ISO27001认证帮助企业增加业务连续性

业务连性管理是ISO27001标准中的一项安全控制（control)目标，其目的是防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保它们的及时恢复。

    本文根据某供水企业信息安全管理体系建设过程(guò chéng)中所采用的业务连续性管理运作方式方法，对业务连续性管理的实施过程进行了梳理，并依据某供水企业业务连续性管理成果，从IT系统和IT服务两个方面对如何加强业务连续管理进行了阐述。
    业务连续性管理起源于20世纪70年代的容灾和恢复计划，它的发展与计算机信息技术的发展密不可分。随着信息技术的不断发展，大量计算机系统应用于不同的企业业务流程，提高了企业的业务运行效率，从而使企业对信息系统的依赖度逐步（step by step)上升。在这种情况下，企业对信息系统运作的稳定性和可靠性提出了更高的要求。1995年，英国BSI在信息安全管理标准BS7799（ISO27001的前身）中，建立了信息安全管理体系的模型，其中业务连续性管理（BCM）被作为一个重要部分包括在模型中，从。
而确立了业务连续（Continuity)性管理对于公司信息安全运营的重要地位。我国也于年1月正式发布了国家标准GB/T30146《公共安全业务边续性管理体系要求》，为如何建立和管控一个文件化的业务连续性管理体系指明了方向。
    1业务连续性管理(guǎn lǐ)的目标
    业务连续性管理将找出对组织有潜在影响的威胁以及对组织业务正常运行可能存在的影响，制定有效响应措施保护组织的利益、信誉、品牌和创造价值的活动，并为组织提供建设健壮度框架的整体管理过程(guò chéng)。通过此过程确保重要业务和流程具备以下三个方面的能力。
    
　　(1)高可用性：是指提供在本地故障情况下，能继续访问应用的能力。无论这个故障是业务流程(liú chéng)、物理设施、IT软/硬件的故障。
    
　　(2)连续操作:是指当所有设备无故障时保持业务连续运行的能力。
    
　　(3)灾难恢复:是指当灾难破坏(vandalism)系统中心时在不同的地点恢复数据（data)的能力。
    某供水企业信息安全管理体系中业务连续性管理的目标是：防止某供水企业各类信息业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保它们的及时恢复。
    2业务连续性管理运作方式
    根据业务连续性管理目标可以知道业务连续性管理是一项综合管理流程，它包括组织在面临灾难时对业务活动的恢复和连续性的管理，以及为保证业务连续性的切合适宜所进行的培训、演练和评审等涵盖整个方案的管理。但究其核心则是业务连续性计划的制定和实施。某供水公司分六个阶段开展了业务连续性管理，主要包括启动项目、业务影响分析、确定恢复策略、编制业务连续性计划、测试与演练计划、维护与更新计划等六个阶段。
    2.1项目初始化
    此阶段主要为项目实施进行资源准备，需要明确项目实施管控的组织机构和人员责任。某供水企业成立了相应的信息安全工作领导小组，明确了各小组成员的工作职责，当发生影响业务连续（Continuity)运作的危机时，领导小组作为危机管理组织，集中应对处理危机，确保业务系统快速恢复。
    2.2业务影响分析
    业务影响分析主要对可能引起业务过程中断的事件（如:设备故障、火灾、电力中断、地震等），以及每一个中断对某供水企业产生的影响（如:中断引起的损害、恢复与替换的费用，以及业务中断所造成的损失）进行分析，分析重大安全失效和灾难的发生将对某供水企业业务产生的冲击和影响程度。然后根据影响程度的定性评估，确定关键业务活动的关键性级别、恢复目标时间以及某供水企业可接受的业务中断时间。对于可能造成关键业务活动中断小于等于可接受业务中断时间的灾难与安全失效进行分析；对影响关键业务活动中断小于等于可接受业务中断时间的灾难与安全失效等威胁发生可能性（P）和业务影响程度级别（B）两方面进行分析。
    2.3确定恢复策略
    信息安全工作领导小组根据分析结果，从灾难的影响程度、发生可能性(Possibility)、制作实施业务连续性计划和灾难恢复计划成本等因素进行综合考虑，决定对于哪些灾难与安全失效制定实施业务连续性计划；接受哪些灾难和安全失效；对哪些灾难和安全失效采取日常控制措施或其它方法（如:保险、与客户/供应商/相关组织分担风险等）降低业务中断可能造成的损失，从而确定相关业务系统的恢复等级和可容忍系统中断时间（RTO）及可容忍数据丢失量（RPO），从业务系统恢复等级指标（表1），可以看出，业务恢复等级最高的是生产业务管理系统。
    2.4编制业务连续性计划
    根据已确定的业务连续性指标，找出关键设备和关键数据，编制应急策略，确保在恢复时间目标范围内完成恢复。根据业务连续计划和灾难恢复计划的目标，某供水公司信息安全工作领导小组决定将业务连续性通过《某供水企业管理信息系统网络与信息安全应急预案》的管理来提高。
    2.5测试与演练计划
    对于业务连续性计划的测试与演练，某供水企业结合网络与信息安全应急预案管理要求，确定每年对其进行一次演练，通过演练来检测业务连续性计划对灾难的应对成效。另外，在业务环境发生重大变更时，应对业务连续性计划的可用性和服务连续性进行测试，确保业务连续性计划的适用性。
    2.6维护与更新计划
    对演练的结果进行记录和评估，找出业务连续性计划存在的问题，并制定新的措施以维持其连续性能力。
    3某供水企业业务连续性管理成果
    某供水企业依据信息安全管理体系的标准要求，开展(kāi zhǎn)了业务连续性管理工作，通过业务连续性管理的实施，得到了以下几项结果。
    
　　(1)用于防范危害的评测指标。ISO13485认证其作用于人体体表或体内的主要设计作用不是用药理学、免疫学或代谢的手段获得，但可能有这些手段参与并起一定辅助作用。
    
　　(2)发生危害时，有明确的人员知道如何处理(chǔ lǐ)各种危害事件。
    
　　(3)用于应对灾难的应对计划，提供危险发生时的操作流程。
    从上述结果可以看出，某供水企业业务连续性管理的重点是对灾难的应对，但从实际情况来看，在企业的业务连续性管理中，最大的威胁主要来源于业务运行过程(guò chéng)中因人为误操作、设备或流缺陷等事件带来的威胁。虽然这些危害的影响力远不如地震、火灾等重大灾难，但是它们却时刻潜伏在周围，随时会对企业造成致命的打击。这类危害在演变成灾难前都是可以通过相应的管控手段加以管控的，所以本人认为，对于业务连续性管理的管控重点，应集中到事件发生前的预防阶段（如图1），通过加强预防控制，提升业务连续性运行能力。
    4完善业务连续性管理
    加强业务连续性管理，可以帮助企业建立一套有效应对威胁的自我恢复能力体系，确保灾难发生时关键业务的连续服务能力。但对于业务连续性管理，应加强防止阶段的管控，从而降低灾难事件发生的可能性，提升业务连续性。对于预防阶段的业务连续性管理，主要应加强IT系统及IT服务的业务连续管理。
    4.1IT系统的业务连续性管理
    IT系统的业务连续性管理主要包含对IT软、硬件的连续性安全管控。其管控重点内容如下。
    
　　(1)明确硬件设备巡视内容及评价标准、硬件性能测试方法及评价标准，并在日常运营中严格执行。ISO22000认证消费者或客户在持续不断地要求整个食品供应链中相关的组织能够表现并提供足够的证据证明其有能力确认和控制食品安全危害和其它可能对食品安全产生影响的因素。
    
　　(2)对硬件设备的运行周期进行密切跟踪，做好维护记录并定期进行分析，对于关键核心设备应做好备品备件管理。
    
　　(3)采用身份签别及访问控制方式加强系统硬件设备的安全管理，并做好日志审计。
    
　　(4)明确各类软件的性能检测方法，并做好性能监测工作。
    
　　(5)对各类软件的运行数据进行定期备份，并做好存储管理。ISO22000认证消费者或客户在持续不断地要求整个食品供应链中相关的组织能够表现并提供足够的证据证明其有能力确认和控制食品安全危害和其它可能对食品安全产生影响的因素。
    
　　(6)加强各类软件的身份认证及访问控制管理，并做好运行日志审计。
    
　　(7)对IT软、硬件的运行环境做好安全监控管理工作。
    4.2IT服务的业务连续性管理
    IT服务的业务连续性管理主要包含对IT技术及人员的安全管控。其管控重点内容如下。
    
　　(1)积极引进新技术，改善业务系统(system)的应用功能，提升其可用性。
    
　　(2)选择(xuanze)资质良好的第三方技术支持服务(fú wù)商，将其作为加强业务系统运行能力的技术支持力量。
    
　　(3)加强员工安全培训（作用:知识传递、技能传递、标准传递)，提升员工安全意识，提高员工对业务系统的使用操作能力。
    
　　(4)加强IT专业人员的技术培训，提升专业人员的技术水平，提高专业人员对业务系统的运维能力。
    
　　(5)加强业务系统应急处置演练，提升各级人员在应急状况下的应急处置能力。从IT系统和IT服务的连续性管理(guǎn lǐ)网站内容可以看出这些工作都是企业信息管理部门的日常运营工作，这也恰好印证了企业信息管理部门的服务宗旨：深化信息化应用，确保网络与信息系统的可靠、稳定运行。所以对于业务连续性管理工作，我们需要从日常工作抓起，在日常工作中做好对设备(shèbèi)、系统、人员的安全管理，最大限度地将设备及人为风险控制在源头，预防此类灾难事件的发生，从而确保各类业务系统的稳定、可靠运行。
    5结语
    业务连续（Continuity)性管理是公司运营的重要指标，确保业务信息系统的稳定与可靠运行是实施业务连续性管理的目标。对于业务连续性管理，需要具备应对灾难时有效而快速的恢复体系，确保各项业务的快速恢复；还需要加强日常运营安全管理，通过控制设备及人为风险因素(factor)灾难事件的防止管理，降低此类灾难事件的发生概率，这对保障企业各类业务的连续性有着非常重要的作用。