业务连续性

最新推荐文章于 2024-03-24 19:10:24 发布

暖风吹起云

最新推荐文章于 2024-03-24 19:10:24 发布

阅读量3.8k

点赞数

分类专栏： CISP 文章标签：安全网络安全安全架构

本文链接：https://blog.youkuaiyun.com/qq_42707739/article/details/130516721

版权

本文详细探讨了业务连续性管理的各个方面，包括业务连续性（BC）的概念，业务连续性计划（BCM）的建设过程，组织管理，业务影响分析（BIA），制定及批准实施的流程。同时，文章深入讲解了网络安全应急响应，涵盖安全事件分类分级，应急响应预案的内容和格式，以及应急响应管理过程，强调了计算机取证和灾难备份与恢复的重要性。通过对不同灾备技术的介绍，展示了如何制定和实施有效的灾难恢复策略，以确保组织在面对各种威胁和灾难时能够迅速恢复业务运行。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

业务连续性管理

业务连续性的概念

业务连续性(BC)
业务连续性（Business Continuity, BC）是组织对事故和业务中断的规划和响应，使业务可能在预先定义的级别上持续运行的组织策略和战术上的能力。

主要为长期停产和灾难事件提供解决方法和程序（如灾难发生关键业务转移到异地，各岗位安排合理人员，在恢复正常秩序之前改变业务运作模式，通过各种渠道处理与客户和合作伙伴及股东之间的关系等）

业务连续性管理( BCM)
BCM是找出组织有潜在影响的威胁及其对组织业务运行的影响，通过有效响应措施保护组织的利益、信誉、品牌和创造价值的活动，并为组织提供建设恢复能力框架的整体管理过程
1）提高抵御业务中断风险的能力，帮助企业达成关键目标
2）预先确定恢复提供关键产品或者服务的能力所需要的时间
3）交付经证明的应对业务中断的管理能力，保护组织的信誉和品牌

一项综合管理流程，由业务驱动，集合了技术、管理的一体化动态管理流程

BCM与组织机构
BCM组织是组织管理的组成部分
BCM应为业务战略服务
BCM是风险管理框架的补充，考虑业务中断的影响

BCM的生命周期
需求、组织和管理程序的确定
业务分析，确定关键业务流程和关键因素
制定业务策略
开发并执行业务持续计划
意识培养和建立
计划演练

建立BCM团队
BCM负责人：应该业务相关负责人
BCM团队成员：信息部门、人力资源、财务部门、后勤保障、安全保卫、宣传部门、专家团队等

BCM支撑资源
基础设施资源：场地、通信设施、电力资源
软硬件资源：网络设备、计算设备、系统软件等。
人力资源：业务责任人、BCP的团队成员等。
BCP资源：BCP开发、测试、培训、演练和维护资源。
办公用品资源等。

BCM的合规性
法规合规性：网络安全、知识产权、隐私保护等
标准合规性：国内GB、国外（例如欧盟的隐私保护）
合同合规性：和合同协议相关方确定的BCM的要求。
审计合规性：满足审计要求

业务连续性计划建设过程

什么是业务连续性计划（BCP）
一套基于业务运行规律的管理要求和规章流程，能够使一个组织在突发事件面前迅速做出反应，以确保关键业务功能可以持续，而不造成业务中断或业务流程本质的改变【只做硬件冗余和数据备份？】
建立在对组织机构各种过程的风险评估之上
关注基础设施功能和资源减少或受限的情况下维持业务操作
BCP应成为组织管理文化的一部分，企业业务模式或业务过程变化情况下，应
重新设计
包含组织管理，业务影响分析，BCP的制定及批准实施，BCP的评估及维护，四个步骤

组织管理

理解业务组织（通过调查，访谈和讨论方式）
充分了解组织的体系结构及其组成部分
清晰每个业务流程及相互依赖关系（包含但不限于流程，事务处理和服务）

建立BCP团队（组建后再彻查业务组织，防止其不完善）
负责人、团队成员【IT人员，安全部门，业务运作人员，等等】

评估BCP资源
购买和部署冗余设备、办公用品等
BCP开发过程，BCP测试、培训、维护过程中的人力资源（最重要的资源之一）

BCP的合规性要求
法律法规合规性、合同的合规性
2003年中央办公厅《国家信息化领导小组关于加强信息安全保障工作的意见》银行，电力，铁路，民航，证券，保险海关，税务等八大行业业务连续性要求

业务影响分析（BIA）

确定组织持续运行的关键资产、针对这些资产的威胁、评估每种资产出现的威胁及对业务的影响

提供量化度量以确定投入资源的优先顺序

工作内容
确定业务优先级
风险分析
资产优先级划分

业务影响分析完成后，文档化所有的流程！

BIA-1确定业务优先级

业务流程综合列表，按重要性排序

业务功能实际运作需要资源（计算机系统、人员、通信、物理设备）和服务,如果其中的一项或者几项机制失效，有可能业务中断。

确定业务优先级的关键点
业务所需资源的相互关系
对外部组织或其他方的依赖

确定业务优先级需要做的工作
评估如果业务中断，随时间推移对组织所造成的影响
为每项业务建立最大允许中断时间（MTD）
识别任何相互依赖的活动、资产、用于支持的基础设施和资源

度量标准
恢复时间目标（ RTO）＜最大允许中断时间（MTD）

MTD参考
无关紧要业务：30天
正常业务：7天
重要业务：72小时
紧急业务：24小时
危急业务：几分钟-几小时

BIA-2风险分析

识别并分析组织所面临的重大风险

风险要素识别
威胁分析：
1）自然威胁：洪水、地震、泥石流等
2）人为威胁：恐怖活动、战争、罢工，盗窃、毁坏、火灾/爆炸等

可能性分析：年发生比率(ARO) ， ARO 反映了业务预期每年遭受特定灾难的可能性

影响分析：包括生产力、收入的损失。收入延迟成本。运作费用增加。竞争优势损失。法规责任。违反合同协议。声誉的损失。

BIA-3资产优先级划分

针对各种不同风险所分配的业务连续性资源的优先级
确定资源水平时，应考虑相关利益方的需求

优先级列表可结合定量和定性两种方法确定:
定性分析:用已识别风险的发生概率、风险发生对目标的相应影响，对已识别风险的优先级进行评价。
定量分析是使用数学方法和统计工具所进行的项目风险分析，一般应当在确定风险应对计划时进行，以确定项目总风险是否已经减少到满意。

制定及批准实施

BCP的制定
确定业务连续性计划要处理的风险及采取的措施

四种风险处置方式
风险降低：例如，BCP中包括了预防性措施等。
风险转移：例如，BCP中体现了外包服务等。
风险规避：例如，BCP中体现了临时的系统关闭等。
风险接受：例如，BCP中体现了低级的预警可接受。

制定及批准实施-风险降低

预防性策略和反应性策略
采用适当地、低成本的预防性措施应当优于反应性策略

重点保护对象：人力资源
人是BCP的关键组成部分
措施：人员冗余（AB角、轮岗、多技能培训等）、负责同一重要业务人员不能同时面临某个特定风险，例如不能同乘一架飞机

重点保护对象：IT基础设施
信息系统设施主要部分（硬件、软件、支撑环境等）
措施：保护性措施（发电机、火灾探测和灭火社保等）、冗余措施等

重点保护对象：辅助性设施
为完成业务所需要的其他设施（非IT）
措施：强化机制和过程、备用场所
1）采取强化机制和过程用于保护现有的设施能够抵御已定义的风险，如设施建筑材料的强化、安装防火墙等;
2）在不可能强化设施抵御风险时， BCP 应该确定业务活动可以立即恢复的预备场所，如热站、温站、冷站。