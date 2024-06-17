业务连续性是指组织在危机发生时维护关键业务功能、最大限度地减少中断并以最少的停机时间恢复正常运营的能力。这些危机可能包括网络攻击、设备或供应链故障、自然灾害、停电和其他突发事件。
如果没有制定业务连续性计划，企业就会很容易受到许多事件的影响。2020 年新冠疫情爆发时，全球 51% 的公司没有制定业务连续性计划。1
缺乏业务连续性管理 (BCM) 可能会付出高昂的代价。例如，根据 IBM 发布的《数据泄露成本报告》，2023 年数据泄露的平均成本为 445 万美元。2出现这种损失后，企业可能会发现很难恢复。超过 40% 的企业在灾难发生后不会重新开业。3从长远来看，投资于业务连续性计划可以节省成本，因为恢复策略甚至在威胁来袭之前就已经到位。
业务连续性计划 (BCP) 详细说明了企业在发生灾难时为恢复正常业务功能应遵循的步骤。BCP 采用扩展法，目标是让企业准备好面对各种潜在威胁。
虽然业务连续性计划和灾难恢复计划都是应急计划，但它们处理危机管理的方式不同。业务连续性管理以准备工作为中心，范围更广泛，而灾难恢复计划 (DRP) 则专注于在事件发生时保护数据和 IT 系统。
BCP 是一种积极主动的业务连续性策略，可在业务中断之前、期间和之后立即维持业务功能。同时，DRP 是一种有效响应 灾难并从灾难中恢复的反应性策略。
这两个计划通常单独处理，但协调的业务连续性和灾难恢复方法可以进一步增强组织的运营弹性。
当意外事件发生时，业务连续性计划可以指明前进方向，并精心组织响应和恢复流程。
以下是投资构建强大 BCP 的企业可以期待的一些好处：
灾难性事件可能导致中断。随之而来的是混乱，团队经常争先恐后地让系统重新运行。业务连续性计划可以帮助最大限度地减少这种中断，并制定危机管理计划和应急管理程序，以便在更短的时间内恢复正常。
一旦关键业务功能恢复，团队就可以集中精力恢复正常业务流程。BCP 指定恢复时间目标 (RTO)，即发生计划外事件后恢复业务流程所需的时间。实施经过严格测试的 BCP，其中设定了合理的 RTO，不仅可以快速恢复业务，而且能够增加客户、投资者和利益相关者的信心。
业务中断的代价可能非常高昂，因为公司系统每宕机一分钟都可能意味着收入损失。BCM 可以显著降低恢复成本。例如，根据 IBM 发布的《数据泄露成本报告》，企业可以在业务连续性计划中，指明投资安全 AI 和自动化等网络安全解决方案，这样平均可节省 176 万美元。2BCP 还可以减少可能随之而来的任何潜在声誉损失的影响。
业务连续性甚至可能是一项监管要求，尤其是在医疗保健和个人理财等行业。制定强有力的 BCP 对于在这些领域运营的企业至关重要，有助于它们满足合规标准。
说到业务连续性规划，每个组织都有自己的需求。虽然没有适合所有企业的单一框架，但企业可以采取以下四个步骤来创建有效的 BCP：
业务影响分析 (BIA) 是风险管理的关键部分，是规划过程的第一步。它涉及风险评估，以评估各种业务功能并确定任何可能的风险、威胁和漏洞。BIA 还需要估计这些事件发生的可能性及其对业务运营的潜在影响，以便企业相应地确定优先级。
对于确定的每个事件，公司都必须制定适当的应对措施。应对措施必须包括明确的协议和应对威胁的详细行动。
不同的事件需要不同的响应级别。例如，当停电或网络攻击导致中断时，企业可能需要先让任务关键型 IT 基础设施上线，然后再让其他重要应用程序恢复正常运行。
在这一步也需要考虑技术因素，尤其是在设定恢复点目标 (RPO) 时。组织的 RPO 是指其在灾难中能够承受且仍能恢复的数据损失量。根据其 RPO，企业可能会考虑数据备份和恢复工具。这些工具有助于修复将数据异地存储在远程数据中心的数据丢失、备份和灾难恢复解决方案，以及修复灾难恢复即服务 (DRaaS) 等第三方服务。
在此步骤中，企业领导者和利益相关者将指定关键团队成员，由他们将计划付诸实施并指导应对和恢复工作。有效的 BCP 明确定义了每个团队成员的职责，并概述了履行其角色所需的资源。此外，其中还包括这些团队成员的联系信息，以及在中断导致连接断开时的替代通信方式。
为了证明 BCP 的稳健性，企业必须对其进行定期测试和持续修订。培训对于让员工了解潜在威胁至关重要，而频繁试运行现实场景可以帮助发现问题并找到改进机会。通过定期测试和优化业务连续性计划，企业可以在真正的灾难来袭时尽可能做好准备。
