第一页
信息系统的使用提高了组织信息处理和业务运行的效率,正是由于信息系统的广泛使用,人们可以得到方便快捷的服务。这些信息系统一旦因为安全问题不能正常支持组织的业务,整个组织的业务必然会因此受到影响,从而造成利益的损失。由于企业对信息系统依赖度的逐步上升,特别是在金融、电力、交通等行业中,信息系统的使用已经到了关系企业存亡的程度,这些信息系统一旦发生故障使得业务中断,其所造成的损失是难以估量的。
根据市场调研公司Strategic Research Corp的研究报告显示,证券业的业务每停顿1小时,平均损失将达到650万美元;ATM系统中断1小时,平均损失为1.45万美元;而行业的信息系统中断,平均每小时则高达8.4万美元。
正因为业务连续性管理对组织的业务和信息安全如此重要,而一旦发生业务中断所造成的损失又如此巨大,使得对业务连续性的关注已经成为信息安全领域关注的一大焦点。但如何来实施业务连续性管理方案,如何保证业务连续性管理方案的成功实施,成为客户所面临的挑战。
建立包含业务连续性管理的信息安全管理体系
全球标准的领导者BSI在信息安全管理标准BS7799中,建立了信息安全管理体系的模型,其中业务连续性管理(BCM)被作为一个重要部分包括在模型中。对于那些需要不间断地提供各种公共服务的企业来说,业务连续性管理已经成为信息安全管理体系中一个极为关键的内容。
2006年,BSI又发布了一个新的标准BS25999-1—业务连续性管理最佳实践的征求意见稿,并且相应的认证标准也将出台。这对于公共基础设施的提供者,金融、电信等信息时代的基础支撑行业来说,不但有了实践的指南还有了检验的标准。
BCM的实施过程
根据BSI的业务连续性标准,BCM的实施包括一系列企业管理行为,核心是制定并实施业务连续性计划。BCM的实施过程可以分为以下的六个步骤:启动项目、业务影响分析、确定恢复策略、编制业务连续性计划、测试与演练计划、维护与更新计划。
其中,项目启动阶段的主要工作是为项目分配必需的资源和进行前期的准备工作。项目启动阶段所包括的主要工作有得到领导层对项目的支持、明确项目实施的组织结构和角色责任、为项目实施分配资源、安排项目的实施进度与时间。在上述几个工作完成后,项目就可以进入下一个阶段——业务影响分析(BIA)。
业务影响分析(Business Impact Analysis,BIA)是实施BCM的关键性的第一步。业务连续性管理必须努力考虑到所有可能发生的安全事故和灾难并对其潜在的损害做出估计,才能制定可行的控制策略以防备这些事故的发生,而这正是BIA所关注的方面。BIA阶段一般包括以下这些任务:确定关键业务功能和损失标准、确定最大容忍时间、确定恢复的优先顺序。
确定恢复策略指的是确定和指导备用业务恢复运行策略的选择,以便在恢复时间目标范围内恢复业务和信息技术,并维持机构的关键业务。根据业界的实践,业务中断所造成的损失是随着中断时间的增大而大幅上升的,而恢复业务的费用则随着恢复时间的缩短而大幅上升。对于组织来说,确定恢复策略的一个关键任务就是在业务中断时间和业务恢复费用间取得适当的平衡。
第二页
业务连续性计划(BCP)样式有多种,但一般都包括以下内容:支持信息、通知/启动、业务恢复,以及业务复原。其中,支持信息部分提供了重要的背景或相关信息,使得BCP更容易被理解、实施和维护。通知/启动,一般也称为应急响应,定义了在探测到系统中断或紧急情况发生或即将到来时采取的初步行动。业务恢复集中于建立临时IT处理能力、修复原系统损害、在原系统或新设施中恢复运行能力的应急措施。在恢复阶段完成时,系统将可以运行并执行计划中指定的功能。业务恢复计划一般也被称为灾难恢复计划(DRP)。业务复原为业务运营复原原有场所或新建场所应采取的步骤在此加以说明。
测试和演练计划需要通过测试来确定业务应急计划的有效性。测试的目标是确保机构在启动业务连续性计划后能够按照计划可靠、及时和有效地恢复运行。测试的过程需要进行详细的规划,规划主要步骤包括:分析业务持续性计划,制定测试计划,设计测试场景,准备测试反馈意见表等。业务连续性计划的负责人应制定测试计划,测试计划应设计为对所选择的测试要素有明确的测试目标和成功标准。
在维护与更新计划中,业务连续性计划必须周期性地加以检查和维护。为了使其更加有效,计划必须被维持在能够正确反映系统需求、规程、机构架构和策略的就绪状态。计划应该至少每年进行一次针对正确性和完整性的检查,一旦有新的系统、新的业务流程、或者新的商业行动计划加入企业的生产系统或者信息系统,引起企业整体系统发生变化时,就更应该强制启动这种检查程序。某些部分应该得到更频繁的检查,如联络清单。根据系统类型和重要程度的不同,对计划内容和规程的评估可能会更加频繁。
实行BCM的注意事项:
在实行BCM过程中,以下因素是组织重点应考虑的:
争取管理层的支持和参与。没有管理层的支持,BCP的制定和实施都是十分困难的,很有可能会流产。
建立BCM文化。通过培训和意识教育,使BCM成为企业核心价值和有效管理的一部分。
BCP团队要有明确的组织结构,角色和责任应明确、清晰,要对相关人员进行培训。如果参与人员不能清楚知道自己该做什么,灾难发生时只能是一片混乱。
恢复策略的确定要综合考虑恢复成本与灾难损失,在其中取得一个适当的平衡点。超过损失的恢复是毫无意义的。
BCP包括的各种规程要步骤清楚、操作详细,确保实施人员拿到规程后,能立刻开始操作。不清楚的规程只会延误恢复的时间。
BCP要定期进行测试、演练,总结缺陷并进行更新,一般至少为一年一次。确保计划准确和不断改进也是非常重要的。测试计划要仔细斟酌,不要让演习变成一场事故。
网友评论