什么是业务连续性软件?
业务连续性软件是一种应用程序或套件,旨在提高业务连续性计划/业务连续性管理(BCP/BCM)流程、指标和合规性的效率与准确性。该软件帮助组织进行业务影响分析(BIA)、创建和更新恢复计划,并识别BCM计划中的差距。这些软件工具旨在自动化BCP/BCM流程,可通过本地部署或软件即服务(SaaS)模式获取。
业务连续性软件旨在帮助组织更高效、更灵活地运行其BCM计划。除了记录企业在不利事件中保持运营所需的关键信息外,BCM软件和系统还能识别组织面临内部和外部威胁(如自然灾害或数据泄露)的风险,并帮助企业有效响应以保护其商业利益。这些工具可协助灾难恢复(DR)、数据中心弹性、业务恢复与重启、危机管理、事件管理、应急管理和应急计划。
使用业务连续性软件可确保数据准确、全面、组织有序、分析透彻且保持最新。这些工具还提供对组织及其BCM计划的可见性,便于向高级管理层和其他利益相关者传达计划信息,并帮助企业更有效地应对中断事件。
业务连续性软件与合规性
业务连续性软件有助于确保计划符合相关标准和法规。越来越多的组织要求其业务伙伴遵守业务连续性标准,例如国际标准化组织(ISO)22301及ISO 223xx系列相关规范、美国国家消防协会(NFPA)1600,或联邦金融机构检查委员会(FFIEC)的《业务连续性管理》手册。
ISO 223xx系列中的另一标准ISO 22316为任何规模或类型的公共或私人组织提供了增强组织弹性的指导。尽管不针对特定行业或垂直市场,ISO 22316可应用于组织的整个生命周期。弹性在ISO 22316中被定义为组织“在变化的环境中吸收和适应”的能力。
ISO 223xx系列的最新补充是ISO技术规范(TS)22332:2021《安全与弹性——业务连续性管理系统——制定业务连续性计划和程序的指南》。它基于ISO 22301和ISO 22313,提供了制定业务连续性计划的额外指导。推荐了三种不同类型的计划:
- 战略计划:提供应对事件所需程序的高层视图。
- 战术计划:定义组织如何响应事件并描述如何执行计划。
- 操作计划:描述个别部门(如会计)或主要功能(如制造)的响应和恢复活动。计划通常比前两种选项更详细。
ISO 22332深入探讨了业务连续性计划的各个方面。标准中的第7节提供了基本的BCP大纲,并详细介绍了各个元素。
另一个相关ISO标准是ISO/TS 22331:2018《安全与弹性——业务连续性管理系统——业务连续性战略指南》。它提供了业务连续性计划中应处理的业务相关战略指导,可作为上述标准的补充。
需要注意的是,只有ISO 22301是可审计的标准。组织可通过授权的第三方机构申请ISO 22301合规认证。其他标准为ISO 22301增添价值,但无需它们来证明合规性。
网络安全合规性是BCM的另一关键部分。ISO/国际电工委员会(IEC)27000系列旨在帮助组织保护其信息资产,如财务信息、员工详细信息和知识产权。证明符合ISO 27001对网络安全专业人员至关重要。
业务连续性管理软件的替代方案
业务连续性软件通常对企业应用更有效,因为大型组织有许多动态部分可被软件有效捕获和分析。风险分析和BIA的准备工作对大型企业而言也是复杂任务,使用软件可简化流程,而手动方法可能耗时。
对于较小的业务应用,在线模板可能更可行。这些模板可构建成可用的计划。由于简单易用,Microsoft Word和Excel常被用于创建计划。与业务连续性软件应用相比,计划可较快完成。基于Web和云的选项可用,且可能更合适。
业务连续性软件的优势
鉴于业务连续性和DR规划的复杂性——后者常与BCP并行进行——软件工具常能使原本 overwhelming 的任务更易实现。
业务连续性是网络弹性战略的四大支柱之一。
业务连续性软件的其他优势包括:
- 捕获相关数据并将其整合到安全位置的能力。
- 执行计划审查和批准的能力。
- 更轻松的BCP/BCM维护。
- 带有仪表板的用户友好界面。
- 业务变化时更新计划的更简单机制。
- 识别关键任务系统、流程和技术。
- 识别可能影响信息系统和业务流程性能的风险。
- 与其他企业平台的集成。
- 促进法规和标准合规性。
业务连续性软件的挑战
尽管业务连续性软件有诸多优势,组织在试图使其BCP/BCM计划更灵活时仍面临挑战。计划越复杂,适应新挑战就越困难。此外,由于BCM计划经历生命周期,在某些时间点进行更改比其他时间点更容易。
一些公司还不了解BCM、其业务连续性需求以及理想计划应包含的内容。不断变化的威胁环境难以应对,许多公司适应变化缓慢。BCM顾问警告,在购买业务连续性软件之前,组织应确定其需求和优先级。此外,公司不应购买超出需求的软件,并应了解实施软件所需的努力量。
如何选择业务连续性软件
选择业务连续性软件与选择网络安全软件是完全不同的体验。了解业务连续性和DR活动有帮助。如果缺乏这种了解,聘请经验丰富的业务连续性顾问协助选择和实施可能有用。直接与供应商打交道可能有风险,因为每个供应商的方法可能略有不同,难以确定哪种解决方案是正确的。
企业更可能至少有一名具备业务连续性专业知识的人员可领导产品评估和选择。理想情况下,该人员应至少拥有五年专业经验并持有至少一项专业认证。
对于中小型企业,业务连续性软件的替代方案(如在线模板)可能更合适;选项众多,且相对易于理解和比较。一些模板免费或下载成本低廉。
企业应在业务连续性软件中寻找以下功能:
- BIA、风险分析和事件响应模板及辅助工具。
- 访问关系数据库以进行数据管理。
- 紧急通知能力或与紧急通知系统集成的能力。
- 促进计划测试和演练的资源。
- 与其他业务平台的集成。
- 与云服务的兼容性。
- 内置业务连续性战略和流程。
- 移动设备支持。
- 远程访问计划激活功能。
- AI功能,可自动化活动、生成有用分析并分析以往事件的历史数据以用于计划开发。
业务连续性软件供应商
业务连续性软件可通过开源和商业产品获取。除了传统软件许可,许多供应商还提供基于云的模型,如业务连续性即服务(BCaaS)和灾难恢复即服务(DRaaS)。
以下是一些较知名的业务连续性软件供应商:
- Archer
- Arcserve
- Axcient
- Cohesity
- Commvault
- Databarracks
- Dataminr
- Datto
- Fusion Risk Management
- Oracle
- Premier Continuum
- Preparis
- Quantivate
- Riskonnect(前身为Castellan)
业务连续性管理软件的未来
面对业务功能对IT系统日益增长的依赖,对BCM软件的需求将持续存在——尤其是随着气候变化和混合工作等考虑对业务连续性和弹性提出新挑战。许多业务连续性应用现在整合了AI,通过自动化工作流和预测分析大大提高了整体功能。基于云的BCM规划支持因其功能性、便利性和竞争性定价而持续增长受欢迎。
AI在测试演练领域具有巨大潜力,可评估BCM计划在各种灾难场景中的可能表现。系统应能描述需要做什么来纠正已识别的性能问题。
业务连续性计划是管理影响大型企业的危机的关键组成部分。