当前位置:金融信息化 > 正文
【独家】连载⑨‖如何验证业务连续性计划的有效性?

  顶级管理层对方案的肯定和支持、业务影响分析和推演与测试方案是一个有效的业务连续性管理体系中最重要的三个要素。推演和测试能够确认不完善或被遗漏的假设,揭示计划中的差距和缺少的数据,有助于确保实现业务连续性管理体系。在测试和推演中发现的优势和劣势,会在行动后报告和改进计划中进行详细说明。顶级管理层会对这些报告和计划进行审查、批准,从而制定整改行动计划,保证业务连续性管理体系的持续改进。

  本文节选自《从准备到灾难恢复——基于标准的业务连续性管理》之第九章 指导、推演与测试

  一、引言

  推演和测试计划能够验证策略的有效性,确保信息的准确,并使计划执行人员进行更好的准备。指导与推演,尤其对于顶级管理层而言,能够帮助防止某些身处高级管理人员即兴采取的一些快速而果断的行动。一项强大的推演计划,有助于展示管理层对业务连续性管理体系的支持。

  二、指导

  指导与推演,尤其对于顶级管理层而言,能够帮助一些身处高级管理职位的名人,在遇到突发事件时可以快速而果断的采取一些行动,力求减少损失。

  推演开始前,应事先提供一些指导。

  所有推演和测试的参与人员必须接受某种程度的指导:

  1)了解计划的内容。在推演的正式部分开始之前为参与人员留出一些时间通读方案和计划。在开展更高层次推演,如全面推演时,需要计划相关知识,但通常情况下,会由推演负责人在推演即将开始前向全体人员宣读设定的情景。

  2)了解推演的目的。根据推演的类型和目标来解释推演的目的。要小心,不要透露预期的结果,但要向参与人员时限说明推演的目的不是为了挑剔别人的错误,而是要验证计划中的程序和资源。

  3)了解自己的职责和推演的期望。在全面推演中,需要对控制人员和评估人员作出具体指示,使其明白推演即将开始前应如何履行其职责。

  4)所有的参与人员必须了解规则和推演协议。例如,推演控制人员要穿上棕色背心,而参与人员要遵循控制人员的指示。若有问题,可询问操作人员。推演评估人员应穿着绿色背心,参与人员不得向其询问任何问题,也不得以任何方式与其进行交流。

  5)了解停止推演的信号。推演设计人员必须编制一个密语来表示立即停止或取消推演。这个密语必须在推演期间发生实际紧急情况、推演被停止或切换到真实模式时使用。

  6)了解任何安全隐患和控制措施。向参与人员强调安全规程、警告和规则。任何参与人员都应能够停止推演,并立即采取措施防止生命、财产或环境遭受危害或将自己或他人带出危险。推演计划不得让参与人员处在危险之中或违反安全协议。

  7)大规模推演中,参与人员、模拟小组、现场运行维护人员(事件指挥)和推演负责人以及控制人员之间可能要进行沟通。应公布有关机构以及内部和外部联系人的模拟电话簿,并要求所有参与人员只使用该电话簿。在黄色或其它颜色的纸张上打印模拟电话簿可以帮助确定使用的相应电话簿。

  三、推演

  推演和测试计划能够验证策略的有效性,信息的准确性。使得计划执行人员能够做好准备。通过推演和测试,可以及时发现需要注意或改进的地方,更好的满足策略与任务的需求。有助于业务连续性管理体系目标的实现。

  1、推演类型与方法

  (1)推演类型

  推演可以分为讨论和操作:

  以讨论为基础的推演旨在为小组成员和其他责任方就计划中的内容进行指导,这样可以帮助成员了解如何执行计划,有什么沟通工具以及如何获得必要的资源来完成其目标;

  操作作为基础的推演,更多的是进行“实践”,主要目的在于明确角色和职责,验证计划的内容,并确定过程、程序或资源中存在的差距。

  指导文件中对推演类型进行了定义,包括:提醒、开始、参与人员、决策、管理、合作、危机管理、策略、推演活动。

  (2)推演方法

  常用“推演方法”包括:研讨会和研究会、桌面推演、比赛、演习、功能推演、全面推演、桌面检查、调用树推演、转移推演、异地存储、复杂的桌面推演。

  推演期间,会事先设定可能发生的情景,再来执行计划。随着业务连续性管理体系日趋成熟,推演从使用简单的场景,进行简单的桌面讨论到更复杂的功能推演和全面推演,使用更难的情景,练习实现业务连续性方案的目标的操作技能。同时对技术进行测试,确保其能够根据预期和灾难发生时可能出现的状况发挥作用。全面推演需要高度的规划、控制和评估,以模拟多种功能或组织的现实条件。

  2、推演规划

  推演必须具有全面性,涉及计划的所有要素。该时间表在项目计划中可以甘特图或组织最适用的形式来表示。

  进行推演规划时,要记住:

  1)准备推演所需的时间,包括情景制定、与会通知、安排时间和会议室。全面推演应提前就做好安排,尤其是当有外界有关各方参加时。随着推演的复杂程度增加,寻求可用推演日期也会更加困难。

  2)推演参与者的其他任务。换句话说,安排重大推演(全面、热站或转移)的时间应尽量避免与其他重大事件发生冲突或 可能产生冲突的商业周期。

  3)开展推演所需时间。若需要进行热站现场恢复测试,大规模推演将需要1-3天或更长时间。

  4)评估推演结果所需时间。

  5)纳入纠正措施或计划更新所需时间。

  6)更新推演计划。

  7)制定指标和提交至顶级管理层的报告。完成首轮简单的推演后,决定下一等级的推演安排在什么时候。ISO对推演的次数没有作出规定,但这些推演必须按照“计划的时间间隔”开展。根据组织和业务连续性管理体系的规模与复杂程度,通常最理想的情况为每个部门(即小组)每年参与不少于两场推演。其他复杂程度更高的推演可每年开展一次。

  3、推演方案

  推演的主要目的之一是逐步培养负责人的技能,提供符合他们目标的测试和验证策略,并逐步完善计划和整个业务连续性管理体系。

  方案应包括:推演方案的目的;推演方案的范围;确认推演方案的负责人,包括他们的角色和职责;计划下所有负有责任的人员;高级别时间表和计划的推演类型。

  4、 推演设计

  根据下列高级别步骤计划和开展推演:

  1)选择推演目标。目标必须是可实现、明确说明和可衡量的,且能够测试具体行动或规范。

  2)详细说明推演的范围。范围包括参与人员。是一个小组还是包括供应商?是否包括外部机构,如消防部门?并说明推演的类型、日期、地点和目的。

  3)决定使用推演的类型。推演的类型将取决于组织在其推演计划中的所在位置、选择的目标和业务连续性管理体系的成熟度相应的复杂程度。

  4)制定一个贴近现实的情景来练习或测试目标。

  5)设计推演计划和辅助材资料。该计划和辅助资料的复杂性将取决于所选择的推演类型。桌面推演的配套资料可以是情景的副本。

  6)向参与人员发出适当的通知,说明推演的参与人员、内容、时间和地点。确保主要群体或组织对推演的日期达成一致。

  7)若可以,选择控制人员、评估人员和模拟人员。

  8)对控制人员,评估人员、模拟人员和观察人员就推演规则、协议和期望进行指导。

  9)开展推演。

  10)讨论推演的结果,并编制相应的报告。

  11)根据推演过程中吸取的经验教训修订计划。

  四、小结

  计划制定后,建立文件化的程序来验证策略,确保资源的可用性,并提高责任人在不太理想的情况下执行他们计划中任务的熟练程度。若等到灾难发生,才发现自己的备用基础设施不可用,就已经来不及了。正基于此,推演和测试方案是业务连续性管理体系的重要内容之一。

相关链接:

作者:尤金˙塔克 来源:金融时代网 发布时间:2018-01-19 05:48:11
 
 
  我要发表留言  查看所有评论
 

*
 限制字数显示剩余字数,最大长度: 500 还剩: 500
用户名:
       尊重网上道德,承担一切因您的行为而直接或间接导致的民事或刑事法律责任