第十讲 业务连续性管理
(由于在项目中较忙,这一讲的时间隔得较长,抱歉!)
我们已经在前面介绍了ISO17799九个领域中的多个措施目标及控制措施,如果严格按这些目标与措施的要求做,基本上可以建立起一个“滴水不漏”的信息安全管理体系。
但俗话说“不怕一万,就怕万一”,灾难的发生往往是出乎我们意料的,当突然发生大的灾难,日常建立的控制措施已不再有效时,组织如何才能保护的核心业务不被中断,使灾难的造成的风险降到最低?这正是业务连续性管理要考虑的问题。
美国“911”灾难事件清晰地揭示了业务连续性管理对于金融服务机构的重要性。在世贸中心遭受攻击后数小时内,如Morgan Stanley 集团和American Express等公司能够迅速恢复服务,完全归功于组织事前建立了稳妥的业务连续性计划。对于eSpeed公司,甚至其在本次恐怖中袭击损失了接近3/4的员工,仍然能够在几天后金融市场重开时能够继续运作。
2003年春夏之交中国“SARS”肆虐时,成功实施业务持续性计划的亚信、摩托罗拉中国、台湾惠普等公司使人们看到面对这样的重大灾害时,企业怎样才能避免束手无策。
所谓业务持续计划是组织用来降低其重要的业务遭受意外中断的风险的作业程序。这个程序可以是人工操作执行或者是系统自动执行。
ISO17799所描述的业务连续性管理业务持续性管理主要有以下要点:
?
业务持续计划首先是组织高层管理人员的首要职责,因为他们被委任保护公司的资产及公司的生存。
?
制定和实施一个完整的业务持续计划应从理解自身业务的开始,进行业务影响分析和风险评估,
?
由管理高层管理者形成本企业的业务持续性战略方针,然后规划业务持续性计划,
?
进行计划的测试与实施
?
进行计划的维护与更新,通过审计保证计划不断改进和完善。
不少人把“灾难恢复计划-DRP”和“业务持续计划-BCP”相混淆,事实上,灾难恢复计划和业务持续计划在概念上是有区别的,灾难恢复是基于假定灾难发生后,造成IT中断,组织将如何去恢复主要的IT服务;而业务持续计划是基于业务持续性的原则,即无论发生任何意外事件,甚至像SARS这样的灾难,组织的关键业务也不能中断。业务持续计划应该首先应该包含灾难恢复计划。
下面描述ISO17799所确定的业务持续性管理的控制目标与控制措施。
1、
控制目标-在业务连续性管理过程中包含信息安全
=>目标:应在组织内开发并保持业务连续性管理过程,该过程阐明了组织的业务连续性对信息安全的要求。
组织应建立业务连续性管理过程,通过风险评估识别组织的关键业务活动,并实施适当的计划,以恢复与抵消非正常中断的后果。业务连续性计划的范围应包括整个业务过程,不仅仅是IT方面的服务。
制定业务连续性计划时,应推断由信息安全事故引起的业务中断对业务可能产生的影响(重要的是找到处理较小事故以及可能威胁组织生存能力的重大事故的解决办法),并且建立信息处理设施的业务目标;并确保信息安全需求同商定的业务连续战略保持一致,并将其形成正式文档。
业务连续性管理过程如下:制定和实施一个完整的业务持续计划应从理解自身业务的开始,进行业务影响分析和风险评估,在此基础上由管理高层形成本企业的业务持续战略方针,然后规划业务持续计划,进行计划的测试与实施,最后进行计划的维护与更新,并通过审计保证计划不断改进和完善。
l
控制措施-业务连续性和风险评估
应识别可能导致业务过程中断的事件,以及这类事件发生的可能性和影响,中断所造成的对信息安全的后果。
组织在进行业务持续性与影响分析时,有两个主要因素要识别与分析,一是引起业务过程中断的事件,如设备故障、火灾、地震等;二是中断事件对组织业务产生的负面影响。这种负面影响的分析过程其实就是风险评估的过程,评估确定这些中断发生的概率和影响,考虑业务中断引起的信息系统损害、恢复与替换的费用,以及因信息系统中断而造成的业务损失大小。
应在业务资源和过程的拥有者全面参与的情况下,进行业务风险评估。这种评估考虑到所有业务过程,并且不局限于信息处理设施,但要包含指定信息安全的结果。重要的是要将不同方面的风险结合起来,得到整个机构业务连续性需求的整体构图。评估应该根据组织的既定的原则与标准来识别和量化风险,并对风险进行优先级排列,这些风险因素应包括重要资源,中断影响,允许中断时间,恢复的优先级。
组织应根据风险评估的结果,制定一个策略计划,明确关键业务过程,并确定业务持续性总体解决方案。计划一经确定,应得到管理层的批准。
控制措施-业务持续性计划的制定及执行
=> 应开发并实施计划,以确保在关键业务流程中断或失效后能够在要求的时间内和要求的等级上保持和恢复运营并确保信息的可用性。
应当制订计划,以便关键业务处理程序在受干扰或者发生故障后,能够在要求的时间范围内维持或者恢复经营活动。该业务连续性计划处理程序应当考虑以下方面:
?
确认并同意所有的责任分配和紧急事故处理程序;
?
执行应急程序,以在要求的时间范围内进行恢复和更新。应当特别注意对外部业务活动的依赖性,要对所签合同进行评估以符合业务持续性要求。
?
将获得批准同意的应急程序和过程记录在案;
?
对危急程序及过程的相关员进行适当教育。
?
测试并更新计划。
l
控制措施-建立业务持续性管理框架
= >应建立并维护统一的业务持续性管理框架,以确保所有计划的一致性,且鉴别其执行的优先次序,以进行测试与维护。
业务连续性框架下可能会产生几个计划,如应急计划、疏散计划、恢复计划、维护计划等,每一个计划分别由组织的相关职能部门负责执行。如果这些计划不是彼此相关的,它们就无法相互协调,无法有效地保护业务持续性。
策略方案中应明确每个业务连续性计划的启动条件,以及执行计划的各个部分时每个人所应承担的责任。当有了新的要求时,应对相关计划进行适时修订,以满足己变化的需求。
每个计划都要有专门的所有人。紧急事故处理程序、人工撤退计划和恢复计划应当由所涉及的业务资源或者处理方法的所有权人承担责任。外包服务中的信息处理和通信设备的应急安排,通常由服务提供商负责。
l
控制措施-对BCP的测试、维护和再评估
=>业务持续运作计划应定期测试、审查并予以维护,以确保计划的及时性及有效性。
对己制定好的业务持续性计划进行测试是一项非常重要的工作。被测试的业务连续性计划有可能出现各种问题,这可能是由于不正确的假设条件、粗心大意的操作或者设备、人员的变更造成的。因此要定期对计划进行测试,以确保计划是最新的和有效的。还应当确保计划恢复队伍的所有成员和其它相关职工知道此项计划。
业务连续性计划的测试安排应当指出在何时以怎样的方式检测该计划的各个元素。建议经常测试计划中的各独立成分。测试时可采用多种多样的技术措施与方法。如:
?
对各种计划的桌面测试 (使用干扰案例来讨论业务恢复安排);
?
模拟(特别用于训练负责事故/危急事后管理的人员);
?
技术恢复测试(确保信息系统能够有效恢复);
?
在替换场所测试恢复效果;
?
对供应商设备和服务的测试(确保外部提供的服务和产品满足合同约定的要求);
?
安全演习(全面测试组织、员工、设备、方便措施以及应对干扰的程序);
组织还应当通过定期检查和定期更新业务连续性计划,以确保它们的有效性。这些程序应当包括在组织的变更管理程序中,以确保业务连续性管理得到正确的维护。
应当落实每个业务连续性计划的定期检查责任;计划的更改应与业务变更保护一致;计划更新应履行审批手续,并将更改及时通知有关人员。
