加强数据保护五法则

虽然管理和保护不停增长的业务数据已经使CIO们疲于应付，但是他们仍会面对一系列更加严峻的挑战，比如数据增长的速度不断加快、地区动荡、强制性法律法规、合同规定及服务协议的要求等。

虽然CIO的根本任务应该是为企业的业务提供支持，但他们却可能发现自己完全身陷数据保护的任务中。在此，笔者提醒CIO们，在实施数据保护时有以下5个关键步骤。

第一步：切记您的任务不是恢复丢失的数据，所以请把精力放在支持公司业务上

除非您所效力的企业是致力于向客户提供数据保护服务的，否则备份和恢复都肯定不是您的首要工作。您的本分应该是为公司业务提供支持，例如金融服务业、制造业或制药业等各行业商务活动。虽然您可能总觉得自己像关键数据的守护者，但是要知道，针对恢复丢失的数据而进行规划远远不如从一开始就防止数据丢失来得有效。对灾难的预防比灾后恢复更迫切，何况恢复灾难也不是成就成功职业生涯的最佳途径。IT基础设施旨在支持公司业务，更确切地说，是支持运行于其中的业务应用。并不是所有应用及其相关数据都是同等的。不同应用及相关数据之间的差异也不会恒久不变。它们的优先等级会随着时间变化而变化的，当然具体的变化情况取决于公司的业务周期以及其他外部影响。

只有了解哪些应用是企业关键应用、它们的弱点和缺陷及其所承担的经济损失风险，您才能意识到哪部分业务正身处危机。但是，我们通常很难确定是否值得去降低某项风险，除非我们能够了解到该项风险的大小，这是符合经济学原理的。了解风险的经济学意义，您就会自然而然得懂得如何更好地保护数据。

第二步： 弄清基本事实

时至今日，不仅只有大灾难才会给企业造成重大的经济损失。只要系统中断的时间拖延得越长，它给企业带来的毁灭性影响的可能性也越大。虽然系统中断在以前可能只会带来小小的服务中段，但在今天它和水灾、火灾一样可以给企业造成严重的经济损失。因此，如果一个企业把其工作重心放在如何从灾难性事件中恢复，或以传统的业务连续性视角来评估当今业务弹性解决方案的价值，那么这个企业正在犯一个巨大的决策性错误。要知道，灾难风险给服务可用性带来的影响对企业来说也非常重要，切不可任由机会、运气或“直觉”来主宰。

第三步： 质疑传统方式

传统的业务连续性手段，例如业务影响评估，在为企业分析灾难导致的经济损失、识别关键业务应用及其所依赖的资源等方面均非常成功，而且直到现在，它们在制定针对灾难恢复和响应目标的应对计划时仍然相当重要。但是，今天的创新企业更需要的是业务弹性而不是灾难恢复。因此，采用传统方法来对待今天的新问题不仅有可能造成选择不当，还可能会导致决策失败。

传统的业务连续性方式旨在对灾难事件做出响应，所以它支持的是针对恶劣事故所作的应对性规划。这样看来，我们就不是在预防灾难事件的发生，而只是在考虑该事件发生后应该如何响应。在针对最坏的情况制定响应计划时，我们对灾难本身发生的原因考虑得很少，但是对灾难出现后的应对措施考虑较多。像水灾、火灾、地震或爆炸等重大灾难事件一旦发生，我们的实际响应措施可能和原定响应计划相差无几。灾难恢复太过于重视事后响应，而忽视了事前预防，它更在乎的是企业是否为灾难发生后的响应措施做好了充分准备。这显然不符合当今企业对业务弹性的要求。

第四步： 定义潜在的灾难风险

很显然，如果要提高IT系统的可用性和弹性，我们必须要对有可能导致系统中断的风险进行有效管理。这里涉及到两方面问题：一要为风险管理投入适量的资源，二要确保这些资源投对了地方。说到风险，我们也要注意两个问题：首先应确定事故发生的可能性，然后要了解该事故一旦发生可能造成的损失。

理清以下5项有关运营风险的问题，能够帮助您做出更好的决策：

1. 造成损失的可能性有多大或者系统停机的成本是多少，以及中断期间损失的累积速度有多快?

2. 使服务中断或给服务造成威胁的潜在原因是什么?

3. 潜在威胁实际发生的可能性有多大?

4. 当潜在威胁发生时，系统中断的持续时间分布如何？

5.企业对该威胁的承受力有多大？

只要您理解了上述5个问题，那么您就可以根据威胁造成的预计损失对威胁/风险进行分级，从而快速确定对企业最具大的威胁；可以对不同策略降低预计损失的有效性进行评估，从而了解各种风险消减策略的优势；可以为能够有效降低预计损失的风险消减策略的实施进行投资；可以确定每种风险消减策略的投资回报率。

第五步：追求弹性

弹性可以说是一个崇高的IT理想，它在IT需求等级中处于高位。虽然IT技术对于一个公司更属于其内部业务流程的范畴，但是事实上它也会扩展到公司的外部，影响公司客户、供应商、商业合作伙伴以及其他众多利益方。由于对技术的依赖，企业一旦发生业务中断就会使相关的经济后果、潜在损失不断扩展开去，因此可以说技术为公司带来了风险。

虽然企业为了提高自身竞争力和效率而引入越来越多的技术，但是相应地带来的风险也越来越大。只有了解哪些是企业的关键业务、哪些风险需要进行消减以及可以选择哪些方式方法来消减这些风险，您才能够找出正确的解决方案，在IT基础设施中成功地建立弹性机制。