国际注册内部审计师

TOPIC14　应急计划

相关知识

Contingency Planning

应急计划

应急计划或业务持续性计划的目的是当组织及其信息系统在灾难事件发生时，能够减少或避免关键业务中断，保证组织生存且持续运营。应急计划应纳入企业IT总体规划，并成为企业风险管理框架的组成部分。

国际内审师考试经营分析和信息技术辅导应急计划 src="http:///NewsFiles/2010-2/8/00a1.jpg" border=0>

　　保证企业的业务持续性是最高管理层的职责，应急计划的制定不是某个人或某个部门的事情，必须组成一个团队，该团队及其领导人应具有足够的权威，能够和相关部门和人员进行充分的沟通。应定期对员工进行风险管理培训，并使每一个人明确其在业务持续性计划中所承担的角色和责任.

完整的应急计划实施包括业务影响分析和目标设定、运行分类和重要性分析、计划制定、计划测试和实施、检测：

(1)业务影响分析（BIA）是制定应急计划的首发步骤，它对每一种可能影响企业正常运营的潜在风险，如火灾、洪水、飓风、系统崩溃、数据丢失、黑客攻击和恐怖袭击等事件发生的可能性及后果进行评估。

(2)确定风险后，应根据不同业务可以承受的后果（如宕机时间、恢复成本）对业务进行分类和重要性分析，以此来制定不同类别业务的保护级别和恢复顺序。不同的组织拥有不同的业务分类和优先级，以下是一种可能的分类：

①关键（CritiCAl）系统：远程通信和核心处理，如订单处理、开票和发运.

②重要（VitAl）系统：财务（应6／应付、总账）和客服。

③敏感（Sensititive）系统：薪资和终端用户数据。

④非关键（NonCritiCAl）系统：人力资源、预算和采购。

(3)制定计划：应急计划应该考虑到方方面面，如备份和恢复的技术手段、财产保险、人员角色和通信方式、恢复阶段的员工交通和生活设施等。以下是恢复计划中应包括的若干内容：

①简明介绍

②团队职责列表和紧急联系方式

③备份计划和异地备份的地点

④问题升级的流程

⑤行动计划，包括恢复的时间期限、恢复策略以及关于硬件、软件、网络和远程通信的分类计划

⑥保险文件

(4)测试和实施计划：计划有效性的最佳证据是对计划进行了成功的测试。最好的测试是在生产环境，并且拥有同等规模的业务量情况下完成的。有些业务系统可能无法进行全面的实战性测试，只能进行模拟中断测试和纸面上的串行测试，此时应精心设计测试环境，使之尽可能接近实际环境。

(5)监测：最好的计划如果不进行更新也会过时，当组织的结构和运营发生改变时，灾难恢复计划必须随之改变，以保证恢复计划的及时、有效。

（责任编辑：中大编辑）

共2页,当前第1页  第一页  前一页  下一页