国家认证认可监督委员会批准认证咨询机构
批准号:CNCA-Z-01Q-2006-038
联系电话
全国:010-56542716
天津:022-27810977
国家认证认可监督委员会批准认证咨询机构
批准号:CNCA-Z-01Q-2006-038
全国:010-56542716
天津:022-27810977
业务连续性管理是ISO27001标准中的一项安全控制目标,其目的是防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保它们的及时恢复
业务连续性管理起源于20世纪70年代的容灾和恢复计划,它的发展与计算机信息技术的发展密不可分。随着信息技术的不断发展,大量计算机系统应用于不同的企业业务流程,提高了企业的业务运行效率,从而使企业对信息系统的依赖度逐步上升。在这种情况下,企业对信息系统运作的稳定性和可靠性提出了更高的要求。1995年,英国BSI在信息安全管理标准 BS7799(ISO27001的前身)中,建立了信息安全管理体系的模型,其中业务连续性管理(BCM)被作为一个重要部分包括在模型中,从而确立了业务连续性管理对于企业信息安全运营的重要地位。我国也于2014年1月正式发布了国家标准GB/T 30146《公共安全业务边续性管理体系要求》,为如何建立和管控一个文件化的业务连续性管理体系指明了方向。
1 业务连续性管理的目标
业务连续性管理将找出对组织有潜在影响的威胁以及对组织业务正常运行可能存在的影响,制定有效响应措施保护组织的利益、信誉、品牌和创造价值的活动,并为组织提供建设健壮度框架的整体管理过程。通过此过程确保重要业务和流程具备以下三个方面的能力。
(1)高可用性:是指提供在本地故障情况下,能继续访问应用的能力。无论这个故障是业务流程、物理设施、IT 软/ 硬件的故障。
(2)连续操作:是指当所有设备无故障时保持业务连续运行的能力。
(3)灾难恢复:是指当灾难破坏系统中心时在不同的地点恢复数据的能力。
2 业务连续性管理运作方式
根据业务连续性管理目标可以知道业务连续性管理是一项综合管理流程,它包括组织在面临灾难时对业务活动的恢复和连续性的管理,以及为保证业务连续性的切合适宜所进行的培训、演练和评审等涵盖整个方案的管理。但究其核心则是业务连续性计划的制定和实施。普洱供电局分六个阶段开展了业务连续性管理,主要包括启动项目、业务影响分析、确定恢复策略、编制业务连续性计划、测试与演练计划、维护与更新计划等六个阶段
1 项目初始化此阶段主要为项目实施进行资源准备,需要明确项目实施管控的组织机构和人员责任。普洱供电局成立了相应的信息安全工作领导小组,明确了各小组成员的工作职责,当发生影响业务连续运作的危机时,领导小组作为危机管理组织,集中应对处理危机,确保业务系统快速恢复。
2 业务影响分析业务影响分析主要对可能引起业务过程中断的事件(如:设备故障、火灾、电力中断、地震等),以及每一个中断对普洱供电局产生的影响(如:中断引起的损害、恢复与替换的费用,以及业务中断所造成的损失)进行分析,对于可能造成关键业务活动中断小于等于可接受业务中断时间的灾难与安全失效进行分析;对影响关键业务活动中断小于等于可接受业务中断时间的灾难与安全失效等威胁发生可能性(P)和业务影响程度级别(B)两方面进行分析。
3 确定恢复策略信息安全工作领导小 组根 据分析结果,从灾难的影响程度、发生可能性、制作实施业务连续性计划和灾难恢复计划成本等因素进行综合考虑,决定对于哪些灾难与安全失效制定实施业务连续性计划;接受哪些灾难和安全失效;对哪些灾难和安全失效采取日常控制措施或其它方法(如: 保险、与客户/ 供应商/ 相关组织分担风险等)降低业务中断可能造成的损失,从而确定相关业务系统的恢复等级和可容忍系统中断时间(R T O)及可容忍数据丢失量(RPO),从业务系统恢复等级指标可以看出,业务恢复等级最高的是生产业务管理系统。
4 编制业务连续性计划:根据已确定的业务连续性指标,找出关键设备和关键数据,编制应急策略,确保在恢复时间目标范围内完成恢复。根据业务连续计划和灾难恢复计划的目标。
5 测试与演练计划:对于业务连续性计划的测试与演练,普洱供电局结合网络与信息安全应急预案管理要求,确定每年对其进行一次演练,通过演练来检测业务连续性计划对灾难的应对成效。另外,在业务环境发生重大变更时,应对业务连续性计划的可用性和服务连续性进行测试,确保业务连续性计划的适用性
6 维护与更新计划:对演练的结果进行记录和评估,找出业务连续性计划存在的问题,并制定新的措施以维持其连续性能力。
3 业务连续性管理成果
依据信息安全管理体系的标准要求,开展了业务连续性管理工作,通过业务连续性管理的实施,可以得到了以下几项结果。
(1)用于防范危害的评测指标。
(2)发生危害时,有明确的人员知道如何处理各种危害事件。
(3)用于应对灾难的应对计划,提供危险发生时的操作流程。
在企业的业务连续性管理中,最大的威胁主要来源于业务运行过程中因人为误操作、设备或流缺陷等事件带来的威胁。虽然这些危害的影响力远不如地震、火灾等重大灾难,但是它们却时刻潜伏在周围,随时会对企业造成致命的打击。这类危害在演变成灾难前都是可以通过相应的管控手段加以管控的,所以本人认为,对于业务连续性管理的管控重点,应集中到事件发生前的预防阶段,通过加强预防控制,提升业务连续性运行能力。
4 完善业务连续性管理
加强业务连续性管理,可以帮助企业建立一套有效应对威胁的自我恢复能力体系,确保灾难发生时关键业务的连续服务能力。但对于业务连续性管理,应加强预防阶段的管控,从而降低灾难事件发生的可能性,提升业务连续性。对于预防阶段的业务连续性管理,主要应加强IT系统及IT服务的业务连续管理。
1.IT系统的业务连续性管理:IT系统的业务连续性管理主要包含对 IT 软、硬件的连续性安全管控。其管控重点内容如下。
(1)明确硬件设备巡视内容及评价标准、硬件性能测试方法及评价标准,并在日常运营中严格执行。
(2)对硬件设备的运行周期进行密切跟踪,做好维护记录并定期进行分析,对于关键核心设备应做好备品备件管理。
(3)采用身份签别及访问控制方式加强系统硬件设备的安全管理,并做好日志审计。
(4)明确各类软件的性能检测方法,并做好性能监测工作。
(5)对各类软件的运行数据进行定期备份,并做好存储管理。
(6)加强各类软件的身份认证及访问控制管理,并做好运行日志审计。(7)对IT软、硬件的运行环境做好安全监控管理工作。
2.IT服务的业务连续性管理:IT服务的业务连续性管理主要包含对 IT 技术及人员的安全管控。其管控重点内容如下。
(1)积极引进新技术,改善业务系统的应用功能,提升其可用性。
(2)选择资质良好的第三方技术支持服务商,将其作为加强业务系统运行能力的技术支持力量。
(3)加强员工安全培训,提升员工安全意识,提高员工对业务系统的使用操作能力。
(4)加强IT专业人员的技术培训,提升专业人员的技术水平,提高专业人员对业务系统的运维能力。
(5)加强业务系统应急处置演练,提升各级人员在应急状况下的应急处置能力。
从IT系统和IT服务的连续性管理内容可以看出这些工作都是企业信息管理部门的日常运营工作,这也恰好印证了企业信息管理部门的服务宗旨:深化信息化应用,确保网络与信息系统的可靠、稳定运行。所以对于业务连续性管理工作,我们需要从日常工作抓起,在日常工作中做好对设备、系统、人员的安全管理,最大限度地将设备及人为风险控制在源头,预防此类灾难事件的发生,从而确保各类业务系统的稳定、可靠运行。业务连续性管理是企业运营的重要指标,确保业务信息系统的稳定与可靠运行是实施业务连续性管理的目标。对于业务连续性管理,需要具备应对灾难时有效而快速的恢复体系,确保各项业务的快速恢复;还需要加强日常运营安全管理,通过控制设备及人为风险因素灾难事件的预防管理,降低此类灾难事件的发生概率,这对保障企业各类业务的连续性有着非常重要的作用。
关注卓越空间
关注卓越微博
关注卓越微信