TOPIC14 應急計劃
相關知識
Contingency Planning
應急計劃
應急計劃或業(yè)務持續(xù)性計劃的目的是當組織及其信息系統(tǒng)在災難事件發(fā)生時,能夠減少或避免關鍵業(yè)務中斷,保證組織生存且持續(xù)運營。應急計劃應納入企業(yè)IT總體規(guī)劃,并成為企業(yè)風險管理框架的組成部分。
國際內審師考試經營分析和信息技術輔導應急計劃 src="http:///NewsFiles/2010-2/8/00a1.jpg" border=0>
保證企業(yè)的業(yè)務持續(xù)性是最高管理層的職責,應急計劃的制定不是某個人或某個部門的事情,必須組成一個團隊,該團隊及其領導人應具有足夠的權威,能夠和相關部門和人員進行充分的溝通。應定期對員工進行風險管理培訓,并使每一個人明確其在業(yè)務持續(xù)性計劃中所承擔的角色和責任.
完整的應急計劃實施包括業(yè)務影響分析和目標設定、運行分類和重要性分析、計劃制定、計劃測試和實施、檢測:
(1)業(yè)務影響分析(BIA)是制定應急計劃的首發(fā)步驟,它對每一種可能影響企業(yè)正常運營的潛在風險,如火災、洪水、颶風、系統(tǒng)崩潰、數(shù)據(jù)丟失、黑客攻擊和恐怖襲擊等事件發(fā)生的可能性及后果進行評估。
(2)確定風險后,應根據(jù)不同業(yè)務可以承受的后果(如宕機時間、恢復成本)對業(yè)務進行分類和重要性分析,以此來制定不同類別業(yè)務的保護級別和恢復順序。不同的組織擁有不同的業(yè)務分類和優(yōu)先級,以下是一種可能的分類:
①關鍵(CritiCAl)系統(tǒng):遠程通信和核心處理,如訂單處理、開票和發(fā)運.
②重要(VitAl)系統(tǒng):財務(應6/應付、總賬)和客服。
③敏感(Sensititive)系統(tǒng):薪資和終端用戶數(shù)據(jù)。
④非關鍵(NonCritiCAl)系統(tǒng):人力資源、預算和采購。
(3)制定計劃:應急計劃應該考慮到方方面面,如備份和恢復的技術手段、財產保險、人員角色和通信方式、恢復階段的員工交通和生活設施等。以下是恢復計劃中應包括的若干內容:
①簡明介紹
②團隊職責列表和緊急聯(lián)系方式
③備份計劃和異地備份的地點
④問題升級的流程
⑤行動計劃,包括恢復的時間期限、恢復策略以及關于硬件、軟件、網(wǎng)絡和遠程通信的分類計劃
⑥保險文件
(4)測試和實施計劃:計劃有效性的最佳證據(jù)是對計劃進行了成功的測試。最好的測試是在生產環(huán)境,并且擁有同等規(guī)模的業(yè)務量情況下完成的。有些業(yè)務系統(tǒng)可能無法進行全面的實戰(zhàn)性測試,只能進行模擬中斷測試和紙面上的串行測試,此時應精心設計測試環(huán)境,使之盡可能接近實際環(huán)境。
(5)監(jiān)測:最好的計劃如果不進行更新也會過時,當組織的結構和運營發(fā)生改變時,災難恢復計劃必須隨之改變,以保證恢復計劃的及時、有效。
(責任編輯:中大編輯)