DRII業(yè)務持續(xù)性規(guī)劃者實踐指南

1、1. DRII業(yè)務持續(xù)性規(guī)劃者實踐指南DRIIDisaster Recovery Institute International (國際災難恢復協(xié)會)DRII業(yè)務持續(xù)規(guī)劃者實踐指南包括以下10個主題：（1）項目啟動和管理 確定業(yè)務持續(xù)性管理（BCM）過程或功能的需求，包括恢復策略、恢復目標、業(yè)務持續(xù)和應急管理預案、獲得管理支持，組織和管理包括各種關鍵要素的綜合風險管理預案。 （2）風險評估和控制 確定可能造成機構(gòu)及其設施中斷和災難、具有負面影響的突發(fā)事件和周邊環(huán)境因素，以及事件可能造成的損失、防止或減少潛在損失影響的控制措施。提供成本效益分析以調(diào)整控制措施方面的投資達到消減風險的目的。 （3）

2、業(yè)務影響分析 確定由于中斷和預期災難可能對機構(gòu)造成的影響以及用來定量和定性分析這種影響的技術。確定關鍵功能、其恢復優(yōu)先順序和相互依賴性以便確定恢復時間目標。 （4）制定業(yè)務持續(xù)性策略 確定和指導備用業(yè)務恢復運行策略的選擇，以便在恢復時間目標和恢復點目標范圍內(nèi)恢復業(yè)務和信息技術，并維持機構(gòu)的關鍵功能。 （5）應急響應和運作 制定和實施用于突發(fā)事件響應以及平息突發(fā)事件所引起狀況的政策制度，包括建立和管理突發(fā)事件運作中心，該中心用于在突發(fā)事件中發(fā)布命令。 （6）制定和實施業(yè)務持續(xù)性預案 設計、制定和實施業(yè)務持續(xù)性預案以便在恢復時間和恢復點目標范圍內(nèi)完成恢復。 （7）意識培養(yǎng)和技能培訓建立對機構(gòu)人員進

3、行意識培養(yǎng)和技能培訓的機制，以便業(yè)務持續(xù)性預案能夠得到制定、實施、維護和執(zhí)行。 （8）演練和維護業(yè)務持續(xù)性預案 對預案和預案間的協(xié)調(diào)性進行演練、并評估和記錄預案演練的結(jié)果。制定維持持續(xù)性能力和BCP文檔更新狀態(tài)的方法使其與機構(gòu)的策略方向保持一致。通過與適當標準的比較來驗證BCP的效率，并使用簡明的語言報告驗證的結(jié)果。 （9）危機通信 制定、協(xié)調(diào)、評價和演練在危機情況下與媒體交流的預案，以便聯(lián)系組織內(nèi)部利益相關者（員工、公司管理層，等）、組織外部利益相關者（客戶、股東、廠商、供應商，等）、媒體（報刊、廣播電臺、電視臺、互聯(lián)網(wǎng)，等）。 （10）與外部機構(gòu)合作 建立適用的政策制度和策略用于外部機構(gòu)（

4、地方、州、中央政府、應急響應組織、國防部，等）合作開展持續(xù)性和恢復活動，同時確保遵守適用的法規(guī)或規(guī)章。 主題1：項目啟動和管理 確定業(yè)務持續(xù)性管理（BCM）過程中業(yè)務管理規(guī)劃（BCP）的需求，包括恢復策略、恢復目標、業(yè)務持續(xù)和應急管理預案、獲得管理支持，組織和管理包括各種關鍵要素的綜合風險管理預案，組織和管理項目使其符合時間和預算的限制。A. 專業(yè)角色是：1. 引導項目發(fā)起人定義目標、政策和關鍵成功要素a. 范圍和目標 b. 法律和需求動機 c. 案例和業(yè)界最佳實踐 2.通過策劃指導委員會和項目任務組，協(xié)調(diào)和組織管理BCP項目和整體BCP過程 3. 使用效益控制方法和更改管理機制檢查BCP過程

5、 4. 向管理層和關鍵人員介紹（推銷）BCP過程5. 制定項目計劃和預算（來啟動BCP過程） 6. 定義和建議過程結(jié)構(gòu)和管理方式 7. 管理項目以制定和實施BCP過程 B. 專家應該證明其具有以下領域的實務知識： 1. 確定業(yè)務持續(xù)性需求 a. 參考相關的法律法規(guī)法令合同的需求和約束 b. 如果合適，參考相關的行業(yè)貿(mào)易組織或機構(gòu)的規(guī)定 c. 參考相關當局的當前建議 d. 將立法、規(guī)章和要求與機構(gòu)的政策相聯(lián)系 e. 識別機構(gòu)政策與相關外部需求的任何沖突 f. 識別任何審計記錄 g. 提出解決機構(gòu)政策與相關外部需求之間任何沖突的方法，可以包括BCP在內(nèi) h. 識別可能對機構(gòu)災難恢復能力具有負面影響

6、的業(yè)務措施。 2. 傳播業(yè)務持續(xù)性預案的需求 a. 通過正式的報告和介紹進行意識培養(yǎng) b. 陳述BCP的優(yōu)點并將其與機構(gòu)的使命、目標和營運利益聯(lián)系起來。 c. 獲得機構(gòu)對BCP過程的承諾 d. 制定BCP過程的任務條款憲章 3. 將行政管理層包括在BCP過程中 a. 解釋行政管理層在BCP過程中的角色 b. 解釋和傳播管理層在BCP過程中的職責和義務。 4. 建立一個規(guī)劃策劃指導委員會：角色和職責、機構(gòu)的類型、控制和發(fā)展、以及成員 a. 選擇適當?shù)娜藛T b. 定義角色和職責 c. 制定一套適當?shù)腂CP過程目標 5. 編制預算需求 a. 清晰定義資源需求 b. 獲得財務需求評估 c. 驗證資源需

7、求的正確性 d. 驗證財務需求評估 e. 與管理層協(xié)商資源和財務需求 f. 獲得財務需求的執(zhí)行承諾 6. 確定計劃團隊及職責 a. 突發(fā)事件管理突發(fā)事件響應應急管理團隊 b. 業(yè)務持續(xù)性規(guī)劃團隊（多地點、多分支、等。） c. 恢復響應團隊和復原團隊 7. 制定和協(xié)調(diào)項目行動計劃以制定和實施BCP過程 a. 制定包含現(xiàn)實的時間評估和進度表的全面項目計劃 8. 確定對BCP過程進行持續(xù)管理和記錄的需求 9. 向高級管理層匯報并獲得高級管理層的批準承諾 a. 建立向高級管理層匯報BCP過程進度的時間表 b. 定期為高級管理層制作狀態(tài)報告，其中應包括高級管理層容易理解并感興趣的簡明的、中肯的、正確的和

8、及時的關鍵狀態(tài)信息。 主題2：風險評估和控制 確定可能造成機構(gòu)及其設施中斷和災難、具有負面影響的突發(fā)事件和周邊環(huán)境因素，以及突發(fā)事件可能造成的損失、防止或減少潛在損失影響的控制措施。提供成本效益分析以調(diào)整控制措施方面的投資達到消減風險的目的。 A. 專業(yè)角色是： 1. 識別對機構(gòu)的潛在威脅 a. 可能性 b. 后果影響 2. 理解機構(gòu)中降低消減風險的功能 3. 識別所需的外部專門技術 4. 識別暴露 5. 識別降低消減風險的可選措施 6. 與管理層確認可接受的風險水平 7. 記錄并提交所發(fā)現(xiàn)的內(nèi)容 B. 專家應該證明其具有以下領域的實務知識： 1. 理解損失的潛在可能性 a. 識別來源于內(nèi)部和

9、外部的暴露。這些應包括，但不限于以下內(nèi)容 (1) 自然的、人為的、技術的或政治的災難 (2) 無意的與故意的 (3) 內(nèi)部的與外部的 (4) 可控的風險與機構(gòu)控制范圍以外的風險 (5) 有先期預警的事件與沒有先期預警的事件 b. 確定突發(fā)事件的可能性 (1) 信息來源 (2) 可信度 c. 創(chuàng)建信息收集的方法 d. 制定一種評估可能性和嚴重程度的正確方法 e. 建立對評估過程的持續(xù)支持 f. 識別相關的規(guī)章的和或法律問題 g. 建立對所確定的潛在損失可能性進行成本效益分析的方法 2. 確定機構(gòu)對潛在損失可能性的暴露 a. 識別機構(gòu)所面對的首要暴露，以及可能因為這些暴露而造成實際損失的次要間接事

10、件（如颶風威脅可能會造成多種事件包括強風、洪水、火災、建筑和屋頂垮塌等） b. 選擇最可能發(fā)生以及會產(chǎn)生最大破壞的暴露 3. 識別防止和或消減潛在損失可能性影響的控制和防范措施 需要考慮的事項：用于降低突發(fā)事件發(fā)生可能性的措施將削弱執(zhí)行業(yè)務的能力 a. 物理保護 (1) 了解對建筑物、房屋和其它封閉場所的房屋施行限制訪問的需要，這種限制應該考慮到“三維”的方向 (2) 了解設置障礙和強化結(jié)構(gòu)以防止故意的、意外的和或非受權(quán)進入的需要 (3) 位置：物理結(jié)構(gòu)、地理位置、社區(qū)鄰居、建筑的基礎設施、社區(qū)的基礎設施 b. 物理存在 (1) 了解使用專門人員對關鍵進入點執(zhí)行檢查的需要 (2) 了解使用人工

11、的和或監(jiān)視記錄設備來控制訪問點和禁區(qū)的需要，其中包括探測、提醒和抑制功能 (3) 理解安全和訪問控制、承租人保險、租賃協(xié)議 c. 邏輯保護 (1) 了解系統(tǒng)對所存儲、處理或轉(zhuǎn)換中的數(shù)據(jù)提供保護的需要，包括信息備份和保護。 (2) 了解探測、提醒和抑制功能 (3) 了解信息安全：硬件、軟件、數(shù)據(jù)、網(wǎng)絡 d. 資產(chǎn)的位置 (1) 了解使關鍵資產(chǎn)遠離風險源而提供的固有保護 (2) 人事規(guī)程 (3) 所需的預防性維護和服務 (4) 公用事業(yè)：雙份的公用事業(yè)服務、內(nèi)建的冗余（電信、電力、供水等） (5) 與外部機構(gòu)的聯(lián)系（供應商、廠商、外包服務商等） 4. 評估、選擇和使用適當?shù)娘L險分析方法和工具 a.

12、 識別可選的風險分析方法和工具 (1) 定性的和定量的方法 (2) 優(yōu)勢和劣勢 (3) 可靠性可信程度 (4) 所使用的數(shù)學公式的依據(jù) b. 選擇用于整個公司范圍的正確方法和工具 5. 確定和實施信息收集活動 a. 制定與業(yè)務問題和機構(gòu)政策相一致的策略 b. 制定能夠跨越業(yè)務分支和機構(gòu)的位置進行管理的策略 c. 創(chuàng)建整個機構(gòu)范圍的信息收集和分發(fā)方法 (1) 表格和問卷 (2) 會面 (3) 會議 (4) 文檔查閱 (5) 分析 6. 評估控制和防范措施的效率 a. 制定與其它內(nèi)部部門分支以及外部服務商的通信流程 b. 同供應商以及機構(gòu)內(nèi)外的客戶組織建立業(yè)務持續(xù)性服務水平協(xié)議 c. 制定防御性和

13、預先預案選項 (1) 費用效益 (2) 實施的優(yōu)先順序、規(guī)程和控制 (3) 測試 (4) 審計功能和職責 d. 了解風險管理和對適當?shù)幕蚓哂谐杀拘б娴捻憫M行選擇的選項，如風險規(guī)避、轉(zhuǎn)移或風險接受 7. 風險評估和控制 a. 根據(jù)機構(gòu)暴露所可能導致的風險建立災難場景。災難場景應該建立在這樣的標準類型上：在數(shù)量上非常嚴重、發(fā)生在最不利的時間、對機構(gòu)執(zhí)行業(yè)務的能力造成嚴重損害 b. 對風險進行評估并根據(jù)相關的標準對其進行分類，這些標準包括：在機構(gòu)控制之下的風險、超出機構(gòu)控制范圍之外的風險、有先期預警的暴露（如龍卷風和臺風）以及沒有先期預警的暴露（如地震） c. 根據(jù)與執(zhí)行業(yè)務操作相關的重要因素來評

14、估風險和暴露的影響：人員的可用性、信息技術的可用性、通信技術的可用性、基礎設施的狀態(tài)（包括交通）等 d. 如果需要，應評估控制和所要求的更改以減少因風險和暴露所造成的影響 (1) 對造成影響的暴露進行抑制的控制：防御性控制（如口令、煙霧探測器和防火墻） (2) 對暴露造成的影響進行補償?shù)目刂疲悍磻钥刂疲ㄈ鐭嵴军c） 8. 安全 a. 確定機構(gòu)可能的安全暴露，包括以下特定的安全風險類型： (1) 所有房產(chǎn)的物理安全 (2) 信息安全 計算機房和介質(zhì)存儲區(qū)域的安全 (3) 通訊安全 語音和數(shù)據(jù)通訊安全 (4) 網(wǎng)絡安全 內(nèi)聯(lián)網(wǎng)和互聯(lián)網(wǎng)安全 b. 對防御降低安全相關風險和暴露所需的可行的和具有成本效

15、益的安全措施提出建議 9. 關鍵記錄的管理 a. 識別機構(gòu)需要的關鍵記錄，包括書面和電子記錄 b. 評估現(xiàn)有的用于備份和恢復關鍵記錄的規(guī)程 c. 建議和實施用于備份和恢復所有形式的機構(gòu)關鍵記錄的可行的、具有成本效益的規(guī)程 主題3：業(yè)務影響分析確定由于中斷和預期災難可能對機構(gòu)造成的影響以及用來定量和定性分析這種影響的技術。確定關鍵功能、其恢復優(yōu)先順序和依賴性以便確定恢復時間、恢復點目標。 A. 專業(yè)角色是： 1. 識別具有相關知識的職能部門代表（參與BIA過程） 2. 識別機構(gòu)功能包括信息和資源（人、技術、設施等） 3. 識別和定義關鍵程度標準 4. 獲得管理層對所定義標準的批準 5. 對分析進

16、行調(diào)整6. 識別相互依賴性（對機構(gòu)內(nèi)部和外部的） 7. 定義恢復目標和時間范圍 8. 定義報告格式 9. 準備最終的BIA并呈交給管理層 B. 專家應該證明其具有以下領域的實務知識： 1. 建立項目 a. 識別和獲得BIA活動的項目發(fā)起人 b. 定義BIA項目的目標和范圍 c. 選擇適當?shù)腂IA項目計劃方法工具 d. 識別BIA項目的參與者并告知其項目的目的 e. 識別培訓需求、建立培訓進度表，如果合適執(zhí)行培訓 f. 達成最終項目時間進度的一致意見并啟動BIA項目 2. 評價中斷、損失暴露和業(yè)務影響的后果 a. 中斷的后果 (1) 資產(chǎn)的損失：關鍵人員、物理資產(chǎn)、信息資產(chǎn)、無形資產(chǎn) (2) 服

17、務和運作持續(xù)性的中斷 (3) 違反法律法規(guī) (4) 引起公眾關注 b. 中斷對業(yè)務的影響 (1) 經(jīng)濟的 (2) 客戶和供應商的 (3) 公共關系信譽的 (4) 法律的 (5) 規(guī)章要求考慮的事項 (6) 環(huán)境的 (7) 運作的 (8) 人事的 (9) 其它資源的 c. 確定損失暴露 (1) 財產(chǎn)損失 (2) 收入損失 (3) 罰款 (4) 現(xiàn)金流 (5) 帳戶的可接受性 (6) 帳戶的可支付性 (7) 法律責任 (8) 人力資源 (9) 附加的花費增加的工作費用 d.定性的 (1) 人力資源 (2) 士氣 (3) 信心 (4) 法律 (5) 社會和團體形象 (6) 金融界的信譽 e.定量的

18、3. 業(yè)務影響分析（BIA） 一種建議的方法 了解評估技術：定量的和定性的方法 a. BIA數(shù)據(jù)收集方法 (1) 確定一種正確的數(shù)據(jù)收集方法（如問卷、會面、研習會、或協(xié)商一致的組合形式） (a) 通過問卷進行數(shù)據(jù)收集 (i) 了解問卷正確設計和分發(fā)的需要，包括目的的解釋、部門負責人和重要人員的參與 (ii) 了解項目開局會議的任務并舉行會議以便分發(fā)和解釋問卷 (iii) 了解答卷人的任務并支持其完成問卷 (iv) 檢查完成的問卷并確定需要進一步安排的會面 (v) 當需要澄清和或額外數(shù)據(jù)時進行進一步的討論 (b) 僅通過會面進行數(shù)據(jù)收集 (i) 了解每次會面的結(jié)構(gòu)一致性和事先設定并遵循統(tǒng)一格式的

19、需要 (ii) 確保每次會面所收集的基本數(shù)據(jù)符合預先設定的要求 (iii) 了解對初始會面結(jié)果進行檢查并由被會面人檢驗的需要 (iv) 如果初始會面表明需要對以收集的數(shù)據(jù)進行澄清或添加就應重新安排下一步的會面進度 (c) 通過研習會進行數(shù)據(jù)收集 (i) 了解建立明確議程和一系列目標的需要 (ii) 確定適當?shù)难辛晻芾矸绞讲@得認同 (iii) 選擇適當?shù)牡攸c、對可獲得的位置、設施和人員情況進行評估 (iv) 在討論中承擔主持人和領導者的角色 (v) 確保研習會目標的完成 (vi) 確保在研習會結(jié)束時所有突出的議題被確認并就其解決方案的責任達成共識 (2) 提出并獲得如何量化和評估潛在財務和非

20、財務影響的一致意見。 (3) 提出并獲得非量化影響信息需求的一致意見并盡可能多地達成一致 (4) 制定問卷（如果需要）并完成答卷說明 (5) 確定數(shù)據(jù)分析方法（手工或計算機方式） b. 業(yè)務影響分析（BIA）報告 (1) 準備包含初始影響發(fā)現(xiàn)和論點在內(nèi)的BIA報告草稿 (2) 向參與的負責人分發(fā)報告草稿并要求獲得反饋 (3) 檢查負責人的反饋并在合適的情況下根據(jù)反饋修訂發(fā)現(xiàn)或增加重要論點 (4) 如果需要，安排有參與的負責人參加的、討論初始發(fā)現(xiàn)的研習會或會議 (5) 確保原始發(fā)現(xiàn)得到更新以反映這些會議形成的變化 (6) 根據(jù)機構(gòu)的要求準備BIA報告 (7) 準備并將正式的、體現(xiàn)BIA發(fā)現(xiàn)的報告

21、提交給委員會或行政機構(gòu) 注意：不存在BIA報告格式或分發(fā)的標準，所以這些報告在不同的機構(gòu)是不同的 4. 定義業(yè)務功能和記錄的關鍵程度，并排定其優(yōu)先順序 a. 建立關鍵程度的定義，并與管理層協(xié)商單一或多種關鍵程度水平定義 b. 識別并排定關鍵功能的優(yōu)先順序 (1) 業(yè)務功能 (2) 支持功能 c. 識別并排定支持業(yè)務持續(xù)性和業(yè)務復原的關鍵記錄 5. 確定恢復時間范圍和最小資源需求 a. 根據(jù)關鍵程度級別確定關鍵業(yè)務功能的恢復時間范圍 b. 根據(jù)并行和相互依賴的情況確定關鍵業(yè)務功能、支持功能和系統(tǒng)恢復的順序 c. 確定恢復、繼續(xù)關鍵功能和執(zhí)行系統(tǒng)的最小資源需求 (1) 內(nèi)部和外部資源 (2) 自有

22、與非自有的資源 (3) 現(xiàn)有資源和需要添加得的資源 6. 識別和排定業(yè)務處理的優(yōu)先順序 a. 業(yè)務處理的相互依賴性 b. 過程和技術的依賴性 (1) 部門內(nèi)的 (2) 部門間的 (3) 外部的 7. 確定更換時間 a. 設備 b. 關鍵人員 c. 原材料組件 d. 其它 8. 關鍵記錄管理 a. 識別機構(gòu)所需要的關鍵記錄，包括紙質(zhì)、電子記錄 b. 評估關鍵記錄現(xiàn)有的備份、恢復流程c. 對機構(gòu)所有關鍵記錄的備份、恢復流程提出切實可行的建議主題4：制定業(yè)務持續(xù)性性策略 確定和指導備用業(yè)務恢復運行策略的選擇，以便在恢復時間目標范圍內(nèi)恢復業(yè)務和信息技術，并維持機構(gòu)的關鍵功能。 A. 專業(yè)角色是： 1.

23、 理解可用選項及其優(yōu)勢、劣勢和費用范圍，包括作為恢復策略的消減措施 2. 識別業(yè)務功能領域可行的恢復策略 3. 鞏固策略 4. 識別備用場地和備用設施的需求 5. 制定業(yè)務單元策略 6. 獲得管理層對制定策略的承諾 B. 專家應該證明其具有以下領域的實務知識： 1. 識別企業(yè)范圍內(nèi)和業(yè)務單元的持續(xù)性策略需求 a. 檢查業(yè)務持續(xù)性問題 (1) 時間范圍 (2) 選項 (3) 位置 (4) 人員 (5) 通信（危機媒體和語音數(shù)據(jù)） b. 檢查各項支持服務的技術持續(xù)性問題 c. 檢查各項支持服務的非技術持續(xù)性問題，包括那些不依賴于技術的支持系統(tǒng) d. 比較內(nèi)部外部解決方案 e. 識別可選的持續(xù)性策略

24、 (1) 不作任何事情 (2) 遏制措施 (3) 人工規(guī)程 (4) 互惠協(xié)議 (5) 備用站點或業(yè)務設施 (6) 備用產(chǎn)品來源 (7) 第三方服務商外包服務商 (8) 分布式處理 (9) 備用通信 (10) 消減措施 (11) 預案 f. 比較內(nèi)部和外部的解決方案 g. 評估每種可選持續(xù)性策略伴隨的風險 2. 根據(jù)業(yè)務影響分析的結(jié)果評估可選的策略 a. 有效分析業(yè)務需求的標準 b. 清晰定義持續(xù)性預案的目標 c. 制定一致的評估方法 d. 為持續(xù)性策略選項設定基線標準 3. 準備持續(xù)性策略的成本效益分析并將發(fā)現(xiàn)呈交給高級管理層 a. 實施實用的和容易理解的方法 b. 設定符合實際的評估和報告撰

25、寫時間進度 c. 向高級管理層提出簡明具體的建議 4. 選擇備用站點和離站存儲 a. 標準 b. 通信 c. 協(xié)議的考慮事項 d. 比較技術 e. 采購 f. 合同的考慮事項 5. 了解業(yè)務持續(xù)性服務的合同協(xié)議 a. 了解和準備用于提供持續(xù)性服務的正式協(xié)議中使用的需求陳述，如果合適，應包括司法規(guī)章需求 b. 在招標說明中明確表達任何所需的技術規(guī)格說明 c. 解釋供應商提出的外部協(xié)議與所設定的原始需求的關聯(lián)。 d. 識別任何不包含在所提出的標準協(xié)議中的特定要求 e. 了解并對可選和基本部分的內(nèi)容提供建議 主題5：應急響應和運作 制定和實施用于突發(fā)事件響應以及平息突發(fā)事件所引起狀況的規(guī)程，包括建立

26、和管理突發(fā)事件運作中心，該中心用于在突發(fā)事件中發(fā)布命令。 A. 專業(yè)角色是： 1. 識別潛在的突發(fā)事件類型和所需的響應（如火災、危險物質(zhì)泄漏、疾病等） 2. 識別現(xiàn)有的、正確的突發(fā)事件響應規(guī)程 3. 建議制定還沒有的突發(fā)事件規(guī)程 4. 將災難恢復業(yè)務持續(xù)性規(guī)程與突發(fā)事件規(guī)程整合起來 5. 識別管理突發(fā)事件的命令和控制需求 6. 建議制定對角色、職權(quán)進行定義的命令和控制規(guī)程以及管理突發(fā)事件的通信過程 7. 確保突發(fā)事件響應規(guī)程與公共當局的要求相統(tǒng)一 B. 專家應該證明其具有以下領域的實務知識： 1. 識別突發(fā)事件響應規(guī)程的要件 a. 報告規(guī)程 (1) 內(nèi)部的（逐級規(guī)程） (a) 本地的 (b)

27、機構(gòu)的（決策過程） (2) 外部的（響應規(guī)程） (a) 公共機構(gòu)和媒體 (b) 產(chǎn)品和服務的供應商 b. 突發(fā)事件前的準備 (1) 根據(jù)災難的類型 (a) 自然的事件 (b) 事故 (c) 有意的破壞 (2) 管理和職權(quán)的持續(xù)性 (3) 指定人員的角色 c. 緊急措施 (1) 疏散 (2) 醫(yī)療和人員咨詢 (3) 危險材料響應 (4) 滅火 (5) 通知 (6) 其它 d. 設施的穩(wěn)定 e. 消減損失 f. 測試規(guī)程和責任 2. 制定詳細的突發(fā)事件響應規(guī)程 a. 人員的保護 (1) 人員集合的位置以及確保所有員工識別和安全的過程，如果需要包括適當?shù)闹鸺夁^程 (2) 認識和了解充分和更嚴格地履行

28、任何相關法規(guī)要求的重要性 (3) 識別直接部署和后續(xù)合同的選項 (4) 了解法律規(guī)定的內(nèi)在含義 b. 突發(fā)事件的控制 (1) 了解拯救和損失控制的原則 (2) 了解對用于控制業(yè)務影響的突發(fā)事件服務工作進行補充的可用選項 (3) 了解業(yè)務功能本身控制災難影響的可能性 c. 后果的評估 (1) 分析形勢并提供有效的評估報告 (2) 評價突發(fā)事件對機構(gòu)的直接影響 (3) 將形勢通報給相關設施和機構(gòu)其它地點中的員工 (4) 提供對媒體可能關注事項的理解并與現(xiàn)存的公共關系和或市場部門聯(lián)合制定響應方案 d. 決定最適宜的行動 (1) 了解在建議或決定持續(xù)性選項過程中需要考慮的事項 (2) 了解突發(fā)事件服務

29、的角色 (3) 維護安全的原則（人員、物理和信息） a. 設計和裝備突發(fā)事件運作中心 b. 在突發(fā)事件中命令和決策的職權(quán)角色 c. 通信載體（如電子郵件、無線電、信使和移動電話等） d. 日志和記錄的方法 3. 識別命令和控制需求 4. 命令和控制規(guī)程 a. 開啟突發(fā)事件運作中心 b. 突發(fā)事件運作中心的安全 c. 突發(fā)事件運作中心團隊的進度安排 d. 突發(fā)事件運作中心的管理和運作 e. 關閉突發(fā)事件運作中心 5. 突發(fā)事件響應和分類救護 a. 制定、實施和演練突發(fā)事件響應和分類救護規(guī)程，包括確定突發(fā)事件中行動的優(yōu)先順序 b. 制定、實施和演練分類救護規(guī)程，如急救和醫(yī)療；確定地點和制定到附近醫(yī)

30、院的運輸規(guī)程 6. 拯救和復原 a. 集合適當?shù)膱F隊 (1) 了解通過電話進行有效診斷的需要 (2) 了解在受到影響的地點對相關資源進行有效集中的需要 (3) 制定內(nèi)部逐級規(guī)程以便在突發(fā)事件響應展開的現(xiàn)場提供所需等級的資源 b. 定義初始現(xiàn)場的行動策略 (1) 了解對直接消減損失和拯救需求進行識別的需要 (2) 了解其需求并在需要的情況下準備站點保安、安全和穩(wěn)定措施計劃 (3) 識別保護現(xiàn)場資產(chǎn)的適當方法，包括設備、房產(chǎn)和文檔 (4) 認識建立與外部機構(gòu)聯(lián)絡的潛在需要（如法規(guī)機構(gòu)、突發(fā)事件服務如消防部門以及警察、保險公司、損失理賠等） (5) 了解業(yè)務需求和對其進行解釋以協(xié)助物理資產(chǎn)的恢復 (

31、6) 與公共當局建立設施訪問的規(guī)程 (7) 與第三方服務提供商建立規(guī)程，包括適當?shù)暮贤瑓f(xié)議 主題6：制定和實施業(yè)務持續(xù)性預案 設計、制定和實施業(yè)務持續(xù)性預案以便在恢復時間目標范圍內(nèi)完成恢復。 A. 專業(yè)角色是： 1. 識別規(guī)劃過程的要件 a. 規(guī)劃的方法 b. 規(guī)劃的組織 c. 工作的指導 d. 人員的需求 2. 控制規(guī)劃的過程和制作 3. 實施規(guī)劃 4. 測試規(guī)劃 5. 維護規(guī)劃 B. 專家應該證明其具有以下領域的實務知識： 1. 確定預案制定的需求 a. 角色和責任 b. 制定行動計劃檢查列表 c. 檢查和評估工具，如業(yè)務持續(xù)性規(guī)劃軟件 d. 獲取業(yè)務過程、技術模型和流程圖 e. 制定獲取

32、信息的表格 f. 確定信息數(shù)據(jù)庫的需求 g. 識別其它支持文檔 2. 定義持續(xù)性管理和控制需求 a. 定義范圍 (1) 識別可能會用到的事故突發(fā)事件過程 (2) 建議可能用于創(chuàng)建定義的嚴重程度標準 (3) 設計逐級標準 b. 確定和就持續(xù)性關鍵步驟的方法達成一致；記錄一致的方法 c. 建立將突發(fā)事件響應轉(zhuǎn)換為業(yè)務持續(xù)性規(guī)劃的規(guī)程 3. 識別和定義主要預案要件的格式和結(jié)構(gòu) a. 預案的設計和格式 (1) 定義如何使預案的格式符合機構(gòu)的情況 (2) 記錄部門持續(xù)性預案的結(jié)構(gòu)和設計 (3) 確保內(nèi)建的機制易于管理 (4) 定義用于收集完成預案所需數(shù)據(jù)的過程 b. 分配任務和責任 (1) 識別需要完成

33、的任務 (2) 識別完成所需任務需要的團隊 (3) 設定團隊的責任 (4) 識別和列出關鍵合同、供應商和資源 4. 起草預案 a. 選擇預案制定和維護的適當工具 b. 起草業(yè)務持續(xù)性規(guī)劃（BCP），確保有完成規(guī)劃所需的充足和適當?shù)娜藛T c. 繼續(xù)收集所需的數(shù)據(jù)以確保BCP的完全和正確 5. 定義業(yè)務持續(xù)性過程 a. 定位和分類機構(gòu)信息 (1) 識別和確認對機構(gòu)關鍵業(yè)務具有重要意義的過程和文檔 (2) 識別和決定哪些信息處理應該被復制 (3) 識別存儲需求 (4) 識別關鍵供應商 (5) 選擇或建議業(yè)務備份的適當方法，包括了解存放周期和備份復制進度表等 b. 保護和復制策略 (1) 定義約束復制

34、選擇和存儲策略的假設 (2) 定義復制和存儲特定類別和類型信息的項目 (3) 理解這些方法的優(yōu)勢和劣勢 (a) 備份方法 (b) 復制方法 (c) 存儲方法 (4) 理解可用的保護方法的優(yōu)勢和劣勢 (5) 預測存儲信息的保存期限 (6) 了解在介質(zhì)的使用和環(huán)境條件下，在存儲期間可能需要的適當處理方式 c. 信息恢復 (1) 建議適當?shù)囊?guī)程，考慮 (a) 最佳的恢復順序 (b) 讀取、寫入設備和存儲介質(zhì)的兼容性 (c) 根據(jù)業(yè)務需求確定的時間范圍 (d) 根據(jù)法律需求確定的時間范圍 (e) 每天或每周例行任務的需求（如果可行） (2) 確定過程或處理信息的恢復或起始點 (3) 制定一系列合理的假

35、設，考慮各種現(xiàn)實的場景 d. 制定可選的業(yè)務方法 (1) 建議在受到災難或其它中斷事件影響而無法獲得正常資源時，在成功完成恢復規(guī)程之前執(zhí)行業(yè)務的備用方法 (2) 建議將業(yè)務功能方便地從任何備用、臨時或緊急運行狀態(tài)轉(zhuǎn)換到新的被替換的重新安裝的服務中的方法規(guī)程 6. 損害評估 a. 損害評估 (1) 創(chuàng)建評估損害的行動計劃 (2) 了解修復與更換的經(jīng)濟性 (3) 了解拯救專家在選擇和使用相關損害分析方法方面的能力 (4) 了解在選擇適當?shù)恼冗\作分包商時所采用的標準 (5) 將損害評估與機構(gòu)的業(yè)務持續(xù)性清晰地聯(lián)系在一起 b. 定義還原策略 (1) 為恢復需求提供合理的、相關的和實用的方法 (2)

36、顯示減少間接損失的能力 (3) 對業(yè)務資產(chǎn)的復原方法達成一致（如設備、電力、文檔、數(shù)據(jù)、家具、房產(chǎn)、車間、計算機等） (4) 了解復原的批準過程，特別是批件的內(nèi)在含義 (5) 定義復原的策略 7. 關鍵資源的采購 8. 安全 9. 人力資源和人事考慮 10. 制定一般性介紹或概述 a. 一般信息 (1) 介紹 (2) 范圍 (3) 目標 (4) 假設 (5) 責任概述 (6) 測試 (7) 維護 b. 預案啟動 (1) 通知 (a) 首要的 (b) 次要的 (2) 災難宣布規(guī)程 (3) 動員規(guī)程 (4) 損害評估概念 (a) 初始的 (b) 詳細的 (c) 團隊成員 c. 團隊組織 (1) 團

37、隊描述 (2) 團隊組織 (3) 團隊領導的責任 d. 政策陳述 e. 突發(fā)事件運作中心 11. 制定管理部分 a. 識別具體支持功能的恢復功能 (1) 人事人力資源 (2) 安全 (3) 保險風險管理 (4) 設備物品采購 (5) 運輸 (6) 法律 b. 了解公共關系媒體傳播協(xié)調(diào)人的需要 (1) 資格 (2) 責任 c. 其它專業(yè)協(xié)調(diào)人團隊責任 (1) 與法規(guī)實體的聯(lián)系聯(lián)絡 (2) 與投資者的關系 (3) 與其它相關組織的關系（如客戶和供應商） d. 識別關鍵記錄項目的要件 e. 行動部分 (1) 恢復團隊 (a) 人員 (b) 責任 (c) 資源 f. 行動計劃 (1) 部門個人計劃 (

38、2) 檢查列表 (3) 技術性規(guī)程 12. 制定業(yè)務運作計劃 a. 運作部門的計劃 (1) 基本業(yè)務功能 (2) 信息的保護和恢復 (3) 啟動措施 (4) 災難站點恢復復原措施 (5) 最終用戶的計算需求 b. 關鍵記錄項目的要件 c. 行動部分 (1) 恢復團隊 (a) 人員 (b) 責任 (c 資源 d. 行動計劃 (1) 特定部門個人計劃 (2) 檢查列表 (3) 技術性規(guī)程 13. 制定信息技術恢復計劃 a. 恢復站點的啟動 (1) 管理 (2) 行政后勤 (3) 新設備 (4) 技術性服務 (5) 應用支持 (6) 網(wǎng)絡通信 (7) 網(wǎng)絡工程 (8) 運作 (9) 站點間的后勤和通

39、信 (10) 數(shù)據(jù)準備 (11) 生產(chǎn)控制 (12) 最終用戶聯(lián)絡 b. 關鍵記錄項目的要件 c. 行動部分 (1) 恢復團隊 (a) 人員 (b) 責任 (c) 資源 d. 行動計劃 (1) 特定部門個人計劃 (2) 檢查列表 (3) 技術性規(guī)程 14. 制定通訊系統(tǒng)預案 a. 語音通訊恢復預案 (1) 電話線路，包括接聽、免費（1-800）線路和傳真線路 (2) 語音郵件、語音應答單元和其它基于語音的服務 (3) 災難期間自動語音應答的備用安排 b. 數(shù)據(jù)通訊恢復預案 (1) 基于大型機信息系統(tǒng)的數(shù)據(jù)通訊 (2) 以恢復工作區(qū)域為目的的局域網(wǎng)（LAN）恢復 (3) 以恢復全局連接性為目的的

40、廣域網(wǎng)（WAN）恢復 (4) 電子郵件、工作組軟件和其它基于數(shù)據(jù)通訊的工作支持 c. 強調(diào)和確保整個企業(yè)中的語音和數(shù)據(jù)通信網(wǎng)絡具有詳細和得到更新的文檔 15. 制定最終用戶應用預案 a. 預案的設計和結(jié)構(gòu) (1) 識別備用預案和結(jié)構(gòu)的例子 (2) 定義如何將預案的結(jié)構(gòu)與機構(gòu)的情況緊密相連 (3) 記錄部門持續(xù)性預案的結(jié)構(gòu)和設計 (4) 確保內(nèi)建的機制易于維護 (5) 預案和實施完成預案所需的數(shù)據(jù)收集 b. 識別并就恢復的關鍵步驟的方法達成一致；將達成一致的方法記錄在文檔中 c. 分配工作和責任 (1) 將恢復團隊和部門團隊區(qū)分開來 (2) 識別要完成的工作 (3) 識別完成所需工作需要的團隊

41、(4) 給團隊設定責任 (5) 識別和列出關鍵合同、供應商和資源的清單 16. 實施預案 a. 制定教育項目 (1) 用于制定和實施持續(xù)性預案的標準指導方針 (2) 持續(xù)性預案中定義的員工的角色和責任 (3) 整個機構(gòu)中員工所要遵循的規(guī)程 (4) 對管理層和員工進行培訓和意識培養(yǎng)的演示內(nèi)容 b. 完成所需的任務 (1) 采購附加的設備 (2) 合同協(xié)議 (3) 準備備份和離站存儲 c. 制定測試預案、進度表和報告規(guī)程 d. 制定維護、更新和報告規(guī)程 17. 持續(xù)性行動和規(guī)程 18. 建立預案分發(fā)和控制規(guī)程 a. 建立業(yè)務持續(xù)性預案的分發(fā)和控制規(guī)程 b. 建立預案演練結(jié)果的分發(fā)和控制規(guī)程 c.

42、建立預案更改和更新的分發(fā)和控制規(guī)程 主題7：意識培養(yǎng)和培訓項目 準備建立對機構(gòu)人員進行意識培養(yǎng)和技能培訓的項目，以便業(yè)務持續(xù)性預案能夠得到制定、實施、維護和執(zhí)行。 A. 專業(yè)角色是： 1. 建立整體BCM意識培養(yǎng)和培訓項目的目標和要件 2. 識別意識培養(yǎng)和培訓的功能性需求 3. 制定意識培養(yǎng)和培訓的方法 4. 采購或開發(fā)意識培養(yǎng)和培訓的工具 5. 識別外部的意識培養(yǎng)和培訓的機會 6. 識別整體意識培養(yǎng)和培訓的可選選項 B. 專家應該證明其具有以下領域的實務知識： 1. 定義意識培養(yǎng)和培訓的目標 2. 制定并提供各種類型的培訓項目（如果需要） a. 基于計算機的 b. 教室 c. 基于測試的 d

43、. 教導性的指南和模板 3. 制定意識培養(yǎng)計劃 a. 管理層 b. 團隊成員 c. 新員工崗前和現(xiàn)有員工復習項目 4. 識別其它的教育機會 a. 業(yè)務持續(xù)性預案的專業(yè)會議和課程 b. 用戶組織和社團 c. 出版物和相關的互聯(lián)網(wǎng)站點 主題8：演練和維護業(yè)務持續(xù)性預案 對預案和預案間的協(xié)調(diào)性進行演練、并評估和記錄預案演練的結(jié)果。制定維持持續(xù)性能力和BCP文檔更新狀態(tài)的方法使其與機構(gòu)的策略方向保持一致。通過與適當標準的比較來驗證BCP的效率，并使用簡明的語言報告驗證的結(jié)果。 A. 專業(yè)角色是： 1. 預先計劃和協(xié)調(diào)演練 2. 推動演練 3. 評估和記錄演練結(jié)果 4. 更新預案 5. 向管理層報告結(jié)果

44、評估情況 6. 協(xié)調(diào)持續(xù)的預案維護 7. 協(xié)助建立對業(yè)務持續(xù)性預案的審計項目 B. 專家應該證明其具有以下領域的實務知識： 1. 建立演練項目 a. 制定演練策略，該策略應避免使機構(gòu)陷于風險，應該對機構(gòu)是實用的、具有成本效益的和恰當?shù)?，策略應確保機構(gòu)在恢復能力方面具有很高的信心。 b. 使用邏輯的和結(jié)構(gòu)化的方法（有效分析復雜問題） c. 創(chuàng)建一套正確的演練指導方針 2. 確定演練的需求 a. 定義演練的目標和建立可接受的成功等級 b. 識別演練的類型及其優(yōu)勢和劣勢 (1) 排演桌面 (2) 模擬 (3) 模塊部件（呼叫樹、應用等） (4) 功能的（特定的業(yè)務流程） (5) 宣布的計劃的 (6)

45、 非宣布的突然的 c. 建立和記錄演練的范圍（參與者、時間等） 3. 制定現(xiàn)實的場景 a. 創(chuàng)建最接近于機構(gòu)可能經(jīng)歷的突發(fā)事件類型及其引起的問題的演練場景 b. 將所識別的場景對應到不同的測試類型中 4. 建立演練評估標準和記錄發(fā)現(xiàn) a. 制定與演練目標和范圍一致的標準 (1) 可測量的和定量的 (2) 定性的 b. 按照所確定的標準記錄結(jié)果 (1) 預期的與實際的結(jié)果 (2) 非預期的結(jié)果 5. 建立演練進度表 a. 制定逐步展開的進度表 b. 設定現(xiàn)實的時間尺度 6. 準備演練控制計劃和報告 a. 定義演練的目標和選擇適當?shù)膱鼍?b. 定義假設和描述限制條件 c. 識別執(zhí)行演練所需的資源，

46、確定參與者；確保所有人理解目標及其角色 d. 識別演練的裁判者（仲裁者），并明確識別所有的角色和責任 e. 提供演練所需的項目清單和演練環(huán)境的規(guī)格說明 f. 提供演練的時間表并將其分發(fā)給所有的參與者、協(xié)助者和裁判者 g. 在演練時發(fā)生真實突發(fā)事件的情況下，需要事先制定的機制來取消演練，并調(diào)用真實的業(yè)務持續(xù)性過程 7. 推進演練 a. 按照如上計劃執(zhí)行演練 b. 審計演練活動 8. 演練后的報告 a. 提供令人信服的、全面的和包含建議的總結(jié)，應與演練仲裁者裁判者要求的或目標機構(gòu)設定的信任級別相當 9. 反饋和監(jiān)視由演練導致的行動 a. 召開任務報告會來檢查演練的結(jié)果并確定進行改進的行動項目 b. 識別所建議的行動和建議人；告知建議人建議已收到 c. 確認完成或檢查議定行動的時間進度 d. 監(jiān)視（需要時逐級進行）完成議定行動的進程 10. 定義預案的維護方案和進度 a. 定義預案數(shù)據(jù)的擁有權(quán) b. 準備維護進度和檢查規(guī)程 (1) 選擇工具 (2) 監(jiān)視活動 (3) 建立更新過程 (4) 審計和控制 c. 確保進度中的預案維護涉及到所有所記錄的建議 11. 闡明更改控制規(guī)程 a. 分析業(yè)務持續(xù)性預案中業(yè)務更改的含義 b. 設定用于對預案功