如何应对业务中断

如何应对业务中断

作者： techrepublic.com.com

随着网络攻击、恐怖主义和业内破坏的不断升级——还不用说龙卷风、洪水、地震和飓风等自然灾害——对业务连续性的管理已经迅速成为各家公司活动的中心，越来越多的企业正在被迫调用自己的灾难恢复计划。如果说公司业务生存问题、公司信誉的损害和投资者信心的降低现在都还不足以说服你对灾难恢复计划给予足够的重视，那么是否应该考虑一下政府规章制度给公司带来的越来越大的压力呢？比如说Sarbanes-Oxley法规所要求的企业要证明自己的灾难恢复计划是可行的。

Electronic Data Systems公司的全球业务连续性管理服务（Global Business Continuity Management Services）主管Joyce Repsher为TechRepublic的读者们提供了八项措施，应用这八项措施，大家可以确保自己的公司为应对任何灾难所引起的业务中断做好充足的准备。

措施一：变消极被动为积极主动。从长远来看，这样做的成本更低。

应该事先考虑可能出现的灾难，这样就可以对可能发生的灾难作好充分的心理准备，事先预料到公司业务运作可能会出现的问题，对应该采取的反应措施有一个初步的想法。有了这种事先的准备，当灾难真正发生的时候，你所要付出的代价就会低很多。

Repsher给我们举了一个EDS客户的例子。该客户是一家在全美范围内有多个分支机构的零售商，它曾经拒绝花费七十万美元安装一个企业范围内的防病毒软件。大约在一个月后，由于受到Nimda病毒的攻击，企业的运作瘫痪了一个多星期的时间。为了恢复业务运作，清除系统内的病毒，该企业所付出的资金代价是安装上面所提到的防病毒软件所需资金的十倍。

措施二：不要孤注一掷

要把公司的重要业务分散到不同的地方。要经常进行系统的备份，并且把备份的资料保存在其他的地方。如果公司的条件允许的话，可以在多个地方制作并保存备份。要定期和不定期的对备份进行检查，以确保这些备份是切实可行、可以利用的。并且不要忘了个人电脑当中的数据。

Repsher指出，很多企业忽视的一个重要问题是公司有大量的重要数据是保存在员工的个人电脑当中的。如果这些资料没有得到备份，系统还是无法在灾难发生后恢复正常的运行。Repsher回忆起曾经有一家思想超前的全球性公司，该公司的高级管理人员曾经在欧洲各国巡回参加多个战略计划会议。在旅途中，其中一位高级管理人员的笔记本电脑被盗了。但是因为她事先已经有意识的通过一个移动信息保护软件对电脑中的数据进行了备份，所以那些在参加会议时要用到的财政、HR和业务数据很快就得到了恢复。

措施三：让业务连续性计划成为企业变化管理文化的一部分

在制定过企业的业务连续性计划之后，不要把这个计划放在一边。要确保该计划的切实可行，就需要把它变成活动的文档。如果企业的业务模式发生了变化，或是业务过程进行了重新设计，或是发生突发状况时的重要联系人不再为公司工作了，旧的计划就需要及时进行更新。

Repsher认为，业务连续性管理应该成为企业文化的一个组成部分，成为企业变化管理过程的一个组成部分。当有变化产生时，每个员工都应该自动的向自己提出问题，问问自己该变化会对业务连续性计划中涉及到自己的部分产生怎样的影响。仅仅制定出业务连续性计划和一系列的规章政策是远远不够的，还需要证明它们是切实可行的。

措施四：要把目标定位在最快速度的灾难恢复上

当公司遇到灾难袭击的时候，公司的竞争对手会不遗余力的抓住由此所带来的机会。强有力的业务连续性计划可以保证公司不会由于灾难的发生而失去原本属于自己的市场份额。特别是对于以网络为基础开展业务的公司来说，尽快完成灾难恢复就更为重要。有数据显示，在通常情况下，当潜在的客户无法登陆某个公司的网站时，他们是不会再重新回来的。

Repsher解释说：“要想确定公司的业务连续性计划是否切实可行，关键组成部分之一就是业务冲击分析。对公司的灾难恢复步骤进行密切的关注，看看在灾难发生之后要恢复业务运作到底需要多长的时间。”

Repsher说，曾经有一家位于财富一百强之列的客户发现如果按照自己现有的业务连续性计划进行灾难恢复需要22天的时间之后，立即给她打了电话，将她从睡梦中叫醒。EDS对该客户的业务连续性计划进行了审查，在该公司的数据备份和存储方式、应用的存储技术和网络配置方式以及IT业务运作等方面提出了一些战略性的变化建议，在这些建议的帮助下，公司能够在更具竞争力的时间框架内完成业务的恢复。

措施五：定期对计划进行测试，使其与公司业务发展保持同步

一般来说，人们在提到灾难恢复计划时总会提到三个“P”，即：人员（People），财产（property）和优先权（priorities）。但是EDS所建议的不只是这些，还包括另外三个“P”，即实践（practice）、实践（practice）、再实践（practice）。在平时所做的演练在关键时刻可能会对公司的生存产生决定性的影响。所有的演练都是为了确保计划能够与公司的业务发展保持同步。这些演练的内容其实可以很简单，比如说问一些有针对性的问题：

公司的危机管理步骤指南是否可以从很多地方获得？

你最近是否浏览过公司的危机管理步骤指南，以确定指南上所列出的在发生突发状况时的联系人

的电话现在仍然是有效的？

你是否知道应该在何时寻求权威的帮助？谁有权做出决定？

公司对销售商和访客对自身资源利用的控制如何？

公司的安全步骤是否真实的反映了公司的意图，是否真的是公司希望员工在发生紧急情况时采取的步骤？

Repsher说，她曾经同这样一名CEO打过交道，这名CEO非常注重公司的业务连续性计划。他在整个公司的范围内制定了一条政策，规定所有由三名或三名以上员工参加的会议都要留出五分钟的时间讨论企业的业务连续性问题。刚开始的时候，大家都把这当作一个玩笑。但是，由于员工们在经过一年的实践之后意识到了他们围绕这个问题所进行的广泛讨论确实帮助他们做好了应对各种危机的准备，这条政策逐渐在公司范围内得到了广泛的认可。

Repsher建议各家公司要树立指挥中心的权威，由指挥中心来确认灾难对公司业务的影响和冲击。否则的话，当灾难发生的时候，各个部门的负责人可能会由于忙乱而昏了头脑，根据自己所接到的最后一个电话来改变灾难恢复的优先权，而不是按照统一的业务恢复过程行事。

措施六：针对可能的威胁，把业务连续性投资用在刀刃上。

最近所发生的一系列事件让我们把恐怖主义当成了头等威胁，但是还有很多威胁是更为普通和平常的：员工工作场所和非工作场所的暴力行为，劳工行动和争端，网络攻击（包括计算机病毒和拒绝服务），愚弄行为和业内间谍的活动等。公司的业务连续性计划要把关注的重点放在最可能引发业务中断的问题上。

Repsher认为，尽管员工们被看成是公司最为重要的资产，但他们同时也可能成为对公司最大的威胁。她引用了一些数据，显示有80%的业务中断都是由于员工的行为所引起的，不管是蓄意的还是意外的。有的可能是员工的蓄意破坏，比如说将公司的销售商名单通过电子邮件发送给公司的竞争对手。有的可能是无意中造成的，比如说把公司的重要信息遗留在共用的打印机上被别人看到。要不断的向员工灌输一种意识，让他们知道自己的行为可能给公司正常的业务运作带来的冲击和影响，这一点是非常重要的。

工作场所和设备的安全也是需要考虑的问题。已经制定出的安全计划当中是否包括消防队、警察和救援人员的有效联系方式？员工们是否知道在发现有设备丢失的时候应该到哪里报告？公司现有的技术是否能够支持员工在家中工作？当一个地点发生灾难时其他的地点能否提供空间和资源上的支持？

有一点非常重要，那就是要知道如果想要保护一切，不仅是不可能的，而且是不值得的。公司需要对自身的业务进行审查，确定要确保自身的生存有哪些东西是必需的。公司是否可以依靠那些一个星期之前的数据？是否需要每两个小时就对某些信息进行备份？要对多少员工进行一些本来不需要进行的技能培训，让他们在其他地方出现问题的时候可以发挥作用？在“911”事件发生之后，很多公司都加强了对员工队伍恢复的关注。但是，在面对重大的员工数量减少时，你所在的公司是坚强还是脆弱呢？

措施七：确保计划的各个组成部分保持同步

为了对业务中断做出有效的反应，公司的业务连续性计划需要包含成功的灾难恢复所需要的各个组成部分：公司的数据、公司的员工、公司的设备、公司的网络、甚至是公司的销售商和供应商。公司需要有既定的步骤，确保在灾难发生的时候一切都能够按照正确的步骤进行，尽可能快的完成灾难恢复工作。这是一种微妙而又至关重要的平衡。

Repsher引用了一家公司的例子，该公司有一个专门的灾难恢复中心，但是为了整理、运输和重新准备灾难恢复所需要的三万盒磁带却花费了两个星期的时间。Repsher通过观察发现，如果没有地方对备份的数据进行存储，或是尽管有地方对备份数据进行存储，却无法将两地进行连接，那么进行数据备份是对灾难恢复起不到什么帮助作用的。她建议各家公司对自己的灾难恢复步骤进行细致的审查，保证计划的各个组成部分能够保持相互间的同步。

要记住，公司的销售商和业务合作伙伴也是公司业务连续性计划的完整参与者。Repsher发现现在在各个企业之间有一种趋势正在加强，并据此认为销售商们已经证明他们自己的业务连续性计划可以是公司业务连续性计划的组成部分。

公众的反应有的时候也会决定公司灾难恢复行动的成败。Repsher说，“如果公司中有员工就发生的灾难接受媒体的访问，那么一定要保证该员工在企业同媒体的关系方面受到过良好的训练。否则的话，他们可能会在不经意之间说出一些对公司不利的话，导致公司的竞争劣势，损害顾客对公司的信息，或者将公司置于非常危险的境地。”

你知道吗？

2003年1月，计算机蠕虫和病毒的发作率达到了历史上前所未有的记录，达到了接近两万次之多，在全球范围内带来了超出八十亿美元的经济损失。如果这种攻击率继续下去，按照预计的数字，每年的数字攻击将会超出十八万次，造成八百到一千亿美元的经济损失。

最近的一次犯罪调查显示，有85%的被访问者曾经有过被计算机病毒攻击的经历，70%的被访问者曾经遇到过某种形式的故意网络破坏，12%的被访问者曾经遇到过某种形式的交易信息被盗的情况（相关数据来自计算机安全委员会和FBI2003年计算机犯罪与安全调查）。

在位于财富一百强的企业当中，有41%的企业把在业务连续性管理上的投资看成在2004年具有重要优先地位的问题，以此来确保政府规章的执行。

措施八：充分认识地区性灾难的影响

让我们来正视和面对这样的事实：在遇到洪水、飓风或是其他地区性灾难的时候，要恢复一家工厂或是零售商店的正常业务运转需要依靠医院、警察、消防队和其他一些关注市民生命和财产安全的部门和机构的帮助。要了解当地的紧急反应部门及其在发生紧急情况时可能采取的行动，这样公司才能据此制定出切实可行的灾难恢复计划。

Repsher还同时建议，各家公司在制定自己的业务连续性计划时，要考虑是否可以转换工作地点，在受到影响的地区范围之外完成原先在受影响地区完成的工作。不要把这个地点选择在离公司的主要业务地点太近的地方。并且要确保选择的替代地同受影响的地区处在不同的权力控制范围之内。

Repsher建议说，各家公司在考虑自己的业务连续性计划时，不要把这个计划看成是每年重新审核一次的计划。她指出，业务连续性管理应该成为企业文化的一个组成部分，大家可能感到难以置信，让员工在思维方式上进行转变需要花费的成本是那么少，由此可以因为有准备的应对灾难而给公司带来潜在的利益。

提到成本问题，Repsher警告各家公司不要多花费那些本来不必要花费的钱。她说：“要对保护成本和公司在发生灾难或业务中断的情况下保持生存的能力进行权衡。不要觉得公司应该对所有的一切进行保护。要定期的对计划进行演练和测试。如果公司不能够抓住每次机会对计划进行实践，当灾难真的来临的时候，就不要指望该计划能够发挥多大的作用。”

尽管制定业务连续性计划的目标是尽可能快的完成灾难恢复，公司在灾难发生之前所进行的积极防范和所付出的艰苦努力是不会白费的，它们可能会帮助公司阻止一些灾难和业务中断情况的发生，做到防患于未然。

来自：ZDnet.com.cn