业务连续性计划和应急预案的关系

9.3.14　业务连续性管理

14.1　业务连续性管理的信息安全方面

目标：防止业务活动的中断，保护关键业务流程不会受信息系统重大失效或自然灾害的影响，并确保它们的及时恢复。

为通过预防和恢复控制的组合，将对机构的影响减少到最低水平，并能从信息资产的损失中（例如，它们可能是自然灾害、事故、设备故障和故意动作的结果）恢复到可接受的程度，应实现业务连续性管理过程。这个过程需要确定关键的业务过程，需要将业务可连续性的信息安全管理需求同其他可连续性需求如企业动作、员工、材料、运输和设备结合起来。

应对灾难、安全故障、服务丢失和服务可行性的影响当做业务影响进行分析。应制定和实施业务连续性计划，以确保基本操作能及时恢复。信息安全应该是整体业务过程和机构内其他管理过程的一个完整的部分。

业务连续性管理应包括标识和减少风险，加上大致的风险评估过程、限制有害事故的影响以及确保业务过程需要的信息能够容易地得到。

14.1.1　在业务连续性管理过程中包含信息安全

控制

应在组织内开发并保持业务连续性管理过程，该过程阐明了组织的业务连续性对信息安全的要求。

实施指南

这个过程应集合下列业务连续性管理的关键要素：

a)根据风险的可能性及其影响，推断组织所面临的风险，包括关键业务过程的标识和优先权（见14.1.2）；

b) 确定关键业务流程中涉及的所有资产；

c) 推断由信息安全事故引起的业务中断对业务可能产生的影响（重要的是找到处理较小事故以及可能威胁组织生存能力的重大事故的解决办法），并且建立信息处理设施的业务目标；

d) 考虑购买相应的保险，该保险可以形成业务连续性过程的一部分，也作为运行风险管理的一部分；

e) 确定和考虑实施附加的预防和减轻控制；

f) 确定足够的金融的、机构的、技术的和环境资源去满足确定的信息安全需求；

g) 确保人员的安全，保护信息处理设备和机构财产；

h) 正式提出将信息安全需求同商定的业务连续战略一致的业务连续性战略，并将其形成文档（见14.1.3）；

i) 将定期测试和更新适当的计划和过程（见14.1.5）；

j) 确保把业务连续性的管理包含在组织的过程和结构中。业务连续性管理过程的职责应分配给组织范围内的适当级别的管理层（见6.1.1）。

14.1.2　业务连续性和风险评估

控制

应识别可能导致业务过程中断的事故，以及这类中断发射给你的可能性和影响、中断的信息安全后果。

实施指南

业务连续性的信息安全方面要从标识可能引起机构业务过程中断的事件（一系列事件）开始，例如，设备故障、人为错误、盗窃、火灾、自然灾害和恐怖事件。这之后是风险评估，以确定这些中断发生的概率和影响，根据损坏程度和复原所需时间。

应在业务资源和过程的拥有者全面参与的情况下，进行业务风险评估。这种评估考虑到所有业务过程，并且不局限于信息处理设施，但要包含指定信息安全的结果。重要的是要将不同方面的风险结合起来，得到整个机构业务连续性需求的整体构图。评估应该确认、量化、确认优先级与违背机构原则和目标的风险，这些风险包括重要资源，中断影响，允许中断时间，恢复的优先级。

根据风险评估的结果，应开发业务连续性战略，以确定业务连续性的总体途径。该战略一旦被制定，就应由管理层签署，并制订计划，签署实施战略。

14.1.3　开发并实施包括信息安全的连续性计划

控制

应开发并实施计划，以确保在关键业务流程中断或失效后能够在要求的时间内和要求的等级上保持和恢复运营并确保信息的可用性。

实施指南

业务连续性计划过程应考虑下列内容：

a) 全部职责和业务连续性规程的标识和协议；

b) 信息和服务可接受损失的标识；

c) 实施规程，以在所要求的时段内恢复和复原业务操作和可用性信息。特别注意对处于适当位置的内部和外部业务相关方和合同的评估；

d) 恢复和复原未完成时应遵循的操作规程；

e) 将已商定的规程和过程形成文档；

f) 用已商定的应急规程和过程（包括危机管理）教育员工；

g) 检验和更新计划。

计划过程应集中于所要求的业务目标，例如，在可接受的时间内恢复为顾客的特定通信服务。应确认业务连续性运行所需要的服务和资源，包括配备人员、非信息处理资源以及信息处理设施可基本维持运行的安排。那些可基本维持运行的安排包括以互惠协议的形式，或者以商业签署服务的形式安排第三方。

业务连续性计划应解决机构的弱点，因而可能包含需要适当保护的敏感信息。业务连续性计划的拷贝应在异地保存，且保存地距离应该足够远，以便主要站点的灾难性破坏不会殃及它。应制定管理措施，以确保业务连续性计划的拷贝能够及时更新，并对其进行与主站点程序同样的保护。执行连续性计划需要的其他材料也需要在远程保存。

如果使用了一个临时站点，则对临界时站点的安全控制级别应同主站点一致。

其他信息

需要注意的是，危机管理计划与行为可能同业务连续性管理不同，例如正常管理程序可能适应危机的发生。

14.1.4　业务连续性计划框架

控制

应保持一个单一的业务连续性计划框架，以确保所有计划的一致性，以维护信息安全要求的一致性并识别测试和保持的优先级。

实施指南

每一个业务连续性计划应该说明进行连续性的方法，如确保信息或信息系统安全可行的方法。每个计划也应清晰地规定扩大的计划和计划启动的条件，以及执行该计划每一部分的各个职责。当标识出新的要求时，应相应地修正所建立的应急规程，例如，撤离计划或任何现有的基本维持运行的安排。这些规程应包含在组织变化管理程序中，以确保业务连续性事物能够适当地解决。

每个计划应具有一个特定的责任人。应急规程、人工基本维持运行的计划和重新使用计划应属于相应业务资源或所涉及过程的责任人的职责范围。可替换技术服务，诸如信息处理和通信设施的基本维持运行的安排通常应是该服务提供者的职责。

业务连续性计划框架应该提出确定的信息安全需求，且应考虑下列内容：

a) 在启动每个计划前，启动计划的条件，而该条件描述了要遵循的过程（如何评估这种情况，谁将参与等）；

b) 描述危及业务操作的事故之后所要采取的动作的应急规程；

c) 描述要采取行动的可依靠的规程，以便将基本业务活动或支持服务移到替代的临时地方，并在要求的时段内使业务过程回到运行状态；

d) 恢复和复原未完成时应遵循的临时操作规程；

e) 描述要采取行动的重新使用规程，以恢复正常业务操作；

f) 规定如何及何时要检验该计划以及维护该计划的过程的安排；

g) 用来创建理解业务连续性过程，并确保过程连续有效的意识和教育活动；

h) 各个人的职责，描述谁负责执行该计划的哪个部分。若要求，可指定可替换的人；

i) 关键的资产和资源能够实行紧急的、维持运行和恢复规程。

14.1.5　BCP的测试、保持和再评估

控制

应定期测试并更新BCP，以确保BCP的更新和有效。

实施指南

业务连续性计划的测试应能确保复原队伍中的所有成员和其他有关人员能够知道这个计划，能够明确他们在业务连续性和信息安全中的责任，知道计划启动后他们的角色。

业务连续性计划的检验安排应指出如何和何时应检验该计划的每个部分，计划中的每一个部分都应该经常测试。

应使用各种方法，为该计划在实际寿命中可操作提供保障，这些应包括：

a) 会议检验各种情况（使用中断例子讨论业务恢复安排）；

b) 模拟（特别是按其事故后/危险期管理的角色来培训人们）；

c) 技术恢复检验（确保信息系统可以有效地予以恢复）；

d) 在可替换场地检验恢复（远离主场地，在恢复操作同时运行业务过程）；

e) 供应商设施和服务的检验（确保外部提供的服务和产品将满足合同的承诺）；

f) 完整的演习（组织、人员、设备、设施和过程能否应付中断的检验）。

任何组织可以使用这些方法。这些方法可以用一种与指定恢复计划相关的方式来使用。需要的话，应该记录测试结果，并采取措施改进计划。

对于每个业务连续性计划的定期评审应分配职责；在业务连续性计划中尚未反映业务安排变更的标识，应按适当的计划更新进行。这种正式的变更控制过程应确保通过整个计划的定期评审来分配和补充已更新的计划。

可能需要更新计划的情况例子包括新设备的采办，或运行系统的升级和以下几方面的变更：

a) 人员；

b) 地址或电话号码；

c) 业务战略；

d) 位置、设备和资源；

e) 法律；

f) 合同商、供应商和关键顾客；

g) 进程或新的/撤销的进程；

h) 风险（运行的和财务的）。