持續業務運作規劃
主頁 > 
持續業務運作規劃
< 返回

持續業務運作規劃

持續業務運作規劃涉及訂定持續業務運作計劃,確保在發生人為事故或天災時,重要業務活動能在預定時間內復原至可接受的水平,從而減少對機構造成的損失。持續業務運作計劃對每種業務而言,均十分重要。

持續業務運作規劃包括下述五個主要程序:

持續業務運作規劃的五個主要程序
確認重要業務活動

如發生事故,公司應了解需集中處理的項目。持續業務運作規劃的第一步,是確認讓公司可繼續營運的最重要業務活動所在,故須充分了解業務,包括目標、產品、服務、資源、設施、供應商、顧客及互相影響的因素。

重要業務活動是維持業務持續運作的要素,如無法進行,便會引致:

重大收益損失﹔
不能符合規管或合約要求;
影響運作效率;或
顧客流失 / 影響商譽。

在確認重要業務活動後,應逐項分析,根據其對達成公司策略目標的重要程度,釐定復原重要業務活動的優次及目標。應考慮的常見問題包括:

如活動無法進行,對公司有什麼運作、財務或其他競爭上的影響﹖
活動需在什麼時限復原,以確保公司繼續營運﹖
公司能承受多少資料及經濟損失﹖

關於每項經確認的重要業務活動,公司須找出進行活動所需的各種輔助資源,以及缺乏資源對業務的影響,而應考慮的資源範疇載列如下:

人;
資訊科技 ( 服務、應用系統、網絡、數據 ) ;
數據及話音通訊;
文件及紀錄;
實體基建、主要設備及設施;以及
外部服務 / 產品的依賴。
評估業務持續運作的風險

無論公司業務規模如何,均可能發生災禍,因而應為重要業務活動進行風險評估,以確定潛在風險,並評估會阻礙業務運作的事故所發生的可能性及影響。公司應了解會使業務運作嚴重受阻的事故。各類災禍均應予以考慮,一些常見的威脅包括:

天災,例如地震、火災、颱風、水浸;
重要設備 / 資訊系統 / 設施受破壞;
對外電訊服務受阻;
公用設施服務中斷,例如電力故障;
人命傷亡、疾病、健康及安全問題;以及
恐怖活動及網上襲擊。

就各種威脅進行的風險評估可能有不同的結果。一些無須採取行動,另一些則須訂定持續業務運作規劃,並增加資源,以作支援。風險評估有助公司估量災禍事故可能造成的影響。接著,可按照機構的目標,包括重要資源、對業務運作造成的影響、可容許的服務中斷時限及復原優次,以訂定風險的次序。

訂定持續業務運作計劃

持續業務運作計劃可讓公司作好準備,以應付最壞的情況,使業務運作暢順,減少服務受阻及經濟損失。計劃只需加入讓公司繼續營運的重要業務活動。

持續業務運作計劃涵蓋的常見項目載列如下:

個人職務和職責;
啟動條件;
須依循的程序;
應變計劃;
處理事故的緊急應變程序;
臨時運作程序;
復原程序;
後備程序;以及
維修保養時間表及測試計劃的程序。

就小型公司而言,持續業務運作計劃可能只是一份安全放置在遠離主要工作間的文件,內載緊急聯絡資料、場外資料備份儲存媒體的地點、保險合約複本及營運業務所需的其他重要物品。

購買合適保險可視為整個業務持續運作過程的一部分,以補償不能完全避免或控制的風險所引致的損失。購買保險應視乎預計造成損失的可能性及程度而定。須注意的是,保險並不處理業務復原工作,故不應視為有效的持續業務運作計劃的代替品。

在實施計劃前,應進行測試,以確保計劃能有效落實,可包括模擬、業務運作過程、技術復原、在後備地點進行復原程序、供應商設施及服務等測試。

批准及實施計劃

在訂定持續業務運作計劃後,徵求批准及支持亦十分重要。

實施持續業務運作計劃期間須注意的事項:

持續業務運作計劃應以文件記載,並分發給各員工,以供在事故發生前後及期間依循。
應為員工提供培訓,讓他們了解業務持續運作的程序、其個人責任及實施計劃須採取的行動,確保各項程序能有效進行。
持續業務運作計劃的複本應存放於遠程地點及經常更新內容,保安程度須與主要地點相同。
實施持續業務運作計劃及以助機構繼續營運所需的其他物品,例如場外資料備份儲存媒體及保險合約的複本,亦應存放於遠程地點。
公司或需預先與外部機構作出安排,確保能及時回復運作,例如設施接達及電訊系統。
定期檢討及持續維修保養

為使業務持續運作安排能符合現況及有效,應定期測試、檢討及持續維修保養。

實施持續業務運作計劃期間須注意的事項:

定期檢討、測試、核實持續業務運作計劃文件及技術方案(例如每年進行)。
如業務 / 環境有新需求或變更,應按需要修訂現行程序。
有關程序應納入機構的更改管理計劃內,確保業務持續運作事宜能獲適當處理。
持續業務運作計劃及測試結果,應作獨立審核及檢討。