业务连续性计划的基本组成部分

博客
2020年12月28日
奥尔加·豪特

制定正确的计划和程序来应对危机只是成功的一半。业务连续性计划的基本组成部分必须包括工作空间恢复,网络弹性,变更管理和其他几个要素。此外,与重要人员共享业务连续性计划并教育他们如何处理灾难是另一个重要组成部分。为什么?因为即使您已制定了应急计划,但如果您的团队不熟悉该计划,他们在发生危机时将无所适从。

教科书中关于灾难的定义是任何威胁公司或企业信誉或信誉的情况,通常是由于负面或负面的媒体关注引起的。但是,我们不要忘记自然灾害会给企业带来什么。

在飓风,山火,内乱和网络攻击方面,过去几年是最灾难性的。

近年来的灾难

什么时候 同时业务连续性风险已成为新规范,对于任何组织来说,制定出可以避免停机的计划至关重要。因此,对于任何灾难,我们都越来越需要全面的业务连续性计划, 

制定涵盖各种方案的计划的最常见原因包括:

  • 合规问题 (客户审核和RFP)
  • 法规要求 (政府或ISO认证)
  • 现在位于“云”中的新硬件或操作系统和应用程序
  • 设施和/或人员变更/搬迁/搬迁
  • 语音/数据网络的变化
  • 关键第三方供应商/供应商的变更
  • 大流行规划

尽管针对不利风险和各种威胁进行计划可能需要一个以上的计划,但考虑到每个潜在中断的细微差别,业务连续性计划还是有几个基本组成部分。

业务连续性计划的基本组成部分

这些重要组成部分的计划,测试和恢复是构建弹性组织的关键。  

  1. 工作区恢复  
  2. 网络弹性  
  3. 数据备份,复制和恢复  
  4. 人员  
  5. 第三方服务提供商  
  6. 电信  
  7. 功率  
  8. 更换管理层  
  9. 通讯和通知 
bcp的重要组成部分

工作区恢复 

  • 确定员工的备份站点,以及核心运营,设施和基础架构的备用站点。 
  • 备份站点应镜像主站点的操作功能。 
  • 如果发生中断,应该有员工指定的替代场所 (包括关键人员)商业运营。  

网络弹性 

尽管风险不断变化,但仍能保持运营。 

bcp 2的重要组成部分

数据备份,复写和恢复  

  • 保持数据所有数据的机密性,完整性和可用性。  
  • 可访问的软件,配置设置和相关文档的异地存储库。  
  • SOP恢复关键的网络和系统  
  • 资料复制(也称为数据同步或镜像)是复制数据以将相同数据集保留在冗余位置中的过程。  
  • 备份和恢复策略是否与当前技术和威胁相匹配?   
  • 主要书籍和记录,备份文件(硬拷贝和电子)被保留或定位。包括主要业务期间数据备份和恢复过程的详细说明破坏。  

人员  

  • 弹性取决于人员的可用性来维持关键的业务流程。知道关键人员在此期间可能不可用或分心自然事件灾难,恶劣天气事件或大流行。  
  • 管理层应为可能导致人员无法使用设施且中断后可能无法立即使用关键人员的事件做出计划。  
  • 注意事项:
    • 操作与业务连续性相关的关键功能所需的人员和技能。  
    • 员工培训:任何组织都应该为人员提供业务连续性培训,以确保在灾难发生时每个人都意识到其主要和备份责任。  
    • 让关键员工参与业务连续性发展过程以及常规测试和培训活动, 包括您的员工以外的服务提供商和合作伙伴。  
您的业​​务连续性检查表副本

我们的业务连续性清单将帮助您的组织创建和评估业务连续性计划的每个领域。

bcp服务提供商

第三方服务提供商和托管安全服务提供商  

  • 许多实体都依赖第三方服务提供商来执行或支持关键操作。一种破坏提供这些服务可能会直接影响实体的弹性。广泛使用的第三方服务提供商的严重故障可能会造成大规模后果。管理层应 评估关键的第三方服务提供商对多个项目的敏感性事件情景 并验证此类第三方的弹性能力。  
  • 管理层应考虑其实体自己的内部BCP中概述的与第三方服务提供商有关的相同风险,以及:   
    • 第三方服务提供商满足协议中与其他客户需求有关的客户恢复目标的能力。  
    • 能够与第三方服务提供商一起参与恢复测试并获得测试结果。  
    • 能够将内部或外部的外包流程移至其他服务提供商。  
    • 无法提供主要服务时的替代资源选项(例如,人员和系统)。  
    • 数据机密性,完整性和可用性(例如,可传输性和互操作性)。  
    • 继续履行合同义务的财务能力。   
    • 服务集中在数量有限的第三方服务提供商中。  

电信 

  • BCP应确保实体电信中的适当冗余级别基础设施。 
  • 识别并缓解基础架构中的单点故障。
  • 制定计划以解决电信线路中断的问题。 
  • 建立冗余的电信链路。 
bcp的电源和变更管理

功率  

  • 金融业依靠力量来运行其技术基础设施并向人员和客户提供基本必需品。  
  • 作为短期和长期计划的一部分,管理层应考虑以下内容:  
    • 备用能源(例如发电机,多个电网)。  
    • 燃料需求,包括手头燃料以及与供应商签订的在事件期间交付的燃料,以及获取燃料的任何潜在障碍。  
    • 发电机的负载能力(例如,时间长度,使用寿命,提供的功率水平)。  
    • 发电机的持续维护。  
    • 发电机测试。  

更换管理层  

  • 在正常业务过程中对生产系统和业务流程进行更改时,应类似地更新备用位置的恢复系统和文档,以反映生产和主要系统的更改。  
  • 变更管理过程应允许在紧急情况期间方便地实施紧急变更事件,例如更改访问控制列表以提供快速访问以进行故障排除和分析。  
bcp的通知标准

通讯技术  

  • 考虑,计划并准备多种与他人沟通的机制。例如,当传统的语音通信和电信受损或无法使用时,管理层可以考虑使用其他替代通信系统,例如通过雇主提供的个人移动电话和个人移动电话进行文本消息收发,个人电子邮件和即时消息收发。  
  • 与客户和员工的沟通: 
    • 这些包括为确保所涉及的每个人之间的连接中断而必须制定的规定。  
  • 与监管机构的沟通:  
    • 这涵盖了银行如何与FINR进行通信,以防重大中断,并确定与FINRA的指定业务连续性计划联系人,后者将协助进行通信。  

通知标准

  • 应制定正式的通知标准并将其集成到业务连续性计划流程中。可以使用各种通信方法(例如传呼机,卫星电话,手机,电子邮件或双向无线电)来将灾难情况及时通知员工和适用的第三方。全面的通知​​标准应解决联系人列表的维护和分发问题,包括主要电话号码,紧急电话号码,电子邮件地址以及机构人员,供应商,紧急服务,运输公司和监管机构的实际地址。 

重要的是要记住,问题不在于是否,而是何时出现意外情况。为了延长业务寿命,请投资制定自己的灾难准备计划。