在企业运营过程中,有些安全事件可能为企业带来严重损失甚至是影响关键业务的运营。灾难恢复(Disaster Recovery)可以支持组织采取必要措施来及时恢复运营。而业务连续性计划(BCP- Business Continuity Plan)提供了处理长期中断和灾害的方法与程序,它的主要目标是尽快将业务运营恢复到正常状态,尽可能话费最少的资金和资源。
一、最佳实践
1. NIST SP800-34 - 联邦信息系统应急计划指南 中定义的BCP步骤
1)制定BCP策略说明 - 编写指引,定义角色及赋予权限
2)执行BIA(业务影响分析) - 分析关键业务职能并识别关键系统,确定优先级,识别漏洞与威胁,计算风险
3)识别现有控制措施 - 确定并实施安全控制措施
4)制定应急策略 - 编写快速恢复关键业务和系统的方法
5)制定信息系统应急计划 - 编写在危机下如何保持运作的程序和指南
6)确保开展计划的测试、培训和演练 - 检测并识别BCP中的权限,进行人员培训
7)确保持续维护计划 - 定期更新BCP相关稳定
2. 其他标准: ISO27031, ISO22301, GPG
二、BCP的组成部分
1. 团队
一名协调员(Business Continuity Coordinator)以及BCP委员会,成员至少要包括高级管理层,业务部分,IT,安全,法务等部门成员。
2. BCP策略
策略内容包括范围,任务说明,原则、指南和标准。
在制定策略时要检查组织的总体目标和功能,并借鉴行业最佳实践。
3. 业务影响分析(BIA)
BIA是一种功能性分析,团队通过访谈和文献来收集数据,记录和划分业务功能的层次结构,最后使用分级来展示单个功能的重要水平
BIA的执行步骤
1)挑选数据收集的人员,并逐一面谈
2)确定收据收集的方法和技巧
3)识别公司的关键业务职能
4)识别这些功能依赖的资源
5)计算业务职能在资源缺失情况下能够持续的时间(MTD)
6)识别这些功能的脆弱性和威胁
7)计算不同业务功能的风险
8)记录调查结果并向管理层报告
参考资料:
CISSP 权威指南第八版中文版
网友评论