(shí),耶茨發(fā)現(xiàn)他們能夠恢復(fù)系統(tǒng)、應(yīng)用程序和所有的19家第三方供應(yīng)商的聯(lián)系。此后,USAA保險(xiǎn)公司也對其他業(yè)務(wù)部門運(yùn)行了類似的演習(xí)。

然而,對于主要的事件,耶茨想要測試的不僅僅只是該公司的技術(shù)規(guī)程;他想把最不可預(yù)測的元素整合到任何應(yīng)急計(jì)劃中來:即人的因素。

USAA保險(xiǎn)公司最終發(fā)現(xiàn),經(jīng)歷過模擬演習(xí)的員工能夠觀察到備災(zāi)計(jì)劃的缺陷,并提供建議。此外,那些經(jīng)歷過緊急情況演習(xí)的員工不太可能在真實(shí)發(fā)生事故時(shí)恐慌,而且也更容易記住這些實(shí)踐計(jì)劃。

您能給我們舉一些企業(yè)通過測試演習(xí)并發(fā)現(xiàn)存在的問題的例子嗎?

一些公司已經(jīng)發(fā)現(xiàn),盡管他們已經(jīng)備份了他們的服務(wù)器或數(shù)據(jù)中心,但他們卻忽略了筆記本電腦的備份計(jì)劃。許多企業(yè)沒有意識(shí)到存儲(chǔ)在本地筆記本電腦上的數(shù)據(jù)的重要性。因?yàn)楣P記本電腦所具有的移動(dòng)性質(zhì),其可以很容易地被丟失或造成筆記本電腦的損壞。故而并不需要發(fā)生一個(gè)災(zāi)難性的事件就足以擾亂企業(yè)的正常業(yè)務(wù)運(yùn)行,如果員工把關(guān)鍵或不可替代的數(shù)據(jù)存儲(chǔ)在筆記本電腦上的話。

一個(gè)公司的報(bào)告稱,他們想要從一家為軍事機(jī)構(gòu)提供方便食品(meals ready-to-eat,MRE)的公司進(jìn)行采購。這些方便食品有很長的保質(zhì)期,而且不占用太多的空間。如果雇員們需要在您的設(shè)施崗位上停留了很長時(shí)間的話,這可能是一項(xiàng)值得的投資。

OppenhiemerFunds的信息安全和災(zāi)難恢復(fù)前負(fù)責(zé)人邁克·海格表示說,911事故帶來了這方面的問題。他說,許多企業(yè)組織都能夠恢復(fù)數(shù)據(jù),但他們并沒有制定替代工作場所方面的計(jì)劃。紐約世界貿(mào)易中心提供了超過2000萬平方英尺的辦公室空間,而在911事故之后,曼哈頓只有1000萬平方英尺的辦公室空間。當(dāng)一場災(zāi)難事故發(fā)生后,企業(yè)員工們應(yīng)該立即去哪里的問題,以及他們在故障恢復(fù)過程中應(yīng)該在哪里的問題都應(yīng)該在事先規(guī)劃好,而不是事后才來想辦法解決。

USAA保險(xiǎn)公司發(fā)現(xiàn),雖然他們指定了附近的安置區(qū),但電腦和手機(jī)的設(shè)置過程卻花費(fèi)了近兩個(gè)小時(shí)。在此期間,撤離辦公大樓的員工們需要站在德州炎熱的大太陽下。實(shí)施備災(zāi)計(jì)劃的演習(xí)讓他們看到了幾個(gè)沒有完全解決的問題:在此期間是否有一個(gè)安全的地方能夠安置這些員工?USAA保險(xiǎn)公司應(yīng)如何確定員工們何時(shí)可以被允許回到辦公建筑內(nèi)?如果他們的車鑰匙還放在桌子上,大量的員工將找到他們的車輛?如果公司需要送員工們回家的話,是否有一個(gè)替代性的運(yùn)輸計(jì)劃?

企業(yè)組織在災(zāi)難恢復(fù)中的最大的錯(cuò)誤是什么?

Hager和其他專家指出了企業(yè)組織所存在的以下缺陷問題:

1 規(guī)劃不足:您企業(yè)是否能夠確認(rèn)所有的關(guān)鍵系統(tǒng),您企業(yè)對于在發(fā)生災(zāi)難事故當(dāng)天對這些關(guān)鍵系統(tǒng)執(zhí)行恢復(fù)都有什么樣的詳細(xì)計(jì)劃?(每個(gè)人都認(rèn)為自己知道他們在他們的網(wǎng)絡(luò)上存儲(chǔ)了什么,但大多數(shù)人并不知道他們所在的企業(yè)有多少服務(wù)器;或者這些服務(wù)器是如何配置的;或者這些服務(wù)器上運(yùn)行著哪些應(yīng)用程序或服務(wù);他們使用什么版本的軟件或操作系統(tǒng)。資產(chǎn)管理工具聲稱其具備這些方面的技巧,但他們往往并不能捕獲重要的軟件修改的詳細(xì)信息等等)。

2 未能將業(yè)務(wù)納入恢復(fù)工作的規(guī)劃和測試中。

3 未能獲得來自企業(yè)高層管理者的支持。其中最大的問題是:

a 未能展示出全面的恢復(fù)工作所需要的水平。

b 沒有進(jìn)行業(yè)務(wù)影響分析,也未能解決在您的恢復(fù)模式中的所有的差距問題。

c 沒有制定包括了您的恢復(fù)時(shí)間目標(biāo)、關(guān)鍵系統(tǒng)和應(yīng)用程序、業(yè)務(wù)需要的重要的文件、業(yè)務(wù)功能的建設(shè)計(jì)劃在內(nèi)的足夠的恢復(fù)計(jì)劃,也沒有在災(zāi)難之后如何繼續(xù)經(jīng)營活動(dòng)的計(jì)劃。

d 沒有適當(dāng)?shù)馁Y金來支持至少半年一次的測試。

技術(shù)的改變將如何影響企業(yè)組織的BC/DR計(jì)劃呢?

好問題!首先,您應(yīng)該定義一個(gè)密切關(guān)注技術(shù)發(fā)展趨勢的流程。如下,是四項(xiàng)當(dāng)前在大多數(shù)情況下能夠在實(shí)際工作中協(xié)助保持業(yè)務(wù)連續(xù)性的技術(shù)趨勢。(然而,這些技術(shù)也會(huì)相應(yīng)的帶來一些挑戰(zhàn)和并發(fā)的問題。)

·虛擬化。讓企業(yè)組織得以能夠跟蹤更少的物理設(shè)備,較小的數(shù)據(jù)中心的占地面積,簡單的實(shí)現(xiàn)故障轉(zhuǎn)移功能。

·云計(jì)算。幫助企業(yè)組織將BC/DR的責(zé)任轉(zhuǎn)移到您的云提供商——從而不僅讓企業(yè)組織受益,同時(shí)還規(guī)避了相應(yīng)的風(fēng)險(xiǎn)。務(wù)必要確保您的合同中清楚地說明您的要求。同時(shí)注意,跨多家云提供商進(jìn)行測試是復(fù)雜的。

·移動(dòng)計(jì)算。能夠使危機(jī)通信溝通和定位員工可能更容易。

·社交網(wǎng)絡(luò)。不僅可以實(shí)現(xiàn)與員工的更好的溝通,還能夠讓企業(yè)能夠更好的與外界溝通。

應(yīng)該由誰來負(fù)責(zé)領(lǐng)導(dǎo)企業(yè)組織的BC/DR計(jì)劃呢?應(yīng)該向誰報(bào)告呢?

沒有一個(gè)放之四海而皆準(zhǔn)的答案。成為BCDR項(xiàng)目領(lǐng)導(dǎo)的關(guān)鍵是要有一個(gè)廣闊的視角和足夠的影響力來獲得正確的要素。

值得重復(fù)的是:信息系統(tǒng)無疑是今天企業(yè)業(yè)務(wù)的操作中心。但是,僅僅只涉及到IT的BCDR計(jì)劃不是一套完備的計(jì)劃。這同樣適用于僅涉及基礎(chǔ)設(shè)施的計(jì)劃。對于全套資產(chǎn)設(shè)備人員、系統(tǒng)和流程的充分理解,才是使得您的業(yè)務(wù)連續(xù)運(yùn)行成功的關(guān)鍵。

越來越多的企業(yè)組織正在創(chuàng)造企業(yè)風(fēng)險(xiǎn)管理部門或項(xiàng)目,這是一項(xiàng)很自然的確保業(yè)務(wù)連續(xù)性的努力。

企業(yè)組織可以外包相關(guān)的應(yīng)急措施嗎?

企業(yè)的災(zāi)難恢復(fù)服務(wù),包括異地?cái)?shù)據(jù)存儲(chǔ)、移動(dòng)電話、遠(yuǎn)程工作站等等經(jīng)常是采用了外包方式,因?yàn)檫@要比企業(yè)自行購買額外的設(shè)備或空間更有意義,畢竟這些可能永遠(yuǎn)不會(huì)被使用。在911恐怖襲擊后的日子里,就有災(zāi)難恢復(fù)供應(yīng)商提供系統(tǒng)恢復(fù)和臨時(shí)辦公空間,為受災(zāi)的企業(yè)提供幾十臺(tái)電話的配備和互聯(lián)網(wǎng)連接服務(wù)。

對于那些需要說服他們的CEO或董事會(huì)制定相應(yīng)的災(zāi)難恢復(fù)計(jì)劃和功能的企業(yè)安全高管們,您會(huì)給出什么建議?最有效的執(zhí)行方案是怎樣的?

Hager建議企業(yè)組織的首席安全官通過分析并擬定如果發(fā)生災(zāi)害的潛在經(jīng)濟(jì)損失,及之后相應(yīng)處理的災(zāi)難恢復(fù)文檔來解決該問題。與您企業(yè)的法務(wù)和金融財(cái)務(wù)部門合作,以文檔的形式估算出如果發(fā)生災(zāi)害,而您的公司將面臨沒有快速恢復(fù)的能力的話,每天會(huì)造成的總的損失。徹底審查您的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃,您可以識(shí)別找出其與能夠幫助您企業(yè)實(shí)現(xiàn)成功的災(zāi)難恢復(fù)的方案的差距。記住:災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性只不過是規(guī)避風(fēng)險(xiǎn)。而當(dāng)您能夠向他們展示企業(yè)需要冒多大的風(fēng)險(xiǎn)時(shí),高級管理人員才能夠更清楚地理解。”

Hager還表示,較之大型企業(yè)來說,規(guī)模較小的公司在災(zāi)難恢復(fù)方面會(huì)有更多的(更便宜)選擇。例如,數(shù)據(jù)可以有員工在晚上下班帶回家。這當(dāng)然是一種低成本的異地離線備份的方法。

這其中有些措施對于某些企業(yè)而言是不是有些過頭了?

USAA保險(xiǎn)公司精心設(shè)計(jì)的,將需要不斷開發(fā)和測試的應(yīng)急計(jì)劃可能對于一般企業(yè)的CSO(或首CEO)而言有些過頭了。對于一些企業(yè)來說,這絕對是真的。畢竟,針對20000名員工實(shí)施危險(xiǎn)品培訓(xùn)和疏散計(jì)劃并不是對每家公司都是必要的。

像許多安全問題一樣,保持業(yè)務(wù)連續(xù)性規(guī)劃涉及到基本的風(fēng)險(xiǎn)管理:貴公司能經(jīng)受得住多大的風(fēng)險(xiǎn),貴公司愿意花費(fèi)多少成本來緩解各種風(fēng)險(xiǎn)?

為意外情況提前制定計(jì)劃,企業(yè)組織必須在權(quán)衡風(fēng)險(xiǎn)與成本之后才創(chuàng)造這樣的一個(gè)套應(yīng)急計(jì)劃。USAA保險(xiǎn)公司的安全助理副總裁Pete Hugdahl表示說這種權(quán)衡經(jīng)常面臨各種問題:“當(dāng)成本因素發(fā)揮作用的時(shí)候,做出這種權(quán)衡真的相當(dāng)困難。”他說。“我們要花100000美元來保護(hù)我們的資產(chǎn)嗎?我們怎么知道這是值得的呢?”

其實(shí),這方面沒有絕對的答案。不管您企業(yè)是準(zhǔn)備花錢;還是準(zhǔn)備接受這方面的風(fēng)險(xiǎn),只是一個(gè)行政決定,但其應(yīng)該是一個(gè)明智的決定。務(wù)必要汲取那些半吊子的災(zāi)難恢復(fù)計(jì)劃的教訓(xùn)(參考2010年英國石油公司泄漏事故、2005年颶風(fēng)季節(jié)、911事件、2003年美國東北大停電事故等),這些計(jì)劃都是一個(gè)未履行盡職調(diào)查而制定的。

還有哪些其他的注意事項(xiàng)?

云服務(wù)公司 Evolve IP創(chuàng)造了一份企業(yè)高管們可以用來評估他們當(dāng)前的災(zāi)難避免計(jì)劃的建議清單,以及企業(yè)是否需要制定一份這樣的備災(zāi)計(jì)劃,或是應(yīng)該為他們的信息和通訊系統(tǒng)提供定向的保護(hù)措施。

建立一支災(zāi)難恢復(fù)功能團(tuán)隊(duì)

從該團(tuán)隊(duì)選擇一名發(fā)言人負(fù)責(zé)溝通。在企業(yè)組織發(fā)生多處災(zāi)害事故時(shí),每處位置都應(yīng)該有一個(gè)核心團(tuán)隊(duì)或代表,來與企業(yè)實(shí)體配合工作。

風(fēng)險(xiǎn)評估

識(shí)別下列領(lǐng)域的風(fēng)險(xiǎn):

信息——哪些信息和信息系統(tǒng)對于企業(yè)業(yè)務(wù)在一個(gè)可接受的水平繼續(xù)運(yùn)行是最為重要的?

通信基礎(chǔ)設(shè)施——哪些通信(電子郵件、電話線、呼叫中心、VPN、終端服務(wù))對于企業(yè)業(yè)務(wù)在一個(gè)可接受的水平繼續(xù)運(yùn)行是最為重要的?

訪問和授權(quán)——在發(fā)生災(zāi)難時(shí),誰需要訪問上述系統(tǒng),并且需要以怎樣的安全的方式訪問(VPN、SSL、DR站點(diǎn))?

物理工作環(huán)境——在緊急情況下那些要素對于開展業(yè)務(wù)是有必要的,而這些要素在受災(zāi)害影響的位置不可用?

內(nèi)部和外部的溝通——在緊急情況下,企業(yè)需要保持怎樣的聯(lián)系;哪些信息需要及時(shí)互通?

基于云的數(shù)據(jù)中心和應(yīng)用

創(chuàng)建一套恢復(fù)計(jì)劃,并將其遠(yuǎn)程托管在一個(gè)安全的和冗余的數(shù)據(jù)中心。每年至少測試一次您的恢復(fù)計(jì)劃,并根據(jù)監(jiān)管/合規(guī)要求及時(shí)更新修訂。確保員工可以在故障轉(zhuǎn)移模式期間能夠在從指定的位置訪問托管環(huán)境(包括從內(nèi)部的業(yè)務(wù)范圍內(nèi)和遠(yuǎn)程)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)