组织宜制定和编制程序来对中断事件的响应进行全面的控容的在候复时间目标重启活动。这些程序宜建立适当的内外部沟通的协议,如沟通内容的定义、主题、信息结构、交换的频次和渠道等。这些程序宜:
(1)具体的-业务中断发生时,宜立即采取的步骤;
)灵活的-以便这些程序可用来应对那些未曾预料到的威胁场景和多变的内外条件;
(3)专注的-这些程序宜明确地与那些可能会造成运行中断的事件所带来的影响有关,并且应基于事先声明的前提假设和相互依赖性分析来开发这些程序;
(4)有效的-通过实施适当的缓解策略,最大限度地减轻事件所造成的后果。
II.业务连续性程序的开发过程
程序是为完成某项活动或过程所规定的途径。
一个完整的BCMS程序,须涵盖:
-事件响应和响应机制;
-预警和沟通;
-关注RTO/RPO/MBCO的BCP;
一恢复并重新开始业务至正常活动的安排;
一以及,事件响应中的可能的危机管理、灾难管理、损失管理等;
一以及,可能的事件升级管理的流程。
II.业务连续性管理更加强调,组织面临中断事件后的安排,组织须建立并维护业务连续性计划。
该计划须满足:
-向使用者提出要求;
-文件化;
-用于指导;
-范围覆盖响应、恢复和还原到预先确定的业务运行水平。
(1)确定计划制定的需求
A.角色和责任;
B.依据组织选定策略发展;
C.按照产品和服务层面的先后顺序制定行动计划/检查列表;
D.可以检查和评估工具,如业务连续性计划软件;
E.获取业务过程、技术模型和流程图、过程运则的准则;
F.必要时确定信息数据库的需求;
G.识别其他支持文档。
(2)定义连续性管理和控制需求
A.定义范围
-识别可能会用到的事故/事件过程;
-建议可能用于创建定义的严重程度标准;
-设计事件升级标准。
B.确定和就连续性关键步骤的方法达成一致,记录一致的方法;C.建立将紧急事件响应转化为业务连续性计划的规程;
D.考虑可能出现的危机管理、灾难管理等。
(3)识别和定义主要计划要件的格式和结构
A.计划的设计和格式
-定义如何使计划的格式符合组织的情况;
-记录部门连续性计划的结构和设计;
-确保计划易于管理;
-定义用于收集完成计划所需信息的过程。
B.分配任务和责任
-识别需要完成的任务;
-识别完成所需任务需要的团队;
-设定团队的责任;
-识别和列出关键合同、供应商和资源。
(4)起草计划
A.始终在选定的策略情景下发展,并在假设的基础上开发;
B.确保BCP对应的RTO和MBCO得以实现;
C.按照使用者的角色和能力选择计划内容的表达方式,如执行层面的内容,可考虑使用5W2H的语言表达;
D.选择计划制定和维护的适当工具;
E.起草业务连续性计划(BCP),确保有完成计划所需的充足和适当的人员;
F.继续收集所需的信息以确保BCP的完全和正确。
(5)考虑额外工作
现实中,组织面对中断事件的发生,进行应急响应、业务恢复,将会处理一些多出来和新出现的状况。这需要组织在BIA和RA阶段,对这些情况进行系统的分析和评估,并在业务连续性计划加以考虑。
(6)损害评估
A.损害评估
-创建评估损害的行动计划;
一为每项活动支持的资源制定损害评价的准则和方法;
一了解修复与更换的经济性;
一了解拯救专家在选择和使用相关损害分析方法方面的能力;
-了解在选择适当的拯救运作分包商时所采用的标准;
-将损害评估与机构的业务连续性清晰地联系在一起。
B.定义还原策略
-为恢复需求提供合理的、相关的和实用的方法;
-显示减少间接损失的能力;
-对业务资产的复原方法达成一致(如设备、电力、文档、家具、房产、车间、计算机等);
一了解复原的批准过程,特别是批件的内在含义;
-定义复原的策略。
(7)关键资源的采购:对于应急和恢复过程所需资源如果无法从组织内部解决,需要进行资源的购置,如信息系统的恢复场地、业务恢复场所、备用办公场所、应急通信设备、应急业务处理装备等。
(8)人力资源和人事考虑;应考虑应急和灾难恢复期间的人力资源政策,可能包括人员的临时补助、异地安置费用和政策、人员伤亡情况下的赔偿政策等。
(9)制定一般性介绍或概述
A.一般信息
-介绍;
-范围;
-目标;
一假设;
一责任概述;
-测试;
-维护。
B.计划启动
-通知:
a.首要的;
b.次要的。
-灾难宣布规程;
-动员规程;
-损害评估概念:
a.初始的;
b.详细的;
c.团队成员。
C.团队组织
-团队描述;
-团队组织;
-团队领导的责任。
D.政策陈述
E.紧急事件运作中心
(10)制定管理部分
A.识别具体支持功能的恢复功能
-人事/人力资源;
安全;
保险/风险管理;
一设备/物品采购;
一运输;
-法律。
B.了解公共关系/媒体传播协调人的需要
-资格;
-责任。
C.其他专业协调人/团队责任
-与法规实体的联系/联络;
一与投资者的关系;
-与其他相关组织的关系(如客户和供应商)。
D.识别关键记录项目的要件
E.行动部分
一恢复团队:
a.人员;
b.责任;
c.资源。
F.行动计划
部门/个人计划;
一检查列表;
-技术性规程。
(11)制定业务运作计划
A.运作部门的计划
-基本业务功能;
一必要的信息的保护和恢复;
-启动措施;
-灾难站点恢复/复原措施。
B.关键记录项目的要件
C.行动部分
-一恢复团队;
一人员;
-责任;
-资源。
D.行动计划
-特定部门/个人计划;
-检查列表;
-技术性规程。
(12)实施计划
A.制定教育项目
-用于制定和实施连续性计划的标准指导方针;
一连续性计划中定义的员工的角色和责任;
一整个机构中员工所要遵循的规程;
-对管理层和员工进行培训和意识培养的演示内容。
B.完成所需的任务
一采购附加的设备;
一合同协议;
-准备备份和离站存储。
C.制定测试计划、进度表和报告规程。
D.制定维护、更新和报告规程。
(13)建立计划分发和控制规程
A.建立业务连续性计划的分发和控制规程;
B.建立计划演练结果的分发和控制规程;
C.建立计划更改和更新的分发和控制规程。
业务连续性计划的开发是一个复杂的过程,不可能通过一次项目覆盖所有的领域。组织应该在规划阶段制定清晰的短期和长期计划并确定明确的阶段目标,在整个BCMS的体系下、在规划的时间内有计划地展开各类预案的开发工作。