我們大家都知道未來所有企業(yè)都要進(jìn)行不同程度的數(shù)字化轉(zhuǎn)型,也就是所有企業(yè)都在信息化的路上。企業(yè)的業(yè)務(wù)對(duì)于信息化的依賴逐年提高,依賴性的加大不斷催生信息安全問題的復(fù)雜性。CISP認(rèn)證的指定教材《注冊(cè)信息安全專業(yè)人員培訓(xùn)教材》就是在試圖解讀如何以更加專業(yè)的視角去管理這種復(fù)雜性。
CISP指定教材第4章介紹的業(yè)務(wù)連續(xù)性正是講述企業(yè)或組織如何針對(duì)安全事故可能導(dǎo)致的業(yè)務(wù)中斷進(jìn)行合理規(guī)劃,以幫助組織在建立應(yīng)有的應(yīng)對(duì)突發(fā)事件的即時(shí)響應(yīng)能力。
業(yè)務(wù)連續(xù)性的知識(shí)要點(diǎn)主要包括三部分,它們是業(yè)務(wù)連續(xù)性管理、信息安全應(yīng)急響應(yīng)和災(zāi)難備份與恢復(fù)。我們首先要知道這三部分的彼此關(guān)聯(lián)關(guān)系。業(yè)務(wù)連續(xù)性管理(BCM)作為整體框架的管理過程,其包括必要的關(guān)鍵業(yè)務(wù)連續(xù)性的恢復(fù)計(jì)劃(BCP),而BCP的核心內(nèi)容之一就是應(yīng)急響應(yīng)的指導(dǎo)原則。該原則文檔概述了企業(yè)組織和個(gè)人對(duì)于緊急事件立即響應(yīng)的職責(zé),以及相應(yīng)的響應(yīng)步驟。而本章第二部分的主要內(nèi)容,信息安全應(yīng)急響應(yīng)部分進(jìn)一步的明確應(yīng)急響應(yīng)的組織架構(gòu)和信息安全應(yīng)急響應(yīng)管理過程。由此可見明確信息安全應(yīng)急響應(yīng)的管理過程是執(zhí)行業(yè)務(wù)連續(xù)性管理的前提和關(guān)鍵。針對(duì)信息安全事件中最脆弱的一環(huán)就是IT基礎(chǔ)設(shè)施的斷網(wǎng)和斷電,這直接會(huì)導(dǎo)致業(yè)務(wù)中斷。故本章第三部分的主要內(nèi)容,災(zāi)難備份與恢復(fù)計(jì)劃(DRP)就特指IT基礎(chǔ)設(shè)施或IDC數(shù)據(jù)中心遇到突發(fā)災(zāi)難是如何做到事前備份和事后恢復(fù)的。故災(zāi)難備份與恢復(fù)(DRP)策略的制定和定期執(zhí)行災(zāi)備演練就是企業(yè)或組織具備信息安全應(yīng)急響應(yīng)能力的具體佐證。
以上是通過對(duì)本章三部分的關(guān)聯(lián)關(guān)系視角進(jìn)行講解,現(xiàn)在我們且從業(yè)務(wù)連續(xù)性核心概念的包含關(guān)系進(jìn)行進(jìn)一步梳理。以下圖例很好的說明這些概念彼此的包含關(guān)系。
通過以上圖例我們至少可以總結(jié)以下幾點(diǎn):
1、業(yè)務(wù)連續(xù)性管理(BCM)包含業(yè)務(wù)連續(xù)性的恢復(fù)計(jì)劃(BCP);
2、BCP包含業(yè)務(wù)影響分析(BIA)、風(fēng)險(xiǎn)分析(RA)和災(zāi)難備份與恢復(fù)計(jì)劃(DRP);
3、業(yè)務(wù)影響分析(BIA)是用來確定支持企業(yè)或組織持續(xù)運(yùn)行的關(guān)鍵資產(chǎn),以及對(duì)這些資產(chǎn)的威脅,同時(shí)評(píng)估每種威脅實(shí)際出現(xiàn)的可能性以及出現(xiàn)的威脅對(duì)業(yè)務(wù)的影響;
4、風(fēng)險(xiǎn)分析(RA)通常包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)的概率和影響評(píng)估等。風(fēng)險(xiǎn)分析的結(jié)論是業(yè)務(wù)連續(xù)性的恢復(fù)計(jì)劃(BCP)中執(zhí)行信息安全風(fēng)險(xiǎn)處置的必要參考依據(jù);
5、信息安全風(fēng)險(xiǎn)處置的方式一般包括4種,分別是風(fēng)險(xiǎn)降低、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)規(guī)避和風(fēng)險(xiǎn)接受;
6、災(zāi)難備份與恢復(fù)計(jì)劃(DRP)中有兩個(gè)關(guān)鍵的災(zāi)備指標(biāo),即災(zāi)難恢復(fù)時(shí)間目標(biāo)(Recovery Time Objective,RTO)和恢復(fù)點(diǎn)目標(biāo)(Recovery Point Objective,RPO)。災(zāi)備指標(biāo)是用于衡量組織機(jī)構(gòu)執(zhí)行容災(zāi)操作的關(guān)鍵績(jī)效指標(biāo)。RTO指標(biāo)是系統(tǒng)發(fā)生故障到恢復(fù)業(yè)務(wù)所需的時(shí)間,也就是容許服務(wù)中斷的時(shí)間。RTO指標(biāo)是指在業(yè)務(wù)恢復(fù)后的數(shù)據(jù)與最新數(shù)據(jù)之間的差異程度。像國(guó)有五大銀行都已經(jīng)實(shí)現(xiàn)同城的雙活數(shù)據(jù)中心,理論上RTO和RPO應(yīng)該都等于0;
7、根據(jù)我國(guó)災(zāi)難恢復(fù)等級(jí)規(guī)定,數(shù)據(jù)零丟失屬于最高災(zāi)難恢復(fù)等級(jí),即第6級(jí)。而雙活數(shù)據(jù)中心屬于鏡像站的范疇。