世上不存在無風險的經營環境。最近發生在緬甸和中國的天災，斷電水災等規模較小的事件，都在提醒人們，有必要未雨綢繆。

安永(Ernst Young)2008信息技術內部審計調查發現，在組織面對的最重要風險中，高管們把業務連續性威脅列在第三位。隨著組織依賴于復雜的信息技術和電信，通常還加上外包的業務流程，災難，無論是人為的還是自然的，對日常經營構成的威脅，已變得日益嚴重。

“自動化程度越來越高，(首席技術官們)擔心應用程序或結點的一個小組成部分可能會丟失，”安永技術、安全和風險服務事業合伙人理查德 布朗(Richard Brown)說。“一個小事件就很容易逐步升級成大事件。”

這對信息技術部門、組織的首席財務官和首席風險官的挑戰越來越大。簡單依靠信息技術備份策略保護關鍵數據，連同用物理安全措施來保護職員和建筑，已經不夠了。相反，企業設計基礎設施時，需考慮留出彈性空間，同時要準備應付意料之外的事情發生。

幾乎不可能對每個應用程序提供最高級別的數據保護，那樣成本過于高昂。

“組織的計劃需要建立在應用程序和數據區分優先級的基礎上，”供應商CA負責軟件工程的高級副總裁大衛 路夫(David Luff)表示。“如果是低優先級應用程序，那么在24小時范圍內恢復是可以的，”他說。

盡管如此，由于消費者的要求，加上官方往往也有命令，組織需要保持關鍵服務24小時運轉，這種壓力越來越大。同時，恢復窗口正在縮小。恢復窗口即組織能容忍在生意上不產生重大損失的離線時間。

在一些行業，尤其是金融服務和保健行業，“恢復點”的時間已進一步縮小，迫使組織確保他們能恢復的數據的年份比先前要求的更長。

“在消費者方面，組織已經意識到，消費者對停工期的容忍更為有限，但現在企業也清楚地知道，假如企業不是正常運轉，也是不可接受的，”英國電信(BT)業務連續性、安全和管治全球負責人雷 斯坦頓(Ray Stanton)表示。

一旦系統故障或災難突襲離岸或外包業務服務，就很難甚至不可能再退回到先前的工作方式。“尤其在復雜的分布式環境中，服務和數據散布在全世界，組織必須更嚴肅地討論業務連續性這個問題，”斯坦頓補充說。

首席技術官們慶幸的是，過去數年里，一些可以通過保持關鍵服務正常運轉從而減少風險的技術，其實施已變得更簡單，成本也更低了。

企業有了諸如實時復制、快照這樣的數據保護技術，就可以在特定時刻從系統獲得數據，卻不必使應用程序離線，再加上范圍越來越廣的備份任務從使用磁帶發展為使用碟片，這些都有助于提高數據獲取，對規模較大的組織而言尤其如此。

“目前有了更多的技術，可讓組織獲得99.99%或99.999%的數據，”CA的路夫先生表示。“但預算總是決定著業務連續性安排的范圍。”

對中小型企業而言，碟片存儲成本下降，尤其是基于RAID(磁盤陣列)技術和存儲區域網絡的系統，提高了數據的可用性，正如從遠程備份向在線“數據金庫”(見《利物浦足球俱樂部：足球俱樂部的鐵衛》)的發展。

“目前，中小企業和一些相對大型的公司在考慮建設電子金庫，”惠普(Hewlett-Packard)數據中心轉型解決方案全球總監約翰 班尼特(John Bennett)表示。“中型和大型企業在考慮鏡像和復制技術，再加上數據中心虛擬化，從而使信息技術系統能更快速地得到恢復。”他補充說，技術的發展目前已經在提供現實的可選方案，以此替代建立一個昂貴的第二數據中心。

但即便是事先準備最充分的信息技術部門，也無法防衛每個可能的技術故障――企業將要面對的問題，既非源自信息技術，也無法用信息技術來解決。

技術咨詢公司埃森哲(Accenture)有兩位客戶的經歷就說明了第一點。一位客戶是華爾街投資銀行，成了主數據庫崩潰的犧牲品，幾乎無法進行交易。另一位客戶是全國性零售商，失去了與銷售點計算機的連結，無法處理任何銷售。

在華爾街投行案例中，故障最終追溯到反病毒軟件里的一個缺陷，該軟件盡管起了保護作用，卻影響了主數據庫和備份數據庫。在零售商案例里，問題背后的原因是新存儲區域網絡內的一個故障，而安裝該存儲區域網絡在某種程度上是為了提高彈性。

兩個小差錯都是原本可以預測到的。相反，成功還是失敗，歸根結底是相關公司應付危機的能力有多強。

“這兩個案例中，技術都成了我們不了解的敵人，”埃森哲技術咨詢(Accenture Technology Consulting)全球領導人加里 柯蒂斯(Gary Curtis)表示。

這家銀行使交易損失最小化了，因為它有處理故障的策略。零售商現在則能在和中央系統斷開連接的情況下，經營旗下門店長達40個小時。

“你必須在業務連續性層面上為故障作準備。技術人員要竭盡所能實行冗余和備份機制，但還得有一個計劃，來應付這些事情不起作用時的情況，還要保持業務運轉，”柯蒂斯先生指出。

為了實現這一點，組織應不僅僅考慮業務連續性規劃，更要多考慮組成一個緊急反應團隊，當確實發生情況時，能夠調用。

這樣的團隊必須是多學科團隊。信息技術負責人肯定應是其中一員，但組織的運營負責人、風險或安全最高主管和人力資源負責人，或許連公共關系和設施的關鍵員工，都應該進入團隊。

首席執行官應負責確保有一個業務連續性計劃，但可能不是領導緊急反應團隊的最佳位置人選。

“由誰負責將視什么對業務最重要而定，”PA咨詢集團經營持續性專家內爾 埃雷特(Neil Ellett)說。“在咨詢公司或專業服務公司，咨詢顧問可以承擔這項工作，但負責人或許應該是人事部門的負責人。”

然而，在簡單的命令和控制以外，業務連續性還有另外一面。企業需要測試并持續測試他們的準備狀態。許多企業不這樣做。

“通常首席執行官會說：‘我們需要一個經營持續計劃，我們昨天就需要，"”埃雷特先生說。“所以公司匆忙動手制定一個計劃，但沒人去讀。”

公司也不應該靜態地對待計劃：技術、業務流程、關鍵人員和監管都是會變的。而且，風險也是這樣。

根據倫敦國王學院(King"s College)風險管理教授拉格納 呂夫施泰特(Ragnar L?fstedt)的意見，公司和公共部門實體通常過多強調防止大多數近期威脅再度發生，而不是為下一個問題或不知道的問題做計劃。這可能導致靈活性的缺乏和資源的錯誤配置。

“有些將應付恐怖主義的策略準備到位的公司發現，對于自然災害他們準備很差，”他說。相反，他們需要有一些構架來應付意料之外的問題。“組織需要一種戰略，讓他們更好地做好全面準備。”

首席技術官們慶幸的是，過去數年里，一些可以通過保持關鍵服務正常運轉從而減少風險的技術，其實施已變得更簡單，成本也更低了。

企業有了諸如實時復制、快照這樣的數據保護技術，就可以在特定時刻從系統獲得數據，卻不必使應用程序離線，再加上范圍越來越廣的備份任務從使用磁帶發展為使用碟片，這些都有助于提高數據獲取，對規模較大的組織而言尤其如此。

“目前有了更多的技術，可讓組織獲得99.99%或99.999%的數據，”CA的路夫先生表示。“但預算總是決定著業務連續性安排的范圍。”

對中小型企業而言，碟片存儲成本下降，尤其是基于RAID(磁盤陣列)技術和存儲區域網絡的系統，提高了數據的可用性，正如從遠程備份向在線“數據金庫”(見《利物浦足球俱樂部：足球俱樂部的鐵衛》)的發展。

“目前，中小企業和一些相對大型的公司在考慮建設電子金庫，”惠普(Hewlett-Packard)數據中心轉型解決方案全球總監約翰 班尼特(John Bennett)表示。“中型和大型企業在考慮鏡像和復制技術，再加上數據中心虛擬化，從而使信息技術系統能更快速地得到恢復。”他補充說，技術的發展目前已經在提供現實的可選方案，以此替代建立一個昂貴的第二數據中心。

但即便是事先準備最充分的信息技術部門，也無法防衛每個可能的技術故障――企業將要面對的問題，既非源自信息技術，也無法用信息技術來解決。

技術咨詢公司埃森哲(Accenture)有兩位客戶的經歷就說明了第一點。一位客戶是華爾街投資銀行，成了主數據庫崩潰的犧牲品，幾乎無法進行交易。另一位客戶是全國性零售商，失去了與銷售點計算機的連結，無法處理任何銷售。

在華爾街投行案例中，故障最終追溯到反病毒軟件里的一個缺陷，該軟件盡管起了保護作用，卻影響了主數據庫和備份數據庫。在零售商案例里，問題背后的原因是新存儲區域網絡內的一個故障，而安裝該存儲區域網絡在某種程度上是為了提高彈性。

兩個小差錯都是原本可以預測到的。相反，成功還是失敗，歸根結底是相關公司應付危機的能力有多強。

“這兩個案例中，技術都成了我們不了解的敵人，”埃森哲技術咨詢(Accenture Technology Consulting)全球領導人加里 柯蒂斯(Gary Curtis)表示。

這家銀行使交易損失最小化了，因為它有處理故障的策略。零售商現在則能在和中央系統斷開連接的情況下，經營旗下門店長達40個小時。

“你必須在業務連續性層面上為故障作準備。技術人員要竭盡所能實行冗余和備份機制，但還得有一個計劃，來應付這些事情不起作用時的情況，還要保持業務運轉，”柯蒂斯先生指出。

為了實現這一點，組織應不僅僅考慮業務連續性規劃，更要多考慮組成一個緊急反應團隊，當確實發生情況時，能夠調用。

這樣的團隊必須是多學科團隊。信息技術負責人肯定應是其中一員，但組織的運營負責人、風險或安全最高主管和人力資源負責人，或許連公共關系和設施的關鍵員工，都應該進入團隊。

首席執行官應負責確保有一個業務連續性計劃，但可能不是領導緊急反應團隊的最佳位置人選。

“由誰負責將視什么對業務最重要而定，”PA咨詢集團經營持續性專家內爾 埃雷特(Neil Ellett)說。“在咨詢公司或專業服務公司，咨詢顧問可以承擔這項工作，但負責人或許應該是人事部門的負責人。”

然而，在簡單的命令和控制以外，業務連續性還有另外一面。企業需要測試并持續測試他們的準備狀態。許多企業不這樣做。

“通常首席執行官會說：‘我們需要一個經營持續計劃，我們昨天就需要，"”埃雷特先生說。“所以公司匆忙動手制定一個計劃，但沒人去讀。”

公司也不應該靜態地對待計劃：技術、業務流程、關鍵人員和監管都是會變的。而且，風險也是這樣。

根據倫敦國王學院(King"s College)風險管理教授拉格納 呂夫施泰特(Ragnar L?fstedt)的意見，公司和公共部門實體通常過多強調防止大多數近期威脅再度發生，而不是為下一個問題或不知道的問題做計劃。這可能導致靈活性的缺乏和資源的錯誤配置。

“有些將應付恐怖主義的策略準備到位的公司發現，對于自然災害他們準備很差，”他說。相反，他們需要有一些構架來應付意料之外的問題。“組織需要一種戰略，讓他們更好地做好全面準備。”