CIO缺乏IT灾难意识 经济复苏易成空中楼阁

　　近一段时间以来，在媒体上不断传出经济复苏的讨论让饱受经济危机煎熬的人们感到一丝丝的振奋。但在经济复苏进程中一般都会存在着许多不确定的因素，一不留神这些不确定的因素就会对企业的复苏进程造成打击。例如，在上周发生的IT灾难就让CIO张远达出了一身的冷汗。这一事件表明，当人们没有对IT灾难作好准备时，经济复苏的愿望还只是一个良好的美丽谣传，因为IT灾难的强大旋涡力量会把企业再往深水处拖曳。

　　“养兵千日，用在一时，但在经济复苏的最关键时刻，你们却掉链子了”。面对CEO的严厉批评，张远达无言以对。原来在上周公司如常进行IT系统批处理时，生产系统发生了严重的瘫痪事故。最初没有人把这个问题当回事，但在获知上千兆的数据库发生崩溃后，而进行异地热备份的努力也宣告失败时，CIO张远达就意识到事情大了。因为备份文件对崩溃的系统进行了镜像，一场真正的灾难摆在了IT部门的面前。

　　尽管结局最后是完美的解决了，但企业却已经到了很危险的边缘，差点就要造成业务上和生产上的重大损失。而造成这一灾难的罪魁祸首只是软件的一个小冲突造成的，但让人遗憾的是公司没有对IT灾难有事先足够的应对措施。尤其是面对这突如其来的IT灾难，IT部门显得有点手足无措。

　　一.什么是IT灾难意识?

　　随着技术的发展，企业运营越来越依赖于IT系统的稳定运行。因此，对于CIO来说保障IT系统正常运行是非常重要的。IT灾难有各种各样，可分为两大类：一是企业外部引起的灾难，可能是天灾比如地震、台风暴雨等影响网络通信，也可能是人祸比如911事件等;二是企业内部因素所引起的灾难，如系统崩溃、系统故障或最简单的掉电使数据备份失败，还有就是频繁的病毒和木马的攻击等。

　　(1)什么是IT灾难?

　　IT灾难是指使企业在IT方面遭受严重损失或面临严重损失威胁的突发事件。这种突发事件在很短时间内波及很广层面，对企业正常运作产生严重影响。因此，我们要时刻提防IT灾难的发生。而在提防IT灾难发生时，我们需要先理解IT灾难的特点。IT灾难一般情况下都具有三个特点：一是突发性：IT灾难往往都是不期而至，令人措手不及，例如木马病毒的攻击。二是威胁性：IT灾难的出现往往威胁到公司业务运作，甚至危及企业的生存与发展，例如造成关键数据掉失和损坏。三是紧迫性：当IT灾难出现时，对灾难做出的反应和处理的时间十分紧迫，任何延迟都会带来更大的损失，一点点的失误都会酿成轩然大波。

　　(2)IT灾难意识的重要性

　　从上述的IT灾难特点，我们知道IT灾难对企业IT系统的破坏程度是突发的、影响巨大的。例如，众所周知的“9.11”事件曾造成1200家公司受灾，其中一半以上的企业因为IT数据损毁、丢失，导致业务无法恢复，以致于宣布倒闭。因此，面对IT灾难时切不可有侥幸的心理，如象鸵鸟一样把头埋在沙土里，那样即使回避了一时的问题，却可能为更大的IT灾难播下了潜在的种子。因为像鸵鸟一样的逃避态度，随便把头埋在沙里，殊不知自己大大的屁股正露在外面。

　　据有关调查显示，IT灾难悲剧的诞生一方面是企业和CIO的心存侥幸，但更深层次的原因是企业内的决策系统缺乏责任认定，缺乏IT灾难意识。尽管IT灾难是小概率事件，但它一旦发生就是高风险事件，因为哪怕是1%的数据灾难也能导致100%的损失。事实上，目前许多企业并没有意识到IT灾难的潜伏危害性，未雨绸缪在他们的口中就是纸上谈兵，毕竟救火的英雄远比预防火灾的人更夺目，更有英雄式的表现。因此，推行IT灾难防范意识不但困难重重，而且还任重道远。

　　二.防范IT灾难对经济复苏打击的策略

　　风云变化万千，只有未雨绸缪的人才能坦然应对灾难。IT灾难总是突然的、出人意料地爆发，这是CIO必须面对的一个重要考验。而防范IT灾难的最好办法就是准确的预见，这是成本最低、最简便的方法。因此，最基本的做法是建立起IT灾难预警系统。包括事先明确定义IT灾难管理人员的角色、职责和权限，识别IT灾难类型和反应对策流程以及确认所需的资源。另外，还需要事先对各级反应计划进行预演。主要具体步骤如下：

　　(1)建立IT灾难预警系统

　　常言道：生于忧患，死于安乐。CIO要想IT系统长久的稳定运行，需要先树立起危机意识：IT灾难是迟早都会来的。因此，要想在灾难来临时做到不被动，光有灾难意识是不够的，必须要未雨绸缪建立IT灾难预警系统，以及时捕捉可能发生的灾难征兆，和为各种灾难提供切实可行的应对措施。例如，明确当IT灾难发生时应该采取什么样的对策，通过什么样的程序进行有效处理，确定什么人员在什么时间做什么事。主要包括以下三个方面：

　　①成立IT灾难管理小组

　　建立IT灾难预警系统的一项重要工作是成立IT灾难管理小组。因为只有做好组织上的准备，有备才能无患，才能更好的应对IT灾难的爆发。IT灾难管理小组的主要作用在于全面清晰的对企业可能面对的各种IT灾难进行预测，为处理各种IT灾难制定有关的策略和步骤。从而在遇到IT灾难时，能够全面、及时、快速的处理灾难。

　　②列出详细的IT灾难级别

　　为了更好的预警IT灾难，首先要将所有可能突发的IT灾难事件一一列举出来，考虑其可能发生的后果，并且估计预防所需的花费。这样做可能很费事，但却很有必要。我们强调的是不能坐以待毙，而是应该要在灾难发生之前，做好相关的准备工作，这样才能从容不迫的应变。因此，对CIO来说必须列出一张IT灾难评估表，详细列出可能发生的灾难，并且评估它们的等级，并依发生的可能性从最可能到不太可能依序排列。例如，在可能遇到的各类灾难可分为三级：一般事件，紧急事件和重大事件，并形成IT灾难级别详细列表说明。这样，一旦发生IT灾难时，IT部门和各人员就能对照表上的要求进行检查，及时的调动资源来处理灾难。

　　③明确IT灾难处理流程和处理细则

　　只有制定明确的IT灾难处理流程、策略和细则，才能确保在IT灾难汹涌而来时能够理智冷静，胸有成竹。这些IT灾难处理流程在业务正常时不起作用，但是在IT灾难发生时会及时启动并有效运转。这样一旦IT灾难出现时，IT部门各员工就都知道应该要做什么，而不必依靠某一个关键人物的急中生智来力挽狂澜。因为在IT灾难发生时，要处理的工作是何其繁多复杂，而这一切都需要在极短的时间内完成。如果事前没有周全的计划、能够立即付诸实施的制度和流程、能够立即投入角色并展开工作的人员，则可以预见在IT灾难发生时，反应迟缓和内外混乱将是无法避免的。

　　(2)制定灾难后的保障：IT容灾系统

　　在经济复苏进程中，既然IT灾难不能完全避免，也不能预测其发生的时间和危害，所以在IT灾难发生后保证业务连续性是IT部门和CIO的重大职责之一。因为当IT灾难无可避免地要发生时，导致灾难发生的根本原因也许已经不那么重要了。最重要的是如何快速、可靠地解决问题，并将IT系统崩溃所造成的损失降到最低。所以，当灾难不可避免时，如何在灾难中快速恢复将考验每一位CIO。因为企业在遭遇灾难后，IT系统和业务恢复的速度在一定程度上将决定企业的生死存亡。

　　IT容灾系统，顾名思义就是对可能被IT灾难破坏的数据、数据处理系统、网络系统、基础设施及运行管理能力备份的过程。不过，IT容灾系统并非只是IT灾难的恢复，它更重要的内涵是恢复企业的业务能力。它有一个整体性的管理流程与方法，主要是识别潜在的IT灾难和相关影响，并制订一个快速恢复能力和有效反应能力的计划，确保关键业务的持续性。它包括IT部门的灾难恢复预案及业务部门的灾难恢复预案。因此，一个完整的IT容灾系统应该包括本地数据备份、远程数据异地备份，以及采用多种技术手段进行快速业务恢复的能力。

　　(3)强化IT灾难模拟预演

　　有一句俗语：幸运之神永远只关照那些有准备的人。因为灾难并不可怕，可怕的是没有应对的措施。但制定好IT灾难应对措施后，并不是万事大吉。很多企业就没有意识到这一点，它们往往花费了大量的人力和物力制定了IT灾难预警系统，以为万事大吉了。殊不知，在IT灾难状态下这些措施并不一定有效，因为不经过模拟演练的计划无异于纸上谈兵。

　　据有关调查显示，目前许多企业面临的问题：一是缺乏IT灾难防范意识;二是IT灾难盲目建设;但最严重的问题是缺乏必要的模拟演练。因为IT灾难恢复系统只在灾难发生时才会考虑启用，在企业日常运营中并不投入使用。所以，即使有问题不能使用也不会立即暴露出来。因此正是这个原因，模拟演练就显得特别重要。而事实上对IT灾难恢复进行模拟演练用不了多少投入，但定期进行不同范围不同形式的IT灾难演练，却可以充分检验所制定的IT灾难预警、IT灾难恢复以及业务连续运营能力是否可靠有效。现在，张远达就经常心有感触的说道：“任何未经模拟演练的IT灾难预案都是无效的!”。

　　古语有云：“人无远虑，必有近忧”。IT灾难是每个企业都不愿面对的事情，既然IT灾难不可避免，那么只有积极的防患于未然中，才能扭转IT灾难于旦夕之间。平时多一些IT灾难意识，多制定几套IT灾难的处理方案，在灾难来临时就会镇定从容得多。经济复苏进程也就不会被意外打断，经济复苏也就会更有保障了。