如何制定一個完整的BCP計劃?

 ISO22301 典型案例     |      2019-11-06
一、典型內(nèi)容 
業(yè)務連續(xù)性計劃既可以分成幾個單獨的計劃:即預防、響應、業(yè)務接續(xù)、業(yè)務恢復和復原計劃,也可以由每一個這樣的計劃構成總的計劃書中的不同章節(jié)。 
  1.基本項目 
  ●目的 
  制定計劃的目的必須加以說明。還應該說明即劃分幾個階段試時,每個階段所要實現(xiàn)的目標是什么。 
  ●范圍 
  說明有哪些部門和運營業(yè)務需要實施BCP。如果一個BCP只針對某些災難而非全部災難,則需要針對這些特殊災難制定專門的實施處理腳本。 
  ●必備條件/前提條件和限制因素 
  形成一份BCP的前提條件需要在此說明。在某些情況下,還須說明BCP成功的必備條件。比如說,服務器的數(shù)據(jù)備份間隔不得超過多少小時,受過訓練的運營恢復團隊必須呼之即來,備選場所必須在災難發(fā)生之后多少小時之內(nèi)一切準備就緒等等。 
  如果BCP計劃的執(zhí)行還存在一些限制條件的話,也應在此列出。 
  ●團隊 
  BCP團隊的組織/負責人選、下屬哪些分支團隊、團隊的作用和責任等,都必須在此說明。 
  ●指標 
  作為一種策略,企業(yè)必須由用于恢復的RPO和RTO指標,以及性能指標等,這些指標應該在此加以說明,并向客戶和股東說明。 
  2.預防保護 
  作為BCP中的一個實施部分,預防措施需要在此說明。這些措施可以概括如下: 
  ●監(jiān)督 
  ●訪問控制 
  ●身份認證 
s ●防病毒 
  ●過濾 
  ●入侵檢測系統(tǒng) 
  ●備份計劃 
  3.緊急響應 
  ●響應的準備 
  在響應階段需要哪些資源應當在此列出,同時詳細申明這些資源的配置和所需數(shù)量。如果還需要一些文檔和記錄的硬拷貝,也必須在此申明。 
  ●告知樹 
  ●危險評估 
  ●何時對外宣布 
  ●激活BCP的關鍵標準 
  4.業(yè)務接續(xù) 
  從緊急響應階段到業(yè)務接續(xù)階段如何進行銜t是需要在這里說明的。有關業(yè)務接續(xù)運營的決策過程、在哪里以及怎樣進行業(yè)務接續(xù)、需要采取什么行動,以及接續(xù)哪些業(yè)務到何種程度等等,都需要在此加以說明。還要為BCP團隊中的各個小組指定各自應該采取的行動,每個小組要完成指定的任務。BCP中的這一部分也稱為業(yè)務接續(xù)計劃(BRP)。 
  5.業(yè)務恢復 
  執(zhí)行業(yè)務恢復的程序在此加以說明。BCP的這一部分也可稱為災難恢復計劃(DRP)。 
  這一部分計劃文檔的組織可以有很多種方式。一種方/就是簡單地列出所有的恢復目標(按照RPO、RTO、目標服務器/網(wǎng)絡等來列)。根據(jù)每一目標進行計劃分解,同時明確相應的團隊/負責人以及任務。還有一種方式就是按部門來組織。無論采用哪種方式,都應確保所有的BCP目標都能覆蓋到。 
  計劃的這一部分必須編排得像一本操作手冊,由一系列簡單明確的指令構成,恢復團隊完全可以按照這i指令進行恢復操作。各種操作之間的相互關系也必須加以明確說明。所有的指令和說明必須明白無誤,以免因可能引起誤解或不明了而導致時間損失。 
  6.復原 
  為業(yè)務運營復原原有場所應采取的步驟在此加以說明。需要標明每個團隊/負責人的責任和任務