引入IT治理理念 保障業(yè)務(wù)連續(xù)性

申請免費試用、咨詢電話：400-8352-114

2010年反復(fù)無常的市場環(huán)境和激增的經(jīng)營壓力，使到企業(yè)面臨更多的挑戰(zhàn)。當(dāng)前企業(yè)的業(yè)務(wù)運營日益依賴于網(wǎng)絡(luò)和IT技術(shù)，使到源于IT系統(tǒng)運行中斷而導(dǎo)致的關(guān)鍵業(yè)務(wù)中斷的風(fēng)險也隨之而來。因此，越來越多的企業(yè)將注意力從災(zāi)難發(fā)生之后的業(yè)務(wù)恢復(fù)，轉(zhuǎn)移到如何保持企業(yè)關(guān)鍵業(yè)務(wù)連續(xù)性上來?！　?/P>

在上周五，筆者參加了信息產(chǎn)業(yè)部主辦的一個IT治理研討會。在本次研討會上，眾多CIO關(guān)注的焦點是如何構(gòu)建IT治理的業(yè)務(wù)連續(xù)性恢復(fù)管理機制。因為業(yè)務(wù)連續(xù)性與恢復(fù)對于企業(yè)的長久持續(xù)經(jīng)營是至關(guān)重要。實施業(yè)務(wù)連續(xù)性管理(BCM：Business Continuity Management，)是確保業(yè)務(wù)體系連續(xù)有效地運作，未雨綢繆地防范各種突發(fā)事件，以盡可能低的成本全面提高業(yè)務(wù)系統(tǒng)的可靠性和可用性的關(guān)鍵。這里和大家分享我的一些心得體會。

一.什么是IT治理的業(yè)務(wù)連續(xù)性管理？

IT治理是公司治理的一種具體表現(xiàn)，用于描述企業(yè)是否采用有效的機制，使得IT的應(yīng)用能夠完成組織賦予它的使命，同時平衡信息技術(shù)應(yīng)用過程中的風(fēng)險，以確保實現(xiàn)組織的戰(zhàn)略目標(biāo)。因此，IT治理主要涉及兩個方面：IT要為企業(yè)交付價值，同時IT風(fēng)險要降到最低。其中保持業(yè)務(wù)連續(xù)性管理是降低IT風(fēng)險的一個具體體現(xiàn)。

(1)為什么需要業(yè)務(wù)連續(xù)性管理？

盡管每個人都不愿意提及災(zāi)難，更不希望災(zāi)難降臨，但災(zāi)難常常不期而至。那么，什么樣的威脅能夠?qū)е缕髽I(yè)業(yè)務(wù)的中斷？據(jù)國信辦發(fā)布的《重要信息系統(tǒng)災(zāi)難恢復(fù)規(guī)劃指南》中明確定義：災(zāi)難是由于人為或自然的原因，造成信息系統(tǒng)運行嚴(yán)重故障或癱瘓，使信息系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受的突發(fā)性事件。由此可見，災(zāi)難不僅指自然的原因，也包括人為的原因。從大到天災(zāi)小至人禍，并不以人們的意志為轉(zhuǎn)移。比如突然的停電、病毒攻擊、自然災(zāi)害等。事實上，企業(yè)要保持業(yè)務(wù)連續(xù)性，最大的威脅并不是來自于火災(zāi)、地震等小概率、大影響的災(zāi)難。相反，企業(yè)的業(yè)務(wù)更多地受到諸如人員錯誤、流程缺陷等事件的威脅。雖然它們對企業(yè)經(jīng)營的影響力遠(yuǎn)不如那些重大災(zāi)難，但是它們卻時刻潛伏在企業(yè)的周圍，隨時一觸即發(fā)，同樣會對企業(yè)造成致命的打擊?？傊?，無論是重大災(zāi)難還是輕微事故，在發(fā)生時都可能會給企業(yè)運營造成一定的中斷，而持續(xù)運營則是任何企業(yè)的一項基本要求。

從某種程度上說，IT科技進(jìn)步讓企業(yè)更有競爭力了，但也讓企業(yè)更脆弱了。而且事實也表明，傳統(tǒng)的業(yè)務(wù)管理方法及流程在遭遇IT災(zāi)難時常常不堪一擊，甚至可能隨時崩潰。根據(jù) Meta Research的一份研究表明：盡管IT災(zāi)難是小概率事件，但它一旦發(fā)生就是高風(fēng)險事件，因為哪怕是1%的IT災(zāi)難也能導(dǎo)致100%的損失。因此，在面對突如其來的IT災(zāi)難事件時，只有構(gòu)建真正有效應(yīng)對災(zāi)難事件的IT治理管理體系，才能保證業(yè)務(wù)的連續(xù)運行。其中，業(yè)務(wù)持續(xù)性管理(BCM)就是用來對付突發(fā)事件的管理方法。應(yīng)急屬于典型的東方思維，當(dāng)人們面對災(zāi)難時，才會想起應(yīng)對之道，而業(yè)務(wù)持續(xù)管理則屬于典型的西方思維，它提供的是應(yīng)對突發(fā)事件的解決之道。

(2)業(yè)務(wù)連續(xù)性管理的具體內(nèi)容

IT治理業(yè)務(wù)連續(xù)性管理系統(tǒng)關(guān)注的是企業(yè)在突發(fā)事件后，應(yīng)對風(fēng)險自動調(diào)整和快速反應(yīng)的恢復(fù)能力。包括如何應(yīng)對災(zāi)難事件以及在事件之后如何恢復(fù)正常的運轉(zhuǎn)，還包括應(yīng)對措施的演練。雖然業(yè)務(wù)連續(xù)性計劃無法預(yù)防災(zāi)難的發(fā)生，也無法解決災(zāi)難到來時企業(yè)遇到的所有問題，但是它至少可以為企業(yè)提供一個減少損失的備選方案。參照英國標(biāo)準(zhǔn)化協(xié)會BSI的BS25999標(biāo)準(zhǔn)，IT治理業(yè)務(wù)連續(xù)性管理包括災(zāi)難恢復(fù)、危機管理、風(fēng)險管理。具體內(nèi)容主要有三個方面:①是高可用性，是指提供在本地故障情況下，能繼續(xù)訪問的能力。無論這個故障是業(yè)務(wù)流程、物理設(shè)施、IT軟/硬件的故障。②是連續(xù)操作，是指當(dāng)所有設(shè)備無故障時保持業(yè)務(wù)連續(xù)運行的能力。③是業(yè)務(wù)恢復(fù)，是指當(dāng)災(zāi)難破壞業(yè)務(wù)應(yīng)用時，在不同的地點恢復(fù)業(yè)務(wù)的能力。

一般而言，業(yè)務(wù)連續(xù)性恢復(fù)的級別越高，其成本越高，所以業(yè)務(wù)連續(xù)性管理很重要的一項工作就是評估最優(yōu)化的成本與時間方案，找到最佳結(jié)合點。因此，找出業(yè)務(wù)最大容忍的中斷時間，是非常關(guān)鍵的一步。建立業(yè)務(wù)連續(xù)性系統(tǒng)BCM有兩個重要指標(biāo)：RTO和RPO。RTO是恢復(fù)時間目標(biāo)，是指災(zāi)難發(fā)生后從IT系統(tǒng)停機導(dǎo)致業(yè)務(wù)停頓開始，到IT系統(tǒng)恢復(fù)可以支持業(yè)務(wù)恢復(fù)運營時所需要的時間。RPO是恢復(fù)點目標(biāo)，是指能夠恢復(fù)至可以支持業(yè)務(wù)運作，系統(tǒng)及數(shù)據(jù)恢復(fù)到怎樣的更新程度。它可以是上一周的備份數(shù)據(jù)，也可以是上一次交易的實時數(shù)據(jù)。簡單的說：恢復(fù)時間目標(biāo)(RTO)是最大可允許中斷時間;恢復(fù)時點目標(biāo)(RPO是數(shù)據(jù)損失可允許的最遠(yuǎn)回溯時點。

二.建立高效保障業(yè)務(wù)連續(xù)性系統(tǒng)的步驟

參考本次研討會上眾多CIO對IT治理業(yè)務(wù)連續(xù)性的發(fā)言，BCM的實施包括一系列企業(yè)管理行為，核心是制定并實施業(yè)務(wù)連續(xù)性計劃。BCM的實施過程可以分為以下五個主要步驟：業(yè)務(wù)影響分析、風(fēng)險分析、設(shè)定災(zāi)難容忍時間指標(biāo)、確定恢復(fù)的成本控制策略、制定測試與演練計劃等。

(1)業(yè)務(wù)影響分析，制定所需防范的災(zāi)難范圍

業(yè)務(wù)影響分析是指根據(jù)業(yè)務(wù)需求來定義所需防范的災(zāi)難范圍和相關(guān)參數(shù)。分析包括定性或定量分析關(guān)鍵業(yè)務(wù)中斷的影響或損失、確定關(guān)鍵業(yè)務(wù)功能的損失標(biāo)準(zhǔn)、確定最大容忍時間指標(biāo)、制定恢復(fù)的優(yōu)先順序。然后，對業(yè)務(wù)重要性進(jìn)行分類，分別考察決策時間、評估時間、等待時間，進(jìn)而準(zhǔn)確定義RTO和RPO。

簡單的說，業(yè)務(wù)影響分析主要是識別出企業(yè)的關(guān)鍵業(yè)務(wù)活動和企業(yè)對這些關(guān)鍵業(yè)務(wù)活動所能容忍的業(yè)務(wù)最大中斷時間，并對這些業(yè)務(wù)所依賴的要素進(jìn)行分析，最后按照恢復(fù)的優(yōu)先級排序并確定出關(guān)鍵活動?？傮w說來，是分別定義事件的重要和緊急程度，對于最重要、最緊急的事情，進(jìn)行重點及時處理。對于緊急的災(zāi)難事件，容忍時間限度要放寬，可用災(zāi)難級DRTO、DRPO(Disaster Recovery)來衡量;而對于日常工作中的普通問題，時間限度則要變小，要求必須實時備份，在系統(tǒng)故障發(fā)生時及時追回數(shù)據(jù)?？捎眠\行級ORTO、ORPO (Operational Recovery)來衡量。

(2)風(fēng)險分析，明確需要防范的災(zāi)難類型

一般來說，災(zāi)難風(fēng)險可分為突發(fā)性和漸進(jìn)性兩大類。企業(yè)需要考慮要預(yù)防哪些災(zāi)難風(fēng)險，這些災(zāi)難風(fēng)險會使業(yè)務(wù)中斷多久等。針對不同的災(zāi)難風(fēng)險，實現(xiàn)業(yè)務(wù)連續(xù)性技術(shù)保護(hù)手段時也是有所區(qū)別的。根據(jù)各行業(yè)的特點和國際上相關(guān)機構(gòu)的調(diào)查，硬件故障、人為錯誤、軟件錯誤居信息系統(tǒng)故障發(fā)生概率的前三位，而自然災(zāi)害是屬于小概率事件，但由于破壞力大也是業(yè)務(wù)連續(xù)災(zāi)備系統(tǒng)必須防范的重要內(nèi)容。也就是說，通過風(fēng)險分析，明確IT系統(tǒng)需要承受的災(zāi)難類型，并對諸如系統(tǒng)故障、硬件故障、數(shù)據(jù)受損、火災(zāi)及地震等各種意外情況采取的合適的備份和保護(hù)方案。同時，針對不同的災(zāi)難風(fēng)險等級，它們的防范策略應(yīng)該是不盡相同的。

(3)依據(jù)業(yè)務(wù)關(guān)鍵程度，設(shè)定災(zāi)難容忍時間指標(biāo)層次

對于業(yè)務(wù)連續(xù)性系統(tǒng)來說，它畢竟是一個IT容災(zāi)系統(tǒng)，在災(zāi)難發(fā)生后需要有一個恢復(fù)的過程。解決這一問題的方法是對企業(yè)的業(yè)務(wù)采取全局審視的態(tài)度，先將最關(guān)鍵的應(yīng)用以最快的速度恢復(fù)出來。業(yè)務(wù)連續(xù)性規(guī)劃中最關(guān)鍵的是:了解對企業(yè)最重要的東西，因為全面恢復(fù)是需要很長時間的。因此，必須明確當(dāng)IT系統(tǒng)發(fā)生意外無法工作時，依據(jù)業(yè)務(wù)停頓所造成的損失程度，設(shè)定用戶對于IT系統(tǒng)發(fā)生故障的最大容忍時間，這也是設(shè)計IT治理業(yè)務(wù)連續(xù)性方案的重要技術(shù)指標(biāo)。

通過業(yè)務(wù)影響分析，估計業(yè)務(wù)停頓隨時間而造成的損失，進(jìn)而確定對該企業(yè)而言比較合適的RTO和RPO容忍時間指標(biāo)。通常企業(yè)規(guī)模大，要求的RTO恢復(fù)時間越短;而RPO恢復(fù)點目標(biāo)的確定則不是依賴于企業(yè)業(yè)務(wù)規(guī)模，而是決定于企業(yè)業(yè)務(wù)的性質(zhì)和業(yè)務(wù)操作依賴于數(shù)據(jù)的程度。所以，對業(yè)務(wù)關(guān)鍵程度進(jìn)行分析，設(shè)定災(zāi)難容忍時間指標(biāo)層次，以調(diào)整控制措施是很有必要的。

(4)成本控制，平衡風(fēng)險等級和業(yè)務(wù)連續(xù)性的關(guān)系

一般來說，業(yè)務(wù)恢復(fù)目標(biāo)應(yīng)是越短越好，但這同時也意味著更多成本的投入，即可能需要購買更快的存儲設(shè)備或高可用性軟件。因此業(yè)務(wù)連續(xù)性應(yīng)當(dāng)根據(jù)業(yè)務(wù)恢復(fù)的總體成本對最關(guān)鍵的應(yīng)用進(jìn)行權(quán)衡。因為把一切都立即恢復(fù)出來通常是不現(xiàn)實的作法，如果企業(yè)并不是立即需要某些業(yè)務(wù)數(shù)據(jù)，卻為這些業(yè)務(wù)數(shù)據(jù)制訂高恢復(fù)等級就是在浪費時間、精力和金錢。當(dāng)然如果企業(yè)有足夠的錢，完全可以創(chuàng)建任何一種解決方案。

但在多數(shù)情況下，卻不必如此。因為有時企業(yè)的某些業(yè)務(wù)并不需要迅速的立即恢復(fù)。根據(jù)不同的恢復(fù)目標(biāo)和實現(xiàn)方案，災(zāi)難業(yè)務(wù)連續(xù)技術(shù)方案一般可分為七個級別。在這七個級別的災(zāi)備方案中，隨著災(zāi)備目標(biāo)不同，方案及成本也有不同。簡單的說，就是恢復(fù)時間要求越短，成本越高。所以，合適的IT治理業(yè)務(wù)連續(xù)性管理方案應(yīng)是基于風(fēng)險等級和成本相應(yīng)平衡的。

(5)業(yè)務(wù)連續(xù)恢復(fù)方案，不能光建不練

IT治理業(yè)務(wù)連續(xù)恢復(fù)方案是為了減少災(zāi)難發(fā)生后帶來的損失，和保證IT系統(tǒng)所支持的關(guān)鍵業(yè)務(wù)能在災(zāi)難發(fā)生后，及時恢復(fù)和繼續(xù)運作所作的事前計劃和安排。因為災(zāi)難業(yè)務(wù)連續(xù)恢復(fù)系統(tǒng)只在災(zāi)難發(fā)生后才會考慮啟用，在企業(yè)日常運營中并不投入使用。所以，即使業(yè)務(wù)連續(xù)性計劃存在有問題也不會立即暴露出來。基于這個原因，業(yè)務(wù)連續(xù)恢復(fù)計劃不能光建不練。

也就是說，制定好IT治理業(yè)務(wù)連續(xù)恢復(fù)計劃后，并不是萬事大吉和束之高閣，不經(jīng)過演練的計劃方案無異于紙上談兵。但很多企業(yè)并沒有意識到這一點，往往花費了大量的人力和物力制定了IT業(yè)務(wù)連續(xù)恢復(fù)系統(tǒng)就以為萬事大吉了。殊不知，在IT災(zāi)難狀態(tài)下這些措施并不一定有效。所以，即使建立了業(yè)務(wù)連續(xù)恢復(fù)計劃，測試和演練也是非常有必要的，而且這也是有效的IT治理必不可少的關(guān)鍵一步。