[摘 要]业务连续性管理本身也是一种过程方法,也应遵从PDCA模型的规则。下面我们来看看如果利用PDCA的方法,实现业务连续性的管理。
[关键词]业务连续性 管理风险 实现方法
中图分类号:F302.6 文献标识码:A 文章编号:1009-914X(2016)24-0092-01
一、 评估针对业务连续性的风险点
首先列出关键业务流程中涉及的所有资产,然后对组织涉及的各类业务所处的环境分析其面临的威胁并对其脆弱性进行推断,完成风险识别,推断由信息安全事故引起的业务中断对业务可能产生的影响,并且确定应急及恢复的业务目标。在这类风险评估过程中,应在业务资源和过程的所有者全面参与的情况下进行业务风险评估。仅仅靠高层管理者或是某个部门来识别组织业务的全部风险,产生的风险评估结果是不全面的。另外,在考虑业务过程的时候,应充分照顾到组织的所有业务过程,不能只局限于信息处理设施,还应考虑到可能产生的信息安全影响。然后将不同方面的风险结合起来,得到组织业务连续性需求的整体结构图。其后对风险进行确认、量化、排定优先级,包括重要资源,中断影响,允许中断时间,恢复的优先级。若组织没有明确的行业要求或专属的法律法规要求,风险的量化及定级工作应由组织自行制定统一的标准并在组织范围内进行描述。最后根据风险评估的结果制定业务连续性战略,以确定业务连续性的总体途径。该战略应由管理层签署,并制定计划以实施该战略。
二、建立业务连续性计划
从业务影响分析入手,创建业务连续性一般涉及以下六个步聚:
1、 要把职责明确好,要识别出组织的全部职责并和业务连续性流程进行一一比对,达成一致;
2、 识别出组织在产生各类业务中断以后,确定组织可以接受中断的程度;
3、 制定应急规程,也就业务未恢复完成时应遵循的操作规程;
4、 制定恢复规程,以在所要求的时段内恢复和复原业务操作和可用性信息,这里还应考虑满足与业务相关方的合同要求及相关行业规定,法律规定的要求以及与相关政府及主管部门的联系,包括在什么状况下应与某个特定机构联系如,公安局、消防局、监管部门等的联系;
5、 将已商定的流程形成文档,并用已商定的应急流程培训员工;
6、 制定测试和更新计划
到这里,整个业务连续性计划集合可以算是做好了,注意,这里说的业务连续性计划是一个集合,业务连续性计划是由许多个计划集合而成的。现在组织已经有了业务连续性计划,但整个工作还没有做完,因为计划还需要实施,如何实施呢,请看下面的阐述。
三、测试、保持和再评估
前面说了P和D两个环节,后面就需要谈谈C和A两个环节了。
简单来讲,测试的目标就是确认一个组织在发生灾难(或者危机事件)时,执行业务连续性计划的能力。但如何组织和管理测试和演习,以确保测试的规范性和有效性,是许多用户关心的问题。
1、测试前的准备工作
首先要明确测试的目的和测试的方式。测试方式多种多样,根据测试的目的不同,测试的方式可以是简单的桌面测试,也可以是全面的场景演习等等。
测试过程的管理团队很重要,测试应该由训练有素的团队来规划、实施和控制。通常起草业务持续性计划的人员是管理和控制测试的最佳人选(在应急恢复过程中承担重要角色的人员除外)。为了确保测试的组织效果,应该事先对实施测试过程的团队进行培训。
在测试之前,需要“设计”一个供测试用的模拟场景。场景应该包括一系列很可能发生的事件。这些事件应该经过恰当的设计,确保可以测试到计划中的全部(或者相应部分,视测试的范围而定)行动要素。
对测试的结果进行分析和评估是必须的。因此,要事先制定测试反馈信息表,做好收集反馈信息的准备工作,确保测试结束后可以尽快收集到反馈信息。
应该积极与领导沟通。测试需要费用,所以事先要有相应的预算,并报请领导批准。此外,测试过程不可避免地会影响到员工的正常工作,甚至影响业务的进展,这一点也需要事先得到领导的认可。另外员工可能会在测试的日期正好出差在外,这些都需要做充分的考虑。
如果测试需要单位外部的人员(例如业务持续性计划中提到的应急产品供应商等)参与,则更需要积极进行协调和沟通,事先要仔细考虑外部人员参与的方式和程度。
2、测试过程的规划
测试的过程需要进行详细的规划。规划主要步骤包括:分析业务持续性计划,制定测试计划,设计测试场景,准备测试反馈意见表等。其中分析业务持续性计划是其他工作的基础。
测试计划的制定过程本身可能也很复杂,所以也需要精心安排。应该考虑到制定测试规划过程中的所有步骤,每个步骤的执行时间和负责人,以及每个步骤之间的前后顺序。可以考虑采用项目管理软件来辅助完成。
测试的参与者应该涉及组织的各个关键部门,而且,应该包括了业务持续性计划中的相应角色。实际上,在测试过程中有两类参与者,第一类参与者积极行动,应对“危机”;第二类人员管理和控制测试过程,包括收集现场的数据。两类参与者的具体人选都非常重要。
3、测试场景的设计
企业应该充分重视测试场景的重要性。未经仔细考虑、不够完善的场景常常会使整个测试的效果大打折扣。
在设计场景时,要重点关注危机发生后的2~4小时。场景应该包括一系列需要积极响应的事件,并尽可能覆盖危机计划中定义的关键行动。
场景应该能反映对业务影响较大的威胁和风险。应该首先考虑在风险评估阶段提供的风险信息。由于在应对不同的风险时,需要不同的应急响应流程和行动,因此可能需要设计和测试的场景不只一个。
因为参与者要随着测试场景的发展及时做出反应,所以场景应该足够逼真。在描述场景时,应该尽可能采用真实的客户姓名、员工姓名、地点名称、产品名称、设施名称等等,名称越真实,会给测试者越“逼真”的感觉,测试的效果就越好。但由于采用了真实的名称,有可能在测试的时刻,真实的名称需要做最后的确定,这一点一定要注意。另外,为了获得测试的真实效果,应该对场景设计信息保密,避免测试参与者事先获得信息,从而使测试成为走过场。
四、保持和再评估
每次测试过后,应该完整记录测试结果,并对测试数据进行分析,对测试效果进行评估,从而考虑采取措施以改进业务连续性计划。
由于组织的业务是不断的发生变化的,有的组织可能变化的周期比较长,有的组织可能变化周期短,但是不管是什么样的组织,随着社会的发展,环境的变化,技术的提升,其业务总是会多多少少的发生变化,所以对业务连续性计划的评审就显得很有必要。对于每个业务连续性计划的定期评审应分配职责,应按适当的计划更新业务连续性计划以反映业务安排的变更,应确保通过整个计划的定期评审来分配和补充已更新的计划。
文中提到的方法和思路,意在让组织在实施业务连续性管理时有一条清晰的思路,组织还应针对自身的实际情况来加以实施。
参考文献:
标准出版物:
[1] GB/T 22080-2008/ISO/IEC 27001:2005 信息技术 安全技术 信息安全管理体系 要求。
作者简介:
王淑清(1978.02--)性别:女、民族(汉族),籍贯(江西省赣县),现供职单位:广州赛宝认证中心服务有限公司,学历本科,研究方向:信息安全管理、信息技术服务管理, 单位邮编:510507
