什么是业务连续性计划?业务连续性计划( BCP) 涉及在自然或人为中断期间和之后维持基本功能。它假设关键业务运营在活动期间保持正常运行,但规模有所缩小。
什么是灾难恢复计划?
另一方面,灾难恢复计划(DRP) 涉及在灾难发生后恢复正常的关键业务操作。它假设灾难导致运营完全停止,需要采取措施使组织能够尽快恢复正常。
业务连续性和灾难恢复计划的重要性
飓风、洪水、火灾、龙卷风和地震等自然事件以及破坏和网络攻击等人为事件都可能对业务运营造成灾难性后果。先前的研究表明,几乎一半的企业从未从灾难中恢复过来。灾难发生后,许多人别无选择,只能停止运营。有些可能会继续运营一段时间,但几个月后最终不得不关闭。对于小型企业来说尤其如此,它们需要在合理的时间范围内恢复运营以避免全面倒闭。
在大流行之后,组织努力适应其员工不得不大量在家工作的现实。尽管最初遇到困难,但大多数人都过渡到了允许他们在这个新环境中运作的安排。这尤其适用于具有现有业务连续性和灾难恢复计划的组织。这进一步凸显了 BCP 和 DRP的重要性。
正如组织对大流行的反应所表明的那样,BCP 和 DRP 可以减轻灾难对业务运营的影响。在有效的 BCP 和 DRP 的帮助下,企业可以更好地准备在灾难发生时和发生后应对灾难。
BCP 和 DRP 相辅相成——您必须同时拥有两者才能抵御灾难带来的运营挑战。两者之间的密切关系是它们经常被归为 BC/DR或业务连续性/灾难恢复的原因。BCP 包含 DRP,准备在灾难袭击组织时生效。根据具体情况,组织可以在灾难期间调用 BCP、DRP 或两者。
业务连续性计划的范围
BCP 涵盖您组织的所有防灾、减灾和响应活动,包括组织将在灾难期间实施的恢复协议。为了有效,BCP 必须解决组织从各种灾难中恢复的问题。与关键人员一起,C 级管理人员是 BCP 的主要利益相关者。利益相关者发起并推动业务连续性规划流程,直到制定出可行的计划。
一旦 BCP 从高层开始启动,就可以按任何顺序进行以下活动:
- 收集信息:使用业务影响分析(BIA) 和风险评估策略;BIA 确定范围并证明 BCP 成本的合理性。风险评估确保识别与灾害相关的所有风险。在此阶段还要考虑 BCP 的监管、法律和合同义务。
- 制定计划:定义应对灾难所需的各种程序和流程。确定在灾难期间可能中断的服务的合适替代方案,例如客户支持、办公地点、数据备份和 IT 系统。包括必要的工作人员,他们将保持基础设施的运转。研究基础设施以确保它能够处理 BCP 要求。如果没有,请获取所需的硬件和软件。确保记下上述所有步骤。
- 测试、修改和批准计划:测试 BCP 以确保考虑到所有可能的场景,并帮助指定人员熟悉该计划。如果需要,编辑 BCP,然后将其定稿以解决测试期间发现的问题。然后再次测试。一旦发现 BCP 令人满意,将其发送给利益相关者以供批准。要求员工通过在文档上签字来取得所有权。
- 更新和维护计划:批准后,BCP 应定期审查,同时牢记公司的当前状况。如果需要更改,请相应地更新 BCP。然后再次进行测试,以确保它仍然可行和有效。
了解灾难恢复计划
DRP 侧重于确保 IT 基础设施因灾难而中断的时间尽可能短所需的特定程序。DRP 的目标是及时恢复正常的业务运营并防止停电造成的经济损失。
灾难恢复计划根据灾难(例如,火灾、洪水、地震和网络攻击)和位置(如果适用)进行组织。对于这些灾难中的每一个,都编写了逐步的程序或脚本。在发生灾难时,指定 DR 团队成员按照脚本来解决中断问题。
恢复点目标 (RPO) 和恢复时间目标 (RTO)有助于确定最适合您的组织的灾难恢复计划。RPO 确保将灾难造成的数据丢失保持在最低限度。RTO 是您的组织在遭受重大经济损失之前可以承受的最长停机时间。如果您想将数据和财务损失降到最低,DRP 必须确保您的 RPO 和 RTO 都可以实现。例如,您的组织可以采用高可用性解决方案来实现几乎 100% 的正常运行时间。
有效的灾难恢复响应意味着完全恢复数据备份和受影响的系统。虽然 DR 过去需要对现场硬件进行大量成本投资,但如今的组织可以利用更具成本效益的云 DR 解决方案。
业务连续性和灾难恢复之间的主要区别
BCP 涵盖组织在灾难发生前、发生时和发生后响应的所有方面。它可以随时调用,甚至可以在灾难发生之前调用,而不必调用 DRP。例如,当公共关系危机困扰您的组织时,您可以启动您的沟通计划。
BCP 有助于备灾,在灾难中保持业务运营尽可能正常,并在灾难事件结束后加快向正常运营的过渡。灾后,BCP 指导调查停电原因,确保采取预防措施以避免灾难重演。这使得组织的灾难响应在下一次更加有效。DRP 涵盖在中断后重新启动组织的 IT 基础架构的过程。一旦 IT 基础设施再次启动并按照灾难发生前的方式运行,DRP 就会结束。
业务连续性和灾难恢复计划之间的相似之处
这两个概念通常被认为是相互依存的,虽然它们不是一回事,但在某些领域有重叠,并且在串联开发时可以最好地协同工作。
- 企业可以使用两者来计划各种自然和人为灾难。通过业务连续性和灾难恢复为流行病、自然灾害、野火甚至网络攻击做好准备。
- 两者都需要经常评估,有时还需要进行调整,以确保它们与公司不断发展的目标保持一致。这些策略将根据需要由应急管理负责人进行测试和修改。
- 两者都是主动措施,可帮助公司为意外的灾难性情况做好准备。两者都没有对灾难做出反应,而是采取了积极主动的方法,试图在灾难发生之前减轻其后果。
提前规划业务连续性和灾难恢复计划的好处
当串联开发时,这两个概念都可以为您的公司带来多种好处,例如:
人员和财产保护
利用此类安全计划有助于保护公司及其员工的生命和财产。职业安全与健康管理局 (OSHA) 甚至要求员工人数超过 10 人的公司根据 1910.38 紧急行动计划条例准备这些计划。
风险管理
与第三方(包括服务提供商或供应商)互动所带来的风险包含在企业的风险管理中。由于他们拥有或处理的数据种类,这些第三方可能对组织的总体风险产生重大影响。它们可用于为需要高水平正常运行时间的系统提供高可用性或恢复服务。
第三方风险管理通常需要检查在高度监管领域(包括金融服务、医疗保健和公用事业)运营的企业的业务连续性和灾难恢复计划。通过建立和测试这些策略,组织可以更好地满足他们所服务的个人的期望。
鼓舞士气
知道计划到位,员工可能会感到更安全。这有助于提高员工士气,并提高认可公司责任和准备的客户对商业价值的认知。
更好的决策
提前规划可以让您以系统、结构化和及时的方式实施您的计划,还可以让您在紧急情况下根据最佳可用数据做出明智的决策。它还允许灵活性和适应性变化。灵活性允许您考虑人文和文化方面的考虑,例如帮助有医疗要求的员工或管理跨地理区域运作的团队,以及诚实和包容地实现您的目标。即使您以前从未处理过紧急情况,为紧急情况做准备也可能有助于组织进步并成为所有行动的内在组成部分。