業務連續性計劃（BCP）和災難恢復計劃（DRP）有什麼差別？

02-03

BCP集中在業務層面，主要是保證組織能能持續運作。 DRP是技術層面，確保在災難下組織的生產系統能在預定義的時間內恢復基本運作。一般DRP是BCP的一部分，由技術部門負責。 BCP 由運營部門或管理層代表負責。

歡迎討論。

不請自來，引用一下cissp教材的內容。

bcp和drp同屬於業務連續性管理(bcm)的內容。教材里做了一個形象的比喻：天塌了，考慮在天塌了的狀態下做什麼，怎麼開展業務就是bcp；天塌了，考慮怎麼把天撐回去，就是drp。

發一個我以前在CU中回的一個關於容災的交流活動，我在裡面主要介紹了BCP（對這個方面感興趣的同學可以留言交流，我會接著更新）：

大概10年前，在一家500強的諮詢公司做data center的管理，當時公司正在通過BS7799認證，該標準現在已經被ISO吸納，叫ISO27001.在準備該認證的時候，有類似樓主要求的流程，叫BCP - Business Continuity Plan，即業務持續性計劃。該計劃要考慮的維度同樓主要求的不一樣，但如果滿足該計劃的要求則可以滿足樓主的所有要求，而且考慮的要比要求的5方面多，牽涉的部門也不僅僅是內部的IT。

由於公司的主要業務是為銀行金融保險等各行業的TOP公司做外包項目，所以當時公司的BCP要求要考慮的情況是在以下三種情況發生後，公司的業務中斷到恢復的時間（甚至24*7的不中斷服務）是否滿足SLA（服務級別合同）的要求。客戶敢不敢把新項目拿到我們公司實施，各個相關部門需要證明我們對任何情況都有所準備，所以該計劃涵蓋無死角是能不能爭取到客戶的一個關鍵，也是項目能夠順利實施直至按時交付使用的重要保證之一。

1. Building Outage：公司所在的幾個大樓完全不可用，如何保證業務持續性？用什麼辦法能夠保證有最小的人力和資源，最快在多長時間恢復業務？基於此設想設計相關流程並周期性的演練；

2. City Outage：在城市不可用的情況下，滿足1的要求；

3.Country Outage：整個國家陷入混亂，如何處理？

整個計劃是由公司的安全部門牽頭設計實施的，由於需要各個部門協調準備，該部門直接向公司的大老闆負責以保證各部門配合。

最終該計劃涉及資源太多，並且根據我們能拿到的項目的需求，我們也只是勉強達到了City Outage的要求。

這個計劃看起來很大，讓人感覺有點無從下手，但仔細分析，抽絲剝繭，卻也不是無計可從。簡單從人力物力兩方面簡單介紹一下，做個參考。

人力：

1. 誰來判斷是否達到以上幾個級別的outage？對於building outage，主要是IT部門的負責人和內勤部門的負責人，由於我公司是知識密集型企業，生產設備主要是伺服器pc機，沒有笨重的生產設備，所以發生building outage無非兩種情況，要麼機房被破壞，要麼大樓變危樓。而對於city outage則由公司大老闆拍板是否需要執行這一級別的響應；

2. 各個項目部門提需求，以項目組為單位各自根據自己項目的SLA所規定的業務恢復時間提需求，需要什麼後備資源，基本都是IT基礎設施，及交通比如機票什麼的，再加上各個項目的聯絡人，甚至是必要的生產人員，情況發生時需要轉移到備份站點；

3.備份站點需要準備必要的維護人員；

物力：

1. 在本城市內以及其他城市尋找備份站點，配備必要的備份設施；

2. 數據的備份磁帶，主要是源代碼及其他的生產系統的備份，存留若干份 - 每周的備份放銀行保險柜以應對building outage的情況發生；每月的備份發一份到其他城市的某個分公司（備份站點），以應對City Outage的情況發生；

3. 各個需要轉移的關鍵人員，需要準備日期可更改的機票以應對city outage的情況發生並配備移動辦公設備；

相關流程很多，三言兩語說不完，只是提供了一個另外的角度考慮災備的計劃。該計劃的高度是公司運營層面的，不是樓主的單個運維部門的計劃，但是由於高度不同，所以考慮要更全面一些，當然耗費資源也更多一些。

轉一下CIO網站的一個引述：

Many people think a disaster recovery plan is the same as a business continuity plan, but a DR plan focuses mainly on restoring IT infrastructure and operations after a crisis. Its actually just one part of a complete business continuity plan, as a BC plan looks at the continuity of the entire organization. Do you have a way to get HR, manufacturing, and sales and support functionally up and running so the company can continue to make money right after a disaster?

也就是說DRP是BCP的一部分，BCP是大概念且BCP還包含了BIA（Business Impacts Analysis)等。

多謝兩位，邏輯清晰了~！~！

drp是bcp的技術解決方案