代码改变世界

信息安全管理29_业务连续性管理策略

2021-06-24 10:28  微言晓意  阅读(804)  评论(0编辑  收藏  举报

业务连续性管理策略定义了业务连续性管理标准,是业务连续性计划制定和维护的准则。内容包括业务影响分析、业务连续性计划、业务连续性培训与演练等方面的管理。

一、业务连续性管理组织

信息安全领导小组负责建立业务连续性工作组。工作组应满足以下原则:

  • 高级管理人员担任协调官

  • 包含资深业务人员

  • 包含职能、危机处理、物理安保人员

  • 包含电力、空调基础设施维护人员

  • 包含网络、系统、应用维护人员

二、业务影响分析BIA

业务连续性工作组实施业务影响分析,分析内容包括:

  1. 识别组织范围内关键业务功能

  2. 识别关键业务功能所依赖的资源,包括软件、硬件、信息、人员、基础设施、服务

  3. 识别关键业务功能所有的潜在突发信息安全事件

  4. 分析突发灾难给关键业务功能造成的损失和影响

  5. 分析关键业务功能的恢复时间目标(RTO恢复点目标(RPO

  6. 按照RTO和RPO由小到大顺序排列业务功能的恢复优先级

三、业务连续性策略

信息安全组织为跨部门协调组织,由信息安全领导组、信息安全管理组、信息安全执行组、信息安全审计组组成。

业务连续性工作组制定业务连续性策略,信息安全管理领导小组对其进行审批和确定。业务连续性策略包括三个方面:

1、支持业务运营的资源的预防性保障策略:灾难前的准备、防范性措施,目标是降低风险发生的可能或者降低风险发生时的破坏性,减少事故或灾难带来的损失。一般包括站点冗余、设备冗余、数据备份、人员角色备份、资源措施准备、人工操作方案等。

2、支持业务运营的资源的监控性保障策略:日常运维保障,目标是通过有效的监控手段及时发现灾难的发生,定位灾难源头,快速响应,减少损失。

3、业务连续性管理的外部协作关系,与相关社会职能机构、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作,以确保在突发信息安全事件发生时能及时通报准确情况和获得适当支持。

四、业务连续性计划与措施

业务连续性工作组根据业务影响分析和业务连续性策略的结果,制定业务连续性计划。
业务连续性计划应体现在发生灾难的情况下,如何保障业务的持续运营。计划包括以下内容:

  • 灾难的定义:描述哪些事件是灾难

  • 应急响应程序:指事故或灾难发生时的应急处理流程,目标是尽快恢复业务功能,减少损失。主要措施是建立事件应急响应程序和具体系统、设备、设施的应急预案。

  • 灾难恢复程序:指如何彻底消除灾难,恢复业务资源,使业务操作回复到灾前的状态。主要措施包括内部修复方案、供应商或服务商的支持等。

  • 改进措施:指业务恢复后,应调查灾难原因并总结经验,改进预防性策略、应急响应程序和灾难恢复程序。

五、业务连续性计划培训与演练

业务连续性工作组和相关员工应定期开展业务连续性管理培训,确保每个人员理解其角色、责任和操作程序。重大灾难的业务连续性培训应辐射到全体员工,内容包括疏散、自救、互救和资产抢救等。
业务连续性工作组每年12月底前制定下一年度演练计划,计划应明确演练科目、时间、地点、人员、操作细则,用以检查业务连续性管理的完备性。演练目标包括:

  • 应急方案的可行度和执行度

  • 突发灾难响应流程的正确性

  • 预防、响应和恢复程序是否满足RTO和RPO指标

六、人员的意识与技能

演练方式包括桌面推演、模拟演练、并行演练和完全演练等多种方式:

  • 桌面推演:由各类计划的编制人和其他人员复查计划的可执行性。

  • 模拟演练:针对某个突发灾难的模拟场景,进行业务连续性模拟操作演练。

  • 并行演练:在保证业务功能正常运行前提下,对业务连续性计划进行实战演练。

  • 完全演练:完全执行在遭遇了各类灾难后的响应计划。

业务连续性并行演练和完全演练尽量安排在非办公时间进行。无论哪种演练方式,应将演练的过程与结果进行详细记录,演练结束后的1周内形成正式演练报告并报送信息安全领导小组。

业务连续性演练应循序渐进,逐步从桌面推演向完全演练转变。至少每3年对定义的灾难进行一次完全演练。

七、业务连续性计划改进

应根据业务连续性演练报告或发生真实灾难业务连续性计划的执行情况,对业务连续性计划进行评估和总结,同时做出相应的更新。
业务或资源发生变更时需要审核业务连续性策略和计划,以确保业务连续性管理的持续有效。变更包括以下情况:

  • 购置新的关键设备或者系统升级

  • 环境、重要设备或资源发生了变化

  • 业务连续性管理的业务流程发生了变化

  • 距上一次审核时间相隔1年以上

  • 关键供应商的改变

  • 重要的人员发生改变

业务连续性管理的评审工作应当在每年年底前完成,并于次年第1个月内提交业务连续性管理评审报告。评审输入包括:

  • 上一年度业务连续性管理评审报告

  • 上一年度业务连续性演练计划和报告

更新后的业务连续性计划和管理评审报告应在1个月之内组织业务连续性工作组和关联部门进行培训,个人操作细则应向全员宣导。