一则IT业的统计数字可能会让你触目惊心。
 2007年 5月，根据市场调研公司 St rategicResearc hCorp的研究报告显示，证券业的业务每停顿 1小时，平均损失将达到 650万美元；ATM系统中断 1小时，平均损失为 1.45万美元；而行业的信息系统中断，平均每小时则高达 8.4万美元。巨大的数字让各行业CIO对业务连续性管理的关注持续升温，但如何来实施业务连续性管理方案，如何保证业务连续性管理方案的成功实施，安全与实践的教育必不可少。

标准是“实践”的先导

全球IT标准的领导者BSI在信息安全管理标准BS7799中，建立了信息安全管理体系的模型，其中业务连续性管理（BCM）被作为一个重要部分包括在模型中。对于那些需要不间断地提供各种公共服务的企业来说，业务连续性管理已经成为信息安全管理体系中一个极为关键的内容。

 2006年，BSI又发布了一个新的标准BS25999-1业务连续性管理最佳实践的征求意见稿，并且相应的认证标准也将出台。这对于公共基础设施的提供者，金融、电信等信息时代的基础支撑行业来说，不但有了实践的指南还有了检验的标准。

根据BSI的业务连续性标准，BCM的实施包括一系列企业管理行为，核心是制定并实施业务连续性计划。BCM的实施过程可以分为以下的六个步骤：启动项目、业务影响分析、确定恢复策略、编制业务连续性计划、测试与演练计划、维护与更新计划。其中，项目启动阶段的主要工作是为项目分配必需的资源和进行前期的准备工作；BIA是实施BCM的关键性的第一步。业务连续性管理必须努力考虑到所有可能发生的安全事故和灾难并对其潜在的损害做出估计，才能制定可行的控制策略以防备这些事故的发生，而这正是BIA所关注的方面。

BIA阶段一般包括以下这些任务：确定关键业务功能和损失标准、确定最大容忍时间、确定恢复的优先顺序。对于组织来说，确定恢复策略的一个关键任务就是在业务中断时间和业务恢复费用间取得适当的平衡。

业务管理亟待评估“教育”

业务连续性计划（BCP）样式有多种，但一般都包括以下内容：支持信息、通知 /启动、业务恢复，以及业务复原。其中，支持信息部分提供了重要的背景或相关信息，使得BCP更容易被理解、实施和维护。通知 /启动，一般也称为应急响应，定义了在探测到系统中断或紧急情况发生或即将到来时采取的初步行动。业务恢复集中于建立临时IT处理能力、修复原系统损害、在原系统或新设施中恢复运行能力的应急措施。在恢复阶段完成时，系统将可以运行并执行计划中指定的功能。业务恢复计划一般也被称为灾难恢复计划（DRP）。

业务复原为业务运营复原原有场所或新建场所应采取的步骤在此加以说明。

在维护与更新计划中，业务连续性计划必须周期性地加以检查和维护。为了使其更加有效，计划必须被维持在能够正确反映系统需求、规程、机构架构和策略的就绪状态。计划应该至少每年进行一次针对正确性和完整性的检查，一旦有新的系统或者新的商业行动计划加入企业的生产系统或者信息系统，引起企业整体系统发生变化时，就更应该强制启动这种检查程序。某些部分应该得到更频繁的检查，如联络清单。根据系统类型和重要程度的不同，对计划内容和规程的评估可能会更加频繁。