增强企业免疫力

发布时间：2006年02月15日点击数： 作者：孙强 来源：本站原创

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

-----非典时期业务持续计划的实施与咨询纲要 在非典时期，为降低非典对公司业务正常运作的影响，把损失减少到最低限度，很多跨国公司都启动了应急管理和业务持续计划，为客户继续提供不间断的服务。但是，非典的传播和对某些行业及业务的冲击，从一个侧面也折射出国内一些企业应急管理机制和业务持续计划的缺失。很多公司尤其是一些中小型公司都在紧急制定应急措施，如何对这些应急措施进行评价与改进，这是这些企业目前亟待解决的问题。一般而言，针对灾难恢复与业务持续计划，咨询师的任务包括： 1． 审查业务持续计划并将它们与相应的标准和法律法规相比较，评估该计划的适用性和实效性； 2． 审查对先前信息系统及所有用户的测试结果,验证业务持续计划的有效性。确保灾难发生时，可迅速地恢复业务。 3． 审查异地存储设施和它的内容、安全和环境控制，以评估并确认异地存储的适当性； 4． 审查应急措施，员工培训、测试结果，评估在紧急情况下，信息系统及其所有用户的有效反应能力； 业务持续计划的审查 业务持续计划的目标是最大限度、最快速地恢复业务。当审查计划时，咨询师应该验证一个好的计划所应具备的基本要素是否存在。这些因素包括： Ø 适用性：即针对某一既定核心业务过程，应急替代方案对可接受的最低产出水平的支持程度； Ø 部署进度：即制定、测试和实施应急方案所需要的时间； Ø 费用：总体费用，包括制定、测试应变方案，以及培训人员和维持计划的费用。 对这些基本要素的审查步骤如下： 1. 获得最新的业务持续计划或操作手册； 2. 抽样已分发的计划或手册，验证它们是否是最新的； 3. 评估业务持续计划书面程序的有效性； 4. 审查关键业务的识别程序和支持计划，包括基于计算机的或最终用户的开发系统； 5. 审查是否所有的应用系统对于灾难事件的容忍程度已经被检查； 6. 确定是否所有的应用系统（包括PC应用系统）已经被识别； 7. 确定是否所有备援站点的主机是否使用正确版本的系统软件。验证所有的软件都是兼容的，否则，当灾难发生时系统将不能正确处理产品数据； 8. 审查业务持续计划的人员联络名单、备援站点合约、紧急厂商合约等的正确和完整； 9. 抽查部分人员，验证他们的电话号码和地址是正确的，并确认他们都有一份业务持续计划手册；分别约谈这些人员，确认他们是否了解其在紧急事故中所担负的职责； 10. 评估手册的更新程序，更新和发放是否及时？对手册的维护责任是否已书面化？ 11. 评估所有书面的紧急情况处理步骤，内容是否全面、适宜、准确、实时和易于理解； 12. 检查所有的灾难响应团队是否熟悉灾难发生时的操作步骤； 13. 检查是否存在一个合适的程序来更新书面的紧急程序； 14. 检查是否用户恢复步骤被记录； 15. 检查信息系统设施及流程重建的必备条件，如设计图，硬件清单和接线图等是否被异地存储； 16. 计划是否有一个用于灾难恢复管理委员会和紧急事件管理团队开会的地点，用于决定业务持续计划是否应当被启动？ 17. 书面恢复程序对于成功的恢复恰当吗？ 18. 计划对不同程度的灾难都有描述吗？ 19. 计划里包括远程通信（数据和语音）备份吗？ 20. 在原始数据中心不能被恢复的情况下，计划是否包括重建一个新的信息处理场所？ 21. 计划是否包括将手工方法处理的数据如何迁移到一个自动化系统？ 22. 谁决定关键信息存储的方法和频率？ 23. 用于备份的介质类型是什么？ 24. 是否存在一个正确的执行文档以防灾难发生时数据丢失？ 25. 用户的需求是否按轻重缓急排定，以便按其次序提供硬件恢复。 评估以前的测试结果 业务持续性的负责人应该保存以前业务持续性的测试结果历史文档。咨询师应该审查这些结果并检查是否更正的项目已经纳入整个计划中。咨询师应该评估以前测试结果在实现这些目标过程中的正确性。测试结果应被复核，以便检查是否达到了预期的目标，并检查问题的趋势及可能的解决方案。 评估异地存储 异地存储设施应进行评估，以便检查重要的介质和文档的存在、同步和实时性。这包括数据文件、应用软件、应用文档、系统软件，系统文档，操作文档、必要的供货商名单、特殊的表格和一份业务持续计划的副本。要验证以上提到的信息，咨询师应该进行详细的盘点复核，盘点复核的项目包括项目名称、卷宗序号、时间以及磁带存放位置等正确性的测试。咨询师也应检查书面手册，并将其与实际情况比较，确定其是否与现状一致。咨询师还要检查这些设施的可用性，确保设施符合管理层的要求。 访问关键人员 咨询师应该访问重要参与人员。所有的人员应确实了解他们的职责，并且拥有详细描述其职责的最新文件。 评估异地存储场所的安全性 异地存储场所的安全性应该被评估，以便检查它是否有适当的物理和环境访问控制。这些控制包括限制访问，只有授权用户才可进入，架高地板，湿度控制，温度控制，不间断电源，水警探测设备，烟雾探测设备及适当的灭火系统。咨询师应检查上述设备，是否于近期检查过并记录在其标签上。 合同的检查 咨询师应从厂商那里获得设备购买合同的副本。详细检查厂商的历史记录及信用等情况，并且厂商的承诺都应书面记录。 咨询师依据下列指导原则复核合同： 1. 取得厂商各项保证的书面文档 2. 确认合同条文清晰易懂 3. 确定你可以容忍和其他组织共享站点时所需遵守的规章 4. 确定可定期在主机地点执行测试 5. 审查和评估备份站点的通讯能力 6. 检查在违反合同协议时的索赔权 总之，保持非典时期业务持续运行最根本的关键就是恢复关键业务应用的数据和制定、实施灾难恢复计划，保护过程中的人员、处理过程以及信息处理场所，最终目标是使业务操作持续运行，保持在任何情况下包括非典情况下业务持续运行的能力。