問：我們企業(yè)的“災害恢復/業(yè)務持續(xù)性”打算已經(jīng)過時了：假如產生了自然災害或者重大風行疾病，我們甚至沒有足夠的虛擬專用網(wǎng)絡（VPN）允許以供全部的員工進行遠程辦公。在我們考慮修正這些打算時，您的建議至關重要。如果修正這些打算需要技巧方面的更新，我們又該如何說服管理層對這些技巧更新進行投資呢？

答：對任何公司的安全管理人員來說，為未來可能產生的災害做好籌備是值得的。你有這種意識，這一點值得贊美。下面，我將介紹一些引起主管注意的方法，討論災害恢復應急打算，然后答復你關于VPN允許的問題。

貴公司上一次進行企業(yè)級災害演習是什么時候？當然，我說的演習并不必定指的是一個全面而成熟的演習，即便只是一次圖上作業(yè)演習（Tabletop Exercise），也會是一個不錯的開端。我的猜忌是，你們最近可能基本沒有進行一次災害演習，所以現(xiàn)在就請進行一次更新現(xiàn)有文件、提升籌備級別（preparedness level）的演習吧！

也許，你可以把要害的IT、業(yè)務和財務管理人員召集在一起，針對一次簡略但卻極具災害性的事件，進行一次為期半天的圖上作業(yè)演習。在一次圖上作業(yè)演習中，我假設（僅是作為示例場景）一場大火徹底燒毀了我們的總部大樓；而在另一次圖上作業(yè)演習中，假設的場景是一場疾病大風行導致人們生病或不能工作。在兩次演習的開端階段，我們都會向各個要害部門的經(jīng)理提出一系列的問題，關于災害產生時他們會如何舉動、如何進行應急處理，以及如何確保本職工作得以完成。

在火災演習中我們發(fā)明，除非我們在備用辦公地點的賬單打印機處備有另外一臺打印機，否則我們將無法在總部大樓的火災事件中打印賬單。在風行疾病演習中我們發(fā)明，雖然擁有了足夠的VPN允許，但我們沒有足夠的具有全硬盤加密的筆記本電腦可供遠程訪問，尤其是涉及敏感信息的時候，問題更加突出。

因此，要找出值得考慮的最重要的事情，我建議按照以下的步驟進行：

1.首先清查和收集已有的“災害恢復/業(yè)務持續(xù)性”打算。

2.斷定這些打算和文件的狀態(tài)。它們是最新的嗎？要害人員的電話號碼、電子郵件地址等等接洽信息是最新的嗎？這些接洽信息與公司目前保存的信息是否一致？

3.你們是否留有當?shù)谾BI辦公室、警局、警長、州巡邏警或加拿大皇家騎警（Royal Canadian Mounted Police）等的接洽方法？此外，你們留有盤算機應急反應小組（Computer Emergency Response Team）的接洽方法嗎？

4.如果你今天有緊急事件，能確保含有上述信息的文件是可用的、并能被立即分發(fā)給相干人員嗎？

如果貴公司已經(jīng)完成了上述四個步驟，那么你們的籌備情況將比我所工作過的大多數(shù)公司都好。然而，除此之外仍有許多工作要做。對此，演習能夠為我們供給足夠的幫助。

在演習中，必定要建立一個相應的事件情景（scenario），比如火災或風行疾病，并強迫請求演習成員按照現(xiàn)有的應急預案來進行。對演習過程要做詳細的筆記，找出已有預案中的單薄環(huán)節(jié)或能導致混亂和各自為政的處所。

演習結束后，立即與參演人員就本次演習進行討論。向他們詢問原有的打算哪部分制定得好、哪部分運行正常、哪里還需要改良、改良的措施是什么，以及他們各自代表的部門應當在全部“災害恢復/業(yè)務持續(xù)性”打算中扮演什么樣的角色。然后，不能只是修正一下應急打算就完事了，你還要每月開一次會，確保你和你的公司都能隨時應對各種災害。

最后，要汲取本行業(yè)或本國其他處所所產生的災害帶給人們的教訓。例如，卡特里娜颶風就能為你公司的災害應急打算供給大批的災害情景。