养兵千日，用在一时，但在最关键的时刻，你们却掉链子了”，面对CEO的严厉批评。“CIO最痛苦的事情是什么?”我用心思考着这个问题。公司与员工在面临IT危机时都经受了一场最大的考验。随之而来的是，IT危机管理成为这段时间使用最频繁的一个词。也是让我作为CIO听到最头痛的一个词。

　　随着技术的发展，企业运营越来越依赖于IT系统的稳定运行。对于CIO来说，保障IT系统正常运行非常重要。IT危机有各种各样，可分为两大类：一是企业外部引起的危机，可能是天灾也可能是人祸。比如台湾地震和南亚海啸影响网络通信，暴雨台风或911事件等等; 二是企业内部因素所引起的危机，如系统崩溃、系统灾难，或最简单的掉电使数据备份失败，还有频繁的病毒和木马的攻击等。

　　IT危机症状分析

　　IT危机是指使企业在IT方面遭受严重损失或面临严重损失威胁的突发事件。这种突发事件在很短时间内波及很广层面，对公司正常运作产生严重影响。因此，我们是应该在IT危机发生之后才想到IT危机管理，还是应时刻提防IT危机的发生、并建立IT危机管理体系呢?要回答这个问题，应该先回答这样一个问题：如何理解IT危机?

　　IT危机在一般情况下都具有三个特点：(1)突发性。IT危机往往都是不期而至，令人措手不及，例如木马病毒的攻击。(2)威胁性。IT危机的出现往往威胁到公司业务运作，甚至危及企业的生存与发展，例如造成关键数据掉失和损坏。(3)紧迫性。当IT危机出现时，对危机做出的反应和处理的时间十分紧迫，任何延迟都会带来更大的损失，一点点的失误都会酿成轩然大波。

　　因此，面对IT危机，切不可有侥幸的鸵鸟心理一样，把头埋在沙土里，那样即使回避了一时的问题，却可能为更大的IT危害播下了种子。像鸵鸟一样的逃避态度，随便把头埋在沙里，殊不知自己大大的屁股正露在外面。

　　IT危机预警系统的建立

　　风云变化万千，只有未雨绸缪的人才能坦然应对IT危机。IT危机总是突然的、出人意料地爆发，这是CIO必须面对的一个重要考验。而IT危机管理的最好办法就是准确预见，这是成本最低、最简便的方法。最基本的做法是建立起IT危机管理计划, 即Crisis Management Plan(CMP)，它包括明确定义IT危机管理人员的角色、职责和权限，识别IT危机类型和反应对策程序，以及确认所需的资源。另外，还需要事先制定各级计划，比如IT紧急反应计划、业务持续计划、IT灾难恢复计划等。

　　首先，必须建立IT危机预警系统。

　　IT危机是不可避免的，所以必须为危机做好准备。要想在危机来临时做到不被动，光有危机意识是不够的，必须未雨绸缪，建立IT危机预警系统。及时捕捉企业危机征兆，为各种危机提供切实可行的应对措施。

　　要预防IT危机，首先要将所有可能的突发IT危机事件一一列举出来，考虑其可能发生的后果，并且估计预防所需的花费。这样做可能很费事，但却很必要。我们强调不能只是坐以待毙，应该在危机发生之前，做好相关的准备工作，才能从容不迫的应变。因此，对企业来说，必须列出一张IT危机评估表，详列出可能发生的危机，并且评估它们的等级，依发生的可能性从最可能到不太可能依序排列。例如针对IT灾难备份，CIO应该根据业务实际需要制定好详细的灾备计划，备份时间间隔、备份类型，本地备份还是异地备份等.

　　因此，当各种突发IT危机发生时，明确应该采取什么样的对策，通过什么样的程序进行有效处理，确定什么人员在什么时间做什么事，这是危机预警系统建立的关键。主要包括以下三个方面：

　　(1)组建IT危机管理小组

　　建立IT危机预警系统的一项重要工作是成立IT危机小组。只有做好组织上的准备，有备而无患，才能更好的应对IT危机的爆发。小组的主要作用在于全面清晰的对企业可能面对的各种危机进行预测，为处理危机制定有关的策略和步骤。对管理组员进行IT危机培训，在遇到危机时，能够全面、快速的处理危机。

　　(2)确定IT危机级别

　　不同的IT危机状态，有不同的处理方法。没有事先确定IT危机级别列表，会给危机处理带来很大的混乱和不便。企业必须先定危机级别，并制定相应的危机处理方法，只有这样，才能在危机来临时，做到“兵来将挡，水来土淹”。例如在可能遇到的各类危机可分为三级：一般事件，紧急事件和重大事件，并形成IT危机级别详细列表说明。

　　(3)确立IT危机处理程序和实施细则

　　只有制定IT危机管理制度、流程、策略和IT灾难恢复计划，才能确保在危机汹涌而来时能够理智冷静，胸有成竹。这些流程在业务正常时不起作用，但是IT危机发生时会及时启动并有效运转，对危机的处理发挥重要作用。这样一旦危机出现，各部门、员工知道做什么，而不必依靠某一个关键人物的急中生智力挽狂澜。在IT危机发生时，要处理的工作何其繁杂，而这一切都需要在极短时间内完成。如果事前没有周全的计划、能够立即付诸实施的制度和流程、能够立即投入角色并展开工作的人员，则可以预见在IT危机发生时反应迟缓、内外混乱将无法避免。

　　其次，应该进行IT危机模拟预演。

　　应根据IT危机应变计划进行定期的摸拟预演。IT危机演习是为了评估危机预警系统能否有效地实施。定期的模拟训练不仅可以提高IT危机小组的快速反应能力，强化危机管理意识，还可以检测已拟定的危机应变计划是否充实、可行，找出IT危机预警准备中的不足，可以及时改善。

　　制定好IT危机计划后，并不是万事大吉，束之高阁，不经过演练的计划无异于纸上谈兵。很多企业没有意识到这一点，企业往往花费了大量的人力和物力制定了IT危机预警系统，以为万事大吉了。殊不知，在IT危机状态下这些措施并不一定有效。

　　处理IT危机的方法

　　虽然IT危机管理的重点是预防危机，预防危机的措施也可以做得相当周密。但是IT危机诱因复杂多变，危机仍是防不胜防。因此，IT危机管理的另一项职能就是处理已经发生的危机，把危机损失和影响减少到最低程度。

　　危机爆发时的破坏力最大，因此本阶段的危机管理也最重要。第一步要做的就是遏制危机，这要求危机处理在最短的时间内掌握并控制危机形势，将损失降至最低。第二步要做的是防止危机的蔓延，把危机限定在一定的范围之内。在日常活动中，IT危机就像感冒病毒一样，种类繁多防不胜肪。那么如何进行危机管理呢?

　　(1)在危机处理时，要立即调查情况、以控制事态的发展，启动危机处理小组对IT危机的状况做一个全面的分析：危机产生的原因是什么，内因还是外因?危机发展的状况及趋势如何?这些问题必须弄清楚，因为这将是采取补救措施的直接依据。在这个阶段，速度是关键，危机不等人。在IT危机发生后最短的时间内做出反应采取相应措施，根据不同情况确定工作的优先次序，把损失变为最小。

　　(2)一旦找出IT危机产生的原因，必须立刻制定相应的危机计划和对策。危机管理计划必须是具体的、可以操作的，不应该有任何含糊之辞。危机管理计划应明确所涉及部门及人员的权利和责任，对人员进行有效配置，做到事事有人管，从而在危机来临时都能够迅速找到自已的位置。如果危机管理计划混乱，杂乱无章，相关人员就会反应迟钝、迷茫无助或混乱不堪。

　　(3)应有轻重缓急,主次优劣的区分。首先对IT危机管理的目标应有优先序列,其次对一系列多种同时发生的危机也应先应先急后缓,先重后轻。

　　(4)必须有IT危机管理的预算。IT危机处理必须根据自身的人力、物力、财力资源为基础，而不能以IT危机事件的种类为依据，否则危机处理只会成为水中月，镜中花，没有任何现实意义。

　　检验危机管理是否有效的步骤

　　危机是一种潜在的危险，危机管理正如在“刀尖上的舞蹈”一样。危机管理绝不是危机出现以后才开始管理，而是要在危机发生之前采取措施，做到未雨绸缪。否则危机处理不好就会产生恶劣的后果。作为CIO，就要时时检验和测试公司的危机管理是否有效。

　　这里提供检验危机管理是否有效的两个步骤：

　　第一，如果在非办公时间出现危机，公司有什么样的内部沟通系统?例如星期天遇到危机，需要多长时间消息传达到每一位相关责任人?

　　危机处理小组的成立也是必要的准备工作，这些成员必须提供二十四小时的联络方式，例如电话以及e-mail，当危机发生时，自然而然形成一个通讯网 ，每个人都适时扮演适当的角色。这个危机处理小组必须在危机发生前就成立，因为当危机发生时 ，每个人都手忙脚乱、毫无头绪，届时再成立已经太晚。

　　第二，针对IT危机类型，公司有什么样的应急反应计划?这项计划最后一次更新是什么时候?以前有没有预演过以确认它是否有效?它与公司其他的反应计划能否匹配?

　　典型的危机管理处理都会有一个时间表。例如当危机发生时，应该做些什么，找出真正的实情为何，决定何时要响应危机。依照危机的状况不同，蔓延的情况也会有所差异。有些可能十二小时内可以解决，有些则需要花上几天到数个礼拜的时间。一般来说，危机发生的头几天，通常是比较紧张的时候，企业必须和时间赛跑，分秒必争。

　　测试危机管理的常用方法

　　过去，我们在处理正常事故时通常也会形成一些危机管理的准则和措施，但这些原则已经不能满足今天的需要。我们现在需要培养对正常以及非正常事故进行综合思考的能力，这里提供几种常用的测试方法。

　　(1)危机转盘

　　预防非正常事故的方法有好多种，其中随机地思考这类事故就是一个好的方法，随机思考的工具之一就是危机转盘。危机转盘是像小孩子游戏中用到的那种带箭头的转盘，在转盘上列出公司可能面临的所有危机的种类。这个方法很有效，因为CIO都习惯做常见的危机规划，而精心策划的随机选择方法可以转移他们的参照点，逼迫CIO跳出自己的思维定势。

　　①由IT团队成员轮流转动转盘。转盘停止时，根据箭头所指的IT危机种类，讨论大家能想到的所有正常的和非正常的危机。任何一种可能性都不能排除，不管这种想法看上去是多么可笑，因为每一种想法都可能颠覆CIO对自己已知情况的根本观念，改变大家对公司可能面对哪些危机的想法。

　　②然后，把两个或两个以上的非正常危机组合在一起。当然，这种情况在现实中发生的可能性就更小了。但是一旦发生，危险系数就更大。这迫使大家接受这样的事实，即：非正常灾难经常是大规模发生的。这也帮助CIO联想起一些新的危机，这些危机大家以前从未想到可能会发生在自己的公司或行业中。

　　(2)扮演内鬼

　　进行危机预防工作时，许多公司依赖自己的员工来研究应该预防的危机，因为员工最了解公司的情况。然而，由于员工非常了解公司的情况，考虑就会常常受限于习惯。因此大家并不能有效的从反面思考问题，或者说像坏人那样思考。一些特殊的方法能帮助CIO做到这一点，角色扮演就是其中之一。

　　在进行训练时，CIO和IT成员组成测试小组，把自己想象成“内鬼”或恐怖分子。这样，大家就能暂时抛开习惯的理性思考方式和道德标准，利用自己对公司产品、流程和制度的熟悉，想出从内部或外部破坏公司的方法。当大家采用“恐怖分子”的视角时，往往上爬能指出哪些地方能制造最大的破坏，和如何制造这样的破坏。这种方法经常可以改变公司对IT危机的态度。

　　(3)间谍游戏

　　还有一种更极端的测试方法，例如大胆地邀请外人测试公司对危机处理的脆弱性。我们认为员工太了解公司，或者身陷公司的日常运营中，因此不能采用完全不同的角度来看问题。创造性地利用无偏见的专家，能帮助公司打破思维惯性，不再用否定的观点看待危机，认为“这不可能在我们公司发生”。

　　这种戏剧性的紧张练习能帮助CIO接受现实，认识到可能某一天也要处理此类危机。罪犯的心态与大多数人完全不同，在很多情况下CIO只有把这种心态带入公司，才能真正地弄清楚罪犯会如何思考问题。例如，一些曾经是黑客高手的安全顾问发现公司最容易被黑客侵入的领域，这些问题不是软件或者系统缺陷造成的，而是员工的无心之过带来的。此前，大多数CIO都不会认为，这些无心之过也会对网络安全带来威胁。

　　古语云：“人无远虑，必有近忧”。既然IT危机不可避免，只有防范危机未然中，才能扭转IT危机于旦夕之间。危机是每个企业都不愿面对的事，但是在发生后吸收经验，一方面可以防止类似事件再发生，另一方面也可以在处理方式上更加成熟。平时多一些IT危机意识，多制定几套对付各种可能出现的IT危机之策略，危机来临时就会镇定从容得多.