精确计算做灾备

　　通过分析出来的风险及其影响，企业可以根据自身的业务需求确定对风险的承担程度，比如到底选择避免风险、降低风险、转移风险，还是选择接受风险。海富通基金管理公司（下称海富通）就是在建立了灾备系统之后，建设的BCP。在建设了该系统之后，海富通保证了在遇到灾难时，在短时间内将系统恢复正常。但这个仅仅是IT角度出发确立的恢复时间，这个时间能否满足业务的需求并不明朗。
　　
　　海富通作为一家专业的基金管理公司，业务系统是集中化的处理模式，一旦因某种不可抗拒的因素，导致信息系统无法运行，将会给公司业务与声誉带来不可挽回的损失。
　　
　　不仅如此，中国证券监督管理委员会在其制定的《证券投资基金管理公司内部控制指导意见》中明确指出：“基金管理公司的信息技术系统应当定期稽核检查，完善业务数据保管等安全措施，进行灾难恢复的演习，确保系统可靠、稳定、安全地运行。”
　　
　　通过与万国数据公司（Global Data Solutions，下称GDS）合作进行BCP分析之后，海富通明确了公司的核心业务系统，即投资交易系统、基金TA托管系统、基金会计系统、基金直销系统和行情系统等。海富通在深圳建设有异地的灾备中心，灾备计划是一旦出现紧急情况，深圳的灾备中心可以利用备份的系统和数据接替原来的系统进行工作。但由于上海与深圳需要进行远程操作，在灾难发生时可能出现延迟。根据这个分析，海富通在上海又建立了一个应急中心，经过测算，2小时之内，应急中心和灾备中心可以完成切换。从成本和效果的平衡出发，2小时既将灾难发生时的损失降到了最低限度，又不会像银行、电信公司的实时热备那样耗资巨大，按照灾难恢复的国际标准SHARE 78，海富通公司达到了温备份的标准。
　　
　　同样是灾备，中国中化集团公司（下称中化集团）与国际商业机器公司（IBM）合作建立的则是一个异地冷备份式系统，中化集团的IT系统在遇到灾难时，根据重要性能够在20小时至几天内恢复。这是一个符合中化集团业务需求的低成本高效率的灾难恢复系统。可见，根据业务的需求建立可能性和影响性的矩阵是BCP的前提，它直接关系到下一步投入与效果的平衡。

实战演习保万全

　　灾难并不是时时发生，因此如何检验企业的BCP在灾难来临时能否真正经受考验需要靠流程来保证，同时定期的实战演练必不可少。“仅有灾备的操作手册是不够的。”科索路的梁晟说，“企业应该列出所有的流程，定位每个人在灾难发生时的职责。”在正常流程下，每个员工都很清楚自己的职责所在，而在应急流程下，这些职责会发生变化，如果没有事先定义好相关责任人，就很可能出现流程混乱。同时，一旦这些责任人离职，流程还必须及时重新定义新的责任人。这种“关于流程的流程”管理对于企业的管理水平是一大考验。
　　
　　除了定义流程外，实战演练也是一个必不可少的环节。2006年7月，在北京举行的国际灾难恢复研讨会暨第二届中国灾难恢复行业高层论坛期间，还特别安排了灾难恢复的实战模拟演练。海富通现在每年至少与GDS一起进行1～2次的实战演练，模拟灾难发生时的应急流程。在BCP系统中，演练是发现问题、改进问题、确保灾备系统有效运作的重要手段之一。
　　
　　从风险分析和业务影响性分析，到确定灾备方案，再到成功实施演练，BCP系统的建设已经不仅仅是一个信息安全甚至IT的问题，它考验着一家企业的管理水平和应变能力。自2005年4月国务院信息化工作办公室出台《重要信息系统灾难恢复规划指南》以来，BCP系统已经逐渐被许多重点行业和大型企业所接受，为业务系统的永动不息保驾护航。

（信息周刊）