CIO如何做好災難恢複/資料外洩的業務連續性計劃？

harvey koeppel說，随着我們變的“天生數字化”，一份好的企業災難恢複/業務連續性計劃應該把資料放在第一位。他羅列出了10條技巧。

我們通常期待一些學科諸如社交媒體、移動計算、雲、物聯網和地理資訊科技作為驅動力，推動我們日益數字化的世界。這些技術深深地影響我們的工作、生活和娛樂，常常模糊了與工作生活平衡的傳統模式的界線。

随着我們變的更加“天生數字化”，我們也更加依賴資料，在某種程度上，更少依賴應用。在我們工作空間，趨勢似乎清晰地遠離支援現貨、雲端、軟體服務處理模式的大型昂貴訂制應用。個人生活裡，我們看到免費或者便宜的應用爆炸性增長。這些應用旨在占據我們日益增加的可用休閑時間，付我們的賬單，跟蹤我們旅行計劃的狀态，監控我們的健康和健身，訂購食品和飯菜，甚至很快就能駕駛我們的汽車等等。

據統計，2015年合計約400萬應用在google play、apple、amazon、 windows、blackberry的app商店釋出。有很多類似憤怒的小鳥的應用，但更重要的是，訂制應用普遍進化成接近公共事業，尤其重要的是，技術的内在價值正越來越與資料相關，而與過程（應用）相關性減弱。

災難恢複/業務持續性計劃和網絡威脅環境

管理保護業務和個人資料（清楚地與軟體差別開來）的需求從未如此強烈。一份沒有說明我們對資料依賴的災難恢複/業務持續性計劃，讓企業/員工和客戶暴露于風險中。

在日益危險的網絡威脅環境，以及鑒别偷竊資源中心的好意等背景下，認真思索一下這一趨勢。截至2015年12月29号，去年有17.78億份記錄被780起資料外洩所暴露。

來源：《identity theft resource center, 2015 data breach category summary》

看看最近的身份盜竊案件（業務和個人資料的主要交集），顯然準備一份設計良好的災難恢複/業務持續性計劃對健康、活力、我們工作生活甚至娛樂的支援至關重要。

根據保險資訊協會，一個國土安全部的官方網站，大約40%的重大災難造成的商業打擊從沒恢複運作。

大多數讀者知道我完全沒打算用本文空間列出災難恢複/業務持續性計劃的關鍵元素，會感到如釋重負。有很多可用資源可以更詳細地提供那些資訊，而不限于我這裡。

分享一些我當技術執行官和企業上司時曾使用過的原則和實踐，可能會幫助你設計、實作、和/或提煉一份為下一次災難來臨所準備的更好的計劃。我感覺這樣對你們來說更有價值。

災難恢複/業務持續性計劃：最佳實踐

一份好的災難恢複/業務持續性計劃（dr/bc）不是一份可傳遞成果。它是人工産品的聚集，代表在不間斷地小心管理的過程的某一時間點的事物狀态。不能把dr/bc計劃的建立看成一次性完成的用來滿足審計要求的存架軟體。如果你是這樣簡單的想法，計劃和你的工作都可能隻有短的有效使用期。

一份好的災難複原/業務持續性計劃（dr/bc）不是一份it計劃。它是有着重要it元件的業務計劃。如上所述，越來越多的工作重心要放在資料恢複，而不是確定程式和過程回到運作狀态。該計劃應該是基于情境的，對應變化的風險層級和類型的可能性，正如《商業影響分析》和《商業風險評估》所記錄的。

一份好的災難恢複/業務持續性計劃（dr/bc）必須包含明确優先排序的目的和業績目标，這些目标可以清晰地以定量和定性的形式描述。國土安全部推薦以下目标作為指導方針。

保護人身安全和健康（員工、通路者、承包商等）最小化産品/服務破壞。保護設施、實物資産和電子資訊。保護企業商标、形象和名譽。

一份好的災難恢複/業務持續性計劃（dr/bc）必須是點到點計劃，通常起源于也終止于客戶或重要的利益相關人，不是程式的執行或者資料的更新。因為系統開始運作并不意味着員工來上班或者客戶說出銷售要點，比如飓風或暴風雪之後。

注意：在有網際網路的移動銀行之前，我參與了“大世界銀行”dr/bc工作。正如我現在提及的。在主力飓風摧毀南部重要部分之後，cio來到ceo的辦公室洋洋得意地宣告“……所有我們的分支機構都起來并運作了！”我們都看着他，就好像他已經喪失了理智。他其實應該說的是“我們所有分支機構技術是功能性的，然而，因為暴風雪，道路被沖刷，大橋坍塌，沒有人可以去上班，也沒有顧客能光顧我們的分支機構。”我們一起制定了一份計劃，把分系統和atm機放在拖拉機挂車上，把銀行帶到顧客面前，進而創造了第一個真實的移動銀行。

一份好的災難恢複/業務持續性計劃（dr/bc）必須包含供應鍊所有關鍵方面，作為點到點過程的一部分。如果沒有現成可用的部分來支援生産過程，讓流水線恢複運作并不是非常有用。

一份好的災難恢複/業務持續性計劃（dr/bc）必須包含強健的通信方案，以確定所有内部管理的适當層級、顧客和外部利益相關者可以盡快的收到通知，進而有效管理他們的期望。顯然，對關鍵利益相關者的極小破壞會是任何好方案的主要對象。

一份好的災難恢複/業務持續性計劃（dr/bc）必須定期測試。測試應該包括點到點過程、it準備就緒、設施準備就緒、員工準備就緒的所有方面。每項測試的所有階段都用文字記錄好，包括成功和失敗的方面。業務和it人員應該讨論測試後結果，明确地定位待改進的地方。

一份好的災難恢複/業務持續性計劃（dr/bc）必須包含合适的預算，以負擔必要測試和被認同的計劃增強功能。dr/bc監管委員會的建立和項目協調人的任命是大多數企業的标準慣例。

一份好的災難恢複/業務持續性計劃（dr/bc）必須達到管理機構要求。底線要求會與行業有差異，應該被看成最小可接受的計劃。在很多企業裡，達到管理機構要求被認為是必要但不充分的。

一份好的災難恢複/業務持續性計劃（dr/bc）必須明确地有檔案記錄、正式可接受的企業标準政策和流程所涵蓋。關于計劃、測試和實施、增強和持續維護所有方面的檔案，應該随時可用，友善内外部審計人員和監管部門檢查和評論，視情況而定。

本文轉自d1net（轉載）