第16章业务连续性管理随着信息化的发展、企业、政府对信息系统运作的稳定性和可靠性的要求就越高。本章首先将从什么是业务连续性计划及BCP相关概念进行了介绍;然后介绍了应急响应概念、如何建立安全应急响应管理系统和应急响应流程以及针对事件的发生如何处理;最后介绍了灾难恢复计划相关概念和所使用的技术以及灾难恢复级别是如何定义和如何制定灾难恢复计划。本章内容适合参加信息安全高级管理师认证的读者。16.1概述1.1什么是业务连续性计划业务连续性计划(BusinessContinuityPlanning,缩写为BCP),BCP可被定义为一种先知先觉的流程,它可以帮助企业确认影响业务发展的关键性因素及其可能面临的威胁。由此而拟定的一系列计划与步骤可以确保企业无论处于何种状况下,这些关键因素的作用都能正常而持续地发挥。BCP的目标是建立一种合理有效的成本控制方案,以平衡由威胁带来的可能的业务或资产的损失及为保证业务连续性运作而进行的成本投入。业务连续性对确保灾难发生时企业的生存是至关重要的,不过与之同等重要的是要保证企业日常的业务运行平稳有序。业务持续管理即BCM是一种整体管理流程,它能够确定可能发生的冲击及对企业运作造成的威胁,并提供一个架构来阻止或有效的抵消这些威胁,以保护股东的利益、公司的名誉及品牌。1.2BCP运作流程BCP运作共有6个阶段,分别为:1.项目初始化2.风险分析及业务影响3.策略及实施4.BCP开发5.培训计划6.测试及维护1.项目初始化(1)获得管理层的支持与投入为了确保该程序能够成功,高级管理层必须参与其中。BCP计划必须成为公司的战略性业务计划提供独立的预算。(2)建立团队必须建立一个团队,人员包括财务部,审计部,信息技术部,人事部,行政部等等。当灾难开始时,这些部门在继续扮演他们承担的支援角色的同时,也必须实施重大的机构转变以援助受影响的区域。法律部、公关部与投资部在事件发生后需要向公众及股东通告公司的运作状况。2.风险分析及业务影响分析决定BCP需求的关键驱动力是"企业能在灾难中承受多少金额的损失"?业务影响分析的目的是回答以下问题:保护何种资产?(资产识别与评估)资产的威胁与脆弱点?(脆弱点和威胁评估)有没有控制措施?控制措施能否预防或减少潜在的威胁?(评估控制)投入金额/劳力的多少?(决定)投入资金的效率如何?(通讯和监控)当进行业务影响分析时,应考虑以下几方面:金额的影响:如果不采取相应的措施,则组织的经济损失是多少?客户的影响:如果发生业务中断,则组织会损失多少市场占有率。法律的影响:组织是否遵从法律的要求?内部依赖关系的影响:中断的业务是否会其他领域的关键业务?作为业务影响分析的一部分,应该评估业务允许中断的时间长短;组织能提供多常时间的信息;当信息重新可用时,允许损失的信息是多少?这些问题可以通过恢复时间目标(recoverytimeobjective(RTO))和恢复点目标(recoverypointobjective(RPO))来决定。BCP需求的另一个因素是“灾难实际发生的可能性”。此因素由威胁的级别和组织具有的薄弱点范围决定,威胁的程度取决于下列因素:有恶意性的破坏,如轰炸、纵火、工业间谍等。意外事故,如组织的办公场所、环境,内部系统和处理程序的质量。3.业务持续性策略及实施(1)业务持续性策略业务影响分析为制定业务持续性策略提供必要的信息,下来,根据提供的信息,可以确定多种满足组织业务持续管理的方案。必须为各种业务持续方案进行成本、效益及风险分析,包括:满足业务持续目标的能力影响的可能性安装设备的成本维护、测试及调用设备的成本中断对于技术、组织、文化和管理的干扰及未采取持续管理的潜在影响应该仔细考虑采取业务持续方案确实解决了具体的风险但不会增加其它风险。通过风险降低和业务持续方案成本的平衡来决定业务持续策略以降低风险达到业务持续的目标。(2)实施设立组织及准备实施计划书实施备份安排实施降低风险的措施4.BCP开发开发业务持续计划之前,确定灾难发生的情况下执行的行动,你需要熟悉每天的操作任务。这意味这你需要熟悉每一个业务处理过程的基本文档。在开发业务持续计划之前,...
