导图社区 OSG9第三章 业务连续性计划
第三章 业务连续性计划,CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
编辑于2023-07-14 11:27:19 广东关于GBT 35273—2020个人信息安全规范的思维导图,本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。
CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
社区模板帮助中心,点此进入>>
关于GBT 35273—2020个人信息安全规范的思维导图,本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。
CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
CISSP(Certification for Information System Security Professional)即信息系统安全专业认证,这一证书代表国际信息系统安全从业人员的权威认证
第三章 业务连续性计划
3.1 业务连续性计划概述
BCP
业务连续性计划(business continuity plan, BCP),DRP是BCP子集,BCP和DRP属于BCM
BCM
BCP灾难发生前做预防
DRP灾难发生后做响应
BCP 用于在紧急情况下维持业务的连续运营。
BCP 计划者的目标是通过综合实施策略、程序和流程,将潜在的破坏性事件对业务的影响降至最小。
人员安全是BCP和DRP最先考虑的,先让人们远离伤害,然后完成IT恢复和问题修复
BCP和DRP属于纠正性措施
BCP 流程有四个主要阶段
项目范围和计划
业务影响分析(BIA)
连续性计划
计划批准和实施
3.2 项目范围和计划
此阶段的目的是确保组织投入足够的时间和精力来制订项目范围和计划,并对这些活动进行记录以供将来参考。
目标
从危机规划的角度对业务组织进行结构化分析。
在高级管理层的批准下创建BCP 团队
评估可用于业务连续性活动的资源。
分析在处理灾难性事件方面,组织需要遵守的法律以及所处的监管环境。
3.2.1 组织分析
负责业务连续性计划的人员的首要职责之一是对业务组织进行分析,以识别与 BCP 流程具有利害关系的所有部门和个人
要考虑的范围如下
负责向客户提供核心服务业务的运营部门。
关键支持服务部门,如 IT 部门、设施和维护人员以及负责维护支持运营部门系统的其它团队
负责物理安全的公司安全团队。他们在多数情况下是安全事故的第一响应者,也负责主要基础设施和备用处理设施的物理保护。
高级管理人员和对组织持续运营来说至关重要的其他人员
整个 BCP 闭队成立后要完成的第一项任务是对分析结果进行一次全面审查
3.2.2 选择 BCP 团队
孤立地开发业务连续性计划,可能从两个方面导致灾难
首先,计划本身可能没有考虑负责日常运营的业务人员需要的知识
其次,关于计划详情的操作要素在计划实施前一直不能确定下来
核心跨职能部门,可有不同的看法,异志化团队
BCP 团队人员
责执行业务核心服务的每个组织部门的代表
据组织分析确定的来自不同职能区域的业务单元团队成员。
BCP 所涉领域内拥有技术专长的 IT 专家。
掌握BCP 流程知识的网络安全团队成员。
负责工厂实体物理安全和设施管理的团队。
熟悉公司法规、监管和合同责任的律师
解决人员配置问题以及对员工个人产生影响的人力资源团队成员。
需要制订类似的计戈1j 以确定在发生中断时如何与利益相关方和公众进们沟通的公共关系团队成员
高级管理层代表,这些代表能设定愿景,确定优先级别和分配资源
提到什么体系的保障,选高级管理层
3.2.3 资源需求
BCP 团队确认组织分析结果后,就开始评估 BCP 工作的资源需求
BCP三个不同阶段所需的资源
BCP 开发: BCP 团队需要一些资源来执行BCP 流程的四个阶段(项目范围和计划、业务 影响分析、连续性计划以及计划批准和实施)
主要耗费人力资源
BCP 测试、培训和维护 :BCP 的测试、培训和维护阶段将需要一些硬件和软件资源
主要资源是参与这些活动的员工付出的人力
BCP 实施 :当业务中断发生且 BCP 团队认为有必要全面实施业务连续性计划时,将需要大量资源
资源包括大量实施工作和直接的财务费用
3.2.4 法律和法规要求
受到联邦、州和地方法律或法规约束的许多行业可能发现,这些法律或法规要求他们实施不同程度的 BCP。
要让组织的法律顾问参与 BCP 过程
3.3 业务影晌分析
核心部分业务影响分析(business impact analysis, BIA):识别关键业务,关键流程,业务部门牵头
分析方法
定量影响评估 涉及使用数字和公式得出结论的过程。这类数据结果通常用货币价值表示与业务相关的选项。
定性影响评估考虑非数字因素,如声誉、投资者/客户信心、员工稳定性和其他相关事项。这类数据结果通常用优先级别(如高、中、低)表示。
BCP 团队更倾向于使用数字进行定量评估,而忽略更主观的定性评估结果,1.识别关键业务按业务资产价值
3.3.1 确定优先级
BCP 团队要完成的第一个2. BIA 任务是确定业务优先级
当整个 BCP 团队开会讨论时,团队成员可基于这些优先级列表为整个组织创建优先级主列表
BCP 团队必须开发的第二个量化指标是MTD(maximum tolerable downtime, 最大允许中断时间,有时也被称为最大容忍中断时间(maximum tolerable outage, MTO)
MTD:是业务功能出现故障但不会对业务产生无法弥补的损害所允许的最长时间。
3.RTO:每个业务功能的恢复时间目标(recovery time objective, RTO)是指中断发生后实际恢复业务功能所需的时间。只针对灾难,指的是业务恢复
当执行 BCP 工作时,应确保业务功能的 RTO 小于其 MTD, 这可使一个业务功能不可用的时间永远不会超过最大允许中断时间。
RTO:恢复点目标(recovery point objective, RPO)相当于在数据丢失时间上的 RTO
RPO:表示对可容忍的数据损失的测量,以时间段表示,数据 备份、恢复相关
组织可能每 15 分钟执行一次数据库事务曰志备份。在这种情况下, RPO 将是 15 分钟这意味着组织可能在事件发生后丢失多达 15 分钟的数据,RPO=15分钟
BIA三个关键输出
关键业务清单
业务恢复优先级清单
RTP/RPO
6R模型
3.3.2 风险识别
风险可分为两种类型:自然风险和人为风险
自然风险
风雨/隄风/龙卷风/暴风雪
雷击
地震
石流/雪崩
火山喷发
流行病
人为风险
怖活动/战争/内乱
盗窃/破坏
火灾/爆炸
长时间断电
建筑物倒塌
运输故障
互联网中断
服务提供商停运
经济危机
BIA 过程的风险识别部分本质上是纯粹的定性分析。
SOC(Service Organization Control, 服务组织控制)报告
3.3.3 可能性评估
BCP 团队应该一起为上一节中识别出的每种风险确定 年度发生率(ARO)
可以参考专家提供的风险可能性评估结果
3.3.4 影响分析
影响分析是业务影响分析中最关键的部分之一。此阶段将分析在风险识别和可能性评估期间收集的数据,并尝试确定每个已识别风险对业务的影响。
单一损失期望(SLE):SLE=AV* EF
年度损失期望(ALE):ALE= SLE * ARO
定性角度
在客户群中丧失的信誉
时间停工后造成员工流失
众的社会/道德责任
负面宣传
3.3.5 资源优先级排序
BIA 的最后一步是划分针对各种风险所分配的业务连续性资源的优先级
3.4 连续性计划
BCP 开发的下 个阶段是编制连续性计划,重点是开发和实施连续性战略,尽量减少已发生的风险对被保护资产的影响。基于BIA结果
连续性计划包括两个主要的子任务
策略开发
预备和处理
目标是创建连续性运营计划 (COOP)
3.4.1 策略开发
策略开发阶段在业务影响分析与 BCP 开发的连续性计划阶段之间架起桥梁
BCP 团队应回顾在 BIA 早期阶段创建的 MTD 估值,并确定哪些风险是可接受的,以及哪些风险必须通过 BCP 连续性措施予以缓解
3.4.2 预备和处理
这个任务中, BCP团队设计具体的流程和机制来减轻在策略开发阶段被认为不可接受的风险。
三类资产必须通过 BCP 预备和处理进行保护
人员
建筑物/设施
基础设施
3.5 计划批准和实施
BCP 团队一旦完成 BCP 文档的设计阶段,就应当请最高管理层批准该计划。
3.5.1 计划批准
如有可能,应该尝试让企业高层(如首席执行官、主席、总裁或类似的业务领导)批准该计划
这可证明计划对整个组织的重要性,并展示业务领导对业务连续性的承诺
3.5.2 计划实施
一旦获得高级管理层的批准,即可开始实施计划。
3.5.3 培训和教育
培训和教育是BCP 实施的基本要素
定律
墨菲定律
海恩法则
3.5.4 BCP 文档化
文档化是业务连续性计划过程中的关键步骤
文档化好处
保在紧急情况下,即使没有高级 BCP 团队成员来指导工作, BCP 人员也有一份书面的连续性计划可以参考。
提供 BCP 过程的历史记录,这有助于将来的人员理解各种过程背后的原因并对计划进行必要的修改。
使团队成员将想法写下来,这个过程通常有助于识别计划中的缺陷。若在纸上制订计划,还可将文件草稿分发给不在 BCP 团队中的人员进行“合理性检查”。
及时更新维护,需要受变更管理控制
1. 连续性计划的目标
首先,该计划应描述 BCP 团队和高级管理层提出的连续忡计划的目标。这些目标应在第 一次 BCP 团队会议中或之前确定,并很可能在 BCP 的整个生命周期内保持不变。
例如:客户呼叫中心的连续停机时间不超过 15分钟
2. 重要性声明
重要性声明反映了 BCP 对组织持续运营能力的重要性
获取高级管理人员支持的重要性所在
3. 优先级声明
优先级声明是业务影响分析的优先级确认阶段的直接产物
4. 组织职责声明
组织职责声明也来自高级管理人员,可与重要性声明合并在同一文档中。
5. 紧急程度和时限声明
紧急程度和时限声明表达了实施 BCP 的重要性,概述了由 BCP 团队决定的并由高层管理人员批准的实施时间表。
6. 风险评估
BCP 文档的风险评估部分基本上重述了业务影响分析期间的决策过程
7. 风险接受/风险缓解
BCP 文件中的风险接受/风险缓解部分包含 BCP 过程的策略开发部分的结果
两个说明
对于被认为可接受的风险,应概述接受原因以及未来可能需要重新考虑此决定的可能事件
对于被认为不可接受的风险,应概述要采取的缓解风险的预各措施和过程,以降低风险对组织持续运营的影响。
8. 重要记录计划
BCP 文件还应概述组织的量要记录计划。该义档说明了存储关键业务记录的位置以及建立和存储这些记录的备份副本的过程。
9. 应急响应指南
应急响应指南概述组织和个人立即响应紧急事件的职责
指南应包括以下内容:
立即响应程序(安全和安保程序、灭火程序,以及通知合适的应急响应机构等)。
事故通知人员名单(高管、 BCP 团队成员等)。
第一响应人员在等待 BCP 团队集结时应采取的二级响应程序
10. 维护
BCP 文件和计划本身必须即时更新
11. 测试和演练
BCP 文档中还应包含一个正式的演练程序,以确保该计划仍然有效