3.4.6 IT事件恢复决策

在IT事件后果评估完成之后，为了尽快消除IT事件的损害与影响，下一步要进行IT事件恢复决策。IT事件恢复决策行动框架如图3-25所示。

下面，详细阐述IT事件恢复决策行动框架中的各项任务。

1．决策IT恢复事项

1）IT条线负责决策IT恢复事项。IT恢复事项主要包括以下几点。

（1）恢复IT服务需要启用的恢复手册或预案。

（2）恢复IT服务需要启用的恢复流程。

（3）恢复IT服务需要启用的应急指挥中心。

（4）恢复IT服务的方式。主要包括自动化方式和手工方式，自动化方式指借助自动化灾备指挥与切换平台等工具恢复IT服务。

2）决策IT恢复事项相关的权限职责如下。

（1）如果IT损害评估结果显示事件为一般IT事件，则通常由IT运维值班经理、一线值班人员、二三线技术支持人员共同决策IT恢复事项。

（2）如果IT损害评估结果显示事件为较大IT事件或重大IT事件，则通常由IT应急领导小组决策IT恢复事项。IT应急领导小组在判定IT事件为重大IT事件但不是灾难时，立即将IT恢复决策的结果、需要的恢复时间、恢复后的业务影响等信息上报企业应急领导小组，然后即刻向相关恢复团队下达重大IT事件恢复通知，通知内容主要包括启用的恢复手册或预案、需要执行的恢复流程、恢复操作方式（手动方式或自动方式）、启用的应急指挥中心，通知对象包括恢复流程所对应的恢复团队。

（3）如果IT损害评估结果显示事件为灾难时，IT应急领导小组立即将决策结果、灾难恢复时间、灾难恢复后的业务影响、灾后重续运行时间等信息上报企业应急领导小组，由企业应急领导小组决策是否执行灾难恢复。在企业应急领导小组下达灾难恢复指示前，IT应急领导小组不能启动灾难恢复流程。在企业应急领导小组下达灾难恢复指示后，IT应急领导小组向灾难恢复团队所有成员下达灾难恢复通知，通知的内容主要包括需要启用的灾难恢复预案、灾备切换流程、应急指挥中心、切换操作方式（手动方式或自动方式）。

2．决策重大IT事件重大恢复事项

企业应急领导小组负责决策重大IT事件重大恢复事项，主要包括以下几点。

（1）灾难研判和灾难宣告。

（2）是否向监管机构报告。

（3）企业对外公布信息的口径和新闻发言人。

（4）人员善后处置重大事项。

注意：为什么由企业应急领导小组组长负责灾难研判和灾难宣告呢？第一个理由是“由企业应急领导小组组长在权衡企业利益后进行灾难研判，更能体现企业的意志和利益”。因为在重大IT事件发生后，在不能尽快恢复时，执行灾备切换或不执行灾备切换都涉及企业的重大利益。在执行灾备切换的情况下，灾备系统提供的IT服务通常会存在功能、性能、可靠性、安全性等方面的降级，切换后基于灾备系统提供IT服务的时间也可能比较久，如此会给IT用户、企业顾客等带来较大的、较久的负面体验，也会引起监管部门、媒体、社会大众的高度关注。在不执行灾备切换的情况下，长时间的业务停顿势必造成严重的企业影响和社会影响，可能会导致监管层的处罚、外界的各种质疑，甚至会造成企业生存危机。第二个理由是“由企业应急领导小组组长执行灾难宣告，才能获得企业各条线的快速响应”。

3．决策危机攻关事项

企业应急领导小组组长通常统领企业危机攻关工作，企业应急领导小组组长与危机攻关相关部门负责人（兼任企业应急领导小组成员）根据企业影响和社会影响的评估结果决策危机攻关事项。例如，投资关系管理负责人决策投资者信息披露事项，风险管理负责人决策向监管报告的事项，公共关系负责人决策内外媒体信息发布的事项，企业总经理决策员工慰问相关事项，客户关系管理负责人决策主要客户沟通事项等。

4．决策业务恢复事项

业务条线应急领导小组负责决策业务恢复事项，业务恢复事项主要包括需要恢复的业务流程、需要启用的业务恢复预案、业务恢复预案的启用次序等。业务条线应急领导小组在作出决策后向业务恢复团队下达业务恢复通知。

5．决策人员善后处置事项

HR条线负责人决策人员善后处置相关事项。