如何制定有效的业务连续性计划

过去几年中发生的动荡事件几乎影响了每一个企业。随着极端天气事件、网络攻击和地缘政治冲突的数量持续增加，企业领导者正在应对影响力事件日益频繁发生可能带来的各种问题。

普华永道2023年全球危机与复原力调查显示，1812名商业领袖中有96%的人表示，他们的组织在过去两年中经历过业务中断，76%的人表示，他们最严重的中断对运营产生了中度到高度的影响。

难怪有89%的高管将韧性列为他们最重要的战略重点之一。

但与此同时，只有70%的受访者表示，他们对组织应对干扰事件的能力充满信心，普华永道指出，研究表明，太多组织“缺乏成功所需的基本复原力要素”。

可靠的业务连续性计划是这些基本要素之一。

Advance.AI公司合规负责人、专业治理协会ISACA的新兴技术趋势工作组成员Goh Ser Yoong表示：“每个企业都应该有这样的心态：他们将面临灾难，每个企业都需要制定计划来应对不同的潜在情况。”

业务连续性计划提供了关于谁应该以什么顺序执行哪些任务以保持业务可行的现成指示，从而为组织提供了成功渡过灾难的最佳机会。

如果没有这样的计划，组织能够从事件或事故中恢复的时间超过必要时间，或者可能永远无法恢复过来。

什么是业务连续性计划？

业务连续性计划（BCP）是一个战略手册，旨在帮助组织在面临中断时维持或快速恢复业务功能，无论这次中断是由自然灾害、社会骚乱、网络攻击还是任何其他业务运营威胁造成的。

业务连续性计划概述了组织在此类事件期间必须遵循的程序和指示，以最大程度地减少停机时间，涵盖了业务流程、资产、人力资源、业务合作伙伴等。

业务连续性计划与灾难恢复计划不同，灾难恢复计划侧重于在危机之后恢复IT基础设施和运营。尽管如此，灾难恢复计划仍然是确保业务连续性总体战略的一个组成部分，并且业务连续性计划应该告知组织灾难恢复计划中详细说明的行动项目。两者是紧密耦合的，因此经常被放在一起并且缩写为BCDR。

为什么业务连续性计划很重要

无论您经营的是小型企业还是大型企业，保留和增加客户群都很重要，没有比在不良事件发生后立即进行测试更好的测试方式了。

由于恢复IT对于大多数公司来说是至关重要的，因此有多种灾难恢复解决方案可供使用。您可以依靠IT来实施这些解决方案，但其他业务职能呢？您公司的未来取决于人员和流程。能够有效地处理任何事件可以对公司的声誉和市场价值产生积极的影响，并且可以提升客户的信心。

此外，当今消费者和监管机构对企业安全性和连续性的期望越来越高。因此，组织必须优先考虑连续性规划，不仅要防止业务损失，还要防止财务、法律、声誉和监管后果。

例如，监管机构撤销组织的“经营许可证”或应用条件（追溯或前瞻性）的风险，可能会对市场价值和消费者信心产生不利影响。

建立（和更新）业务连续性计划

无论是构建组织的第一个业务连续性计划还是更新现有计划，这个过程都涉及多个基本步骤。

评估业务流程的关键性和脆弱性：专业服务公司普华永道网络风险和监管实践负责人Joe Nocera表示，业务连续性规划“首先要了解对业务最重要的那些因素”。

因此，制定业务连续性计划的第一步是评估您的业务流程，以确定哪些是最关键的；哪些是最脆弱的，以及最容易受到什么类型事件的影响；如果这些流程停止一天、几天或一周，潜在的损失有多大？

FTI Consulting网络安全实践高级董事总经理Todd Renner表示：“这一步从本质上决定了您要保护的内容以及系统要维护的内容是什么。”

由于现在混合式办公、现代IT环境的复杂性，以及对业务合作伙伴和第三方提供商执行或支持关键流程的依赖，这个评估过程变得比以往任何时候都更加严格。

Goh表示，鉴于这种复杂性，全面的评估不仅需要对关键流程进行盘点，还需要对支持组件（包括IT系统、网络、人员和外部供应商）及其风险进行盘点。

这本质上是一种业务影响分析。

确定组织的RTO和RPO：构建业务连续性计划的下一步，是确定组织的恢复时间目标（RTO），即故障点和恢复操作之间的目标时间量，以及恢复点目标（RPO），这是组织可以承受的最大数据丢失量。

每个组织根据自身业务性质、行业、监管要求和其他运营因素都有自己的RTO和RPO。此外Nocera表示，企业的不同部门可以有不同的RTO和RPO，这是高管需要制定的。

“当您和企业各方见面的时候，每个人都会说[他们所做的]一切都很重要；没有人愿意说自己的业务部分不那么重要，但实际上，关于什么因素对业务和业务连续性真正至关重要，你需要进行具有挑战性的对话和决策。”

详细说明连续性的步骤、角色和职责：完成之后，业务领导者应该使用RTO和RPO以及业务影响分析来确定需要执行的具体任务、由谁执行、以什么顺序执行，从而确保业务连续性。

Renner解释说：“这就需要对关键组成部分进行分析并设计一个计划，概述角色和职责以及谁做什么，这其中涉及到如何保持公司正常运转的一些实质性问题。”

常见的业务连续性规划工具是一份清单，其中包括了用品和设备、数据备份和备份站点的位置、计划的可用位置和谁应该拥有该计划，以及紧急响应人员、关键人员和备份站点提供商的联系信息。

尽管要罗列出潜在影响业务运营的潜在情况清单似乎非常广泛，但Goh表示，企业领导者不必编制一份详尽的潜在事件清单，相反他们应该编制的清单中包括可能发生的事件以及具有代表性的事件，以便他们能够制定更有可能确保连续性的应对措施，即使在面临无法想象的灾难时也是如此。

Nocera表示：“因此，即使这是一个意外事件，他们也可以从计划中取出这些构建模块，并将其应用于他们面临的独特危机。”

测试业务连续性计划的重要性

制定业务连续性计划并不足以确保做好准备，测试和演练也是关键的组成部分。

Renner说，测试和演练能带来一些重要的好处。

首先，可以表明计划是否有效或效果如何。

测试和演练有助于所有利益相关者为实际事件做好准备，帮助他们建立在危机期间尽可能快速、自信地做出反应所需的肌肉记忆。

测试和演练还有助于找出所制定计划中存在的差距。正如Renner所说：“我做过的每一次桌面演练都让每个参与其中的人大开眼界。”

此外，测试和演练还有助于确定目标可能存在偏差的地方。例如，管理人员可能没有优先考虑恢复某些IT系统的重要性，只是在演习期间才意识到这些系统对于支持关键流程是至关重要的。

测试的类型和时间

许多组织每年会测试业务连续性计划两到四次。有专家表示，测试以及审查和更新的频率，取决于组织本身——其行业、创新和转型的速度、关键人员的流动量、业务流程的数量等等。

常见的测试包括桌面练习、结构化演练和模拟。测试团队通常由恢复协调员和各职能部门的成员组成。

桌面演练通常在会议室进行，团队仔细研究计划，寻找差距，确保所有业务部门都有代表参加。

在结构化演练中，每个团队成员都会详细演练他或她的那一部分计划，以找出弱点。通常，团队在进行测试时会考虑到特定的灾难。一些组织将演练和灾难角色扮演纳入结构化演练中。任何弱点都应该得到纠正，并将更新的计划分发给所有相关员工。

有专家还建议，每年至少进行一次全面的紧急疏散演习。

与此同时，灾难模拟测试（可能相当复杂）仍然应该每年进行一次。对于这种测试，创建一个模拟实际灾难的环境，其中包含了所需的所有设备、用品和人员（包括业务合作伙伴和供应商），模拟的目的是确定组织及其员工是否可以在实际事件发生时执行关键的业务功能。

在业务连续性计划测试的每个阶段，测试团队中都应该包括了一些新员工，“新鲜的眼睛”可能会发现那些经验丰富的团队成员可能忽视的信息缺口或失误。

对业务连续性计划的审查和更新同样应该是持续进行的。

Renner说：“这应该是一份动态的文件，不应该被搁置，不应该只是一项可有可无的练习。”

否则，计划就会过时，并且在需要时毫无用处。

至少每年将关键人员聚集在一起审查这个计划，讨论是否有任何必须修改的方面。

在审查之前，征求员工的反馈意见并将其纳入计划中，要求所有部门或业务单位审查这份计划，包括分支机构或其他远程单位。

此外，要具有强大的业务连续性功能，就要求对组织在发生实际事件时所做的响应进行审查，让高管及其团队能够确定组织在哪些方面做得很好以及还有哪些需要改进的地方。

如何确保业务连续性计划得到支持以及提高意识

如果对业务连续性计划抱有随意的态度，那么计划就不会取得成功。每个业务连续性计划都必须得到自上而下的支持，这意味着在制定和更新计划时必须有高级管理层的代表参与；任何人都不能将这一责任委托给下属。此外，如果高管层投入时间进行充分的审查和测试，将其作为优先事项，那么计划可能就会保持新鲜度和可行性。

管理也是提升用户意识的关键。如果员工不了解这个计划，他们如何能够在每一分钟都很重要的时候做出适当的反应？

尽管计划分发和培训可以由业务部门经理或人力资源人员进行，但应该由高管来启动培训并强调其重要性，这将会对所有员工产生更大的影响，使计划更加可信和紧迫。