一旦识别出可能的威胁,判别你在多大程度上不能避免它们。万一发生电力故障,你的数据备份系统可靠性如何?员工们是不是训练有素,能够应对一场地震?安全系统怎么样——防止顾客或员工偷盗的能力如何?判断哪些是最薄弱的方面,以及需要采取什么样的降低风险的措施以保护这些薄弱环节?
完成了对威胁和薄弱环节的识别之后,开始排序。先按照发生的频率进行排列。然后根据它们会对业务造成的危害程度,对这些威胁和薄弱环节进行排序。例如,清单的结果会显示,员工偷盗每年造成5000美元的损失,计算机系统崩溃每小时的损失是100美元等等。把这些数字应用在排好序的风险上,然后你就知道了每个威胁的风险程度。风险程度越高,就越值得你注意保护免受威胁的危害。
第二步:制定应急计划。应急行动计划,就是以书面形式制定的程序手册,用于应对第一步中已经识别的威胁。
当法律要求你做某事时,你不是总会被告知该如何去照办。制定应急计划有若干不同的方法,但所有的应急计划总是有相同的基本元素。根据美国国家安全委员会的规定,应急行动计划一般包括以下最基本的内容:●清晰的书面政策,指定一系列的命令,列出相关的人员或部门的名称和职务。这些人员或部门负责做出决定、监控响应行动,以及恢复正常的运作。
●负责评估风险对于生命和财产危害程度的人员名单,以及需要被告知各种突发事件的人员名单。
●关停设备和生产过程、停止业务活动的专门指令。
●现场疏散程序,包括指定现场以外的会议地点,和撤离后向所有员工进行说明的程序。
●负责关停关键操作的员工,在撤离现场前需要执行的操作程序。
●负责救援操作、医疗救助、毒害物质响应、消防,及现场需要的其它响应行动的员工所需的专门学习 、练习计划。
●报告火灾或其他突发事件的最佳方式。