3.4.4 IT事件先期处置

IT事件先期处置是指在IT事件发生后采取必要控制措施、最大限度抑制事态恶化、减少人员伤害和IT资源损害、减小业务运营影响的过程。

企业各条线在接收到IT事件预警信息后，首要任务是执行IT事件先期处置行动。

IT事件先期处置行动框架如图3-21所示。

下面详细介绍IT事件先期处置行动框架中的各个任务。

1．IT损害控制

IT损害控制是指IT条线在IT事件发生后通过事先部署的“IT风险控制措施”防止或减轻IT资源遭受损害的过程。

IT风险及其对应的IT风险控制措施如表3-2所示。

IT风险控制措施严格区别于IT风险防范措施或IT威胁源消减措施，严格区别于IT服务恢复措施（包括高可用恢复机制、灾难恢复机制等），IT风险防范措施在IT事件事发前启用，IT风险控制措施在IT事件事发后启用，IT服务恢复措施在IT事件恢复过程中启用。

如表3-2所示，通常只有一小部分IT风险可以采取IT风险控制措施。大部分的IT风险，例如，设备故障冲击、静电冲击、雷电冲击、外部通信中断等，它们在爆发时直接作用于IT资源，它们的IT损害形成时间非常短暂，人们难以设置IT风险控制措施减轻它们的损害，只能采用事前的IT风险防范措施以尽量避免它们的爆发。

不是针对所有的IT风险都建设IT风险控制措施。按照成本收益原则，只对于发生几率较高的IT风险才考虑建设IT风险控制措施。例如，对于地震冲击、飞行物撞击、军事打击等发生几率非常低的IT风险，通常选择接受这些IT风险爆发时的冲击。

通常由IT风险管理人员负责建议并组织落实每项IT风险对应的IT风险控制措施。IT风险控制措施是IT风险管理人员根据大脑里主观的IT风险而事先建设的措施，它们在应对现实中发生的IT事件时，可能存在控制失效的情景。所以，IT风险管理人员在每次IT事件之后需要对IT风险列表进行重新评估和更新，在IT风险评估列表更新之后对IT风险控制措施进行重新评估和改进，并及时地维护一份“IT风险与IT风险控制措施映射表”。

IT损害控制相关的职责如下。

（1）IT运维值班经理负责启动IT损害控制相关的预案，负责协调预案中定义的IT损害控制行动。例如，在机房发生火灾时，IT运维值班经理启动机房消防应急预案并协调灭火行动。在遭遇暴雨冲击时，启动机房防洪应急预案并组织防洪泄洪行动。

（2）机房环境一线值班人员负责对机房环境类IT事件造成的损害进行控制。例如，按照专门的预案扑灭机房出现的火情、控制机房温度的升高等。

（3）IT系统一线值班人员负责对IT系统类IT事件造成的损害进行控制。例如，按照专门的预案阻断黑客的入侵等。

2．业务运营影响控制

业务运营影响控制是指在IT事件导致业务运营中断后，在无IT系统可用的情况下，业务条线启动事先准备的业务应急预案，以防止或减轻IT事件的业务运营影响。

在业务运营中断事件预警后，通常由各业务流程负责人向业务部门值班经理建议启用的业务应急预案，业务部门值班经理决定业务应急预案的启用，业务流程负责人组织一线业务人员执行业务应急预案。

在先期处置阶段，业务应急预案主要包括以下几点。

（1）手工业务流程应急计划。手工业流程应急计划是指描述如何用人工操作替代自动化IT服务的手册。

（2）业务运营中断事件客服应急计划。业务运营中断事件客服应急计划是指业务运营中断后客户服务人员参考的客服手册。

3．人员伤害控制

人员伤害控制措施主要包括基于“紧急医疗救援计划”抢救伤员、基于“人员疏散计划”进行人员疏散。

在IT事件发生后，如果存在IT人员伤害，所有在场人员的首要任务是开展现场救治工作。HR紧急医疗救援负责人在接收到IT运维值班经理的人员伤害告警通知后，立即按照《紧急医疗救援计划》开展人员紧急救治工作。

在IT事件发生后，如果存在IT人员安全威胁，IT运维值班经理需要在第一时间通知大厦物业值班经理，以便及早启动“人员疏散计划”。