如何制定一个完整的BCP计划?
2017-05-03
一、典型内容
业务连续性计划既可以分成几个单独的计划:即预防、响应、业务接续、业务恢复和复原计划,也可以由每一个这样的计划构成总的计划书中的不同章节。
1.基本项目
●目的
制定计划的目的必须加以说明。还应该说明即划分几个阶段试时,每个阶段所要实现的目标是什么。
●范围
说明有哪些部门和运营业务需要实施BCP。如果一个BCP只针对某些灾难而非全部灾难,则需要针对这些特殊灾难制定专门的实施处理脚本。
●必备条件/前提条件和限制因素
形成一份BCP的前提条件需要在此说明。在某些情况下,还须说明BCP成功的必备条件。比如说,服务器的数据备份间隔不得超过多少小时,受过训练的运营恢复团队必须呼之即来,备选场所必须在灾难发生之后多少小时之内一切准备就绪等等。
如果BCP计划的执行还存在一些限制条件的话,也应在此列出。
●团队
BCP团队的组织/负责人选、下属哪些分支团队、团队的作用和责任等,都必须在此说明。
●指标
作为一种策略,企业必须由用于恢复的RPO和RTO指标,以及性能指标等,这些指标应该在此加以说明,并向客户和股东说明。
2.预防保护
作为BCP中的一个实施部分,预防措施需要在此说明。这些措施可以概括如下:
●监督
●访问控制
●身份认证
s ●防病毒
●过滤
●入侵检测系统
●备份计划
3.紧急响应
●响应的准备
在响应阶段需要哪些资源应当在此列出,同时详细申明这些资源的配置和所需数量。如果还需要一些文档和记录的硬拷贝,也必须在此申明。
●告知树
●危险评估
●何时对外宣布
●激活BCP的关键标准
4.t务接续
从紧急响应阶段到业务接续阶段如何进行衔t是需要在这里说明的。有关业务接续运营的决策过程、在哪里以及怎样进行业务接续、需要采取什么行动,以及接续哪些业务到何种程度等等,都需要在此加以说明。还要为BCP团队中的各个小组指定各自应该采取的行动,每个小组要完成指定的任务。BCP中的这一部分也称为业务接续计划(BRP)。
5.业务恢复
执行业务恢复的程序在此加以说明。BCP的这一部分也可称为灾难恢复计划(DRP)。
这一部分计划文档的组织可以有很多种方式。一种方/就是简单地列出所有的恢复目标(按照RPO、RTO、目标服务器/网络等来列)。根据每一目标进行计划分解,同时明确相应的团队/负责人以及任务。还有一种方式就是按部门来组织。无论采用哪种方式,都应确保所有的BCP目标都能覆盖到。
计划的这一部分必须编排得像一本操作手册,由一系列简单明确的指令构成,恢复团队完全可以按照这i指令进行恢复操作。各种操作之间的相互关系也必须加以明确说明。所有的指令和说明必须明白无误,以免因可能引起误解或不明了而导致时间损失。
6.复原
为业务运营复原原有场所应采取的步骤在此加以说明。需要标明每个团队/负责人的责任和任务
