225 lines
11 KiB
Markdown
225 lines
11 KiB
Markdown
# 业务连续性管理
|
||
|
||
> **一、业务连续性管理基础**<br>
|
||
> <span style="color:green;">了解</span>业务连续性、业务连续性管理的概念;<br>
|
||
> <span style="color:blue;">理解</span>业务连续性管理对组织机构的重要性;<br>
|
||
> <span style="color:green;">了解</span>业务连续性管理生命周期六个阶段的工作内容。
|
||
>
|
||
> **二、业务连续性计划**<br>
|
||
> <span style="color:green;">了解</span>业务连续性计划的概念及制定业务连续性计划的<span style="background-color:yellow;">四个步骤</span>;<br>
|
||
> <span style="color:blue;">理解</span>组织管理在业务连续性计划过程中的重要性及<span style="background-color:yellow;">四个要素</span>;<br>
|
||
> <span style="color:blue;">理解</span>业务影响分析在业务连续性计划过程中的作用及各项工作内容;<br>
|
||
> <span style="color:green;">了解</span>业务连续性计划制定和批准实施工作的内容并理解风险降低、风险转移、风险规避和风险接受<span style="background-color:yellow;">四种风险处置方式(必考)</span>;<br>
|
||
> <span style="color:green;">了解</span>业务连续性计划文档化的作用、文档应包括的内容及批准、实施、评估及维护等相关概念。
|
||
|
||
### 一、业务连续性管理基础
|
||
|
||
> <span style="color:red;">一项综合管理流程,由<span style="background-color:yellow;">业务驱动</span>,集合了技术管理的一体化<span style="background-color:yellow;">动态管理流程</span>。</span>
|
||
|
||
#### 1、业务连续性(BC)
|
||
|
||
业务连续性(Business Continuity, BC)是组织对<span style="color:blue;">事故</span>和<span style="color:blue;">业务中断</span>的规划和响应,使业务可能在<span style="color:red;">预先定义的级别</span>上持续运行的组织策略和战术上的能力。
|
||
|
||
#### 2、业务连续性管理(BCM)
|
||
|
||
BCM是找出组织有潜在影响的威胁及其对组织业务运行的影响,通过有效响应措施保护组织的利益、信誉、品牌和创造价值的活动,并为组织提供建设恢复能力框架的整体管理过程
|
||
|
||
#### 3、BCM与组织机构
|
||
|
||
- BCM应为业务战略服务
|
||
- BCM是风险管理框架的补充,主要考虑业务中断的影响
|
||
|
||
#### 4、BCM的生命周期
|
||
|
||
- 需求、组织和管理程序的确定
|
||
- 业务分析(BA),确定关键业务流程和关键因素
|
||
- 制定业务策略
|
||
- 开发并执行业务持续计划
|
||
- 意识培养和建立
|
||
- 计划演练
|
||
|
||
### 二、业务连续性计划
|
||
|
||
#### 1、什么是业务连续性计划(BCP)
|
||
|
||
- 一套基于业务运行规律的管理要求和规章流程,能够使一个组织在突发事件面前迅速做出反应,以确保<span style="color:red;">关键业务功能</span>可以持续,而不造成业务中断或业务流程本质的改变;
|
||
- 建立在对组织机构各种过程的风险评估之上;
|
||
- 关注基础设施功能和资源减少或受限的情况下维持业务操作;
|
||
- <span style="color:red;">BCP应成为组织管理文化的一部分</span>,企业业务模式或业务过程变化情况下,应重新设计。
|
||
|
||
#### 2、组织管理
|
||
|
||
1. **理解业务组织**
|
||
- 充分了解组织的体系结构及其组成部分
|
||
- 清晰每个业务流程及相互依赖关系
|
||
2. **建立BCP团队**
|
||
- 负责人、团队成员
|
||
- 负责执行业务核心服务的每个组织部门的代表
|
||
- 根据组织分析确定的来自不同职能区域的业务单元团队成员
|
||
- BCP所涉及领域内拥有技术专长的IT专家
|
||
- 掌握BCP流程知识的网络安全团队成员
|
||
- 负责工厂实体物理安全和设施管理的团队
|
||
- 熟悉公司法规、监管和合同责任的律师
|
||
- 可解决人员配置问题以及对员工个人产生影响的人力资源团队成员
|
||
- 需要制定在发生中断时如何与利益相关方和公众进行沟通的公共关系团队成员
|
||
- 高级管理者代表,这些代表能设定愿景、确定优先级别和分配资源
|
||
3. **评估BCP资源**
|
||
- 购买和部署余设备、办公用品等
|
||
- BCP开发过程,BCP测试、培训、和维护过程中的人力资源
|
||
4. **BCP的合规性要求**
|
||
- 法律法规合规性、合同的合规性
|
||
|
||
#### 3、业务影响分析(BIA)
|
||
|
||
- 确定组织持续运行的关键资产、针对这些资产的威胁、评估每种资产出现的威胁及对业务的影响
|
||
- 提供<span style="color:red;">量化度量</span>以确定投入资源的优先顺序
|
||
- <span style="background-color:yellow;">工作内容</span>
|
||
- 确定业务优先级
|
||
- 风险分析
|
||
1. 风险要素识别
|
||
2. 可能性分析
|
||
3. 影响分析
|
||
- 资产优先级划分
|
||
|
||
|
||
|
||
1. **确定业务优先级**
|
||
|
||
- 业务流程综合列表,按重要性排序
|
||
|
||
- 业务功能实际运作需要资源(计算机系统、人员通信、物理设备)和服务
|
||
|
||
- 确定业务优先级的<span style="color:red;">关键点</span>
|
||
|
||
- 业务所需资源的相互关系
|
||
- 对外部组织或其他方的依赖
|
||
|
||
- 确定业务优先级需要做的工作
|
||
|
||
- 评估如果业务中断,随时间推移对组织所造成的影响;
|
||
|
||
- 为每项业务建立<span style="color:red;">最大允许中断时间(MTD)</span>;
|
||
|
||
> <span style="color:blue;">MTD指的是某个业务功能出现故障但是不会对业务产生无法弥补的损害所允许的最大时间长度。</span>
|
||
|
||
- 识别任何相互依赖的活动、资产、用于支持的基础设施和资源。
|
||
|
||
- <span style="background-color:yellow;">度量标准(考点)</span>
|
||
|
||
- <span style="color:red;">恢复时间目标(RTO)</span>
|
||
|
||
> 恢复时间目标(RecoveryTimeObjective,RTO),它指的是当中断事件发生时,<span style="color:red;">可以实际恢复功能的时间量</span>。一旦定义了恢复目标,就可以设计必要的步骤去完成任务。BCP过程的目标是<span style="color:red;">确保RTO小于MTD</span>,即要求一个业务功能必须在最大容忍中断时间内恢复。
|
||
|
||
2. **风险分析**
|
||
|
||
- 识别并分析组织所面临的重大风险
|
||
|
||
- <span style="background-color:yellow;">风险要素识别</span>
|
||
|
||
- 威胁分析
|
||
- 可能性分析
|
||
- 影响分析
|
||
|
||
> 参考安全评估中相关内容!(第六章)
|
||
|
||
3. **资产优先级划分**
|
||
|
||
- 针对各种不同风险所分配的业务连续性资源的优先级;
|
||
- 确定资源水平时,应考虑相关利益方的需求;
|
||
- 优先级列表可结合<span style="color:red;">定量</span>和<span style="color:red;">定性</span>两种方法确定。
|
||
|
||
#### 4、制定及批准实施
|
||
|
||
- **BCP的制定**
|
||
|
||
确定业务连续性计划要处理的风险及采取的措施
|
||
|
||
- **<span style="background-color:yellow;color:red;">四种风险处置方式(必考)</span>**
|
||
|
||
1. **风险降低**
|
||
|
||
> 在BCP中,需要重点保护的3个对象是<span style="color:red;">人力资源</span>、<span style="color:red;">IT基础设施</span>和<span style="color:red;">辅助性设施/场所</span>。
|
||
|
||
- <span style="color:red;">预防性</span>策略和<span style="color:red;">反应性</span>策略
|
||
|
||
采用适当地、低成本的预防性措施应当优于反应性策略
|
||
|
||
- <span style="color:red;">重点保护对象:人力资源</span>
|
||
|
||
- 人是BCP的关键组成部分
|
||
|
||
- 措施:人员冗余(AB角、轮岗、多技能培训等)负责同一重要业务人员不能同时面临某个特定风险,例如不能同乘一架飞机
|
||
|
||
- <span style="color:red;">重点保护对象:IT基础设施</span>
|
||
|
||
- 信息系统设施主要部分(硬件、软件、支撑环境等)
|
||
- 措施:保护性措施(发电机、火灾探测和灭火系统等)、余措施等
|
||
|
||
- <span style="color:red;">重点保护对象:辅助性设施</span>
|
||
|
||
- 为完成业务所需要的其他设施(非IT)
|
||
- 措施:强化机制和过程、备用场所
|
||
|
||
2. **风险转移**
|
||
|
||
> 对于某些风险,最好的响应方式可能是转移风险。这可通过常规的<span style="color:red;">保险</span>或<span style="color:red;">合同</span>安排来实现风险转移,或通过向第三方支付费用以其他方式处理风险。
|
||
|
||
- 降低财务风险或资产的风险的有效方式,但有些风险不能转移
|
||
- <span style="color:red;">转移方式</span>
|
||
- 购买保险
|
||
- 合同(向第三方支付费用)
|
||
- 外包合同中承诺的赔付
|
||
- 采购第三方服务
|
||
|
||
3. **风险规避**
|
||
|
||
- <span style="color:red;">变更</span>、<span style="color:red;">延缓</span>或<span style="color:red;">停止</span>某种服务或业务功能
|
||
- 该措施只能在与组织目标、法律法规符合性以及利益相关方的期望不发生冲突时考虑
|
||
|
||
4. **风险接受(风险自留)**
|
||
|
||
- 采取措施的潜在收益与成本不成比例
|
||
- 对某些风险能够采取措施的能力有限
|
||
|
||
5. **文档化**
|
||
|
||
- **文档化是BCP过程中的关键步骤**
|
||
|
||
- **<span style="color:red;">文档需要包含的内容</span>**
|
||
|
||
- BCP的目标:*必须细化*
|
||
|
||
> 文档中应当描述<span style="color:red;">BCP团队</span>和<span style="color:red;">高级管理层</span>提出的BCP的目标,它有助于指导BCP资源和任务的合理分配,为BCP的实际制订过程提供指导,以及对计划和程序的整体经济性做出合理判断。<span style="background-color:yellow;">这些目标应当在第一次BCP团队会议上或会议<span style="color:red;">之前</span>决定</span>,并且很可能在BCP的生命周期内保持不变。
|
||
|
||
- 职责声明:*确保相关人员都了解他们的职责*
|
||
|
||
> 每个参与BCP的人都应当将他们的职责以书面形式列出。
|
||
|
||
- 优先级声明
|
||
|
||
> 哪些是关键业务哪些是次要业务。
|
||
|
||
- 风险评估
|
||
|
||
- BCP策略
|
||
|
||
- 关键业务记录计划
|
||
|
||
- 应急响应的指导原则
|
||
|
||
- 测试与演练
|
||
|
||
> BCP文档还应当阐述一个<span style="color:red;">正式的测试计划</span>,以<span style="color:red;">确保计划是最新的</span>,并且<span style="color:red;">所有人员都接受了充分培训</span>。
|
||
|
||
6. **批准与实施**
|
||
|
||
- 向高层汇报并获得计划的批准。
|
||
- <span style="color:red;">培训和教育</span>,计划中涉及的所有人都需要接受与职责相关的培训。
|
||
|
||
7. **评估及维护**
|
||
|
||
- 业务的<span style="color:red;">动态性</span>决定了业务连续性要求也会随时改变。
|
||
- 定期讨论、复审、测试结果,必要时进行<span style="color:red;">版本更新</span>。
|
||
|
||
> 在更新BCP时,需要进行版本控制所有旧的BCP版本都应该进行<span style="color:red;">物理销毁</span>。
|