K書筆記本-Business Continuity and Disaster Recovery Planning(09)

BCP走到這裡也要接近尾聲了,經過了演練與檢討後,也要開始進收尾善後的步驟了,那麼也要再次強調Recovery及Restoration的不同,
Recovery是整個回復的過程而Restoration是回到原站點的過程,包含有撒離的內容,當撒離完成後,也隨著各項的資料回復,
並將所有業務回到原站點,最經由EOC Team宣布災難結束,並向相關利害關係者宣佈災難結束,並報告整個回復過程中的內容 …

BCP走到這裡也要接近尾聲了,經過了演練與檢討後,也要開始進收尾善後的步驟了,那麼也要再次強調Recovery及Restoration的不同
Recovery是整個回復的過程而Restoration是回到原站點的過程,包含有撒離的內容,當撒離完成後,也隨著各項的資料回復
並將所有業務回到原站點,最經由EOC Team宣布災難結束,並向相關利害關係者宣佈災難結束,並報告整個回復過程中的內容
並將計劃行發行。看來還有不少可以發揮,而今天總算是可以把BCP順利的發行囉!!!!

而今天Jason被問到一個問題,BCP都還沒發行出來,如何進行訓練呢???任何一步計劃在設計的過程中就和專案管理一樣
逐步精進,任何一個計劃不可能一設計好就盡善盡美,那麼,在規劃計劃的過程中,也會有訓練計劃,當然就實作一次
以確定是否是一個有效的訓練,而透過訓練的過程中得知是否達到其復原的效益,最終才加入到BCP中成為其中的一環
前一篇中有特別的提到,在備援站點達成了永續,但是備援站僅能提供最重要的商業流程,當原站台復原完成後
還是要將人員、資源…等回到原站台呀! 那麼針對回復的程序有那一些呢?

在回到原站點之前必閴先確保原站的所有設備、建物是安全(Secured)並且穩定(stabilized)的
應該這麼說,救難的人也是人,當我們的災難復原小組要進入原站點時,也要確保這些人員生命安全
對於回復動作的支援提供必須要的各項資源,並且對復原的計劃做更詳細規劃後,也必須先規劃好要復原的層度(SLA)
進行強化及部署各項必須回復的設備設施及重要的商業流程,並且將復原的狀態回報予EOC,讓EOC隨時掌握回復的情況
最後將復原的花費詳細的記載並回報予EOC,一個要能讓各項流程回到主站台,並且正常的執行操作的過程中,
必須先讓各項設備的可用性、機密性、一致性回復到原來的規範、SLA,接下來才將各項組織依照衝擊最小的一個一個平行的移回到原站台
這個過程中讓資料由備援點複寫回到主要系統之上,讓雙方的資料同步運作,並且經過平行測試ok後,
將復原點的資料做完整的運回或清理,而這個過程中必須重視資料的機密性,因此在清運的過程中避免重要的資訊被有意或無意的播散
待確定各項程序運作都正常了,再由EOC宣佈災難結束,結束這一連串的運作,並且主動的與相關利害關係者取得連絡,
並讓所有利害關係人知道企業已完成復原所有的商業流程,讓公司公開關係維持良好,並在結束之後,針對下列內容進行最後的收尾。

那麼回到原站點後必須先執行識別及矯正計劃的差距點,並且將各項修正的內容將相關的人員做教育,佈達予所有相關的員工
並且針對效能的度量方法做重新的檢視,透過計劃的覆核及發展,並針對重點人員進行訓練,進行行政訓練並進行測試
以確保訓練的有效性,持續的進行交叉訓練,以使人員可用性達到最高。

經過重新的檢視、修定後,確認本部計劃運作完善後,針對各項內容進行版本的修訂,並且將各項測試的內容及計劃發佈予高階管理者
由於BCP可能觸及公司經營的命脈,也必須做好存取控制,針對計劃的內容定期的進行測試、演練及回復的度量方法,並持續的精進本部計劃。

BCP&DRP是企業的命脈得以延續下去的一部救命法典,而IT人員所重視的就是與主要商業相關的IT設備、流程、內容,坦白來說
若企業無法運作,我們這些IT人員又能怎麼生存下去呢?再度開始找工作嗎? BCP的重點也是給我們IT人員對於自已的工作內容做有效的管理
避免重大的資訊資產沒被重視,又過度的投入資金到一個非高階主管所重視的設備之上,藉由BIA的執行,讓我們也清楚何種設備以何種備援
以免浪費有效的資源,希望BCP的K書心得能帶給大家對於IT還能為商業做些什麼,有個比較具體的想法,當然像ITIL也是以這個角度切入
若對於BCP有疑問,歡迎大家提出來一起討論、討論。

 

Refs:
BCI WebSite: http://www.bci.org
NIST SP800-34: http://csrc.nist.gov/publications/nistpubs/800-34/sp800-34.pdf
ISO 27001 Standard


Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security