第一页
信息系统的使用提高了组织信息处理和业务运行的效率,正是由于信息系统的广泛使用,人们可以得到方便快捷的服务。这些信息系统一旦因为安全问题不能正常支持组织的业务,整个组织的业务必然会因此受到影响,从而造成利益的损失。由于企业对信息系统依赖度的逐步上升,特别是在金融、电力、交通等行业中,信息系统的使用已经到了关系企业存亡的程度,这些信息系统一旦发生故障使得业务中断,其所造成的损失是难以估量的。
根据市场调研公司Strategic Research Corp的研究报告显示,证券业的业务每停顿1小时,平均损失将达到650万美元;ATM系统中断1小时,平均损失为1.45万美元;而行业的信息系统中断,平均每小时则高达8.4万美元。
正因为业务连续性管理对组织的业务和信息安全如此重要,而一旦发生业务中断所造成的损失又如此巨大,使得对业务连续性的关注已经成为信息安全领域关注的一大焦点。但如何来实施业务连续性管理方案,如何保证业务连续性管理方案的成功实施,成为客户所面临的挑战。
建立包含业务连续性管理的信息安全管理体系
全球标准的领导者BSI在信息安全管理标准BS7799中,建立了信息安全管理体系的模型,其中业务连续性管理(BCM)被作为一个重要部分包括在模型中。对于那些需要不间断地提供各种公共服务的企业来说,业务连续性管理已经成为信息安全管理体系中一个极为关键的内容。
2006年,BSI又发布了一个新的标准BS25999-1—业务连续性管理最佳实践的征求意见稿,并且相应的认证标准也将出台。这对于公共基础设施的提供者,金融、电信等信息时代的基础支撑行业来说,不但有了实践的指南还有了检验的标准。
BCM的实施过程
根据BSI的业务连续性标准,BCM的实施包括一系列企业管理行为,核心是制定并实施业务连续性计划。BCM的实施过程可以分为以下的六个步骤:启动项目、业务影响分析、确定恢复策略、编制业务连续性计划、测试与演练计划、维护与更新计划。
其中,项目启动阶段的主要工作是为项目分配必需的资源和进行前期的准备工作。项目启动阶段所包括的主要工作有得到领导层对项目的支持、明确项目实施的组织结构和角色责任、为项目实施分配资源、安排项目的实施进度与时间。在上述几个工作完成后,项目就可以进入下一个阶段——业务影响分析(BIA)。
业务影响分析(Business Impact Analysis,BIA)是实施BCM的关键性的第一步。业务连续性管理必须努力考虑到所有可能发生的安全事故和灾难并对其潜在的损害做出估计,才能制定可行的控制策略以防备这些事故的发生,而这正是BIA所关注的方面。BIA阶段一般包括以下这些任务:确定关键业务功能和损失标准、确定最大容忍时间、确定恢复的优先顺序。
确定恢复策略指的是确定和指导备用业务恢复运行策略的选择,以便在恢复时间目标范围内恢复业务和信息技术,并维持机构的关键业务。根据业界的实践,业务中断所造成的损失是随着中断时间的增大而大幅上升的,而恢复业务的费用则随着恢复时间的缩短而大幅上升。对于组织来说,确定恢复策略的一个关键任务就是在业务中断时间和业务恢复费用间取得适当的平衡。
网友评论