透過了BIA找到了最Critical Business Process後,定義了RTO, RPO, MTD,針對以上三者設定對映的Continuity and Recovery Strategy,
那這個就算是完成了BCP了嗎?充其量只有完成了DRP,而BCP的部份不可能只是規劃完災難處理方法的映對後就告一個段落,
更重要的是在於計劃的持續改善,接下來還有緊急回應的程序、人員的訓練…一托拉庫的事情要做呢…
透過了BIA找到了最Critical Business Process後,定義了RTO, RPO, MTD,針對以上三者設定對映的Continuity and Recovery Strategy
那這個就算是完成了BCP了嗎?充其量只有完成了DRP,而BCP的部份不可能只是規劃完災難處理方法的映對後就告一個段落
更重要的是在於計劃的持續改善,接下來還有緊急回應的程序、人員的訓練…一托拉庫的事情要做呢!
首先針對緊急回應程序以不同的總類做不同的回應程序,以下者為例分類就很精采了:
Event Reporting:將各種事件布達出來,分析出有可能造成問題或是使工具中斷的原因,事件與事故最大的差別就在這裡
事件是指任何載有通知內容,而事故則是引發不好結果的事件,因而叫做事故,而事出必有因,透過事件的列舉、佈達
可以做為可能的事故發生的分析,這裡的重點是當我們分析出可能引發出事故時,如何規劃通報的方法(HVAC, Power…裝置中斷時)。
Life, Health, Safety: 在任何一種的安全領域之中,最重要的就是人命,出人命的環境一定不安全,因此在各個回應程序中,首重人命
它是基於威脅分析之上,對於任何一種緊急回應程序之中,若有可能危及人命、健康、安全的任何事件,都要盡可能的保護人身安全。
Damage Assessment: 災損評估在啟始的情況之下,必須先針對各種因為事件對於組織的衝擊影響會有多大,包含其範圍、影響層度
還有潛在可能未發生的衝擊,針對對企業來說可能造成企業受到極大的衝擊時,並可能使企業無法正常運作時,應當要對這類型的評估
做更有效的防範,而其它企業曾經遇過的衝擊事件,也可成為企業做災損評估的一個範本。
Triage and Escalation: 分類及提升的依據度量是必須經過審慎的思考,一般來說,對於可分為三個層序,當一個事件發生時並且回報到
IRT(incident Response Team)手頭上時,透過本地端的人員進行第一步的識別及掌握,當事件被判斷為事故時,隨即提升處理程序並呈報予EOC
當事故可能危及公眾安全時,則必須通知報警或是消防單位,而任何最終的決議就是必須透過EOC來做最後的決策。
Disaster Declaration: 災難的宣佈…這個是我們這種小角色可以幹的嗎?當然不可能,今天中午Jason和家人在家吃飯時就看到HBO的珍珠港
當時的總統羅斯福在接獲珍珠港遇日軍偷襲,共使得美軍喪失了2390人員,羅斯福總統在國會中就宣佈這個是國家最大的災難
並且宣佈加入戰局,直接對日本宣戰,並獲得國會成員們的同意,尤其可以發現,發佈災難的,也只有EOC的決議才能這麼宣佈,
但在BCP中沒有依據嗎?有的,當一個衝擊超過MTD時,EOC Managerment就可以宣佈災難發生,並開始執行DRP的運作,調動各項資源。
Alerting, Activation and Notification: 一個災難的發佈絕對不會是偶然,但是一個BC所做的所有動作包含Leader的執行動作,
應該要加詳細的記錄,包含各種程序,例如為了達成通報警報所建立的電話通聯表、Mail清單、通報程序的報告…等等
是必須要在建置的考慮之中。尤其對於BC Team的各項事件的緊急通報程序、緊急連絡網…等等,是必須列入通報程序中
必須要保存及規劃的內容。
Reporting, Communication: 必須跟著的程序是連絡EOC及各執行單位的通連及附有處理狀態的報表,這個程序包含了通訊科技的選用
重更要的是隨著執行的狀態不同,使用的不同的通訊科技亦有所差別,當然對於事故的處理回應也必須隨時回報給EOC,
而每個處理各事件的Team也必須定時與EOC做連絡。
上述的幾個反應程序只是反應出幾種不同種類的反應程序,但BCP的執行規劃還是在人的身上,人是最大的可用資產的角度來切入BCP是最正確不過的
那麼提高人員的可用性及人力的反應就成了必須要做的項目之一,而對於人員的可用性也好或是運作方式也羆
這個都是在BCP的執行中必須權衡的一個重點:
Executive Succession Planning(主管交班計劃): 又再一次的挑戰台灣人的極限,主管交班計劃是為了讓業務可以永續下去的方法之一
而對於這個部份不管是高階主管或者是EOC Manager,都必須要去面對這個計劃,這個計劃中也必須計劃特殊的教育訓練及資格。
Executive Crisis Management Role(執行危機管理的角色): EOC確保了執行的導引及監控,他們也必須負責評估及記錄的作業,
並且執行災難處理基金的資源分配,而這此工作不可能只由EOC Management來執行指示發佈災難時,
將站台移至Hot Site的相關負責的角色分配。例如苦命的IT人員,由災難發生時,最早進入備援站、最晚離開備援站,但也是最到回到災難點也是IT
BC Coordinator and Teams(BC協調者及小組): BC協調者負責管理計劃的發展及協調相關資源的分配,而BC Teams則依照協調者的指示
發展更詳細的內容,尤其在EOC及相關利害關係者時的期望之下,對於各種人力相關的資源、各種保險措施、財務…等等
必須提供所需要的支援及協助,包含IT的各項設備,Server system, Application, DataBase, LAN, WAN…等等。
Notification Lists(備忘清單): 是最常見的附錄資料,像是通訊錄、物品清單中的資料,必須包含有像是緊急聯絡簿的架構
(姓名、職稱、地址、電話…等等)最主要的是其它協助合作夥伴的通連方法; 重要合作夥伴的相關資訊…等等,以便災難發生時的各項通聯,
讓災難在最短的時間內結束。
Public Relations(公共關係): 當災難發生時,並不是關起門來自行處理,在第一時間之中,也必須透過公共關係讓相關的利害關係人
也能明確的知道處理的進度,包含有像是因災難可能造成公司股價的衝擊、股東信心的喪失、公眾印象的損減,
都有可能造成在處理災難上面有著極大的阻力。
上述的兩個程序是針對事和人的選擇及分類,而對於備援的站點、通訊需求、站台內容的建議做有效的選擇是接下來所必須要執行的
對於人心的安撫也是必須在整個BCP的計劃中所必須考量到的,最後由備援站回到原站點時,也有所需要做回復的地方,以避免殘留資訊的事故發生
最後對於BCP的永續改善計劃也是這一部計劃得以持續有效,當然最好是備而不用,而論功行賞也是最重要的,任何一個有功的必須給予獎勵
而有過失的不應以懲處來做為唯一處理方式,更應該要注重的是如何有效的改善才是BCP持續運作的重點。
Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security