我们大家都知道未来所有企业都要进行不同程度的数字化转型,也就是所有企业都在信息化的路上。企业的业务对于信息化的依赖逐年提高,依赖性的加大不断催生信息安全问题的复杂性。CISP认证的指定教材《注册信息安全专业人员培训教材》就是在试图解读如何以-加专业的视角去管理这种复杂性。
CISP指定教材第4章介绍的业务连续性正是讲述企业或组织如何针对安全事故可能导致的业务中断进行合理规划,以帮助组织在建立应有的应对突发事件的即时响应能力。
业务连续性的知识要点主要包括三部分,它们是业务连续性管理、信息安全应急响应和灾难备份与恢复。我们首先要知道这三部分的彼此关联关系。业务连续性管理(BCM)作为整体框架的管理过程,其包括必要的关键业务连续性的恢复计划(BCP),而BCP的核心内容-就是应急响应的指导原则。该原则文档概述了企业组织和个人对于紧急事件立即响应的职责,以及相应的响应步骤。而本章第二部分的主要内容,信息安全应急响应部分进一步的明确应急响应的组织架构和信息安全应急响应管理过程。由此可见明确信息安全应急响应的管理过程是执行业务连续性管理的前提和关键。针对信息安全事件中较脆弱的一环就是IT基础设施的断网和断电,这直接会导致业务中断。故本章第三部分的主要内容,灾难备份与恢复计划(DRP)就特指IT基础设施或IDC数据中心遇到突发灾难是如何做到事前备份和事后恢复的。故灾难备份与恢复(DRP)策略的制定和定期执行灾备演练就是企业或组织具备信息安全应急响应能力的具体佐证。
以上是通过对本章三部分的关联关系视角进行讲解,现在我们且从业务连续性核心概念的包含关系进行进一步梳理。以下图例很好的说明这些概念彼此的包含关系。
通过以上图例我们至少可以总结以下几点:
1、业务连续性管理(BCM)包含业务连续性的恢复计划(BCP);
2、BCP包含业务影响分析(BIA)、风险分析(RA)和灾难备份与恢复计划(DRP);
3、业务影响分析(BIA)是用来确定支持企业或组织持续运行的关键资产,以及对这些资产的威胁,同时评估每种威胁实际出现的可能性以及出现的威胁对业务的影响;
4、风险分析(RA)通常包括风险识别、风险的概率和影响评估等。风险分析的结论是业务连续性的恢复计划(BCP)中执行信息安全风险处置的必要参考依据;
5、信息安全风险处置的方式一般包括4种,分别是风险降低、风险转移、风险规避和风险接受;
6、灾难备份与恢复计划(DRP)中有两个关键的灾备指标,即灾难恢复时间目标(Recovery Time Objective,RTO)和恢复点目标(Recovery Point Objective,RPO)。灾备指标是用于衡量组织机构执行容灾操作的关键绩效指标。RTO指标是系统发生故障到恢复业务所需的时间,也就是容许服务中断的时间。RTO指标是指在业务恢复后的数据与较新数据之间的差异程度。像国有-银行都已经实现同城的双活数据中心,理论上RTO和RPO应该都等于0;
7、根据我国灾难恢复等级规定,数据零丢失属于较高灾难恢复等级,即第6级。而双活数据中心属于镜像站的范畴。