TOPIC14　應急計劃

相關知識

Contingency Planning

應急計劃

應急計劃或業務持續性計劃的目的是當組織及其信息系統在災難事件發生時，能夠減少或避免關鍵業務中斷，保證組織生存且持續運營。應急計劃應納入企業IT總體規劃，并成為企業風險管理框架的組成部分。

國際內審師考試經營分析和信息技術輔導應急計劃 src="http:///NewsFiles/2010-2/8/00a1.jpg" border=0>

　　保證企業的業務持續性是最高管理層的職責，應急計劃的制定不是某個人或某個部門的事情，必須組成一個團隊，該團隊及其領導人應具有足夠的權威，能夠和相關部門和人員進行充分的溝通。應定期對員工進行風險管理培訓，并使每一個人明確其在業務持續性計劃中所承擔的角色和責任.

完整的應急計劃實施包括業務影響分析和目標設定、運行分類和重要性分析、計劃制定、計劃測試和實施、檢測：

(1)業務影響分析（BIA）是制定應急計劃的首發步驟，它對每一種可能影響企業正常運營的潛在風險，如火災、洪水、颶風、系統崩潰、數據丟失、黑客攻擊和恐怖襲擊等事件發生的可能性及后果進行評估。

(2)確定風險后，應根據不同業務可以承受的后果（如宕機時間、恢復成本）對業務進行分類和重要性分析，以此來制定不同類別業務的保護級別和恢復順序。不同的組織擁有不同的業務分類和優先級，以下是一種可能的分類：

①關鍵（CritiCAl）系統：遠程通信和核心處理，如訂單處理、開票和發運.

②重要（VitAl）系統：財務（應6／應付、總賬）和客服。

③敏感（Sensititive）系統：薪資和終端用戶數據。

④非關鍵（NonCritiCAl）系統：人力資源、預算和采購。

(3)制定計劃：應急計劃應該考慮到方方面面，如備份和恢復的技術手段、財產保險、人員角色和通信方式、恢復階段的員工交通和生活設施等。以下是恢復計劃中應包括的若干內容：

①簡明介紹

②團隊職責列表和緊急聯系方式

③備份計劃和異地備份的地點

④問題升級的流程

⑤行動計劃，包括恢復的時間期限、恢復策略以及關于硬件、軟件、網絡和遠程通信的分類計劃

⑥保險文件

(4)測試和實施計劃：計劃有效性的最佳證據是對計劃進行了成功的測試。最好的測試是在生產環境，并且擁有同等規模的業務量情況下完成的。有些業務系統可能無法進行全面的實戰性測試，只能進行模擬中斷測試和紙面上的串行測試，此時應精心設計測試環境，使之盡可能接近實際環境。

(5)監測：最好的計劃如果不進行更新也會過時，當組織的結構和運營發生改變時，災難恢復計劃必須隨之改變，以保證恢復計劃的及時、有效。

（責任編輯：中大編輯）

共2頁,當前第1頁  第一頁  前一頁  下一頁