计划评估及维护之策略

3)策略

BCP应包括以下策略：

A.预防一预防的目的在于减少灾难发生的可能性。有关预防的策略应该包括制止和预防控制。制止控制可以减少危险的可能性。预防控制则是保护企业的弱点区域，以防御危险的发生并降低其影响。这两类控制在实际运营中广泛存在，比如经营场所的安全、人员控制、 相关基础设施（如UPS、后备电池、烟火探测器、灭火器等）、软件控制、相关的存储和恢复等。

企业希望保障其资源（包括信息资产）的可用性和安全性，其安全策略必须针对这些对象而制定，并且提供有关资源使用和管理的指南。在熟悉了企业的所有资源、资源的布局以及危险管理等之后，才可能拿出实施安全策略所需的必要的控制措施。这些控制措施或安全举措必须时时加以检查和测试。

如果一种安全策略，能将预防措施都部署到位，可以监控对系统的入侵并防范那些试图破坏系统的行为，那么其本身就是一种制止控制。预防计划的执行必须小心谨慎，必须保证实施安全策略时既不能对日常业务带来限制，出现瓶颈，也不能引起可用性问题，或者给系统的访问和使用带来障碍。

B.响应一响应就是当危险发生时的反应。它必须能够阻止危险的进一步扩大j评估危险的程度，通过与外部世界的正常通信联络挽回企业的声誉，并启动必要的恢复时间表。

对业务中断的第一反应应该是告知所有相关的人员。如果危险有事前警示的话（比如这次的非典爆发），那么这种告知就可以提前进行。及时的告知非常重要，因为这可台＆会给阻止危险的进一步扩大创造机会。如果在适当的时机执行一次关机、一次转换或者一次撤离， 甚至有可能完全防止危险的发生。但是这需要有诊断或探测控制的存在。这类控制或者可以持续扫描以探测发生中断的征候（网络、服务器），或者可以从外部资源搜集信息（自然灾害）。