业务连续性计划从业人员专业实务2003年8月28日发布翻译:李泉2742035@qq.com作者:国际灾难恢复协会「DisasterRecoveryInstituteInternational」目录1介绍.................................................................32主题概述.............................................................42.1.项目启动和管理....................................................42.2.风险评估和控制....................................................42.3.业务影响分析......................................................42.4.制定业务连续性管理策略............................................42.5.应急响应和运作....................................................42.6.制定和执行业务连续性计划..........................................42.7.意识和培训........................................................42.8.维护和演练业务连续性计划..........................................52.9.危机沟通..........................................................52.10.与外部机构的协调..................................................53主题领域.............................................................53.1.项目启动和管理....................................................53.1.1.职责..........................................................53.1.2.知识大纲......................................................63.2.风险评估和控制....................................................73.2.1.职责..........................................................73.2.2.知识大纲......................................................83.3.业务影响分析.....................................................113.3.1.职责.........................................................123.3.2.知识大纲.....................................................123.4.制定业务连续性管理策略...........................................163.4.1.职责.........................................................163.4.2.知识大纲.....................................................163.5.应急响应和运作...................................................183.5.1.职责.........................................................183.5.2.知识大纲.....................................................193.6.制定和执行业务连续性计划.........................................213.6.1.职责.........................................................213.6.2.知识大纲.....................................................223.7.意识和培训.......................................................283.7.1.职责.........................................................283.7.2.知识大纲.....................................................293.8.维护和演练业务连续性计划.........................................293.8.1.职责.........................................................293.8.2.知识大纲.....................................................303.9.危机沟通.........................................................333.9.1.职责.........................................................333.9.2.知识大纲.....................................................333.10.与外部机构的协调.................................................343.10.1.职责.........................................................343.10.2.知识大纲.....................................................344附录补充信息.......................................................354.1.业务连续性计划的信息资料.........................................354.2.灾难管理和相关组织(美国).......................................384.3.灾难管理和相关组织(加拿大).....................................414.4.与业务连续性和灾难恢复计划/管理相关的学院(美国)...............454.5.非政府的业务连续性机构(美国)...................................474.6.全球性的业务连续性机构...........................................491介绍职业性是指由专业人员共享出来或是在其工作中运用到的知识体系。由特定人员所拥有的专业技能、在特定领域完成的任务,以及在工作中产生出的一系列知识体系定义了某一职业。在业务连续性规划专业领域,这一共同的知识体系被称作业务连续性规划专业实践。这一知识体系被DRII「国际灾备协会」以及总部设在英国的业务连续性协会「BCI」所认可。尽管目前还没有灾备规划师这个职业存在,但具备相关的知识体系是十分必要的。为使这个职业「工作」得到业界的广泛认可,需要适当的业界实践以及不断对灾备知识体系进行更新。DRII及BCI两个组织皆致力于维护这一领域的专业实践。本文定义了业务连续性专业规划的知识边界,以及国际灾备协会「DRII」所认证的业务连续性授权规划师「ABCP」,业务连续性认证专家「CBCP」,业务连续性权威专家「MBCP」应具备的知识体系。同样,业务连续性协会「BCI」也使用此专业实践作为业务连续性协会会员「MBCI」、业务连续性协会研究员「FBCI」的成员资格考试的基础。DRII认证的目的是,从业者必须持续证明其在业务连续性规划方面的参与度和以往经验,以及通过基于此专业实践的笔试。从业者的实践经验必须与上述知识体系的内容相关。由DRII和BCI共同采纳的这一知识体系,在2003年8月28日生效。确定了定义整体管理流程的业务连续性管理术语,这些管理流程用来控制会对组织产生潜在影响的风险点;并提供了一套如何有效在灾难事件中保障利益相关者权益,组织声誉以及业务流程的响应力构建架构业务连续性管理的主要目标是通过采用适当的弹性战略,设置恢复目标,引入业务连续性和危机管理计划,并结合一套综合风险管理措施,使业务在不利条件下继续运行。本文由十个部分组成。作为业务连续性实践标准,本文并未按重要级别或实施步骤计划排序。在一个BCM项目的执行过程中,很可能需要并行运作其中的某几个部分。文档中的各主题提供了:主题领域的表述;专家在该主题领域中的角色;专家在该主题领域应具备的知识大纲。文档在适当的地方将提供了示例和引用。2主题概述2.1.项目启动和管理确定业务连续性管理「BCM」流程及功能需求,包括:弹性战略、恢复目标、业务连续性和危机管理计划。如何获得管理层支持,如何组织和管理一套与综合风险管理措施相关,或作为其重要组成部分的功能或过程。2.2.风险评估和控制确定可能对组织及其资源「设施、技术等」产生不利影响的事件「业务中断」和外部环境因素「灾难」。明确这些事件可能造成的破坏情况,确定可以防止或将损失降低到最小的控制措施。提供成本效益分析以调整控制措施方面的投资,从而达到降低风险的目的。注意,由于风险会随着系统的发展而变化,所以风险管理过程也必须是动态的。2.3.业务影响分析确定中断事件和灾难场景所造成的影响,并确定可以用来定量分析或定性分析这些影响的科学方法。确定时序敏感的业务功能,其恢复优先级,依赖关系,用来制定合理的恢复时间目标「RTO」。2.4.制定业务连续性管理策略确定并指导在恢复时间目标「RTO」和恢复点目标「RPO」范围内保证组织关键业务功能连续的业务经营策略。2.5.应急响应和运作制定和实施在特定事件和情况下,应对和稳定形势的运作步骤。包括建立和管理在紧急情况下起到指挥中心作用的紧急行动中心「EOC」。2.6.制定和执行业务连续性计划设计、制定和实现业务连续性计划,以在恢复时间目标「RTO」和恢复点目标「RPO」要求下保证业务连续性。2.7.意识和培训准备建立对机构人员进行意识培养和技能培训的项目,以便业务连续性计划能够得到制定、实施、维护和执行。2.8.维护和演练业务连续性计划计划和协调灾备演练,并对计划演练结果进行评估。制定步骤以保持业务连续性能力。灾备演练计划文档的制定与更新要循序组织战略方向。用合适的标准评估验证灾备演练计划是否有效,同时演练报告结果要清晰并简洁。2.9.危机沟通制定、协调、评估和演练在危急情况下的舆情控制计划;制定、协调、评估和演练与员工及其家庭、主要客户、关键供应商、业主/股东以及机构管理层进行沟通和在必要情况下提供心理辅导的计划,确保所有利益群