信息安全-业务连续性计划BCP

在企业运营过程中，有些安全事件可能为企业带来严重损失甚至是影响关键业务的运营。灾难恢复（Disaster Recovery）可以支持组织采取必要措施来及时恢复运营。而业务连续性计划(BCP- Business Continuity Plan)提供了处理长期中断和灾害的方法与程序，它的主要目标是尽快将业务运营恢复到正常状态，尽可能话费最少的资金和资源。

一、最佳实践

            1. NIST SP800-34 - 联邦信息系统应急计划指南 中定义的BCP步骤

                    1）制定BCP策略说明 - 编写指引，定义角色及赋予权限

                    2）执行BIA(业务影响分析) - 分析关键业务职能并识别关键系统，确定优先级，识别漏洞与威胁，计算风险

                    3）识别现有控制措施 - 确定并实施安全控制措施

                    4）制定应急策略 - 编写快速恢复关键业务和系统的方法

                    5）制定信息系统应急计划 - 编写在危机下如何保持运作的程序和指南

                    6）确保开展计划的测试、培训和演练 - 检测并识别BCP中的权限，进行人员培训

                    7）确保持续维护计划 - 定期更新BCP相关稳定

            2. 其他标准： ISO27031， ISO22301， GPG

二、BCP的组成部分

        1. 团队

                一名协调员(Business Continuity Coordinator)以及BCP委员会，成员至少要包括高级管理层，业务部分，IT，安全，法务等部门成员。

        2. BCP策略

                策略内容包括范围，任务说明，原则、指南和标准。

                在制定策略时要检查组织的总体目标和功能，并借鉴行业最佳实践。

        3.  业务影响分析(BIA)

                BIA是一种功能性分析，团队通过访谈和文献来收集数据，记录和划分业务功能的层次结构，最后使用分级来展示单个功能的重要水平

                BIA的执行步骤

                    1）挑选数据收集的人员，并逐一面谈

                    2）确定收据收集的方法和技巧

                    3）识别公司的关键业务职能

                    4）识别这些功能依赖的资源

                    5）计算业务职能在资源缺失情况下能够持续的时间(MTD)

                    6）识别这些功能的脆弱性和威胁

                    7）计算不同业务功能的风险

                    8）记录调查结果并向管理层报告    

---

参考资料：

CISSP 权威指南第八版中文版