栏目：　 专访 - CIO对话

　　这是一个关于安全的话题，如果公司突然停电，网络瘫痪、电话切断、电脑关机事情突然来临，你的机房放置了UPS了吗？如果有，你不用担心数据的丢失，但是正在网络上传输的数据依然丢失，数据不完整，如果电源足以支撑需要运行电脑的安全关机，数据完整保存，但系统依然停止运转...，业务的持续性依然受到冲击。

　　作为一个CIO的你，你在这个时候最担心什么？

主持人：如果公司突然停电，作为CIO你首先应该做什么？

江　玮(贝塔斯曼文化实业有限公司IT总监)：
　　必须事先考虑这个问题啊！任何一个企业必须在一开始就有相应的BCP和DRP，如果已经断电了，再来担心就太晚了！

王盛松(UT斯达康IT高级经理)：
　　首先想到的是数据中心的机房服务器等应该有UPS等设备，询问是否正常工作，,然后停电的范围，了解对业务的持续影响冲击在哪里？采取相应的措施，同时了解停电的原因；采取应急措施后，以便公司的业务能够持续，影响减到最小化，后根据停电的原因，采取进一步措施。

主持人：在响应的BCP和DRP以前，企业基本的措施能有那些？第一层次是机房放置了UPS？第二层次是实施完整数据保护、保存方案？第三层次是实施BCP解决方案？

江　玮：
　　不能这么考虑问题，不存在什么第一层第二层的说法。就好像我曾经问过手下的一个问题一样：“什么是我们最重要的IT系统？”一开始没有人回答正确，都说什么ERP啦，CRM啦，Sales等等，我就问他们，如果机房没有了，这些系统还有用吗？

王盛松：
　　这个问题我感觉有歧义。是说BCP和DRP都已经实施了呢？ 然后碰到问题，做决定说是用BCP还是DRP呢？还是另外的意思：没有DRP、BCP，企业这个时候应该做什么？

主持人：那如何逐步实施？

江　玮：
　　首先要做的就是BIA，要明白你的企业需要保护的是什么，需要保护到什么程度。比如说有一个公司是提供定期的咨询服务的，只要数据得到了有效的保护，突然的停电不一定造成很大的影响（尤其是在业务淡季）；但对于诸如证券交易所，停电就是决不可接受的了。企业必须知道他面临的各种风险的大小（也就是可能的损失乘上发生的机率），然后与必须的保护措施的成本比较，平衡的结果才是企业应该采取的行动。

主持人：相关的应急措施和流程也是遇到此类突发事件把危害降到最小的方式？

江　玮：
　　对的，这必须根据企业可以忍受“中断”的时间，和被中断的“功能”能否由非系统的方式所临时取代所决定的；所以说在有切切实实的数据说话以前，千万不要盲目考虑应急计划。而且投资的大小也并不与应急的级别成正比的。

主持人：你觉得网络安全占公司各类风险比率大吗？

江　玮：
　　完全取决于公司的性质。公司有没有核心业务是依赖于网络的，公司有没有核心的机密信息是可以通过网络可以存取的，业务部门可能不知道什么保护级别，但通过BIA之后大家就能知道可能的损失是多少，业务可以忍受的时间有多长，IT就可以根据需要恢复的时间来建议保护的级别，但如果成本是大于损失的，就说明了业务流程本身的不合理，需要改变业务流程了。没有公司会愿意花100万去保护10万的东西。什么系统重要不是IT“感觉”出来或凭常识“判断”出来的，这必须由业务数据来说话。应该用什么级别的保护，也不是IT根据“经验”来决定的，必须有损失和成本来比对。

王盛松：
　　看公司的业务运营性质,有的很大是致命的，有的类型的企业就不是很大了，是否是企业自身需要评估自身的安全风险，然后选择对策。企业自身应该有个自我认识,具体的评估过程可以结合专业人员或机构进行，结果应该自己企业认识到。

主持人：但有时只有损失的时候，才知道损失价值，预先估计的都是乐观的。

江　玮：
　　比如对一个呼叫中心来说，他连的主机系统可能价值上千万，电话系统本身只有几十万，如果断电的情况下只有一台发电机，只能供主机系统或电话系统，你说应该给谁供电呢？主机系统，所有的订单全部手工记录，效率会下降60%，也就是损失60%的订单，如果电话系统没有了，那就什么订单也没有了，损失是100%。那么根据平均订单的金额算就可以算出损失的利润，同时考虑如此停电的机率（每年1到2次），就可以估算出每年可能有的损失，那就是每年可以花在保护主机系统不断电上的成本的上限。

主持人：这到新鲜的问题，从根本上讲，应该给主机系统供电。但业务可持续的重点不在系统本身，而在于业务的连续性。这就引申另外一个问题：如果没有IT的话，业务是否还可以继续，成本是多少？

江　玮：
　　从IT的角度，可能理所当然觉得应该保护主机系统，但对业务来说不是，那是IT为业务服务呢还是业务为IT服务呢？这就是系统本身能否用人工方法临时取代的问题。

主持人：和保护IT系统的成本比较，是否有更倾向于业务可持续的考虑

江　玮：
　　对啊，这就是BCP的本意啊！

主持人：在评估的过程中业务部门应该参与吗？他们占一个什么样的决策比重？

王盛松：
　　应该！应该以提供业务流程的运营的信息为主，而不是做决定的人；是提供信息的参与者，而不是决定结果的人；让决定者和专家认识企业的运营细节。

主持人：业务数据的保护如何操作？有保护级别吗？如何拟定这些级别？

王盛松：
　　业务数据的保护应该是多层次的，这个在DRP的范围内有详细的明确规定，这个涉及到备份方案,严格的甚至还需要异地备份，已防地震等。关于业务数据如果在一个系统中,那就按最严格的数据那个曾经进行备份要求实施，如果在不同的系统中，根据业务部门的要求和当初专家制定的最小备份要求，采取相应的备份措施。这样具体情况具体分析，以满足企业需要就行，不必无谓增加IT的费用预算。

参与本次《对话CIO》话题讨论的CIO有：
　　 　　主持人：
　　　　　　　曹　伟：　Ieader网站主编／中国CIO发展中心秘书处　

　　　　 嘉　宾：
　　　　　　　江　玮：　贝塔斯曼文化实业有限公司IT总监
　　　　　　　王盛松：　UT斯达康IT高级经理