业务连续性计划
本文约需 2 分钟阅读
业务连续性计划 (BCP: Business Continuity Plan) 是指即使在自然灾害、大流行病、网络攻击等危机状况下,也能使重要业务活动不中断,或在最短时间内恢复的综合性计划与体制。 ISO 22301 作为业务连续性管理体系的国际标准被广泛参照。截至 2025 年,随着勒索软件攻击和供应链中断的增加,制定和修订 BCP 的企业正在急剧增多。
现场使用案例
“当勒索软件导致核心系统全面停止时,我们根据 BCP 切换到基于纸质的接单处理,将向客户发货的延迟控制在 1 天。能够在 IT 恢复的同时运转手工业务流程,正是每年 2 次 BCP 演练的成果。”
与灾难恢复 (DR) 的区别
相对于灾难恢复 (DR)是专注于 IT 系统恢复的技术性计划,BCP 则是由管理层主导的整个业务的连续性战略。它广泛涵盖确保备用办公场所、确认员工安全、与业务伙伴的联络体制、手工替代业务的程序等 IT 以外的要素。 DR 是 BCP 的重要组成部分,但 BCP 的范围远比它广泛。BCP 入门书 (Amazon)可以系统地学习。
BCP 制定的步骤
BCP 的制定从业务影响分析 (BIA) 开始。将各业务流程停止对业务造成的影响以金额和时间进行量化,确定恢复的优先顺序。接着通过风险评估梳理出预想的威胁与脆弱性,并制定对策。将事件响应程序、沟通计划、恢复程序形成文档,并通过每年至少 1 次的演练验证其有效性。
网络攻击与 BCP
近年来,勒索软件攻击已成为启动 BCP 的主要诱因。在所有系统被加密、业务完全停止的情况下,不仅是 IT 恢复,还包括手工持续运营、向客户通知、向监管机构报告等,BCP 的所有要素都将受到考验。请用强密码保护对 BCP 相关文档和紧急联系人列表的访问,防止攻击者妨碍恢复程序。风险管理书籍 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?