本文是一份关于业务连续性测试的综合指南,为您提供了可在贵组织实施的一套全面实用方法。
根据BC Benchmark在2019年的一项研究,57%的企业表示每年进行两次或四次测试。他们这样做是因为这有助于在整个公司内部获得持续支持,这意味着在发生中断时将更有准备。
但测试业务连续性中断的准备工作具体有何重要性?
继续阅读,了解为何制定业务连续性计划(BCP)仅是成功的一半,以及为何必须采用频繁测试策略来识别业务连续性中的漏洞并提升准备程度。
什么是业务连续性计划测试?
业务连续性计划(BCP)测试是一种检验员工应急准备程度的方法。该测试通过风险情景模拟,要求员工与灾难恢复团队协同合作,共同解决问题并恢复丢失数据、处理人员问题、修复通信技术或受损财产。本质上,这是针对组织遭遇重大问题时可能发生情况的演练。
- 灾害应对团队能够识别危机管理中的不足之处、相互依赖关系以及需要改进的领域。
- 通过研究新信息不断改进计划
- 满足合规要求并满足监管机构的要求
- 缩短恢复时间并降低成本
- 测试表明对客户展现出更高程度的承诺
- 这一承诺意味着,若您作为某企业的供应商,您将在竞争中脱颖而出(从而能够承接更多项目并赢得客户)。
40%的受访者表示过去一年内至少进行过一次业务连续性测试,另有35%的人在过去六个月内完成过测试。实施这些测试有助于确保您的业务连续性计划永不滞后,避免面临灾难突发的重大风险。
测试是否存在障碍?
放弃BC检测几乎毫无益处。进行这些检测所能获得的收益实在太多了。
然而,业务连续性测试可能面临某些障碍。业务连续性计划测试的主要障碍在于管理者担心测试失败,且竞争对手或客户可能发现这一失败。这种观点存在误区——业务连续性测试的重点不在于通过或失败,而在于识别应急准备中的不足。此外,业务连续性测试在组织内部进行,因此即使发现诸多待改进之处,也不会被外界知晓。
部分组织选择不参与测试,认为测试毫无价值。然而这种态度通常源于对益处的无知——所有行业的企业若进行测试,都能提升灾难应对能力。因此,实施业务连续性测试的企业能获得更高的安全性保障,确保数据和生产力不致流失,并可安心应对财产损失和员工重伤等问题的减少。
需考虑的风险
您可能正在思考,在业务连续性计划测试中应重点考虑哪些具体风险。其中最常见的包括:
在执行业务连续性计划测试时,务必考虑所有这些风险。制定全面行动方案时,这点至关重要。
考虑到这些风险,让我们来看看业务连续性计划测试的主要场景。
1. 数据丢失与泄露
网络攻击和数据丢失是当今职场中最常见的灾难场景。正因如此,您必须测试应对这些危机的方案。职场中数据丢失的常见原因包括:
- 意外删除的文件和文件夹
- 勒索软件和网络攻击
- 服务器或驱动器出现故障
- 数据中心故障
进行一次业务连续性测试,要求团队必须重新获取丢失的数据访问权限。这将帮助他们明确责任归属、确定全流程沟通方式,并厘清在此过程中的核心优先事项。
2. 数据恢复
这种方案对于希望确保在数据丢失时能够恢复大量数据的企业非常有用。
本次测试旨在评估您的团队是否需要将特定目标纳入恢复时间目标(RTO)。同时确保恢复过程中文件不会受损,并确认所有成员都清楚如何访问存储在云端的备份数据。
3. 电源/网络中断
若您身处多风暴地区,工作场所很可能面临电力中断和网络瘫痪的挑战。本测试重点探讨当风暴导致长时间断电时应采取的应对措施。
您将学习如何向员工通报事件,并分配内部及远程任务。通过测试,您可明确哪些部门受停电影响最大,亟需紧急支援。
若配备备用发电设备,需确保团队成员掌握其操作方法。同时应确认有人知晓移动恢复点的位置(若存在此类设施)。
4. 物理性干扰
您很可能已通过消防演习的形式开展此类业务连续性计划测试。还应针对龙卷风、飓风、地震和山洪暴发等其他自然灾害进行演练,了解可能发生的状况。炸弹威胁和枪击事件情景同样可在此类测试中演练。物理中断测试对于保障员工人身安全至关重要。
5. 紧急通讯
这些场景描述了工作场所人员在灾难发生时应如何沟通。您需要明确具体行动方案,配备应急通知软件并指导人员使用方法。同时需更新紧急联络信息,并为每种重大灾难场景制定预案模板。
业务连续性计划测试的分层体系
业务连续性计划(BCP)测试分为五个层级。以下是各层级的简要说明,用于理解测试的实施方式。这些方法可帮助贵组织明确公司与员工的职责分工,定位数据和人员恢复所需资源,并在服务中断后遭遇最坏情况时做好全面准备。
首次BC测试层级
桌面演练是一种团体演练,旨在考察危机应对团队对可能发生的特定灾难情境的响应能力。其目的是快速发现计划中先前未被察觉的漏洞。桌面测试演练将深入探讨响应团队需要处理的各类问题。成功开展桌面演练的通用指南包括:
- 选择一个现实威胁进行分析,该威胁必须可能实际发生在您的行业或组织中(当您针对此威胁进行应对演练时,您将确信拥有能在真实情境中有效行动的危机应对团队)。
- 对必须完成的工作有明确的目标
- 遵循你(以及其他参与者)事先规划好的日程安排
根据演习中获得的经验采取行动(讨论组织应对威胁的方式中的优缺点,并找出如何弥补最薄弱环节的方法)。
第二级BC测试层级
经验丰富的用户参与者是恢复行动第二层级的关键组成部分。这些人员对于制定应对业务连续性中断问题的行动方案至关重要。
引导式讨论可通过多种方式开展。请围绕桌面演练中实施的应对方案展开讨论,识别响应过程中可能存在的问题与缺陷。随后可将这些问题从情景中提炼出来,交由危机恢复团队处理。相关方可通过头脑风暴探讨如何优化这些响应环节,从而使全体成员在真实紧急事件中拥有更高效的行动方案。
第三BC层级
接下来,您需要制定多地点、多日期的应对策略。此时应安排部分员工居家办公,其余人员则需转移至移动恢复单元。
这些员工团队将分别应对不同的灾难场景。每个团队都将面临特定的危机情境,团队成员需在有限压力下协同合作,识别并处理模拟事件。他们必须作为紧密协作的整体共同决策、管理所获信息、记录事件进展,并在虚构危机中化解各类困境。
第四级BC测试层级
在单个团队/小分队完成灾难应对模拟演练后,需安排一次预演活动。这意味着关闭办公室,将人员转移至移动恢复单元,并对预先规划的各项活动与解决方案进行预演。
这是将单团队模拟扩展至多团队协作的演练。在此层级的业务连续性计划测试中,目标在于促进各团队之间的沟通与协调。
第五级BC测试层级
全规模演练需调动所有可能参与实际危机处置的团队。应选择员工到岗率最高的工作日进行模拟测试,且事前不得向参与人员发出任何预警——必须保持突发性,以确保测试尽可能贴近真实情境。
本阶段训练应在所有其他阶段均已掌握后方可实施。所有团队必须具备足够的能力和经验,并对此充满信心,方能最大限度地提高全规模演练的效率。
各类测试
贵组织必须尝试多种类型的业务连续性测试方案。这能确保您发现恢复计划中的漏洞。请继续阅读,了解企业必须重点关注的测试类型,以实现最高效、最有效的运营。
1. 桌面测试
桌面演练是让所有关键员工参与的最佳方式之一。正如我们所讨论的,这些只是分析危机团队效率的小组演练。您可能需要进行多次桌面演练,以应对不同的灾难情境。
2. 走查/模拟测试
业务连续性计划(BCP)模拟测试本质上就是一种更注重实践的桌面演练。
顾名思义,桌面演练主要围绕会议桌展开计划细节讨论。而模拟演练则将真实的恢复行动融入讨论环节,涵盖应急通知、数据丢失后的备份恢复、网络中断、物理设备恢复等场景,基本能模拟任何风险成为现实的状况。
除关键人员外,贵公司全体员工都将参与此次业务连续性计划事件测试流程。
3. 方案审查
计划审查本质上是对业务连续性计划的审计。业务连续性计划团队、高管层及各部门负责人将共同审议该计划。在此阶段,他们将共同决定业务连续性计划中是否存在缺失或需修订的环节。
会议期间审查的内容包括:
- 业务连续性计划团队成员的联系方式
- 贵组织恢复合同的有效性
- 适用业务连续性与灾难恢复方案的覆盖范围
- 对新经理进行计划细节培训(以便他们能向团队传达)
此类测试通常最适合用于培训业务连续性计划团队的新成员,同时也是新员工常规入职培训的理想选择。
BCP测试后的处理步骤
完成业务连续性计划测试后,您需要对测试结果进行以下处理:
- 测试完成后,与所有参与者共同审阅测试结果(并在所有记录整理完毕后再次进行)
- 将待办事项的责任分配给需要处理的人员
- 更新并分发业务连续性书面计划
- 下次执行业务连续性计划测试时需考虑的事项
记录企业开展的任何测试结果至关重要。同时,您还需记录测试中产生的所有可操作性发现。这将帮助员工和承包商了解未来可改进及应改进之处,并使所有人能够直观地看到并理解已取得的进展。
在业务连续性计划(BCP)测试中,最关键的环节在于:跟进测试发现的问题、记录测试建议,以及整合测试笔记。通过测试、记录测试结果并执行改进措施来完善BCP,是强化组织应急响应流程的最佳途径之一。
开始
既然您已经了解了业务连续性测试的全部内容,现在是时候开始行动了。
申请演示我们顶级业务连续性管理(BCP)软件,助您在单一易用的平台上完成规划、培训、测试、预警及恢复管理。我们的专家随时为您解答,助您在测试业务连续性策略时实现效率最大化。
编者按: 本文章最初发表在 Preparis 业务连续性软件网站上。2024 年 10 月,Mitratech 收购了业务连续性规划和应急响应解决方案的领先供应商Preparis。对内容进行了更新,以反映 Mitratech 扩大的产品范围、行业进步和监管动态。
