業務連續性管理策略定義了業務連續性管理標准,是業務連續性計划制定和維護的准則。內容包括業務影響分析、業務連續性計划、業務連續性培訓與演練等方面的管理。
一、業務連續性管理組織
信息安全領導小組負責建立業務連續性工作組。工作組應滿足以下原則:
-
高級管理人員擔任協調官
-
包含資深業務人員
-
包含職能、危機處理、物理安保人員
-
包含電力、空調基礎設施維護人員
-
包含網絡、系統、應用維護人員
二、業務影響分析BIA
業務連續性工作組實施業務影響分析,分析內容包括:
-
識別組織范圍內關鍵業務功能
-
識別關鍵業務功能所依賴的資源,包括軟件、硬件、信息、人員、基礎設施、服務
-
識別關鍵業務功能所有的潛在突發信息安全事件
-
分析突發災難給關鍵業務功能造成的損失和影響
-
分析關鍵業務功能的恢復時間目標(RTO)和恢復點目標(RPO)
- 按照RTO和RPO由小到大順序排列業務功能的恢復優先級
三、業務連續性策略
信息安全組織為跨部門協調組織,由信息安全領導組、信息安全管理組、信息安全執行組、信息安全審計組組成。
業務連續性工作組制定業務連續性策略,信息安全管理領導小組對其進行審批和確定。業務連續性策略包括三個方面:
1、支持業務運營的資源的預防性保障策略:災難前的准備、防范性措施,目標是降低風險發生的可能或者降低風險發生時的破壞性,減少事故或災難帶來的損失。一般包括站點冗余、設備冗余、數據備份、人員角色備份、資源措施准備、人工操作方案等。
2、支持業務運營的資源的監控性保障策略:日常運維保障,目標是通過有效的監控手段及時發現災難的發生,定位災難源頭,快速響應,減少損失。
3、業務連續性管理的外部協作關系,與相關社會職能機構、設備及服務提供商、電信、電力和新聞媒體等保持聯絡和協作,以確保在突發信息安全事件發生時能及時通報准確情況和獲得適當支持。
四、業務連續性計划與措施
業務連續性工作組根據業務影響分析和業務連續性策略的結果,制定業務連續性計划。
業務連續性計划應體現在發生災難的情況下,如何保障業務的持續運營。計划包括以下內容:
-
災難的定義:描述哪些事件是災難。
-
應急響應程序:指事故或災難發生時的應急處理流程,目標是盡快恢復業務功能,減少損失。主要措施是建立事件應急響應程序和具體系統、設備、設施的應急預案。
-
災難恢復程序:指如何徹底消除災難,恢復業務資源,使業務操作回復到災前的狀態。主要措施包括內部修復方案、供應商或服務商的支持等。
- 改進措施:指業務恢復后,應調查災難原因並總結經驗,改進預防性策略、應急響應程序和災難恢復程序。
五、業務連續性計划培訓與演練
業務連續性工作組和相關員工應定期開展業務連續性管理培訓,確保每個人員理解其角色、責任和操作程序。重大災難的業務連續性培訓應輻射到全體員工,內容包括疏散、自救、互救和資產搶救等。
業務連續性工作組每年12月底前制定下一年度演練計划,計划應明確演練科目、時間、地點、人員、操作細則,用以檢查業務連續性管理的完備性。演練目標包括:
-
應急方案的可行度和執行度
-
突發災難響應流程的正確性
- 預防、響應和恢復程序是否滿足RTO和RPO指標
六、人員的意識與技能
演練方式包括桌面推演、模擬演練、並行演練和完全演練等多種方式:
-
桌面推演:由各類計划的編制人和其他人員復查計划的可執行性。
-
模擬演練:針對某個突發災難的模擬場景,進行業務連續性模擬操作演練。
-
並行演練:在保證業務功能正常運行前提下,對業務連續性計划進行實戰演練。
- 完全演練:完全執行在遭遇了各類災難后的響應計划。
業務連續性並行演練和完全演練盡量安排在非辦公時間進行。無論哪種演練方式,應將演練的過程與結果進行詳細記錄,演練結束后的1周內形成正式演練報告並報送信息安全領導小組。
業務連續性演練應循序漸進,逐步從桌面推演向完全演練轉變。至少每3年對定義的災難進行一次完全演練。
七、業務連續性計划改進
應根據業務連續性演練報告或發生真實災難業務連續性計划的執行情況,對業務連續性計划進行評估和總結,同時做出相應的更新。
業務或資源發生變更時需要審核業務連續性策略和計划,以確保業務連續性管理的持續有效。變更包括以下情況:
-
購置新的關鍵設備或者系統升級
-
環境、重要設備或資源發生了變化
-
業務連續性管理的業務流程發生了變化
-
距上一次審核時間相隔1年以上
-
關鍵供應商的改變
- 重要的人員發生改變
業務連續性管理的評審工作應當在每年年底前完成,並於次年第1個月內提交業務連續性管理評審報告。評審輸入包括:
-
上一年度業務連續性管理評審報告
- 上一年度業務連續性演練計划和報告
更新后的業務連續性計划和管理評審報告應在1個月之內組織業務連續性工作組和關聯部門進行培訓,個人操作細則應向全員宣導。