未雨綢繆，拯救最優（下）

王浩成

連續性計劃的內容

連續性計劃的核心是風險管理的概念，Kinch認為，應該以評估威脅或漏洞及其可能性和影響為中心，然后找到一種避免、減輕、防范或面對風險的方法。他表示：“企業連續性方法關注的是，不論企業遇到什么問題，都可以幫助企業確保組織的恢復力，承受突發事件帶來的不良影響的能力，以及在可接受的時間范圍內和條件下可以回到正常運作的能力。”

當然，連續性計劃的內容很大程度上取決于要采用它的公司和這個公司所面對的問題，利益方的需求、關鍵過程、已識別的風險和隨后企業面對這些問題采用的控制方式。對此，Selby說：“在災難發生時，包括對企業恢復主要流程所需的時間進行評估至關重要。”

連續性計劃內容有固定的模式嗎？Brown不這么認為：“一份企業連續性計劃本身沒有對錯之分，這是因為每個計劃都應該針對該組織，而不只是從最新的良好實踐指南中獲得一份清單。”不過，他建議連續性計劃內容應包括聯系方式、接觸過程、事故管理的指導和過程以及事故管理團隊成員的詳細情況、危機溝通支持，以及針對不同情況的恢復指導。

開放的思維有助于繼續性計劃的書寫。正如Kinch認為的，試圖為一件不可思議的事件而獲取憑證的人可能會經歷一場艱苦的斗爭。他舉了一個例子：“試想在911之前，試圖為一次雙重空襲，為曾經是世界上最高的建筑的倒塌做準備計劃。計劃是人為、前提、技術和業務流程的后果準備應對方式，不是預測這個問題是如何發生的，也不是試圖預測最難以置信的危機來源。”

一個企業連續性計劃應該是一個簡單的、可使用的、可訪問的文檔。制定者應對它進行定期的審查和維護。此外，企業應該在需要的時候提供幫助。專業印刷企業在其網站上公布了其企業連續性計劃。Aken制定的計劃與第三方災難恢復服務簽訂的政策細節已經得到了公司的保險經紀人的批準。

最后的建議

Brown提出：“未來事件管理團隊承受著內部和外部的壓力，他們希望這個團隊可以做出正確的決定。”在這樣的一種環境中，未來事件管理團隊很容易犯一些典型錯誤。站在Brown的立場上，最大的問題可能是對萬無一失概念太字面化，他說他經常會看見一些計劃的內容與企業將會面對的風險完全不相干，這不會有任何實際意義。

花費大量時間進行全面的企業影響分析和風險評估將有助于了解企業需要優先關注和特別關注的領域。Brown說：“在寫出這個計劃的時候，必須給予管理團隊的成員一定的培訓和支持，這是至關重要的。”

Selby給出了最后的勸說：“僅僅對一個企業連續性文檔進行編寫和歸檔就像是為一輛沒有被檢查過的汽車開出了一個MOT測試證書。雖然這個計劃是評估和發展活動的結果，但制定此計劃的員工需要參加一定的培訓，該計劃本身需要進行測試和評估，并需要不斷對它進行完善。”

為不可預見的事情做計劃

1.了解企業

了解對企業正常運作構成的潛在威脅，這需要每個員工都參與進來。觀察企業的方方面面，考慮到那些被雇傭的員工、工作所需的設施，以及產品和服務的提供方式。

2.風險評估

很容易對企業正常運作構成的潛在威脅進行分類，盡管有些看起來不太可能，但最好還是把它們都考慮在內：

自然災害——由破裂的水管或大雨引起的洪水，或暴風雨后的風災。

盜竊或破壞他人財產——盜竊計算機設備帶來的影響可能是毀滅性的。同樣，對機器或車輛的故意破壞可能代價高昂，并帶來健康和安全風險。

火——可以摧毀一個企業。

斷電——事實上，幾乎所有的系統和操作都需要某種形式的電力——信息技術或通信系統，關鍵機器或設備將無法在沒有備用發電機的情況下運行。

信息技術或通信系統故障——病毒、黑客或系統故障可能影響員工有效工作的能力。繼續性計劃還應包括電話和寬帶故障。

對工作場所的限制——企業控制之外的物理事件可能會有對工作場所的限制，從而限制了在最后期限前完成工作的能力。

關鍵員工缺席或疾病——重要的員工離開、喪失工作能力或最糟糕的意外死亡，這并非前所未聞。

疾病——工作人員中爆發一種傳染病可能會帶來嚴重的健康和安全風險。

影響供應商的危機——供應商可能會出現問題，產品缺貨，因此保證多種供應來源是明智的。

影響客戶的危機——信用保險和客戶擔保可以抵消客戶無力承擔或無力支付商品或服務的能力。

影響商業聲譽的危機——一些企業因被誤解的言論而向大眾屈服，而另一些企業則因為官方監管而遭受名譽損害而破產。

恐怖襲擊雖然不太可能發生，但如果真的發生了，在恐怖襲擊之后，員工和企業運營都會面臨真正的風險。

3.制定戰略和計劃

一些風險是可以接受，也可以被忽略的；另一些風險可以通過與另一個企業的相互合作來減輕，這樣在災難發生時，它可以幫助企業解決危機。或者，一些企業可能會降低所有風險，在面對風險時表現的比較自立。

4.建立保護計劃

在不增加額外成本的情況下，為企業建立更多的保護計劃。租一間備用的建筑物或設備是沒有意義的，以防萬一，只需要知道在緊急情況下可以租到什么地方，這才是關鍵。

信息技術故障（特別是對于硬盤驅動器）是不可避免的。定期備份數據，每天至少備份一次，并保持異地備份和可訪問性。例如，為電話和寬帶提供備份，例如，使用不同網絡的手機，保證它們有充足的數據包，如果網絡電話系統的固定電話發生故障，就可以切換使用別的通信設備了。考慮一下與鄰居合作（如果足夠親密的話），每一方都可以使用對方的寬帶。

以電子方式查看掃描和歸檔文檔。快速的雙面自動掃描儀可以將紙質文件變成PDF文件，這樣就可以實現備份，并提供可搜索的電子存檔。掃描進一步減小了文件丟失的風險。

5.檢查企業保險

檢查企業保險，記下政策細節（并將其保留在網站上）。顯而易見的經營場址、股票、車輛、公共和雇主的責任也要考慮，例如：

■ 在經營企業時，董事和高管保險要覆蓋過失。

■ 企業中斷保險，在災難發生后，為維持企業生存而支付的費用。

■ Keyman保險公司在一個關鍵人物（共同所有人或股東）死亡后提供一筆錢給幸存的商業伙伴，以維持業務的運轉，或者買斷死者的遺產。

■ 重大疾病的保險需要在確診為可以對生命構成威脅的重大疾病后支付治療費用。

■ 在被保險人不再工作的情況下，永久健康保險需要向被保險人支付一筆收入。

6.制定政策和風險評估

良好的政策和風險評估有助于預防那些明顯的威脅，并且可能會由于對保險公司的風險較低而降低保險費。政策可以告訴員工在特定的情況下該做什么。如果遇到糟糕的天氣，政策會告訴員工在工作時所期望的努力水平，以及當他們無法完成工作時的薪酬/休假安排。對于影響員工的政策，可能會需要法律建議。

7.擬定緊急聯絡人名單

擬定一份包括關鍵員工、公共設施（水、煤氣、電力、電話和寬帶）、就業機構和關鍵供應商在內的緊急聯系人名單需要等級公司會計、律師和稅務/增值稅辦公室的詳細資料（參考資料）。不要把鄰近的企業排除在外，以防發生他們需要被告知的情況。還有一點也很重要，那就是能夠聯系上客戶，他們需要知道企業仍然在經營，特別是在企業搬家之后。

8.進行測試

正如他們所說的，真正測試防火墻的唯一方法是發生一次火災，災難恢復計劃需要測試，并且必須持續更新。在沒有告訴任何人這是一個測試的情況下進行測試。看看計劃在哪里失敗或者可能失敗的情況，并對此計劃作出相應的調整。（全文完）