当前位置:金融信息化 > 正文
连载⑧‖如何建立有效的业务连续性计划

  在认识到需要建立业务连续性程序后,制定范围更广的业务连续性管理方案的目标变得次要。重点应放在制定业务连续性管理体系上,而业务连续性计划在持续组织关键运行和发生破坏性事件后进行恢复的工作中则成为最关键的文件。业务连续性计划应简明扼要,切中要害,但也应包含足够的信息,来说明如何在压力增大和身心更加疲惫的情况下,实现组织、个人连续性或恢复小组的策略目标和资源需求。计划的存储应能保证可在异地使用。计划还应具灵活性,并保证其安全性和其内容的机密性。

  一、引言

  在过去,重点强调的是制定一个业务连续性计划,或是在空白的计划模板中填写内容。现在,重点转变为建立一个业务连续性管理体系,使整个组织得到恢复。但业务连续性计划仍然是一个重要和必要的过程。该计划列出了连续性小组成员执行其策略并确定自己的角色和责任的详细说明,包含通信等资源信息、内外部的相互依存关系、启动标准和转移信息来帮助小组完成他们的任务,同时也说明了灵活响应和控制结构以及业务连续性管理体系的目的、范围和目标。

  由于缺少监管要求,计划会有很多种格式,但在组织内,这些计划通常为统一格式,并遵循计划和标准的文件管理程序。计划应满足下列条件:

  ①计划的结构必须有逻辑顺序;②必须简单且易于执行;③必须是完整的,但不能过于详细;④必须分配角色、职责,划定权力界限;⑤必须足够灵活,以应对不可预见的问题,并允许中途修正和调整;⑥必须说明计划所依据或限制计划的假设;⑦概述传达给内外部利益相关方、各小组以及管理小组/危机管理小组和应急行动中心的信息及信息传达的方式,或将这些信息和方式编制成程序。此要求必须在所有的计划中都列出;⑧说明执行恢复或连续性操作所需的特定资源和任务;⑨每个计划必须包括执行程序;⑩考虑说明易经常发生变化的信息,并将这些信息作为计划的附件,而不作为计划正文,这样能够减少计划更新的次数。

  二、基础计划

  基础计划和单独的连续性小组计划的商业版本将形成一套有效的计划,作为更大的业务连续性管理体系的一部分,有助于确保连续性工作的顺利完成。基础计划中包含行政和描述性信息,以通过一个集中、建设性的方式来妥善管理连续性活动。它包含所有连续性小组成员有用的信息。

  根据组织的需要,计划应包含以下几个部分:

  (1)目录

  首页为标题页,符合标准中列出的要求,之后则应为目录。

  (2)政策声明

  应注重进行政策说明,表明管理层对方案的支持。

  (3)目的

  是标准要求的重要内容之一,并适用于每个文件化的程序。

  (4)适用范围

  该计划中所涵盖的业务连续性管理体系的范围很简单,但进行了详细的讨论。

  (5)目标

  目标必须是具体、可衡量、可实现、相关或现实以及及时的,同时应与适用范围和政策声明相一致。

  (6)假设

  假设必须符合现实,并说明组织无法控制的事情。

  (7)损害评估

  计划中列出了场地、楼宇、设备的损害评估策略和记录、报告损害的方法。

  (8)调用准则、程序和权限

  列出计划中的触发因素和调用准则、程序和启用权限。这将包括有权调用整个计划、各小组计划或多个团小组计划的人员或情况。

  (9)继任顺序和授权

  继任计划由确定组织内具有提前担任高层管理职位潜力的工作人员的人力资源职能部门制定,通过执行该计划,对未来的领导人进行长期培训和指导。

  (10)连续性组成结构

  计划应简明扼要地描述业务连续性事件响应的体系。应根据事件指挥系统还是根据连续性小组方法来实现连续性的操作,以确定组成体系的要素、其目的和目标、授权和传达。

  流程图或组织结构图可以帮助理清管理小组、小组组长以及负责执行所分配的任务人员之间的关系。见图8.1连续性组成结构实例。

  (11)信息传达

  根据标准中的传达要求,应接收信息来确定即将发生的事件,警告社区组织将产生的危害,并确定组织将如何传达给其他利益相关方。

  (12)应急行动中心

  应急行动中心及其主要和备用位置的简要描述包含在基础计划中。

  (13)备用场所和空间分配

  说明转移至备用数据处理场所和备用工作空间的策略。包括指示小组成员去哪,如何去,到达后应进行什么工作的完整详细信息。

  (14)恢复优先级或恢复时间目标

  恢复时间目标、恢复点目标以及最大允许停运时间应在每个小组计划的概述中进行讨论,但若关键职能部门将该信息列入基础计划中,将有助于在灾难发生时,方便进行资源重新分配参考。

  (15)内部与外部依赖性

  在基础计划中列出的好处是能够让相关读者更好的了解功能之间的相互关系,并让业务连续性管理人员更好地管理事件。

  (16)费用和活动文档

  指导业务连续性流程中的每个参与者,或至少每个连续性小组组长将事件发生期间和之后的所有行动和费用记录下来的指示。日志以及照片和收据提供了额外的文件,这些文件能够与向保险理赔人员证明费用为实际发生的。

  (17)更多信息

  应列出大部分小组需要了解的恢复或连续性操作其他相关信息,并可能采用单独的标题来表示每种信息。

  (18)计划下发

  要严格注意标准和组织的文件管理要求,在本部分列出计划接收人。

  (19)指导和培训

  计划中包含为在业务连续性管理体系下具有责任的人员提供指导和培训的方案,但根据标准进行规划的时候,训练方案的具体内容可能将形成一份单独的文件。

  (20)演习与测试

  演习与测试部分应对测试方案或演习策略进行高层次的描述,但实际的演习计划应单独形成一份文件。

  (21)计划维护

  作为持续改善的一部分,除了要定期更新计划中包含的信息,标准的文件管理规定还要求防止使用过时的信息。

  (22)连续性

  应在封面和随后的每页中明确标明基础计划为机密文件。同时也应作出声明,强调文件中所含信息的机密性。

  (23)附录

  恢复和连续性小组使用的表格、辅助信息,如转移至备用位置的地图和方向指示以及所有小组使用的文件可以作为计划的附录。

  三、小组计划

  小组计划可以是一份独立的文件,或作为基础计划的附录,与基础计划在所含的信息类型和数据呈现方式方面应具有一致的格式。专门的小组计划则列出执行组织连续性和恢复策略所需的资源来补充基础计划。

  小组计划,必须具有逻辑顺序,简单和易于理解,且必须分配角色、职责和权限。同时还必须尽量具有可执性,最大限度地减少必要的任务执行情况中未涉及的信息,有足够的灵活性应对不可预见的问题,进行中途修正和计划调整。必须说明损害评估的策略、需要启用(调用)计划的条件以及有权调用计划的人员,一些组织要求提供组织顶级管理层继任人员顺序文件。这些计划将确定业务连续性组织结构的要素、目的和目标、权力和通信方式。标准中的通信要求部分规定组织应接收信息,识别即将发生的事件,警告社区组织将会产生的危害并说明如何传达给其他利益相关方。

  小组计划确定小组组长、小组成员名单以及与小组进行通信的方法,列出联系电话等相关信息、内外部支持供应商和人员,并强调小组实现其持续性策略的指示,列出支持其策略实施所需的资源。管理小组负责监督整个事件的响应工作,它们通常设置在应急行动中心内。

  (1)小组成员调用表

  调用计划时,首先应查看小组成员调用表,特别是在事件发生几个小时后。小组成员调用表简单列明成员的姓名和联系方式。一般由小组组长通知小组成员已调用计划,并由组长、业务连续性管理人员或危机管理小组/应急行动中心指示他们到各自的正常工作区域、备用场所报到,或留在家中,准备随时参与行动。小组成员调用表也可以编制成通讯组列表,随后通过电子邮件或短信来进行短信群发。调用表应包含下列信息:组成员的姓名、员工的职称和职位、每名成员的家庭住址、联系方式。

  (2)小组任务指示

  小组计划的下一部分应列出小组成员为执行他们的持续性或者恢复策略以及应对和管理事件的影响必须遵循的形成列表的指示或任务,且这些指示或任务应与业务影响分析确定的连续性和恢复目标相一致。可设置单独的小组组长指示列表或分配给计划的分小组指示列表。

  (3)内部/外部联系人名单

  关键产商、供应商和服务提供商都包括在内部/外部联系人名单中。与其相关的政府和监管机构可作为名单的备选项。名单中还要列出组织中小组可能需要进行沟通的人员的名称和联系方式。尽可能列出多种不同的联系方式,包括供应商公司、企业办公室以及代表的姓名和联系方式。地址、电话、电子邮件、信息和网页都应包括在内。

  (4)关键资源

  设备要求、表格和办公用品、软件以及重要记录是在小组计划中列出的最小类资源。但每种资源都要列为单独的部分。在计划中列出的资源必须足以实现每个小组的连续性策略。

  (5)其他相关信息/附录

  记录资源需求之后,列出小组实现其目标所需的任何其他信息。电信路由途径和标识、流程图、登录指令等会在最后作为小组计划的附录。基础计划中为提供的表格以及与供应商签订的合同或协议副本也可能会作为附录。

  (6)管理层与危机管理小组

  将危机管理定义为一种态势管理,这种管理涉及对可能损害组织声誉的状况作出的响应,而通常此类响应是根据我们在通过公共关系业务影响分析讨论信息管理时的危机说明中所列出的触发条件来进行的。在一个较大型的组织中,由应急行动中心的工作人员负责事件管理,而管理小组则专门负责战略管理决策和问题解决方案。它们可对功能、流程或产品进行优先排序;重新分配资源;改变策略;或批准特殊开支或资金来源。

  (7)应急行动中心

  应急行动中心是管理小组成员或应急管理人员及其工作人员召开会议,并指导或协调一个大型事件的连续性小组响应或现场行动的地方。虽然它的主要功能具有战略性,但应急行动中心的成员可以做出一些决策。应急行动中心在整个连续性组织中上下传达要求和信息,并在需要时,向外部组织进行传达。

  四、小结

  业务连续性计划在持续组织关键运行和发生破坏性事件后进行恢复的工作中仍然是最关键的文件。业务连续性管理人员将制定基本规划并审查小组计划的完整性、格式的一致性和可行性。完成计划的指示可公布在组织的业务连续性网页上。小组计划应由小组组长或整个小组来完成。业务连续性计划应简明扼要,切中要害,但也应包含足够的信息,来说明如何在压力增大和身心更加疲惫的情况下,实现组织、个人连续性或恢复小组的策略目标和资源需求。

相关链接:

作者:尤金•塔克 来源:金融时代网 发布时间:2018-01-12 05:09:02
 
 
  我要发表留言  查看所有评论
 

*
 限制字数显示剩余字数,最大长度: 500 还剩: 500
用户名:
       尊重网上道德,承担一切因您的行为而直接或间接导致的民事或刑事法律责任