For many people, the term “continuity of operations” (or “COOP”) conjures thoughts of the Cold War, when the nation spent decades preparing for a potential nuclear attack on U.S. soil, with vivid mental images of “duck and cover” drills and community sirens.
这种形象在1999年出现了新的转折,当时对千年虫问题的担忧引发了一种转变,即从防备民族国家的动态攻击,转变为防范网络冲击。
今天,我们面临着动力攻击和网络攻击的结合,威胁来自独狼行为者、民族国家以及两者之间的所有人。合作伙伴计划比以往任何时候都更加重要,但规划者和领导人对这一关键努力的关注却严重不足。
我们对合作伙伴关系采取的更广泛的方式不仅包括联邦政府,还包括州、地方、部落和领土政府以及私营部门。我们有专注于业务连续性和弹性的项目。不管我们给它什么头衔,它的功能都是一样的——我们如何确定关键的功能、系统、人员和支持,以保持我们的运作,对抗自然和人为的威胁?
COOP和韧性
通常情况下,用COOP规划的同时,我们正在寻找各种方法来提高我们的应变能力。COOP和弹性看相同的基本信息,就重点和关键性相同的评估,并涉及对买跌或接受风险相同的决定。根据优先级,我们不妨来看看通过弹性全灾害应急准备,应对气候变化,不断变化的网络威胁,或所有你如何看待它的上面,但不管的镜头,COOP和弹性计划是密不可分的。
尽管合作伙伴和弹性对于任务的成功至关重要,但在许多组织中,合作伙伴和弹性仍然被视为可有可无的。在各级政府机构中,合作伙伴和弹性计划被委派为一项“额外职责”,很少得到高层领导的全力支持。它被视为满足需求的复选框活动,而不是能够真正帮助组织为自然和人为灾难做好准备的努力。
同样,在私营部门,关键基础设施的所有者和运营商面临许多威胁和危险,这些威胁和危险对关键业务流程和操作构成重大风险,业务连续性实践往往没有与企业范围的应急响应战略充分集成。
做好准备的步骤
为了应对这些挑战,有几个步骤,各组织,公共和私营部门,可以采取进一步的COOP和弹性规划工作:
1.从高层领导那里得到真正的承诺。
这是通过积极参与来实现的,而不仅仅是通过备忘录。如果领导者投入时间,组织中的其他人将会以他们为榜样。这包括从一开始就亲自出席大多数会议。越多的领导者能够描述过程和结果给整个组织带来的定量或定性的好处,它就可能获得更强的支持。最后,真正的承诺需要进行全面规划所需的人员和其他资源的适当奉献。
保持通过被在每一步过程中存在活动的承诺的整个过程。这并不意味着高层领导需要微观的过程;然而,出席只有起点和终点,经常发生,也不会因为对组织有利,并可能导致更高的执行成本。它不会在一夜之间发生,但不是通过如下会对成败显著的影响。
2.建立一个跨组织的工作小组。
在开始投下你的净宽。邀请所有可能相关的球员谈话,让他们决定他们是否应该参与。随着参与者的过程中逐渐退出,你会留下的谁有结果了坚实的投资活跃,主力球员一个核心。
3.同时解决网络,并通过全面的风险评估动能威胁和漏洞以联合方式。
只是无论从IT和物理安全的角度来看待安全会在最貌似强大的安全基础设施戏剧性的孔。请务必通过查看全图,以统一的风险评估。(了解更多:“拥抱网络安全,物理安全关系的影响。”)
4.验证,通过与内部和外部评估进行全面审查,该计划是最新,完整和消除一切危害,包括网络和物理威胁。
对您的工作要持批评态度,即使这意味着暴露漏洞。
引入外部评估人员来帮助审查计划。卡德莫斯与联邦、州、地方、部落和私营部门合作伙伴的丰富经验,让我们拥有了在国内不常见的广泛视角和第一手知识。ManBetX818
5.进行培训,教育人员和管理人员对现有计划。
投资于定制的培训项目的设计和交付,定期交付给员工和管理层。现成的培训项目不能解释你的组织或你的运作的细微差别。卡德摩斯的客户受益于专为其个人需求量身定制的课程,并通过使用最新的教学工具和方法,定期和重复地接触到其独特的受众。
6.进行和评估演习和演练,以评估对新修订的政策、计划和程序的理解,并确定任何知识空白和需要改进的地方。ManBetX818
没有什么可以替代的练习,当涉及到对危机评估和改进防备。进行你的练习和训练规律,严格,没有失败的恐惧 - 参与者应该感到更舒适的一个系统,识别弱点和持续改进不是一个完美的索赔每年。(了解更多:“锻炼是因为想要,而不是因为需要。”)
7.制定纠正措施计划(CAP)或改进计划(IP)查漏补缺。
许多人将CAP或IP视为一场演习的结束。事实上,它应该是一个新的计划和锻炼周期的开始。
CAP和IP地址不应该只是驻留在货架上 - 它们应该作为司机加强防备,评估和减轻风险,确定预算和人员配置策略,并进行广泛的治理任务。
cap和IPs应该是对组织地位的切实、彻底和诚实的反映。各种规模和阶段的弹性组织都制定了可操作的计划来解决他们的准备缺口。
结论
这些动作都很简单,但它们并不容易。第一步是从高层领导争取支持,并承诺改变。通过建立或加强计划,政府机构和私营部门的公司将成为准备在今后所有的危害事件和灾害维持运营。此外,该组织和优化,以应对和缓解显著事故或灾难的影响,企业将迅速恢复到自己的核心业务,其品牌和声誉完好无损。