汪琪：企业灾备管理策略与最佳实践(2)

　　应对这些文件实际上我们真正要做到一个企业的业务连续，我们要考虑哪一些方面呢？我们说最基础的是我们信息系统的备份和恢复，这在全世界都一样，所有的企事业单位都是从自己的数据和信息系统开始考虑，把它作一个优先级，在这个基础上考虑到我们灾难备份所需要的各种恢复的资源，考虑到我们对这些资源的合理的利用管理，考虑到整个灾难恢复的流程，从而就构建了我们所谓灾难恢复、规划这个体系，这个体系也就是我刚才谈到的在2000年之前，在上一个世纪大家谈得比较多的，在这个基础上，如果我们考虑到我们整个组织面临的风险，一旦灾难发生我们所受到的这种影响，这些影响给我们所带来的冲击以及我们如果要在进行这种灾难恢复的时候，我们的整个人员组织架构、保障体系，我们的这种恢复的策略、目标，以及我们除了IT之外的业务恢复的这套预案，在这个基础上，我们得到了所谓的业务连续规划，它的着眼点从IT转向了业务。在在这个基础上考虑到对紧急事件应急的处置、响应，对企业和部门在这种紧急情况下的危机的管理，媒体公关的应对，合规性的管理以及我们在整个供应链的链条上下游，这种关联的管理，这个是我们的整个业务连续的管理。

　　在这次汶川大地震当中，大家可以看到，刚才几位专家都介绍到了，在整个的链条当中，如果有一个环节出现了问题，比如说我们的通讯，通讯的基站抢修好了，但是我们没有电，发电机运进去了，但是我们没有油，油找到了，但是我们的道路还没有恢复，但是这个链条当中如果有一个链条失缺的话，那对于你最终的这种业务服务功能来讲，你是没有办法恢复的，所以从这个角度更加验证了这个体系，业务连续管理体系它的一个完整性的必要，因应这个体系对我们现存的这种组织架构，现存的这种企业来讲，我们有一套评估的方法，GDS公司在国内做了很多企业的这些评估，我们从几个大的角度来看，一个是我们企业的业务持续管理的组织架构，岗位和职责，现有的我们看到的包括政府机构，大型的企事业单位和金融单位，在这些方面实际上由于国家有相应的很多的这些文件，其实都设置了一定的信息安全应急管理方面的负责人，但是这些负责人他们以下执行的组织架构相对来讲比较缺失。

　　接下来就是在建设整个灾难恢复和业务持续管理的这个过程当中，如何设立自己的需求和目标，刚才我们王主任谈到，我们的预算是有限的，没有办法像很多大型的机构，他们的资金比较充裕，可以建立很大型的灾备中心，可以对自己的业务进行很高级的备份，在此基础上，你如何设定自己的业务持续性的需求，这种分析怎么来做？另外根据这种分析得出来的结果，我们有没有一个长期的规划，按照步骤逐步实施自己的业务连续性的策略。这些方面是我们在行业里面看到是做得不尽人意的。

　　接下来对整个组织架构当中业务连续管理的制度，应急的体系这一套预案的开发，我们现在看到的预案大多数是非常综合性的，没有所谓针对场景的，这也是为什么今天我们朱将军说到很多的预案真正发生问题的时候，你是根本启用不了的，你是没有用的。我举个例子，我们看到的美国的一些大型银行，一个银行里就有7千份预案，这是个什么概念？从总行到它的分行到各个分支机构，每一个机构针对自己有可能会遇到的这些风险相应的都有场景开发的预案，并且这种预案是有A角、B角在不同的情况下有相应的处理措施，当你做到这么详细的程度的时候，相信你对整个灾难的预防机制和应急反应的机制就到了一定的程度。相应的受到打击的可能性也会比较小。