CISSP学习笔记-3（业务连续性计划）.pdfVIP

CISSP学习笔记-3（业务连续性计划）

业务连续计划

概述

业务连续性计划涉及评估组织流程的⻛险，以及创建策略、计划和程序，以最⼤度地 减⼩这些⻛险发⽣时对组织产⽣的不良影响。

BCP ⽤于在紧急情况下维持业务的连续运营。 BCP 计划者的⽬标是通过综合实施策略、程序和流程，将潜在的破坏性事件对业务的影

响 降⾄最⼩。BCP 专注在降低的或受的基础设施能⼒或资源上维持业务运营。

业务连续性计划BCP阶段

项⽬范围和计划

业务影响分析

连续性计划

计划批准和实施

业务连续性⽬标

保障组织⾯对各种状况时依然保持业务的运营

从更加⻓远的⻆度来解决问题，主要为⻓期停产和灾难事件提供⽅法和措施

⽬标 (Objectives)

保护⽣命和确保⼈员安全

出现紧急情况时提供及时和适当的应对措施

减少对业务的影响

恢复关键业务功能

在灾难时减少混乱

确保企业的⽣存能⼒

在灾难发⽣后迅速“启动并运⾏”

BCP应该与是机构的业务⽬标⼀致，是 整体决策的⼀部分。BCP应该是机构安全项⽬的⼀部分，并与安全项⽬的其他内容相协调

业务连续性流程

NIST SP800-34

制定连续性规划策略(policy)

执⾏业务影响分析(Busiess impact aalysis，BIA)

确定预防性控制⽅法

制定恢复战略

制定BCP

测试BCP

维护业务连续性计划

ISO27031

ICT 连续性管理指南

ISO22301

业务连续性管理体系

灾难恢复计划，DRP（后续章节）

灾难恢复⽬标

降低灾难或业务中断的影响

采取必要的步骤保证资源、⼈员和业务

流程尽快恢复运作

更加关注IT层⾯

项⽬范围和计划

组织分析

⽬的:识别与BCP流程有利害关系的所有部⻔和个⼈

负责向客户提供核⼼业务的运营部⻔

关键⽀持服务部⻔，如IT部⻔、设施和维护⼈员、其它团队

负责物理安全的公司安全团队

⾼级管理⼈员和对组织持续运营重要的⼈员

该分析是选择 BCP 团队的基础，经BCP 团队确认后，⽤于指导 BCP 开发的后续阶段。

选择BCP团队

成员和⻆⾊：部⻔的技术专家，具备 BCP 技能的物理和 IT 安全⼈员，熟悉公司法律、监管和合同责任的法律代表，以及⾼级管理

层的代表。其他团队成员取决于组织的结构和性质。

⾼级管理层与BCP

BCP项⽬负责⼈

业务连续性协调⼈作为BCP项⽬负责⼈全⾯负责项⽬的规划、准备、培训等各项⼯作

成⽴以后对业务组织分析的结果做⼀次全⾯审查

资源需求

三个阶段所需的资源

制定

测试、培训和维护

实施(激活/执⾏)

法律和法规要求

业务影响分析

BIA，是BCP的核⼼部分，分为5个步骤

识别可能会在灾难中造成重⼤损失或运营中断的区域

BIA分析⽅法

定性分析以划分严重程度的⽅式得出灾难或中断事件造成的影响

定量分析以货币的⽅式得出灾难或中断事件造成的影响

BIA⽬的

协助管理层了解潜在的中断影响

识别关键业务功能以及⽀持这些功能的IT资源

协助管理⼈员识别机构功能⽀持⽅⾯的不⾜

排定IT资源的恢复顺序

分析中断的影响

确定每项业务功能的恢复窗⼝

BIA的信息分析

整理(Orgaize)

归纳(Correlate)

分析(Aalyses)

确认(Cofirm)

定性和定量的⾃动化⼯具辅助进⾏信息的整体和分析

业务的代表检查和确认信息分析的结果

过程

确定优先级

业务功能优先级列表

确定MTD，最⼤允许