业务连续性管理策略
业务连续性管理策略定义了业务连续性管理标准,是业务连续性计划制定和维护的准则。内容包括业务影响分析、业务连续性计划、业务连续性培训与演练等方面的管理。
业务连续性管理组织
高级管理人员担任协调官
包含资深业务人员
包含职能、危机处理、物理安保人员
包含电力、空调基础设施维护人员
包含网络、系统、应用维护人员
业务影响分析BIA
识别组织范围内关键业务功能
识别关键业务功能所依赖的资源,包括软件、硬件、信息、人员、基础设施、服务
识别关键业务功能所有的潜在突发信息安全事件
分析突发灾难给关键业务功能造成的损失和影响
分析关键业务功能的恢复时间目标(RTO)和恢复点目标(RPO)
按照RTO和RPO由小到大顺序排列业务功能的恢复优先级
业务连续性策略
业务连续性工作组制定业务连续性策略,信息安全管理领导小组对其进行审批和确定。业务连续性策略包括三个方面:
1、支持业务运营的资源的预防性保障策略:灾难前的准备、防范性措施,目标是降低风险发生的可能或者降低风险发生时的破坏性,减少事故或灾难带来的损失。一般包括站点冗余、设备冗余、数据备份、人员角色备份、资源措施准备、人工操作方案等。
2、支持业务运营的资源的监控性保障策略:日常运维保障,目标是通过有效的监控手段及时发现灾难的发生,定位灾难源头,快速响应,减少损失。
3、业务连续性管理的外部协作关系,与相关社会职能机构、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作,以确保在突发信息安全事件发生时能及时通报准确情况和获得适当支持。
业务连续性计划与措施
灾难的定义:描述哪些事件是灾难。
应急响应程序:指事故或灾难发生时的应急处理流程,目标是尽快恢复业务功能,减少损失。主要措施是建立事件应急响应程序和具体系统、设备、设施的应急预案。
灾难恢复程序:指如何彻底消除灾难,恢复业务资源,使业务操作回复到灾前的状态。主要措施包括内部修复方案、供应商或服务商的支持等。
改进措施:指业务恢复后,应调查灾难原因并总结经验,改进预防性策略、应急响应程序和灾难恢复程序。
业务连续性计划培训与演练
应急方案的可行度和执行度
突发灾难响应流程的正确性
预防、响应和恢复程序是否满足RTO和RPO指标
人员的意识与技能
桌面推演:由各类计划的编制人和其他人员复查计划的可执行性。
模拟演练:针对某个突发灾难的模拟场景,进行业务连续性模拟操作演练。
并行演练:在保证业务功能正常运行前提下,对业务连续性计划进行实战演练。
完全演练:完全执行在遭遇了各类灾难后的响应计划。
业务连续性并行演练和完全演练尽量安排在非办公时间进行。无论哪种演练方式,应将演练的过程与结果进行详细记录,演练结束后的1周内形成正式演练报告并报送信息安全领导小组。
业务连续性演练应循序渐进,逐步从桌面推演向完全演练转变。至少每3年对定义的灾难进行一次完全演练。
业务连续性计划改进
购置新的关键设备或者系统升级
环境、重要设备或资源发生了变化
业务连续性管理的业务流程发生了变化
距上一次审核时间相隔1年以上
关键供应商的改变
重要的人员发生改变
上一年度业务连续性管理评审报告
上一年度业务连续性演练计划和报告
扩展 · 本文相关链接