一个早晨,服务器倒下。访问被阻止,加密文件,工具无法访问。没有什么可以了。在接下来的小时内,公司在紧急情况下发生了变化。在这些时刻,一个拒绝组织崩溃的组织的区别不是规模,行业甚至预算。这是 准备水平。这是通过现在的一个必不可少的工具: 活动连续性计划,或PCA。
PCA,受限的操作保险
PCA经常被误解或位置不佳。它既不是合规性文档,可以分类在备案书籍中,也不是简单的计算机备份。活动连续性计划是一个 结构化策略,如果突然破裂,可以保持对公司至关重要的事情 – 无论是网络攻击,大规模崩溃,网络削减还是关键提供商的不可用。
它不是旨在保存一切,而是保存必需品。生产,发票,付款,响应客户,安全敏感数据,PCA允许您 耽误。它不能保证无敌性,但可以使脆弱性易于管理。
一个很好的PCA包含
构建PCA返回 预期不可接受的。首先有必要确定关键功能,即那些中断会立即将活动置于危险中的功能。该制图必须很好,通过业务方向验证,并在组织的每次更改中进行更新。
从那里,两个参数变为结构, RTO (恢复时间目标),该目标定义了最大可容忍的停止时间, RPO (恢复目标),该点定义了可能会影响损失的最大数据量。然后,这两个阈值指导体系结构选择,冗余投资,提款解决方案。
然后计划必须详细介绍 破裂方案 考虑:数据中心,勒索软件,供应商故障,内部恶意恶意。对于每种情况,必须编写,测试,已知答案。数据的副本存储在哪里?在退化模式下可用哪些访问?如果不可用的消息传递如何交流?如果网站离线怎么办?
PCA还合并 紧急程序, 信息循环,优先联系人,替代操作模式。它包含 工具 (电子邮件模型,反射表,通信脚本), 测试了方案,一个 明确的治理。
谁飞行员PCA以及将其带入生命?
PCA不是IT项目,它是 横 从本质上讲,因为它触及了组织的所有工作。
那里 总局 必须是担保人。是她给予动力,裁判优先事项并验证手段的是她。在危机中,是她承担最终责任。然后 PCA管理器 或者 风险经理 协调运营部署,是他写,测试,调整和确保计划保持最新状态的人。
但是,只有在所有利益相关者参与的情况下,PCA才能起作用。那里 DSI 是与基础架构,安全性,工具,PRA(活动计划)有关的所有事物的前线。这 商业部门 定义他们的关键需求并验证救援过程。这 人力资源 组织动员团队,确保薪酬的连续性并管理内部沟通。
那里 合规性和法律 检查监管覆盖范围,特别是个人数据(GDPR),CNIL通知或AMF或ACPR要求,如果您在监管部门中。那里 沟通最后,负责内部传输的消息,客户,合作伙伴甚至媒体传递的消息的清晰度和一致性。
而且我们一定不能忘记 关键提供者。在一个相互联系的世界中,没有任何业务可以独自生存。软件,住宿,会计或人力资源管理供应商还必须集成到计划中。他们有PCA吗?他们可以切换到退化模式吗?他们有紧急号码,已确定的联系人,合同承诺吗?这些问题必须上游,而不是在危机期间提出。
准备,测试,重复
连续性计划仅在已知和测试时才有效。当没人知道他们或合适的人不再在那里时,最好的程序失败了。这就是为什么PCA必须受到 定期模拟,D’危机练习 至少每年一次 系统更新 提供者,工具或组织的每一个更改。
频繁的错误是将其视为合规性练习。这是一个战略错误。 PCA是一个 管理工具, 连续性保险, 值得信赖的杠杆。它使得能够迅速采取行动,限制损失,放心客户,以避免在压力下急切的决定。尤其是在危机时 仅在变得混乱的环境中直线。
一个成熟的揭示者
在某些部门中,PCA是强制性的。在其他情况下,它仍然被认为是覆盖层。但是现实需要改变外观。面对网络人的乘法,技术相互依存的增加,客户对可靠性的压力增加, 具有井设计的PCA已成为成熟指标。如果他不保证不会有危机,他保证我们会面对它。
