业务持续vs灾难恢复/陈绣茗
记得曾经被委托协助一家企业,建立业务持续计划(BCP)和灾难恢复计划(DRP),当我们在讨论设定标准当时,业主不仅一次询问业务持续计划和灾难恢复计划究竟差别在哪里?究竟必须有两个计划,还是仅有一个也够?为什么网络所搜寻到的数据,看起来两者没有多大的差别。
从表面意义,BCP和DRP强调在面临主要的业务运行中断时的业务保护,两者都包含作业流程如准备、测试和对于关键业务保护以及网络服务失效的更新行为。
真实作业范畴,BCP则包含计划和范围的初始化、业务影响分析和业务可持续计划开发。而DRP则包含灾难恢复计划步骤、测试灾难恢复计划,灾难恢复计划程序。
保护关键业务
两者的主要区别在于BCP强调使关键业务经得起不同的意外事件的影响,而DRP强调对于灾难的预防措施,以及在灾难发生时和灾难发生后所应采取的行为和措施。
在灾难发生的过程中,BCP负责的范围在前段,主要被设计用来保护关键业务步骤。提供于当面对由于自然或人为造成的故障或灾难,而企业则因此造成的财产损失和正常业务不能正常操作时使用。
BCP关键效益,在于最小化灾难对于业务的干扰冲击,并使业务能恢复正常运行的计划。
而DRP负责后段,主要对于紧急事件的应对过程作出步骤上的规范,主要目标是企业可以在紧急事故发生时,有能力在另外的站点重启业务,并且在一个时间段内恢复主站的正常运行。
BCP准备功夫较多
灾难恢复计划是个全面的状态,包括在事前、事中、和灾难对业务或者信息系统造成重大阻碍冲击后所采取的行动,其中包括在中断的情况下提供后备操作,在事后处理恢复和抢救工作。
通过迅速恢复步骤,来最小化企业的损失。
由于性质有别,因此两者之间的准备工作也就有别,其中BCP的准备功夫就比DPR来得多。
DPR的恢复工作,主要是委任灾难恢复小组与拯救小组(两者或为一组人员),为正常运行恢复工作的步骤准备一份计划书,测试这套计划的可行性便可。
根据时势更新处理步骤
要准备BCP,首先必须制订这个计划所要包含的范围,例如仅限生产厂房,或者材料供应。
下来就是为这个拟定的范围做业务影响分析(BIA,Business Impact Assessment) ,主要分析出这个范围内所发生之紧急事故,对于业务可能造成的影响程度,其中还包含漏洞分析。
先测试才执行
例如,若材料主要供应中断所造成的影响有哪些,这些影响所带来的冲击又有哪些,而这些冲击所带来的企业损失为何等等。
接着,就是为业务持续作出计划,利用上述业务影响分析(BIA)得来的信息作出一套业务持续计划。
计划产生后,还要对计划的执行作出测试,以便确保该计划是可以被操作运行的。
由于持续计划是透过预测企业将可能面对的问题而拟造一份计划,难免有闭门造车的感觉,透过测试才可知其可行性。
最后就是业务持续计划的批准和执行,包括经由企业最高管理层签署同意计划,对牵涉在内各阶层员工进行教育并建立其BCP意识并且了解计划的实施步骤,再根据时局变化更新计划内所列下的处理步骤,以确保该计划能跟上企业发展的步伐,例如规定每年至少审核一次计划。
如今疫情的反复,企业如今面临诸多业务持续的挑战,虽说以上两种计划是相辅相成,当然不排除有些企业可以不需要灾难恢复计划,那是因为这些公司的关键业务能够抵挡意外事件的冲击,因此仅拥有业务持续计划便可。
https://www.enanyang.my/名家专栏/业务持续vs灾难恢复陈绣茗
