未雨绸缪，拯救最优（下）

王浩成

连续性计划的内容

连续性计划的核心是风险管理的概念，Kinch认为，应该以评估威胁或漏洞及其可能性和影响为中心，然后找到一种避免、减轻、防范或面对风险的方法。他表示：“企业连续性方法关注的是，不论企业遇到什么问题，都可以帮助企业确保组织的恢复力，承受突发事件带来的不良影响的能力，以及在可接受的时间范围内和条件下可以回到正常运作的能力。”

当然，连续性计划的内容很大程度上取决于要采用它的公司和这个公司所面对的问题，利益方的需求、关键过程、已识别的风险和随后企业面对这些问题采用的控制方式。对此，Selby说：“在灾难发生时，包括对企业恢复主要流程所需的时间进行评估至关重要。”

连续性计划内容有固定的模式吗？Brown不这么认为：“一份企业连续性计划本身没有对错之分，这是因为每个计划都应该针对该组织，而不只是从最新的良好实践指南中获得一份清单。”不过，他建议连续性计划内容应包括联系方式、接触过程、事故管理的指导和过程以及事故管理团队成员的详细情况、危机沟通支持，以及针对不同情况的恢复指导。

开放的思维有助于继续性计划的书写。正如Kinch认为的，试图为一件不可思议的事件而获取凭证的人可能会经历一场艰苦的斗争。他举了一个例子：“试想在911之前，试图为一次双重空袭，为曾经是世界上最高的建筑的倒塌做准备计划。计划是人为、前提、技术和业务流程的后果准备应对方式，不是预测这个问题是如何发生的，也不是试图预测最难以置信的危机来源。”

一个企业连续性计划应该是一个简单的、可使用的、可访问的文档。制定者应对它进行定期的审查和维护。此外，企业应该在需要的时候提供帮助。专业印刷企业在其网站上公布了其企业连续性计划。Aken制定的计划与第三方灾难恢复服务签订的政策细节已经得到了公司的保险经纪人的批准。

最后的建议

Brown提出：“未来事件管理团队承受着内部和外部的压力，他们希望这个团队可以做出正确的决定。”在这样的一种环境中，未来事件管理团队很容易犯一些典型错误。站在Brown的立场上，最大的问题可能是对万无一失概念太字面化，他说他经常会看见一些计划的内容与企业将会面对的风险完全不相干，这不会有任何实际意义。

花费大量时间进行全面的企业影响分析和风险评估将有助于了解企业需要优先关注和特别关注的领域。Brown说：“在写出这个计划的时候，必须给予管理团队的成员一定的培训和支持，这是至关重要的。”

Selby给出了最后的劝说：“仅仅对一个企业连续性文档进行编写和归档就像是为一辆没有被检查过的汽车开出了一个MOT测试证书。虽然这个计划是评估和发展活动的结果，但制定此计划的员工需要参加一定的培训，该计划本身需要进行测试和评估，并需要不断对它进行完善。”

为不可预见的事情做计划

1.了解企业

了解对企业正常运作构成的潜在威脅，这需要每个员工都参与进来。观察企业的方方面面，考虑到那些被雇佣的员工、工作所需的设施，以及产品和服务的提供方式。

2.风险评估

很容易对企业正常运作构成的潜在威胁进行分类，尽管有些看起来不太可能，但最好还是把它们都考虑在内：

自然灾害——由破裂的水管或大雨引起的洪水，或暴风雨后的风灾。

盗窃或破坏他人财产——盗窃计算机设备带来的影响可能是毁灭性的。同样，对机器或车辆的故意破坏可能代价高昂，并带来健康和安全风险。

火——可以摧毁一个企业。

断电——事实上，几乎所有的系统和操作都需要某种形式的电力——信息技术或通信系统，关键机器或设备将无法在没有备用发电机的情况下运行。

信息技术或通信系统故障——病毒、黑客或系统故障可能影响员工有效工作的能力。继续性计划还应包括电话和宽带故障。

对工作场所的限制——企业控制之外的物理事件可能会有对工作场所的限制，从而限制了在最后期限前完成工作的能力。

关键员工缺席或疾病——重要的员工离开、丧失工作能力或最糟糕的意外死亡，这并非前所未闻。

疾病——工作人员中爆发一种传染病可能会带来严重的健康和安全风险。

影响供应商的危机——供应商可能会出现问题，产品缺货，因此保证多种供应来源是明智的。

影响客户的危机——信用保险和客户担保可以抵消客户无力承担或无力支付商品或服务的能力。

影响商业声誉的危机——一些企业因被误解的言论而向大众屈服，而另一些企业则因为官方监管而遭受名誉损害而破产。

恐怖袭击虽然不太可能发生，但如果真的发生了，在恐怖袭击之后，员工和企业运营都会面临真正的风险。

3.制定战略和计划

一些风险是可以接受，也可以被忽略的；另一些风险可以通过与另一个企业的相互合作来减轻，这样在灾难发生时，它可以帮助企业解决危机。或者，一些企业可能会降低所有风险，在面对风险时表现的比较自立。

4.建立保护计划

在不增加额外成本的情况下，为企业建立更多的保护计划。租一间备用的建筑物或设备是没有意义的，以防万一，只需要知道在紧急情况下可以租到什么地方，这才是关键。

信息技术故障（特别是对于硬盘驱动器）是不可避免的。定期备份数据，每天至少备份一次，并保持异地备份和可访问性。例如，为电话和宽带提供备份，例如，使用不同网络的手机，保证它们有充足的数据包，如果网络电话系统的固定电话发生故障，就可以切换使用别的通信设备了。考虑一下与邻居合作（如果足够亲密的话），每一方都可以使用对方的宽带。

以电子方式查看扫描和归档文档。快速的双面自动扫描仪可以将纸质文件变成PDF文件，这样就可以实现备份，并提供可搜索的电子存档。扫描进一步减小了文件丢失的风险。

5.检查企业保险

检查企业保险，记下政策细节（并将其保留在网站上）。显而易见的经营场址、股票、车辆、公共和雇主的责任也要考虑，例如：

■ 在经营企业时，董事和高管保险要覆盖过失。

■ 企业中断保险，在灾难发生后，为维持企业生存而支付的费用。

■ Keyman保险公司在一个关键人物（共同所有人或股东）死亡后提供一笔钱给幸存的商业伙伴，以维持业务的运转，或者买断死者的遗产。

■ 重大疾病的保险需要在确诊为可以对生命构成威胁的重大疾病后支付治疗费用。

■ 在被保险人不再工作的情况下，永久健康保险需要向被保险人支付一笔收入。

6.制定政策和风险评估

良好的政策和风险评估有助于预防那些明显的威胁，并且可能会由于对保险公司的风险较低而降低保险费。政策可以告诉员工在特定的情况下该做什么。如果遇到糟糕的天气，政策会告诉员工在工作时所期望的努力水平，以及当他们无法完成工作时的薪酬/休假安排。对于影响员工的政策，可能会需要法律建议。

7.拟定紧急联络人名单

拟定一份包括关键员工、公共设施（水、煤气、电力、电话和宽带）、就业机构和关键供应商在内的紧急联系人名单需要等级公司会计、律师和税务/增值税办公室的详细资料（参考资料）。不要把邻近的企业排除在外，以防发生他们需要被告知的情况。还有一点也很重要，那就是能够联系上客户，他们需要知道企业仍然在经营，特别是在企业搬家之后。

8.进行测试

正如他们所说的，真正测试防火墙的唯一方法是发生一次火灾，灾难恢复计划需要测试，并且必须持续更新。在没有告诉任何人这是一个测试的情况下进行测试。看看计划在哪里失败或者可能失败的情况，并对此计划作出相应的调整。（全文完）