由于自然和人為災害，企業網絡和數據訪問可能會毫無征兆地被中斷。當然，您可能無法阻止所有這一切的發生，但是如果有一個好的災難恢復計劃，您就可以更好地應對這些意外事件。

颶風、龍卷風、地震、火災、洪水、恐怖襲擊以及網絡攻擊，您要知道所有這些問題都可能會隨時發生在您的公司。您可能也已經制定了災難恢復（DR）計劃，來保護企業的數據、員工和業務安全。

但是您的災難恢復計劃考慮得周全嗎？它上次進行更新和測試是什么時候？您是否考慮過采用新技術和服務，使災難恢復工作變得更容易？以下為您列出了IT災難恢復計劃應該涵蓋的7大關鍵事項，一起來看看吧：

1. 分析所有潛在的威脅及其可能發生的反應

研究公司IDC的數據恢復研究總監Phil Goodwin建議稱，您的災難恢復計劃應該考慮到“潛在中斷”對您業務全方位的影響。然后，您應該針對每種情況制定一份恢復計劃。例如，Goodwin表示：

“如果發生了一次網絡攻擊，關閉了華盛頓特區（D.C.）的服務器，那么您有針對該場景的過渡計劃嗎？”

當然，并非所有場景都會發生。所以，應該盡您所能地去嘗試預測哪些潛在的中斷最有可能出現。Goodwin指出，不幸的是，網絡攻擊正在成為“最有可能發生的場景”。因此，在您的災難恢復計劃中，應該將針對網絡攻擊的計劃置于優先位置。

2. 業務影響分析（business impact analysis，簡稱BIA）

SAP公司總裁兼首席執行官Mark Testoni建議稱，為了有效地確定災難恢復優先級，應該對每個主要信息系統進行業務影響分析。

跟據Gartner的說法，業務影響分析會“識別和評估自然以及人為災害對業務運營產生的潛在影響（金融、生命/安全、監管、法律/合同、信譽等等）。”

Testoni指出，

“對主要IT系統進行一次全面的業務影響分析，將有助于確定系統的優先級和相關性。這有助于對系統進行優先級排序，制定恢復策略和減少損失的優先事項。業務影響分析檢查三個安全目標：保密性、完整性以及可用性。制定一個全面的災難恢復計劃的標準方法是：首先制定政策，然后進行業務影響分析，通過業務影響分析建立優先次序后，制定應急策略，并在應急計劃中正式實施。”

您可以在Ready.gov和國家標準與技術研究所等網站上，找到業務影響分析模板和問卷。

3. 員工

Goodwin表示，許多企業在其災難恢復計劃中常犯的錯誤是“過分關注技術，而不太重視人員和過程”。IT是一個使能者（enabler）。永遠不要忘記，您不僅僅是要恢復數據和服務器。他建議，可以考慮如何在整個企業環境內制定一個災難恢復計劃。他說，

“您需要從您的用戶社區獲得哪些行為？災難發生后，他們需要什么樣的幫助才能重新啟動并運行？”

FBI網絡部前安全顧問兼發言人John Iannarelli表示，除此之外，還應當確定負責應對危機的關鍵人員;確保您有他們的電子郵件、手機號碼以及家庭座機號等信息;明確危機處理期間的當班者;知道您應向誰求助，例如執法部門，如果可能的話，在災難發生前就要與當局建立好聯系;事先確定好在災難發生時，誰將代表公司面對受害者、客戶和員工。最后，他還補充說，發言人還需要想好打算說什么，打算披露多少信息，以及如何處理好讓那些懷疑貴公司業務能力的人感到放心。

4. 更新

Gartner公司的IT基礎設施戰略研究總監Mark Jaggers指出，組織易犯的另一重大錯誤，是在對其內部系統進行更改后（例如進行了重大的軟件更新），并沒有更新其災難恢復計劃。除非考慮到目前使用的所有技術、系統和應用程序，否則您的計劃并不完整。

此外，自制定完成災難恢復計劃以來，可能還會有新的技術或產品出現。災難恢復計劃是基于計劃完成時，對可用過程和工具的假設。網絡彈性公司Veriflow的產品管理副總裁Milind Kulkarni指出，

“由于如今的技術發展比以往任何時候都更快，創新也總是會從意想不到的地方涌現出來，這些假設可能會發生重大變化。計算機科學和預測算法的進步，以及價格合理的超強計算能力等因素，促進了新方法和解決方案的出現，保證了IT系統的彈性、正常運行時間、可用性和災難恢復能力。”

例如，通過亞馬遜的AWS Snowball等服務，企業可以把PB級（千萬億字節）的業務數據轉移到現場專用安全設備上。傳輸完成后，就可以將設備發送到您選擇的AWS中心，在該中心將您的數據傳送到云端。Kulkarni指出，AWS Snowball和其他類似的服務為企業提供了創新且價格合理的新方法，來確保數據冗余——這是任何一個災難恢復計劃的基礎。

5. 優先事項

Iannarelli建議稱，確定什么是最重要的。并不是所有的業務都值得保存或者需要保護。當然，您的個人信息是的！但任何已公開發布的信息都不那么重要。試想一下，如果您的房子著火了，在您跑出家門時最想抓在手里帶出火海的是什么？

6. 定期地練習和演練

Kulkarni警告稱，只是制定災難恢復計劃是不夠的。還需要定期對該計劃進行測試，人們需要實踐練習，就像學校會定期讓學生參加消防和應急演習一樣。如果不經常演練，該計劃將是無效的。

7. 考慮災難恢復即服務（disaster recovery as a service，簡稱DRaaS）

將數據操作業務轉移到云端的做法日益流行，這有助于實現災難恢復即服務（DRaaS）。Goodwin認為，諸如iland和IBM等提供商所提供的按需服務，使災難恢復工作變得更容易且更經濟，同時也讓更多的企業能夠更好地應對災難。

Goodwin建議稱，在考慮DRaaS時，需要詢問供應商將如何測試和驗證數據及工作流程的恢復狀態，因為有些測試可能會比其他測試的范圍要廣。

不要等待

Iannarelli表示，大多數公司犯下的最大錯誤，就是等到發生網絡攻擊或者災難之后，才去想下一步該怎么做。他說，

“在聯邦調查局工作的20多年時間里，我從來沒有見過任何人因為數據泄露而被公司解雇。但我看到很多人因為沒有能處理好泄露事件而被解雇。”