业务连续性计划:如何保护您的业务免受灾难

已发表: 2021-11-01

几年前,我被一家制造公司聘为营销人员。 我在游览期间注意到的第一件事是一座完全禁止进入的建筑物。 事实证明,一场严重的工业火灾——一场需要 15 辆救火车才扑灭的火灾——在前一年肆虐了这座建筑。

我问起火的人是否被解雇了。 总统的回答让我感到惊讶:“这场大火让企业损失了很多钱。 但是,我们决定不解雇造成火灾的人,因为他处理情况的方式。”

在火灾开始的几秒钟内,个人拉响了火警,跑到每个工作站,并告诉每个人快点出去。 在让所有人安全离开后,他是最后一个离开大楼的人。 由于他的快速行动,没有人死亡。

该公司总裁在火灾发生后接受媒体采访时表示,“仔细的情景规划有助于缓解严峻的局势。” 如果没有强有力的应急计划,结果可能是致命的。

然后,该公司不得不求助于另一个计划——业务连续性计划——在没有基础设施关键部分的情况下保持一切正常运行。

什么是业务连续性计划?

业务连续性计划是一组流程,可确保企业能够在意外事件(例如火灾、流行病或网络攻击)期间维持运营。

业务连续性计划的中心是在中断期间做什么——当事情出错时的 B 计划。 相比之下,灾难恢复计划侧重于从意外事件中“恢复正常”。 灾难恢复是您回到 A 计划的方式。

业务连续性计划的好处

作为企业主,您每天都有很多事情要做。 很容易忽略诸如业务连续性计划之类的东西,尤其是如果您是“如果?” 怀疑论者。

然而,正如我们从 COVID-19 和创纪录的黑客攻击事件中了解到的那样,外部因素可能会阻碍业务绩效和客户信任。 通过提前计划并仔细考虑风险,您可以减少危机对您的业务的影响。

以下是您的前瞻性努力将获得的四件事:

1. 继续经营

业务连续性计划的主要目标是在灾难发生时继续业务运营。 例如,如果您在容易停电的地区工作,您可能会选择购买备用发电机,这样停电就不会停止运营。

2.防止对员工造成伤害

许多企业要求员工在家工作以防止 COVID-19 的传播。 很少有人准备这样做。 例如,为员工配备笔记本电脑而不是台式机的连续性计划可确保业务运营的持续性,同时降低员工患重病或死亡的风险。

3. 建立品牌信任

网络攻击可以在瞬间侵蚀品牌信任。 客户希望在线业务始终保持运转(并保护与他们共享的数据)。 如果个人紧急情况需要您通过消息传递应用程序联系家庭成员,但该应用程序已关闭,您将失去该客户。 作为更大的业务连续性计划的一部分,网络安全计划可以减少停机时间和数据泄露。

4. 防止财务损失

经济崩溃给企业造成了巨大的经济损失。 当客户的支出急剧而迅速地变得更加保守时,企业需要一个连续性计划来减少损失或增加收入流。 例如,一些酿酒商和餐馆在大流行期间由于临时封锁而无法在现场提供酒精饮料,因此转向制造洗手液。

风险是否开始在您的脑海中累积? 让我们来看看如何创建您的连续性计划。

如何制定业务连续性计划

创建业务连续性计划可能需要长达六个月的时间来解决所有细节,获得各方的批准,并就计划对员工进行培训。 然而,通常情况下,许多企业会在三个月内制定业务连续性计划并培训个人。

请遵循以下七个步骤:

1.确定计划的目标

您的业​​务连续性计划的目标可能是在发生危机时保护员工、资产并防止财务损失。

一些业务连续性计划是被动的——在企业经历第一次灾难之后创建。 在这些情况下,您可以专注于防止特定类型的灾难,同时仍然考虑可能导致业务运营中断的其他灾难。

2. 组建团队

在选择一个团队来帮助执行您的业务连续性计划之前,请创建一组要分配的职责。 职责可能包括:

业务连续性指导委员会。 将来自业务各个领域的六到八个人聚集在一起,对业务连续性计划中的所有潜在风险或资产进行分类。 创建计划后,该团队应每季度开会一次,以评估计划的准确性并确保全公司都了解该计划。

业务连续性项目经理。 管理业务连续性计划的日常职责,例如员工培训、安全评估以及与业务领导者和业务连续性团队成员的期望设定。

业务连续性团队成员。 执行业务连续性项目经理提供的指令。

业务连续性计划所有者。 关键利益相关者,例如人力资源、工资单、网络安全、健康和安全,以及其他将在业务连续性项目经理的指导下为其所在领域制定业务连续性计划的关键人员。

业务连续性规划师。 直接执行业务连续性计划所有者的指示,以支持计划的推出。

您需要的利益相关者数量根据您的业务规模而有所不同。 大型企业将有更多的潜在风险领域,这将导致更多的业务连续性计划所有者。 然而,在业务连续性指导委员会中拥有超过八名成员可能会减慢发布完整的业务连续性计划的过程。

后备利益相关者可以在过渡时期有所帮助,例如员工离职、领导层变动或合并。

3. 确定风险、资产、功能和影响

最常见的业务风险或威胁包括:

  • 自然灾害、火灾和停电
  • 公共卫生危机,例如 COVID-19
  • 网络攻击或恐怖主义
  • 经济低迷
  • 破产、不良信用或现金流问题
  • 法律纠纷、政府法规和许可取消
  • 工作场所事故
  • 技术故障,包括平台或销售点系统崩溃

风险最大的资产包括:

  • 人们
  • 存货
  • 公司财产
  • 品牌信任和客户关系
  • 许可协议

在某些情况下,您可以外包资产管理。 例如,如果您的库存因您经营直销业务而由第三方持有,您将失去对该资产的一些控制权。 与您的合作伙伴建立牢固的关系和流程可以降低这些资产的风险。

最常受到影响的关键业务功能包括:

  • 产品制造
  • 订单完成度
  • 服务运营
  • 数据保护
  • 客户沟通
  • 财务,包括应付账款或应收账款

业务影响分析(业务可能受到的影响)确定您的业务的最大风险、资产和关键业务功能。 什么可能会关闭您的办公室一个月? 会有什么影响? 如果你失去了所有的社交媒体账户,你的营销会崩溃吗? 如果您的客户数据公开,您会失去所有消费者的信任吗?

4. 设定强制性培训时间表

完成对风险、资产和业务功能的评估后,培训业务连续性利益相关者和员工以确保一致性。 您可以在员工首次入职时对其进行培训,之后每季度进行一次演习。

通过培训您的全体员工,您可以确保每个人都具备所需的知识,以防灾难发生时关键利益相关者不在身边。 针对影响其工作的领域培训多个利益相关者。 例如,网络安全员工应该知道向谁报告违规行为,即使其部门负责人正在休假。

(虽然不是业务连续性的核心,但考虑对所有员工进行消防安全、心肺复苏术以及其他健康和安全风险培训。最好的情况是不需要您的连续性计划。)

5. 识别漏洞和替代方案

创建计划后,请注意您的业务中的主要漏洞。 例如,电子商务企业可能会因为对单一第三方制造商的依赖、海外运输延迟或 DDOS 攻击而感到最脆弱。

然后确定每个项目发生的可能性,使用从 1 到 10 的等级来评估每个漏洞的可能性。 根据可能性确定业务连续性计划中每个项目的优先级,并列出潜在的备份解决方案。

例如,如果您的广告帐户可能被暂停,您可能会列出次优的营销选项(甚至意识到您现在应该建立更多样化的营销渠道集)。 您可能有一个庞大的电子邮件列表,在其他平台上投放广告,或者有可能创建更多网站内容,例如为您的网站增加流量的博客。

6. 为您的连续性计划中的每个漏洞详细说明操作

一旦你有一个潜在的修复列表,将它们构建成带有潜在解决方案列表的 if-then 语句。 服务器崩溃的连续性计划可能如下所示:

如果我们的服务器在假日周末促销期间出现故障,那么我们可以通过以下方式继续增加收入:

  • 将我们的电子邮件受众引导至我们在线商店的应用程序。
  • 通过 Instagram 等社交媒体平台销售产品。

您可能还想开始考虑恢复计划——如何恢复“正常”或避免另一场危机。 在此示例中,结果可能是升级您的托管解决方案或切换到包含托管的平台。

7. 寻求反馈

向整个公司的利益相关者征求反馈可以确保没有任何遗漏。 目标是制定详细的计划,将所有潜在风险考虑在内,并解释如何在这些风险下继续开展业务。

业务连续性计划可帮助您的企业在灾难中幸存下来。 了解您的利益相关者是谁、哪些风险使您的业务易受攻击以及如何降低这些风险可以保护品牌信任、确保员工安全并减少财务损失。

另一方面,每一个遗漏的漏洞或不可行的解决方案都有可能引发更大的危机——可能没有连续性或恢复计划。