对业务风险的管理至关重要；风险管理是指对危及组织资产和获利能力的那些风险进行识别、评估并从经济上进行控制。对那些易识别的事件进行规划和准备是一项“必须完成的”任务。

什么是业务连续性计划？

一个组织的业务连续性计划由用于响应破坏性事件的书面程序构成，内容包括它将如何在既定的期间内继续或恢复其活动。这些程序应当满足其使用人员的要求。

我们希望永远不需要业务连续性计划，但应将恢复、继续运营和最终回到正常经营状况的能力视为一个重要问题。业务连续性计划需要能够快速平稳地恢复组织运营，提出在时间发生前、发生期间和发生后需要采取的措施。

我们听说了很多自然灾害（例如龙卷风、洪水和火灾）和人为灾难（例如恐怖主义袭击），但对组织最频繁的破坏并不这么耸人听闻，而是断电、电缆中断、设备故障、被盗或者意外损坏之类的事情。业务连续性计划用来防止可能导致对组织造成进一步破坏的事件。

一个管理得当的管理体系拥有可靠的恢复计划；不过，它们需要建筑物、员工、服务和沟通才能得以实施。如果组织的建筑物仍处于黑暗之中，迅速恢复个别系统或流程的价值不大。部署用于解决特定问题的孤立解决方案并非业务连续性；业务连续性应当包含组织的所有重要产品和服务以及所有风险。

通过良好的策划，组织可以识别和减少风险，迅速制定出正确的决策，减少时间和财务损失，才有可能挽救业务。

四步骤流程

第1步：建立核心策划团队

需要确认负责开发业务连续性计划的一个人或一组人。规划团队的规模将取决于组织业务的运营、要求和资源。它可能是一个人，也可能是几个人；每个人都应当具有特定的技能或知识。在规划的早期阶段，确定谁应当是主要参与成员，以及谁能担任咨询工作。

应当由高级管理层以书面形式来委任这些成员，并对其工作说明进行特别修改，以反映附加的职责。从一开始，高级管理层必须积极主动地促进该计划的成功。他们应当向组织发布一份清晰的说明书：

• 1、提出计划的目的以及它将如何与整个业务相关联

• 2、为该计划设定高优先级

• 3、详细说明团队的权力、报告和结构

• 4、授权团队采取必要步骤来开发一个计划，制定工作进度表，计划的成果物和期限及预算

业务连续性团队内的人员和岗位规划非常重要，应当谨慎地选择成员。项目管理、交际能力和常识是团队在与整个公司打交道、询问棘手问题以及某些情况下变更工作实践时所必需的技能。需要坚定地向那些受影响的人们解释为什么需要变化与推动这些变化，但应当采取体谅且通情达理的方式。

第2步：了解组织的能力和所面临的风险

在该步骤中会实施一个最初的威胁评估，以确定组织弱点容易受到哪些潜在危险、紧急情况和破坏。

a． 评审组织组织已经制定的内部计划和政策。尝试并了解当前政策和程序的制定目的是什么，由哪些人制定。需要特别注意现有的内部流程。如果某个人已经花时间来设计和记录一些东西，它可能比较重要。因为某个文件是旧的并不意味着该文件过时或者不重要。公司内的很多计划都涉及应当做什么；但它们很少涉及如果出了问题应当做什么。

寻找涉及以下内容的文件：

• 1、撤离

• 2、火灾

• 3、职业健康与安全

• 4、环保政策

• 5、安全程序

• 6、保险

• 7、停业计划

• 8、员工手册

• 9、危险品计划

b． 与当地的政府顾问、社区组织和当地的公用设施提供商进行会晤，以确定它们可用于响应任何事件的灾难恢复计划和资源。

识别适用的地方法规，例如：

• 1、消防计划

• 2、泄洪表

• 3、环保法规

• 4、撤离计划

c． 识别在组织和网络中内能够支撑业务运营的关键产品、服务和操作。

需要评审的领域：

• 1、公司产品/服务，以及生产它们所需的设施和设备

• 2、供应商（尤其是独家供应商）提供的产品和服务

• 3、关键服务，例如电力、水、排污、天然气、电信和数据连接

• 4、让设备持续运转的关键设备和人员

d． 识别组织在紧急情况下或业务遭到破坏时可能需要的内部资源和能力。

它们可能包括：

• 1、被任命为消防队长、危险品响应团队、安全撤离团队以及一名公共信息官员的人员

• 2、消防和灭火设备，通信设备，急救用品，警报系统，应急电力，以及净化用品

• 3、被指定为紧急指挥中心的机构，新闻发布区，以及避难所急救站

• 4、所有相关供应商、联系人和员工的地址、号码和联系详情

• 5、用于提供工资单、通信、生产、客服、运输和接收、信息加工以及恢复业务支持的备份系统

• 6、识别存在的困难并对活动进行排序，然后确定将如何处理弱点分析时确定的问题区域和资源短缺

e． 识别可能需要的外部资源，并且去顶是否需要正式的协议来定义与这些资源之间的关系。

• 1、当地的应急管理办公室

• 2、消防部门

• 3、医院

• 4、当地警方

• 5、公用事业

• 6、承包商/供应商

• 7、保险合同

f．对所有的保险单进行审查，确定承保范围的费用/好处。

第3步：开发一项计划来控制事态发展

当确认发生某些事件时，需要一个明确的计划来进行指导。你没有时间来决定做什么和怎么做，该计划将会通过提供基础性的任务、流程和指导来帮助你们。
计划应当包括下面的基本内容：

• 1、一项执行摘要，向高级管理层和所有员工提供综述

• 2、计划的目的

• 3、组织和每个单元的应急管理政策

• 4、精选出来的一组员工的岗位、职责与权力

• 5、可能出现的紧急情况

应急管理章节中的响应地点和恢复地点定义了公司或组织将如何处理运营问题。这一节为开发用来保护人员和设备并且促进恢复运营所需的程序提供依据。

• 1、应急管理团队的领导与管理

• 2、通信

• 3、生命安全

• 4、财产保护

• 5、恢复

• 6、行政

应急响应程序提出组织将如何响应紧急情况以及在灾难发生时立即进行处理所需的职责。应当为特定的潜在紧急情况开发特定的程序。这些将作为其他情况的模板和指导。
至少应当涵盖以下程序：

• 1、组织最初如何评估破坏情况

• 2、保护员工、顾客、供应商和业务合作伙伴、设备、信息和记录等要素的首选方法

• 3、如何报告紧急情况

• 4、如何警告员工

• 5、撤离计划

• 6、如何确定何时以及如何中断运营

• 7、需要如何处理内部和外部通信

• 8、特定员工群体的特定行动

• 9、执行委员会

• 10、业务连续性协调了人与紧急管理团队领导

• 11、紧急管理团队成员、备选团队成员及领导计划及支持文件，以便在需要时能立即使用

• 12、文件诸如一下：
  ——紧急情况联系人详情
  ——建筑物/设施/场所地图，能够识别平面图，网线，楼梯，指定逃生路线，限制区域，公用设施开关，灭火器和灭火系统，总水管等
  ——紧急情况下所需的资源
  ——与其它组织和政府组织之间的互助/互相支持协议

现在开始编写计划。本活动应当在团队成员之间分享，每个人都拥有特定的技能或知识。需要提前设定草案初稿、审核、最后定稿、批准、打印和分发等步骤的目标和期限。对业务的培训和理解非常重要。员工需要知道做什么并且了解他们为什么做。开发、计划和实施所有层级的业务连续性计划培训。让你们所有的策划工作都取得成功非常重要。该计划需要最终由高级管理层公开批准。这并非一份变更申请，计划团队必须持续管理流程和文件。一旦获得批准，可以采用电子和打印形式来分发该计划。最终的分发名单应当包括公司的常务董事，所有其他董事，高级管理层，应急团队成员，以及支持人员。

第4步：执行计划

本步骤不仅仅是将计划放在一边，直到事情发生（比如紧急情况或业务中断）。组织应当根据弱点分析期间所提出的建议采取相关行动，以降低任何时候可能发生的风险。

将计划整合到公司的日常运营中式一项重要的工作，随着业务的变更，业务连续性计划也应该随之而变。通过持续改善/测试计划，业务的回复能力也将提高。

定期对所有员工进行培训，培训应当包括计划中提到的适用于个别员工的程序。设备技术培训、撤离演练都发挥各自的作用。在执行计划后，通过向高级管理层和一般员工询问问题、进行定期的实况测试（例如桌面测试）和情景测试来测试计划的整合程度是否良好，从而确定什么被遗漏、什么需要改进或变动。

结论

现在可以对本文第四步中描述的信息和行动进行评审，并且反馈到计划当中。这种反馈方式是任何成功管理系统的一个重要特征。

业务连续性是一项不间断的任务，可能比较复杂；它也是组织所处理的一项重要的事情。对于某些组织来说，本文描述的这种简单的按步操作方法已经足够；对于其他组织来说，需要对方法进行确切的阐述和独立的检查。

ISO 22301是业务连续性管理（BCM）的国际标准。这种国际级标准提供了一个管理体系，能够让你识别对组织的潜在威胁，并确保具有资源、程序和培训来处理意外破坏。在中断期间，组织将能够保持运营持续，从竞争对手中脱颖而出，并且对品牌进行保护。这些标准代表着多年的研发工作，它以通用方法的形式提出了定义的流程和最佳实践。

ISO 22301适用于各种规模的组织，横跨所有行业，无论是公众还是私营，无论是制造业还是服务业。它提供了一种通用的BCM方法和语言，能够让全球的组织达到国际上公认的最佳标准。该标准基于“PDCA”模型，能够持续改善组织的有效化。

无论决定采取什么路线，业务连续性是一项必须完成的任务。如果没有它组织甚至在面临简单的破坏时都是脆弱和毫无准备的。