應對這些文件實際上我們真正要做到一個企業的業務連續，我們要考慮哪一些方面呢？我們說最基礎的是我們信息系統的備份和恢復，這在全世界都一樣，所有的企事業單位都是從自己的數據和信息系統開始考慮，把它作一個優先級，在這個基礎上考慮到我們災難備份所需要的各種恢復的資源，考慮到我們對這些資源的合理的利用管理，考慮到整個災難恢復的流程，從而就構建了我們所謂災難恢復、規劃這個體系，這個體系也就是我剛才談到的在2000年之前，在上一個世紀大家談得比較多的，在這個基礎上，如果我們考慮到我們整個組織面臨的風險，一旦災難發生我們所受到的這種影響，這些影響給我們所帶來的沖擊以及我們如果要在進行這種災難恢復的時候，我們的整個人員組織架構、保障體系，我們的這種恢復的策略、目標，以及我們除了IT之外的業務恢復的這套預案，在這個基礎上，我們得到了所謂的業務連續規劃，它的著眼點從IT轉向了業務。在在這個基礎上考慮到對緊急事件應急的處置、響應，對企業和部門在這種緊急情況下的危機的管理，媒體公關的應對，合規性的管理以及我們在整個供應鏈的鏈條上下游，這種關聯的管理，這個是我們的整個業務連續的管理。

　　在這次汶川大地震當中，大家可以看到，剛才幾位專家都介紹到了，在整個的鏈條當中，如果有一個環節出現了問題，比如說我們的通訊，通訊的基站搶修好了，但是我們沒有電，發電機運進去了，但是我們沒有油，油找到了，但是我們的道路還沒有恢復，但是這個鏈條當中如果有一個鏈條失缺的話，那對于你最終的這種業務服務功能來講，你是沒有辦法恢復的，所以從這個角度更加驗證了這個體系，業務連續管理體系它的一個完整性的必要，因應這個體系對我們現存的這種組織架構，現存的這種企業來講，我們有一套評估的方法，GDS公司在國內做了很多企業的這些評估，我們從幾個大的角度來看，一個是我們企業的業務持續管理的組織架構，崗位和職責，現有的我們看到的包括政府機構，大型的企事業單位和金融單位，在這些方面實際上由于國家有相應的很多的這些文件，其實都設置了一定的信息安全應急管理方面的負責人，但是這些負責人他們以下執行的組織架構相對來講比較缺失。

　　接下來就是在建設整個災難恢復和業務持續管理的這個過程當中，如何設立自己的需求和目標，剛才我們王主任談到，我們的預算是有限的，沒有辦法像很多大型的機構，他們的資金比較充裕，可以建立很大型的災備中心，可以對自己的業務進行很高級的備份，在此基礎上，你如何設定自己的業務持續性的需求，這種分析怎么來做？另外根據這種分析得出來的結果，我們有沒有一個長期的規劃，按照步驟逐步實施自己的業務連續性的策略。這些方面是我們在行業里面看到是做得不盡人意的。

　　接下來對整個組織架構當中業務連續管理的制度，應急的體系這一套預案的開發，我們現在看到的預案大多數是非常綜合性的，沒有所謂針對場景的，這也是為什么今天我們朱將軍說到很多的預案真正發生問題的時候，你是根本啟用不了的，你是沒有用的。我舉個例子，我們看到的美國的一些大型銀行，一個銀行里就有7千份預案，這是個什么概念？從總行到它的分行到各個分支機構，每一個機構針對自己有可能會遇到的這些風險相應的都有場景開發的預案，并且這種預案是有A角、B角在不同的情況下有相應的處理措施，當你做到這么詳細的程度的時候，相信你對整個災難的預防機制和應急反應的機制就到了一定的程度。相應的受到打擊的可能性也會比較小。