3)策略
BCP应包括以下策略:
A.预防一预防的目的在于减少灾难发生的可能性。有关预防的策略应该包括制止和预防控制。制止控制可以减少危险的可能性。预防控制则是保护企业的弱点区域,以防御危险的发生并降低其影响。这两类控制在实际运营中广泛存在,比如经营场所的安全、人员控制、 相关基础设施(如UPS、后备电池、烟火探测器、灭火器等)、软件控制、相关的存储和恢复等。
企业希望保障其资源(包括信息资产)的可用性和安全性,其安全策略必须针对这些对象而制定,并且提供有关资源使用和管理的指南。在熟悉了企业的所有资源、资源的布局以及危险管理等之后,才可能拿出实施安全策略所需的必要的控制措施。这些控制措施或安全举措必须时时加以检查和测试。
如果一种安全策略,能将预防措施都部署到位,可以监控对系统的入侵并防范那些试图破坏系统的行为,那么其本身就是一种制止控制。预防计划的执行必须小心谨慎,必须保证实施安全策略时既不能对日常业务带来限制,出现瓶颈,也不能引起可用性问题,或者给系统的访问和使用带来障碍。
B.响应一响应就是当危险发生时的反应。它必须能够阻止危险的进一步扩大j评估危险的程度,通过与外部世界的正常通信联络挽回企业的声誉,并启动必要的恢复时间表。
对业务中断的第一反应应该是告知所有相关的人员。如果危险有事前警示的话(比如这次的非典爆发),那么这种告知就可以提前进行。及时的告知非常重要,因为这可台&会给阻止危险的进一步扩大创造机会。如果在适当的时机执行一次关机、一次转换或者一次撤离, 甚至有可能完全防止危险的发生。但是这需要有诊断或探测控制的存在。这类控制或者可以持续扫描以探测发生中断的征候(网络、服务器),或者可以从外部资源搜集信息(自然灾害)。