业务连续性管理策略

业务连续性管理策略定义了业务连续性管理标准,是业务连续性计划制定和维护的准则。内容包括业务影响分析、业务连续性计划、业务连续性培训与演练等方面的管理。

业务连续性管理组织

信息安全领导小组负责建立业务连续性工作组。工作组应满足以下原则:
  • 高级管理人员担任协调官

  • 包含资深业务人员

  • 包含职能、危机处理、物理安保人员

  • 包含电力、空调基础设施维护人员

  • 包含网络、系统、应用维护人员

业务影响分析BIA

业务连续性工作组实施业务影响分析,分析内容包括:
  1. 识别组织范围内关键业务功能

  2. 识别关键业务功能所依赖的资源,包括软件、硬件、信息、人员、基础设施、服务

  3. 识别关键业务功能所有的潜在突发信息安全事件

  4. 分析突发灾难给关键业务功能造成的损失和影响

  5. 分析关键业务功能的恢复时间目标(RTO恢复点目标(RPO

  6. 按照RTO和RPO由小到大顺序排列业务功能的恢复优先级

业务连续性策略

信息安全组织为跨部门协调组织,由信息安全领导组、信息安全管理组、信息安全执行组、信息安全审计组组成。

业务连续性工作组制定业务连续性策略,信息安全管理领导小组对其进行审批和确定。业务连续性策略包括三个方面:

1、支持业务运营的资源的预防性保障策略:灾难前的准备、防范性措施,目标是降低风险发生的可能或者降低风险发生时的破坏性,减少事故或灾难带来的损失。一般包括站点冗余、设备冗余、数据备份、人员角色备份、资源措施准备、人工操作方案等。

2、支持业务运营的资源的监控性保障策略:日常运维保障,目标是通过有效的监控手段及时发现灾难的发生,定位灾难源头,快速响应,减少损失。

3、业务连续性管理的外部协作关系,与相关社会职能机构、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作,以确保在突发信息安全事件发生时能及时通报准确情况和获得适当支持。

业务连续性计划与措施

业务连续性工作组根据业务影响分析和业务连续性策略的结果,制定业务连续性计划。
业务连续性计划应体现在发生灾难的情况下,如何保障业务的持续运营。计划包括以下内容:
  • 灾难的定义:描述哪些事件是灾难

  • 应急响应程序:指事故或灾难发生时的应急处理流程,目标是尽快恢复业务功能,减少损失。主要措施是建立事件应急响应程序和具体系统、设备、设施的应急预案。

  • 灾难恢复程序:指如何彻底消除灾难,恢复业务资源,使业务操作回复到灾前的状态。主要措施包括内部修复方案、供应商或服务商的支持等。

  • 改进措施:指业务恢复后,应调查灾难原因并总结经验,改进预防性策略、应急响应程序和灾难恢复程序。

业务连续性计划培训与演练

业务连续性工作组和相关员工应定期开展业务连续性管理培训,确保每个人员理解其角色、责任和操作程序。重大灾难的业务连续性培训应辐射到全体员工,内容包括疏散、自救、互救和资产抢救等。
业务连续性工作组每年12月底前制定下一年度演练计划,计划应明确演练科目、时间、地点、人员、操作细则,用以检查业务连续性管理的完备性。演练目标包括:
  • 应急方案的可行度和执行度

  • 突发灾难响应流程的正确性

  • 预防、响应和恢复程序是否满足RTO和RPO指标

人员的意识与技能

演练方式包括桌面推演、模拟演练、并行演练和完全演练等多种方式:
  • 桌面推演:由各类计划的编制人和其他人员复查计划的可执行性。

  • 模拟演练:针对某个突发灾难的模拟场景,进行业务连续性模拟操作演练。

  • 并行演练:在保证业务功能正常运行前提下,对业务连续性计划进行实战演练。

  • 完全演练:完全执行在遭遇了各类灾难后的响应计划。

业务连续性并行演练和完全演练尽量安排在非办公时间进行。无论哪种演练方式,应将演练的过程与结果进行详细记录,演练结束后的1周内形成正式演练报告并报送信息安全领导小组。

业务连续性演练应循序渐进,逐步从桌面推演向完全演练转变。至少每3年对定义的灾难进行一次完全演练。

业务连续性计划改进

应根据业务连续性演练报告或发生真实灾难业务连续性计划的执行情况,对业务连续性计划进行评估和总结,同时做出相应的更新。
业务或资源发生变更时需要审核业务连续性策略和计划,以确保业务连续性管理的持续有效。变更包括以下情况:
  • 购置新的关键设备或者系统升级

  • 环境、重要设备或资源发生了变化

  • 业务连续性管理的业务流程发生了变化

  • 距上一次审核时间相隔1年以上

  • 关键供应商的改变

  • 重要的人员发生改变
业务连续性管理的评审工作应当在每年年底前完成,并于次年第1个月内提交业务连续性管理评审报告。评审输入包括:
  • 上一年度业务连续性管理评审报告

  • 上一年度业务连续性演练计划和报告
更新后的业务连续性计划和管理评审报告应在1个月之内组织业务连续性工作组和关联部门进行培训,个人操作细则应向全员宣导。

扩展  ·  本文相关链接

·  信息安全事件管理策略
·通信与操作安全控制要点与管理策略
·供应商安全管理策略
·  访问控制安全管理策略
·  信息系统开发与维护安全控制要点与管理策略
(0)

相关推荐

  • 第三章 业务连续性计划

    完善的组织拥有合适的计划和措施,从而帮助他们降低灾难对业务持续运营的影响,以及快速恢复正常运营. 3.1.     业务连续性计划 业务连续性计划(Business ContinuityPlannin ...

  • 容灾演练,一键切换,浙大二院实战演练圆满成功!

    近期在浙大二院进行的容灾实战演练,让小编看到了真正的一键切换.浙大二院为提高灾难时多个业务系统的切换速度,提供更加直观的切换过程可视化展示,进一步保障医院业务系统连续性,采用了美创科技的数据级容灾解决 ...

  • ISO 22301:2019中文简译

    写在前面:本中文简译是为了方便朋友们了解.学习业务连续性管理体系的最新国际标准-ISO 22301:2019,部分参考了GB30146-2013,译文内容从第4章开始,至第10章结束,如对译文有意见或 ...

  • 灾备与业务连续性管理checklist

    灾备与业务连续性管理checklist包括业务连续性管理过程.业务影响分析.业务连续性计划.业务连续性实施.业务连续性测试与演练五部分内容. 业务连续性管理过程 ▼▼业务连续性管理职责 1.1是否指定 ...

  • 干货丨基于业务和岗位分类的国有企业用工管理策略——以某大型国有企业为例

    一.引言 当前,国有企业面临日益激烈的国际竞争和转型升级的巨大挑战,肩负着推动经济社会发展.实现民族伟大复兴的重大使命.随着国资国企改革的深入推进,建立科学合理的用工管理模式,充分调动各类用工的积极性 ...

  • BLM模型中提到的人才管理策略如何构建?

    根据BLM业务领先模型的理论,那么人才管理策略的根基是公司战略,企业要做好人才管理策略,需要思考四大问题,这些问题涵盖了公司战略和人力资源管理的重要内容: 问题一:我们的战略对人才的需求是什么.这里涉 ...

  • 为什么要制定人才管理策略?

    人才管理是人力资源规划中使用的一种科学策略,可以提高业务价值并帮助组织实现其目标.这意味着人才管理旨在改善业务绩效并实现投资回报,富有生产力和敬业度高的员工有助于使企业盈利.制定人才管理的战略方法以帮 ...

  • 《柳叶刀》:折寿10年!大量糖尿病患者诊疗不足,6大最佳规范管理策略不容忽视

    近日,<柳叶刀>发布了一份重磅报告,这是由全球44位领先专家合作4年的成果,全面回顾糖尿病及其并发症带来的健康负担,总结科学预防.有效诊治的最佳证据和明确获益.其中重点强调了妊娠期糖尿病. ...

  • 基层糖尿病:糖尿病患者的低血糖管理策略

    基层糖尿病:糖尿病患者的低血糖管理策略

  • 【精彩回顾】华润健康乡村 | 刘丹教授: 基层高血压管理策略

    降压治疗可以减少心脑血管疾病的发生! 目前中国心血管疾病死亡率仍居首位,高于肿瘤及其他疾病,每5例死亡病例中就有2例死于心血管病,且农村高于城市.而基层医疗机构一直是高血压管理的"主战场&q ...

  • 早产儿生后早期循环稳定的管理策略

    王晴晴 朴梅花 作者单位:100191  北京大学第三医院儿科 通信作者:朴梅花,Email:pmh1990@sina.com 当今,超早产儿救治的目标是降低病死率及远期神经系统损害的风险.早产儿常经 ...

  • 脑出血患者的高血压急症管理策略

    作者:江荣才 葛歆瞳 单位:天津医科大学总医院神经外科 自发性脑出血是指发生在脑实质或脑室内的出血,具有发病急.病情变化快.致残致死率高等特点.我国脑出血患者占脑卒中患者总数的 23.4%,其中 46 ...