“养兵千日,用在一时,但在最关键的时刻,你们却掉链子了”,面对CEO的严厉批评。“CIO最痛苦的事情是什么?”我用心思考着这个问题。公司与员工在面临IT危机时都经受了一场最大的考验。随之而来的是,IT危机管理成为这段时间使用最频繁的一个词。也是让我作为CIO听到最头痛的一个词。
随着技术的发展,企业运营越来越依赖于IT系统的稳定运行。对于CIO来说,保障IT系统正常运行非常重要。IT危机有各种各样,可分为两大类:一是企业外部引起的危机,可能是天灾也可能是人祸。比如台湾地震和南亚海啸影响网络通信,暴雨台风或911事件等等; 二是企业内部因素所引起的危机,如系统崩溃、系统灾难,或最简单的掉电使数据备份失败,还有频繁的病毒和木马的攻击等。
IT危机症状分析
IT危机是指使企业在IT方面遭受严重损失或面临严重损失威胁的突发事件。这种突发事件在很短时间内波及很广层面,对公司正常运作产生严重影响。因此,我们是应该在IT危机发生之后才想到IT危机管理,还是应时刻提防IT危机的发生、并建立IT危机管理体系呢?要回答这个问题,应该先回答这样一个问题:如何理解IT危机IT危机在一般情况下都具有三个特点:(1)突发性。IT危机往往都是不期而至,令人措手不及,例如木马病毒的攻击。(2)威胁性。IT危机的出现往往威胁到公司业务运作,甚至危及企业的生存与发展,例如造成关键数据掉失和损坏。(3)紧迫性。当IT危机出现时,对危机做出的反应和处理的时间十分紧迫,任何延迟都会带来更大的损失,一点点的失误都会酿成轩然大波。
因此,面对IT危机,切不可有侥幸的鸵鸟心理一样,把头埋在沙土里,那样即使回避了一时的问题,却可能为更大的IT危害播下了种子。像鸵鸟一样的逃避态度,随便把头埋在沙里,殊不知自己大大的屁股正露在外面。
IT危机预警系统的建立
风云变化万千,只有未雨绸缪的人才能坦然应对IT危机。IT危机总是突然的、出人意料地爆发,这是CIO必须面对的一个重要考验。而IT危机管理的最好办法就是准确预见,这是成本最低、最简便的方法。最基本的做法是建立起IT危机管理计划, 即Crisis Management Plan(CMP),它包括明确定义IT危机管理人员的角色、职责和权限,识别IT危机类型和反应对策程序,以及确认所需的资源。另外,还需要事先制定各级计划,比如IT紧急反应计划、业务持续计划、IT灾难恢复计划等。
首先,必须建立IT危机预警系统。
IT危机是不可避免的,所以必须为危机做好准备。要想在危机来临时做到不被动,光有危机意识是不够的,必须未雨绸缪,建立IT危机预警系统。及时捕捉企业危机征兆,为各种危机提供切实可行的应对措施。要预防IT危机,首先要将所有可能的突发IT危机事件一一列举出来,考虑其可能发生的后果,并且估计预防所需的花费。这样做可能很费事,但却很必要。我们强调不能只是坐以待毙,应该在危机发生之前,做好相关的准备工作,才能从容不迫的应变。因此,对企业来说,必须列出一张IT危机评估表,详列出可能发生的危机,并且评估它们的等级,依发生的可能性从最可能到不太可能依序排列。例如针对IT灾难备份,CIO应该根据业务实际需要制定好详细的灾备计划,备份时间间隔、备份类型,本地备份还是异地备份等。
因此,当各种突发IT危机发生时,明确应该采取什么样的对策,通过什么样的程序进行有效处理,确定什么人员在什么时间做什么事,这是危机预警系统建立的关键。主要包括以下三个方面:
(1)组建IT危机管理小组
建立IT危机预警系统的一项重要工作是成立IT危机小组。只有做好组织上的准备,有备而无患,才能更好的应对IT危机的爆发。小组的主要作用在于全面清晰的对企业可能面对的各种危机进行预测,为处理危机制定有关的策略和步骤。对管理组员进行IT危机培训,在遇到危机时,能够全面、快速的处理危机。
(2)确定IT危机级别
不同的IT危机状态,有不同的处理方法。没有事先确定IT危机级别列表,会给危机处理带来很大的混乱和不便。企业必须先定危机级别,并制定相应的危机处理方法,只有这样,才能在危机来临时,做到“兵来将挡,水来土淹”。例如在可能遇到的各类危机可分为三级:一般事件,紧急事件和重大事件,并形成IT危机级别详细列表说明。(3)确立IT危机处理程序和实施细则
只有制定IT危机管理制度、流程、策略和IT灾难恢复计划,才能确保在危机汹涌而来时能够理智冷静,胸有成竹。这些流程在业务正常时不起作用,但是IT危机发生时会及时启动并有效运转,对危机的处理发挥重要作用。这样一旦危机出现,各部门、员工知道做什么,而不必依靠某一个关键人物的急中生智力挽狂澜。在IT危机发生时,要处理的工作何其繁杂,而这一切都需要在极短时间内完成。如果事前没有周全的计划、能够立即付诸实施的制度和流程、能够立即投入角色并展开工作的人员,则可以预见在IT危机发生时反应迟缓、内外混乱将无法避免。
其次,应该进行IT危机模拟预演。
应根据IT危机应变计划进行定期的摸拟预演。IT危机演习是为了评估危机预警系统能否有效地实施。定期的模拟训练不仅可以提高IT危机小组的快速反应能力,强化危机管理意识,还可以检测已拟定的危机应变计划是否充实、可行,找出IT危机预警准备中的不足,可以及时改善。
制定好IT危机计划后,并不是万事大吉,束之高阁,不经过演练的计划无异于纸上谈兵。很多企业没有意识到这一点,企业往往花费了大量的人力和物力制定了IT危机预警系统,以为万事大吉了。殊不知,在IT危机状态下这些措施并不一定有效。处理IT危机的方法
虽然IT危机管理的重点是预防危机,预防危机的措施也可以做得相当周密。但是IT危机诱因复杂多变,危机仍是防不胜防。因此,IT危机管理的另一项职能就是处理已经发生的危机,把危机损失和影响减少到最低程度。
危机爆发时的破坏力最大,因此本阶段的危机管理也最重要。第一步要做的就是遏制危机,这要求危机处理在最短的时间内掌握并控制危机形势,将损失降至最低。第二步要做的是防止危机的蔓延,把危机限定在一定的范围之内。在日常活动中,IT危机就像感冒病毒一样,种类繁多防不胜肪。
