引入IT治理理念 保障業(yè)務連續(xù)性

申請免費試用、咨詢電話：400-8352-114

2010年反復無常的市場環(huán)境和激增的經(jīng)營壓力，使到企業(yè)面臨更多的挑戰(zhàn)。當前企業(yè)的業(yè)務運營日益依賴于網(wǎng)絡和IT技術，使到源于IT系統(tǒng)運行中斷而導致的關鍵業(yè)務中斷的風險也隨之而來。因此，越來越多的企業(yè)將注意力從災難發(fā)生之后的業(yè)務恢復，轉(zhuǎn)移到如何保持企業(yè)關鍵業(yè)務連續(xù)性上來?！　?/P>

在上周五，筆者參加了信息產(chǎn)業(yè)部主辦的一個IT治理研討會。在本次研討會上，眾多CIO關注的焦點是如何構(gòu)建IT治理的業(yè)務連續(xù)性恢復管理機制。因為業(yè)務連續(xù)性與恢復對于企業(yè)的長久持續(xù)經(jīng)營是至關重要。實施業(yè)務連續(xù)性管理(BCM：Business Continuity Management，)是確保業(yè)務體系連續(xù)有效地運作，未雨綢繆地防范各種突發(fā)事件，以盡可能低的成本全面提高業(yè)務系統(tǒng)的可靠性和可用性的關鍵。這里和大家分享我的一些心得體會。

一.什么是IT治理的業(yè)務連續(xù)性管理？

IT治理是公司治理的一種具體表現(xiàn)，用于描述企業(yè)是否采用有效的機制，使得IT的應用能夠完成組織賦予它的使命，同時平衡信息技術應用過程中的風險，以確保實現(xiàn)組織的戰(zhàn)略目標。因此，IT治理主要涉及兩個方面：IT要為企業(yè)交付價值，同時IT風險要降到最低。其中保持業(yè)務連續(xù)性管理是降低IT風險的一個具體體現(xiàn)。

(1)為什么需要業(yè)務連續(xù)性管理？

盡管每個人都不愿意提及災難，更不希望災難降臨，但災難常常不期而至。那么，什么樣的威脅能夠?qū)е缕髽I(yè)業(yè)務的中斷？據(jù)國信辦發(fā)布的《重要信息系統(tǒng)災難恢復規(guī)劃指南》中明確定義：災難是由于人為或自然的原因，造成信息系統(tǒng)運行嚴重故障或癱瘓，使信息系統(tǒng)支持的業(yè)務功能停頓或服務水平不可接受的突發(fā)性事件。由此可見，災難不僅指自然的原因，也包括人為的原因。從大到天災小至人禍，并不以人們的意志為轉(zhuǎn)移。比如突然的停電、病毒攻擊、自然災害等。事實上，企業(yè)要保持業(yè)務連續(xù)性，最大的威脅并不是來自于火災、地震等小概率、大影響的災難。相反，企業(yè)的業(yè)務更多地受到諸如人員錯誤、流程缺陷等事件的威脅。雖然它們對企業(yè)經(jīng)營的影響力遠不如那些重大災難，但是它們卻時刻潛伏在企業(yè)的周圍，隨時一觸即發(fā)，同樣會對企業(yè)造成致命的打擊。總之，無論是重大災難還是輕微事故，在發(fā)生時都可能會給企業(yè)運營造成一定的中斷，而持續(xù)運營則是任何企業(yè)的一項基本要求。

從某種程度上說，IT科技進步讓企業(yè)更有競爭力了，但也讓企業(yè)更脆弱了。而且事實也表明，傳統(tǒng)的業(yè)務管理方法及流程在遭遇IT災難時常常不堪一擊，甚至可能隨時崩潰。根據(jù) Meta Research的一份研究表明：盡管IT災難是小概率事件，但它一旦發(fā)生就是高風險事件，因為哪怕是1%的IT災難也能導致100%的損失。因此，在面對突如其來的IT災難事件時，只有構(gòu)建真正有效應對災難事件的IT治理管理體系，才能保證業(yè)務的連續(xù)運行。其中，業(yè)務持續(xù)性管理(BCM)就是用來對付突發(fā)事件的管理方法。應急屬于典型的東方思維，當人們面對災難時，才會想起應對之道，而業(yè)務持續(xù)管理則屬于典型的西方思維，它提供的是應對突發(fā)事件的解決之道。

(2)業(yè)務連續(xù)性管理的具體內(nèi)容

IT治理業(yè)務連續(xù)性管理系統(tǒng)關注的是企業(yè)在突發(fā)事件后，應對風險自動調(diào)整和快速反應的恢復能力。包括如何應對災難事件以及在事件之后如何恢復正常的運轉(zhuǎn)，還包括應對措施的演練。雖然業(yè)務連續(xù)性計劃無法預防災難的發(fā)生，也無法解決災難到來時企業(yè)遇到的所有問題，但是它至少可以為企業(yè)提供一個減少損失的備選方案。參照英國標準化協(xié)會BSI的BS25999標準，IT治理業(yè)務連續(xù)性管理包括災難恢復、危機管理、風險管理。具體內(nèi)容主要有三個方面:①是高可用性，是指提供在本地故障情況下，能繼續(xù)訪問的能力。無論這個故障是業(yè)務流程、物理設施、IT軟/硬件的故障。②是連續(xù)操作，是指當所有設備無故障時保持業(yè)務連續(xù)運行的能力。③是業(yè)務恢復，是指當災難破壞業(yè)務應用時，在不同的地點恢復業(yè)務的能力。

一般而言，業(yè)務連續(xù)性恢復的級別越高，其成本越高，所以業(yè)務連續(xù)性管理很重要的一項工作就是評估最優(yōu)化的成本與時間方案，找到最佳結(jié)合點。因此，找出業(yè)務最大容忍的中斷時間，是非常關鍵的一步。建立業(yè)務連續(xù)性系統(tǒng)BCM有兩個重要指標：RTO和RPO。RTO是恢復時間目標，是指災難發(fā)生后從IT系統(tǒng)停機導致業(yè)務停頓開始，到IT系統(tǒng)恢復可以支持業(yè)務恢復運營時所需要的時間。RPO是恢復點目標，是指能夠恢復至可以支持業(yè)務運作，系統(tǒng)及數(shù)據(jù)恢復到怎樣的更新程度。它可以是上一周的備份數(shù)據(jù)，也可以是上一次交易的實時數(shù)據(jù)。簡單的說：恢復時間目標(RTO)是最大可允許中斷時間;恢復時點目標(RPO是數(shù)據(jù)損失可允許的最遠回溯時點。

二.建立高效保障業(yè)務連續(xù)性系統(tǒng)的步驟

參考本次研討會上眾多CIO對IT治理業(yè)務連續(xù)性的發(fā)言，BCM的實施包括一系列企業(yè)管理行為，核心是制定并實施業(yè)務連續(xù)性計劃。BCM的實施過程可以分為以下五個主要步驟：業(yè)務影響分析、風險分析、設定災難容忍時間指標、確定恢復的成本控制策略、制定測試與演練計劃等。

(1)業(yè)務影響分析，制定所需防范的災難范圍

業(yè)務影響分析是指根據(jù)業(yè)務需求來定義所需防范的災難范圍和相關參數(shù)。分析包括定性或定量分析關鍵業(yè)務中斷的影響或損失、確定關鍵業(yè)務功能的損失標準、確定最大容忍時間指標、制定恢復的優(yōu)先順序。然后，對業(yè)務重要性進行分類，分別考察決策時間、評估時間、等待時間，進而準確定義RTO和RPO。

簡單的說，業(yè)務影響分析主要是識別出企業(yè)的關鍵業(yè)務活動和企業(yè)對這些關鍵業(yè)務活動所能容忍的業(yè)務最大中斷時間，并對這些業(yè)務所依賴的要素進行分析，最后按照恢復的優(yōu)先級排序并確定出關鍵活動。總體說來，是分別定義事件的重要和緊急程度，對于最重要、最緊急的事情，進行重點及時處理。對于緊急的災難事件，容忍時間限度要放寬，可用災難級DRTO、DRPO(Disaster Recovery)來衡量;而對于日常工作中的普通問題，時間限度則要變小，要求必須實時備份，在系統(tǒng)故障發(fā)生時及時追回數(shù)據(jù)?？捎眠\行級ORTO、ORPO (Operational Recovery)來衡量。

(2)風險分析，明確需要防范的災難類型

一般來說，災難風險可分為突發(fā)性和漸進性兩大類。企業(yè)需要考慮要預防哪些災難風險，這些災難風險會使業(yè)務中斷多久等。針對不同的災難風險，實現(xiàn)業(yè)務連續(xù)性技術保護手段時也是有所區(qū)別的。根據(jù)各行業(yè)的特點和國際上相關機構(gòu)的調(diào)查，硬件故障、人為錯誤、軟件錯誤居信息系統(tǒng)故障發(fā)生概率的前三位，而自然災害是屬于小概率事件，但由于破壞力大也是業(yè)務連續(xù)災備系統(tǒng)必須防范的重要內(nèi)容。也就是說，通過風險分析，明確IT系統(tǒng)需要承受的災難類型，并對諸如系統(tǒng)故障、硬件故障、數(shù)據(jù)受損、火災及地震等各種意外情況采取的合適的備份和保護方案。同時，針對不同的災難風險等級，它們的防范策略應該是不盡相同的。

(3)依據(jù)業(yè)務關鍵程度，設定災難容忍時間指標層次

對于業(yè)務連續(xù)性系統(tǒng)來說，它畢竟是一個IT容災系統(tǒng)，在災難發(fā)生后需要有一個恢復的過程。解決這一問題的方法是對企業(yè)的業(yè)務采取全局審視的態(tài)度，先將最關鍵的應用以最快的速度恢復出來。業(yè)務連續(xù)性規(guī)劃中最關鍵的是:了解對企業(yè)最重要的東西，因為全面恢復是需要很長時間的。因此，必須明確當IT系統(tǒng)發(fā)生意外無法工作時，依據(jù)業(yè)務停頓所造成的損失程度，設定用戶對于IT系統(tǒng)發(fā)生故障的最大容忍時間，這也是設計IT治理業(yè)務連續(xù)性方案的重要技術指標。

通過業(yè)務影響分析，估計業(yè)務停頓隨時間而造成的損失，進而確定對該企業(yè)而言比較合適的RTO和RPO容忍時間指標。通常企業(yè)規(guī)模大，要求的RTO恢復時間越短;而RPO恢復點目標的確定則不是依賴于企業(yè)業(yè)務規(guī)模，而是決定于企業(yè)業(yè)務的性質(zhì)和業(yè)務操作依賴于數(shù)據(jù)的程度。所以，對業(yè)務關鍵程度進行分析，設定災難容忍時間指標層次，以調(diào)整控制措施是很有必要的。

(4)成本控制，平衡風險等級和業(yè)務連續(xù)性的關系

一般來說，業(yè)務恢復目標應是越短越好，但這同時也意味著更多成本的投入，即可能需要購買更快的存儲設備或高可用性軟件。因此業(yè)務連續(xù)性應當根據(jù)業(yè)務恢復的總體成本對最關鍵的應用進行權衡。因為把一切都立即恢復出來通常是不現(xiàn)實的作法，如果企業(yè)并不是立即需要某些業(yè)務數(shù)據(jù)，卻為這些業(yè)務數(shù)據(jù)制訂高恢復等級就是在浪費時間、精力和金錢。當然如果企業(yè)有足夠的錢，完全可以創(chuàng)建任何一種解決方案。

但在多數(shù)情況下，卻不必如此。因為有時企業(yè)的某些業(yè)務并不需要迅速的立即恢復。根據(jù)不同的恢復目標和實現(xiàn)方案，災難業(yè)務連續(xù)技術方案一般可分為七個級別。在這七個級別的災備方案中，隨著災備目標不同，方案及成本也有不同。簡單的說，就是恢復時間要求越短，成本越高。所以，合適的IT治理業(yè)務連續(xù)性管理方案應是基于風險等級和成本相應平衡的。

(5)業(yè)務連續(xù)恢復方案，不能光建不練

IT治理業(yè)務連續(xù)恢復方案是為了減少災難發(fā)生后帶來的損失，和保證IT系統(tǒng)所支持的關鍵業(yè)務能在災難發(fā)生后，及時恢復和繼續(xù)運作所作的事前計劃和安排。因為災難業(yè)務連續(xù)恢復系統(tǒng)只在災難發(fā)生后才會考慮啟用，在企業(yè)日常運營中并不投入使用。所以，即使業(yè)務連續(xù)性計劃存在有問題也不會立即暴露出來?；谶@個原因，業(yè)務連續(xù)恢復計劃不能光建不練。

也就是說，制定好IT治理業(yè)務連續(xù)恢復計劃后，并不是萬事大吉和束之高閣，不經(jīng)過演練的計劃方案無異于紙上談兵。但很多企業(yè)并沒有意識到這一點，往往花費了大量的人力和物力制定了IT業(yè)務連續(xù)恢復系統(tǒng)就以為萬事大吉了。殊不知，在IT災難狀態(tài)下這些措施并不一定有效。所以，即使建立了業(yè)務連續(xù)恢復計劃，測試和演練也是非常有必要的，而且這也是有效的IT治理必不可少的關鍵一步。