持续业务运作规划

持续业务运作规划涉及订定持续业务运作计划，确保在发生人为事故或天灾时，重要业务活动能在预定时间内复原至可接受的水平，从而减少对机构造成的损失。持续业务运作计划对每种业务而言，均十分重要。

持续业务运作规划包括下述五个主要程序：

确认重要业务活动

如发生事故，公司应了解需集中处理的项目。持续业务运作规划的第一步，是确认让公司可继续营运的最重要业务活动所在，故须充分了解业务，包括目标丶产品丶服务丶资源丶设施丶供应商丶顾客及互相影响的因素。

重要业务活动是维持业务持续运作的要素，如无法进行，便会引致：

重大收益损失；

不能符合规管或合约要求；

影响运作效率；或

顾客流失 / 影响商誉。

在确认重要业务活动后，应逐项分析，根据其对达成公司策略目标的重要程度，厘定复原重要业务活动的优次及目标。应考虑的常见问题包括：

如活动无法进行，对公司有什麽运作丶财务或其他竞争上的影响？

活动需在什麽时限复原，以确保公司继续营运？

公司能承受多少资料及经济损失？

关于每项经确认的重要业务活动，公司须找出进行活动所需的各种辅助资源，以及缺乏资源对业务的影响，而应考虑的资源范畴载列如下：

人；

资讯科技 ( 服务丶应用系统丶网络丶数据 ) ；

数据及话音通讯；

文件及纪录；

实体基建丶主要设备及设施；以及

外部服务 / 产品的依赖。

评估业务持续运作的风险

无论公司业务规模如何，均可能发生灾祸，因而应为重要业务活动进行风险评估，以确定潜在风险，并评估会阻碍业务运作的事故所发生的可能性及影响。公司应了解会使业务运作严重受阻的事故。各类灾祸均应予以考虑，一些常见的威胁包括：

天灾，例如地震丶火灾丶台风丶水浸；

重要设备 / 资讯系统 / 设施受破坏；

对外电讯服务受阻；

公用设施服务中断，例如电力故障；

人命伤亡丶疾病丶健康及安全问题；以及

恐怖活动及网上袭击。

就各种威胁进行的风险评估可能有不同的结果。一些无须采取行动，另一些则须订定持续业务运作规划，并增加资源，以作支援。风险评估有助公司估量灾祸事故可能造成的影响。接着，可按照机构的目标，包括重要资源丶对业务运作造成的影响丶可容许的服务中断时限及复原优次，以订定风险的次序。

订定持续业务运作计划

持续业务运作计划可让公司作好准备，以应付最坏的情况，使业务运作畅顺，减少服务受阻及经济损失。计划只需加入让公司继续营运的重要业务活动。

持续业务运作计划涵盖的常见项目载列如下：

个人职务和职责；

启动条件；

须依循的程序；

应变计划；

处理事故的紧急应变程序；

临时运作程序；

复原程序；

后备程序；以及

维修保养时间表及测试计划的程序。

就小型公司而言，持续业务运作计划可能只是一份安全放置在远离主要工作间的文件，内载紧急联络资料丶场外资料备份储存媒体的地点丶保险合约复本及营运业务所需的其他重要物品。

购买合适保险可视为整个业务持续运作过程的一部分，以补偿不能完全避免或控制的风险所引致的损失。购买保险应视乎预计造成损失的可能性及程度而定。须注意的是，保险并不处理业务复原工作，故不应视为有效的持续业务运作计划的代替品。

在实施计划前，应进行测试，以确保计划能有效落实，可包括模拟丶业务运作过程丶技术复原丶在后备地点进行复原程序丶供应商设施及服务等测试。

批准及实施计划

在订定持续业务运作计划后，征求批准及支持亦十分重要。

实施持续业务运作计划期间须注意的事项：

持续业务运作计划应以文件记载，并分发给各员工，以供在事故发生前后及期间依循。

应为员工提供培训，让他们了解业务持续运作的程序丶其个人责任及实施计划须采取的行动，确保各项程序能有效进行。

持续业务运作计划的复本应存放于远程地点及经常更新内容，保安程度须与主要地点相同。

实施持续业务运作计划及以助机构继续营运所需的其他物品，例如场外资料备份储存媒体及保险合约的复本，亦应存放于远程地点。

公司或需预先与外部机构作出安排，确保能及时回复运作，例如设施接达及电讯系统。

定期检讨及持续维修保养

为使业务持续运作安排能符合现况及有效，应定期测试丶检讨及持续维修保养。

实施持续业务运作计划期间须注意的事项：

定期检讨丶测试丶核实持续业务运作计划文件及技术方案（例如每年进行）。

如业务 / 环境有新需求或变更，应按需要修订现行程序。

有关程序应纳入机构的更改管理计划内，确保业务持续运作事宜能获适当处理。

持续业务运作计划及测试结果，应作独立审核及检讨。