使業(yè)務聯(lián)續(xù)的6個步驟

申請免費試用、咨詢電話：400-8352-114

良好的準備是最有效的保護措施。對于那些支持企業(yè)核心業(yè)務正常運轉(zhuǎn)的關鍵信息系統(tǒng)，進行周密的準備，即建立完善的業(yè)務連續(xù)性管理計劃是非常必要的。

從8月15日開始，北京、上海、濟南、廣州、重慶等地的中國工商銀行的網(wǎng)絡數(shù)度陷入“癱瘓”：網(wǎng)上銀行無法登錄，柜臺業(yè)務和ATM處理速度緩慢或者中斷。由于系統(tǒng)出現(xiàn)問題，業(yè)務無法辦理，導致很多營業(yè)網(wǎng)點出現(xiàn)排長隊現(xiàn)象。工商銀行后來解釋了出現(xiàn)故障的原因是由于當日購買基金、發(fā)放養(yǎng)老金和工資的業(yè)務量太大導致系統(tǒng)壓力驟增，但無論原因到底是什么，這件事至少表明工商銀行在確保業(yè)務連續(xù)性上有所欠缺。

事實上，因為信息系統(tǒng)癱瘓影響業(yè)務正常運轉(zhuǎn)我們已經(jīng)不是第一次聽到，比如首都機場就曾因離港系統(tǒng)和行李系統(tǒng)出現(xiàn)故障，影響了多個航班的進出港。如今，信息系統(tǒng)的使用大大提高了組織信息處理和業(yè)務運行的效率。然而，由于信息系統(tǒng)的廣泛使用，使得這些信息系統(tǒng)一旦不能正常支持組織的業(yè)務，給整個組織的業(yè)務帶來的影響越來越大，有時甚至會造成難以估量的損失。正因為業(yè)務連續(xù)性管理(Business Continuity Management，BCM)對組織的業(yè)務和信息安全如此重要，而一旦發(fā)生業(yè)務中斷所造成的損失又如此巨大，使得對業(yè)務連續(xù)性的關注已經(jīng)成為信息安全領域關注的一大焦點。

業(yè)務連續(xù)性管理的過程

在信息安全管理國際標準ISO 27001（BS7799）中已經(jīng)建立了信息安全管理體系的模型，其中業(yè)務連續(xù)性管理（BCM）被作為一個重要部分包括在模型中（參見圖1）。去年11月BSI發(fā)布了一個新的標準BS25999-1，這是業(yè)務連續(xù)性管理的最佳實踐標準，相應的認證標準BS25999-2也將在今年出臺。這對于公共基礎設施的提供者，金融電信等信息時代的基礎支撐行業(yè)來說，不但有了實踐的指南還有了檢驗的標準。

根據(jù)這些最佳實踐指南，業(yè)務連續(xù)性管理的實施包括一系列企業(yè)管理行為，具體實施過程可以分為以下六個步驟，其中核心是制定并實施業(yè)務連續(xù)性計劃。

下面詳細介紹BCM實施過程中各步驟所需要執(zhí)行的主要任務。

步驟1: 啟動項目

項目啟動階段的主要工作是為項目分配必需的資源和進行前期的準備工作。項目啟動階段所包括的工作主要有：

1．得到領導層對項目的支持

組織中信息化或信息安全的領導（如CIO或CSO）應參與項目實施，并通過各種形式（如文件、會議等）向組織內(nèi)所有成員傳達領導層對該項目的重視和支持。最重要的是讓管理層知道組織的真正風險在哪里，這些風險造成的后果是什么，每一項風險會造成的潛在損失有多大。沒有這種理解，管理層對BCM的支持不能落到實處，也不能保證在實施過程對必要的資源、資金和時間方面的投入，最后可能會導致項目實施的失敗。

2．明確項目實施的組織結(jié)構(gòu)和角色責任

項目實施需要合適的人員來完成特定的任務，明確項目實施的組織機構(gòu)和相關人員的角色責任是項目啟動階段非常重要的一項任務。項目實施的組織機構(gòu)與組織的規(guī)模和涉及的系統(tǒng)有關，一般可以分為項目管理機構(gòu)和項目實施機構(gòu)兩種。項目管理機構(gòu)負責項目實施過程中的決策，項目實施機構(gòu)負責項目的具體實施，可以進一步細分為損害評估小組、服務器恢復小組、網(wǎng)絡恢復小組、物理/人員安全小組等等。

3．為項目實施分配資源

包括管理機構(gòu)和實施機構(gòu)在內(nèi)的項目成員通過對項目規(guī)模、難度等各方面的估計，確定項目實施所需的資源，包括人員、場地、資金和時間等。引入外部的服務提供商是解決資源不足問題的可行辦法。服務提供商可以提供BCM的咨詢服務，也可以解決組織在提高業(yè)務連續(xù)性方面所需的備用設備、場地、設施等方面的需求。

4．安排項目的實施進度與時間

為使項目能夠順利實施，需要將項目實施劃成分若干階段，并安排每個階段的進度計劃和主要任務。由于業(yè)務連續(xù)性管理可能會涉及到多個部門之間的協(xié)調(diào)，而且往往復雜度較高，最好在項目實施進度中留出一定的機動時間，保證整個項目最終完成時間不會改變。

在上述幾項工作完成后，BCM項目已經(jīng)明確了項目實施的組織機構(gòu)，明確了角色和職責，安排了所需的資源，制定了項目的實施時間。接下來，項目就可以進入下一步——業(yè)務影響分析階段。
  步驟2: 業(yè)務影響分析

業(yè)務連續(xù)性管理必須考慮到所有可能發(fā)生的安全事故和災難，并對其潛在的損害做出估計，以制定可行的控制策略，進而預防這些事故的發(fā)生，而這正是業(yè)務影響分析（Business Impact Analysis，BIA）所要關注的方面，它是實施BCM的關鍵性的一步。

對業(yè)務安全性的威脅一般可以分為以下三類：

● 來自自然的威脅，如颶風、龍卷風、洪水和火災；

● 來自人類自己的，如操作員錯誤、破壞、植入有害代碼和恐怖襲擊；

● 其他威脅，如設備故障、軟件錯誤、電信網(wǎng)絡中斷和電力故障。

最重要的是找出所有的威脅，分析這些威脅發(fā)生的概率，估算對組織業(yè)務所帶來的損失。風險評估與分析是進行業(yè)務影響分析的常用方法，它收集定性和定量的信息，包括威脅信息、組織脆弱點信息、已有的安全控制信息等，通過風險分析方法得出風險的大小和可能造成的損失。要注意的是，業(yè)務影響分析與風險管理并不完全相同，業(yè)務影響分析更為關注業(yè)務的中斷以及業(yè)務中斷所帶來的損失。BIA階段一般包括以下這些任務：

1．確定關鍵業(yè)務功能和損失標準

需要確定基本的業(yè)務功能，這些業(yè)務功能可能包括: IT網(wǎng)絡支持、數(shù)據(jù)處理、會計、軟件開發(fā)、采購、通信等。由于這些業(yè)務功能和它們的實施部門之間存在依賴關系，因此在保護和恢復時也應該按照一定的步驟進行。

明確了威脅和確定了關鍵的業(yè)務功能之后，就可以對每種威脅造成的影響制定特定的損失標準，需要考慮的因素包括利潤的損失、運行費用的增加、違反合同造成的損失、生產(chǎn)力方面的損失、組織聲望的損失等。這些損失可能是直接的，也可能是間接的，有些是有定量數(shù)字的，有些是定性估計的，都應該以合適的方式計入。

2．確定最大容忍時間

確定了組織賴以生存的關鍵系統(tǒng)之后，應根據(jù)事故或災難所造成的損失標準估計萬一不幸事件發(fā)生時，組織可以容忍的最大時間。一般來說，最大容忍時間可以分為以下幾個級別：

● 無關緊要：30天;

● 正常：7天;

● 重要：72小時;

● 緊急：24小時;

● 關鍵：幾分鐘到幾小時，一般不超過12小時。

3．確定恢復的優(yōu)先順序

組織內(nèi)一般包括有多個業(yè)務功能，而組織的各種資源是有限的。在發(fā)生較大的事故或災難（如電力中斷、地震）時，多個業(yè)務功能都可能會受到影響，所以，必須根據(jù)各業(yè)務功能的關鍵程度和最大容忍時間，確定各業(yè)務功能恢復的優(yōu)先順序，并為關鍵的業(yè)務功能優(yōu)先提供所需要的資源。
步驟3: 確定恢復策略

確定恢復策略指的是確定和指導備用業(yè)務恢復運行策略的選擇，以便在指點的恢復時間內(nèi)恢復信息系統(tǒng)，以支持機構(gòu)的關鍵業(yè)務。

根據(jù)業(yè)界的實踐，業(yè)務中斷所造成的損失是隨著中斷時間的增大而大幅上升的，而恢復業(yè)務的費用則隨著恢復時間的縮短而大幅上升。對于組織來說，確定恢復策略的一個關鍵任務就是在業(yè)務中斷時間和業(yè)務恢復費用之間取得適當?shù)钠胶狻?/FONT>

從備份站點來看，可以分為冷站（cold site）、暖站（warm site）、熱站（hot site）三種方式。冷站只提供基本的工作環(huán)境、電線、空調(diào)等，在恢復時要花費很長的時間，可能會有幾個星期;熱站則具有完全的配置，一般使用在分鐘級或小時級的恢復環(huán)境下，也最為昂貴。從備份類型來看，可以分為增量備份、差量備份、完全備份傳遞三種方式;從備份數(shù)據(jù)傳輸方式來看，可以分為手工傳送、電子備份傳送、實時備份等方式。組織還可以選擇與內(nèi)部或外部機構(gòu)簽訂互惠協(xié)議，或者與設備供應商簽署服務合同。具體選擇時，組織要綜合考慮邏輯性、可行性、經(jīng)濟性等多方面因素，確定適合自身業(yè)務要求的恢復策略。

步驟4: 編制業(yè)務連續(xù)性計劃

業(yè)務連續(xù)性計劃（BCP）樣式有多種，但一般都包括以下內(nèi)容：支持信息、通知/啟動、業(yè)務恢復和業(yè)務復原。

1．支持信息

支持信息部分提供了重要的背景或相關信息，使得BCP更容易被理解、實施和維護。支持信息部分一般包括以下內(nèi)容：

● 目的。介紹制定BCP的原因和定義BCP的目標。

● 范圍。說明有哪些部門和運營業(yè)務需要實施BCP。另外，BCP所包括的業(yè)務中斷范圍也要說明，如計劃可能不會涉及預計持續(xù)時間小于四個小時的短期中斷。

● 組織。描述應急團隊的整體結(jié)構(gòu)，包括各團隊的等級劃分、協(xié)調(diào)機制、角色與職責等。

● 資源需求。人員、設備、技術(shù)/數(shù)據(jù)、安全、運輸、福利和緊急事件的費用。

● 系統(tǒng)描述。對有必要包括在BCP中的IT系統(tǒng)的一般描述，包括系統(tǒng)的架構(gòu)、現(xiàn)有安全防護措施等。

● 變化記錄。對BCP變更的記錄。

2．通知/啟動

也稱為應急響應。該部分定義了在探測到系統(tǒng)中斷或緊急情況發(fā)生或即將到來時采取的初步行動，如通知恢復人員、評估系統(tǒng)損害和實施計劃的活動。一般包括以下內(nèi)容：

● 告知規(guī)程。包括告知樹、告知信息、通信方法等。

● 損害評估。評估事件可能帶來的業(yè)務影響和損害。

● 計劃的啟動。計劃的啟動條件和恢復策略確定。

3．業(yè)務恢復

業(yè)務恢復集中于建立臨時IT處理能力、修復原系統(tǒng)、在原系統(tǒng)或新設施中恢復運行能力等應急措施。在恢復階段完成后，系統(tǒng)將可以運行并執(zhí)行計劃中指定的功能。業(yè)務恢復計劃一般也被稱為災難恢復計劃（DRP）。

計劃的這一部分應該按照操作手冊的形式編排，由一系列簡單明確的指令構(gòu)成，這樣恢復團隊可以完全按照這些指令進行恢復操作。各種操作之間的相互關系也必須加以明確說明，所有的指令和說明必須明白無誤，以免因可能引起誤解或不明了而導致時間損失。

4．業(yè)務復原

為業(yè)務運營復原原有場所或新建場所應采取的步驟等應在此加以說明。需要標明每個團隊負責人的責任和任務，一般包括：

● 提供基礎設施，如電力、辦公設備等。

● 系統(tǒng)安裝，包括軟硬件。

● 測試被恢復系統(tǒng)的運行。

● 將應急系統(tǒng)中的運行數(shù)據(jù)上載到被恢復系統(tǒng)中。

● 關閉應急系統(tǒng)。

● 應急場所中敏感信息與材料的處置。

● 其他操作。
步驟5: 測試和演練計劃

技術(shù)、業(yè)務方法以及員工角色和責任的變化都將影響和降低業(yè)務應急計劃的效率并最終影響到機構(gòu)的準備狀態(tài)。因此，通過對業(yè)務應急計劃的測試來測量其可用性和有效性是很重要的。測試還將使員工熟悉恢復站點的位置以及中斷期間所需的恢復規(guī)程。測試的目標是確保機構(gòu)在啟動業(yè)務連續(xù)性計劃后能夠按照計劃可靠、及時和有效地恢復運行。

測試的過程需要進行詳細的規(guī)劃，測試計劃還應該包括每項測試的詳細時間表和測試的參與者。測試計劃還應該清晰地描述測試范圍、場景和后勤。場景可以選擇為最糟糕的事故或最有可能發(fā)生的事故，并盡量模仿真實情況。

有兩種基本的演練方式：

● 課堂演練 課堂演練的參與者在桌面上對規(guī)程進行排演而不實際進行恢復操作。在兩種演練類型中課堂演練是最基本和最經(jīng)濟的，應該在執(zhí)行功能演練之前執(zhí)行。

● 功能演練 功能演練比桌面上的演練更進一步，要求虛構(gòu)事件。功能演練包括模擬和戰(zhàn)術(shù)演練。通常會為扮演外部機構(gòu)的角色演員寫好腳本或者有真正的相關機構(gòu)或供應商參與。功能演練可以包括針對備用站點的實際配置和（或）系統(tǒng)切換。

組織對其業(yè)務連續(xù)性計劃一年至少要測試一次。管理層應該參與到測試中并熟悉其在計劃啟動時的角色和責任。

步驟6: 維護與更新計劃

業(yè)務連續(xù)性計劃必須周期性地加以檢查和維護。為了使其更加有效，計劃必須維持在能夠正確反映系統(tǒng)需求、規(guī)程、機構(gòu)架構(gòu)和策略的就緒狀態(tài)。計劃應該至少每年進行一次針對正確性和完整性的檢查，一旦有新的系統(tǒng)、新的業(yè)務流程或者新的商業(yè)行動計劃加入企業(yè)的生產(chǎn)系統(tǒng)或者信息系統(tǒng)，引起企業(yè)整體系統(tǒng)發(fā)生變化時，就更應該強制啟動這種檢查程序。某些部分應該得到更頻繁的檢查，如聯(lián)絡清單。根據(jù)系統(tǒng)類型和重要程度的不同，對計劃內(nèi)容和規(guī)程的評估可能會更加頻繁。計劃的檢查至少要關注以下內(nèi)容：

● 運行需求;

● 安全需求;

● 技術(shù)規(guī)程;

● 硬件、軟件和其他設備（類型、規(guī)格和數(shù)量）;

● 團隊成員的姓名和聯(lián)絡信息;

● 供應商，包括備用和離站供應商協(xié)調(diào)人的姓名和聯(lián)絡信息;

● 備用和離站設施需求;

● 關鍵記錄（電子的或硬拷貝）。

每一次在執(zhí)行這種檢查程序時，最好是與對BCP的改進相互結(jié)合。例如，在測試過程中發(fā)現(xiàn)的問題、組織為了實現(xiàn)連續(xù)性對機構(gòu)所做的調(diào)整或者在保持業(yè)務連續(xù)性測試時發(fā)現(xiàn)了更好的行動方式和計劃等等。因此，BCP的維護應該是變化和改進的結(jié)合與不斷促進。另外，BCP中可能包含有潛在的敏感操作和個人信息，所以對BCP的分發(fā)應該根據(jù)需要進行標記和控制。（本文作者為BSI中國公司的咨詢顧問）

鏈接：

業(yè)務連續(xù)性管理的關鍵點

在實行BCM過程中，以下因素是組織應重點考慮的：

● 爭取管理層的支持和參與。沒有管理層的支持，業(yè)務連續(xù)性計劃的制定和實施都是十分困難的，很有可能會流產(chǎn)。

● 建立業(yè)務連續(xù)性管理文化。通過培訓和意識教育，使業(yè)務連續(xù)性管理成為企業(yè)核心價值和有效管理的一部分。

● 業(yè)務連續(xù)性計劃團隊要有明確的組織結(jié)構(gòu)，角色和責任應明確、清晰，要對相關人員進行培訓。如果參與人員不能清楚地知道自己該做什么，災難發(fā)生時只能是一片混亂。

● 恢復策略的確定要綜合考慮恢復成本與災難損失，在其中取得一個適當?shù)钠胶恻c。超過損失的恢復是毫無意義的。

● 業(yè)務連續(xù)性計劃包括的各種規(guī)程要步驟清楚、操作詳細，確保實施人員拿到規(guī)程后，能立刻開始操作。不清楚的規(guī)程只會延誤恢復的時間。

● 業(yè)務連續(xù)性計劃要定期進行測試、演練，總結(jié)缺陷并進行更新，一般至少為一年一次。確保計劃準確和不斷改進也是非常重要的。測試計劃要仔細斟酌，不要讓演習變成一場事故。(ccw)