在创建业务连续性规划步骤时,你有以下几种选择:从头开始构建,使用可用的书籍、模板和其他参考资料;聘请顾问来建立你的计划;购买专门的软件来帮助制定计划;或采取现有计划,并重新设计以满足组织的需求。
你的计划应与一个或多个既定的业务连续性(BC)标准一致,或至少包含以下组成部分:
国际标准化组织22301:2012;
国家消防协会1600:2016;
联邦金融机构考试委员会BC手册;
金融业监管局细则4370;
国家标准。
这些可以帮助你更容易地通过来自现有和潜在的客户的审计和审查。
业务连续性计划清单
无论你计划如何创建计划,以下11个业务连续性计划步骤可以帮助你的组织在发生中断的情况下继续运行。
获得高级管理层的认可。不要在未通过高级管理层的同意或批准的前提下尝试开发业务连续性计划。你需要预算来准备计划,这需要高级管理层授权资金。
紧急情况下需要采取的行动。一些专家可能会说,最好有一个单独的事件管理计划来描述如何对事件做出回应,但是,你可以考虑在BC计划之前部署一个事件响应程序。包括你的应急小组、事件响应小组、应急管理团队、技术团队、损害评估团队,以及第一反应者、主要客户和利益相关方的联系名单;主要和备用的装配区以应对撤离后的情况;以及紧急电话号码。
可能启动BC计划的事件类型。风险评估(RA)和业务影响分析(BIA)是在开始BC计划之前应该完成的,目的是确定内部和外部可能严重到足以启动BC计划的情况。请记住,并不是所有的事件都可能需要启动你的BC计划,这就是为什么你有事件响应和损害评估团队。
关键业务流程清单。该列表是根据你的RA和BIA的结果制定的。这些活动可以确定必须尽快恢复并恢复正常运行的业务流程。你的业务连续性计划步骤将有助于立即解决这些流程,而其他程序将在以后解决。
关键技术保护清单。 BIA将确定最关键的业务流程和支持它们所需的技术。确保你有技术灾难恢复计划来解决任务关键系统、数据和数据库以及每个流程所需的技术资源,因为这将有助于恢复操作。
恢复时间目标和恢复点目标列表。确定BIA结果,列出恢复时间(从中断到再次运行所花的时间)和恢复点目标(必须恢复数据的时间点),因为这有助于确定恢复活动的优先级。
关键供应商、利益相关方,、监管机构和其他第三方的清单。这些列表将有助于确保你可以快速与其他关键参与方联系。联系实体从你的BIA中识别。
各种活动的逐步程序。这些提供了适当的行动顺序,可以包括损害评估;初步回应活动;灾害申报标准;调用树;如何访问通知系统;建筑撤离工作人员搬迁到另一个工地;应对特定类型的事件,如停电、水灾、洪水或恶劣天气等,恢复和重新启动业务运营,并返回原来(或新)的工作地点,恢复业务运作。
获得应急资金的程序。这可以包括银行和其他金融机构的清单,以及获得现金的说明。只有经过授权的人才有此数据。公司信用卡可用于紧急购买,但要确保这些信用卡由授权人员使用,并具有特定的美元限额。空白的公司支票和个人信用卡也可以用于购买,但所有用户都应该被预先授权,并且应该有一个报销计划。
公司需要运营的重要记录清单。虽然许多这些特殊文件,如人事档案、公司章程和法律文件都是电子形式,但许多公司仍然有大量的纸质文件。这些应存放在防火柜内,并以电子方式进行扫描和存储。
其他活动的参考。在你的业务连续性计划步骤中应该包括参考,在适当情况下,表明你的意图执行以下内容:意识和培训活动;BC计划行使;对BC计划及相关文件进行定期审查和审核;定期更新BIA、RA、BC策略和数据备份过程;并为整个BC计划的持续改进而进行。
所有这些项目在完成后可以形成一个相当冗长的BC计划文件。考虑创建一页或两页的剧本,提取最重要的业务连续性计划步骤——联系人列表、紧急号码、事件处理程序和疏散站点,并将该数据整合到易于使用的文档中。为了便于使用和保护元素,对这些工作表进行分层是很有用的。在紧急情况下,具有关键的BC计划联系数据的叠层、带钱包大小的卡片也可能有用。
本文转自d1net(转载)