業(yè)務(wù)連續(xù)性管理培訓(xùn)教材課件

第11講業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理——BCM北京郵電大學(xué)計(jì)算機(jī)學(xué)院副教授郭燕慧第11講業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理——BCM北京郵電大學(xué)1BCM概述BCM規(guī)劃業(yè)務(wù)影響分析確定BCM策略BCM開(kāi)發(fā)和實(shí)施BCM演練和維護(hù)本講提綱BCM概述本講提綱2案例圖為世貿(mào)大廈北樓倒塌的連續(xù)鏡頭。世貿(mào)大廈世界上最大、最快的電梯南樓共有99座電梯每個(gè)電梯最多容納55人45秒內(nèi)由78層到地面大樓備用電源，應(yīng)急燈3個(gè)樓梯樓梯扶手、天花板、樓道門(mén)上涂熒光漆，指示疏散線路安裝揚(yáng)聲器、疏散指揮系統(tǒng)大樓設(shè)救火指揮所，每樓層有火警監(jiān)督員，定期演練案例圖為世貿(mào)大廈北樓倒塌的連續(xù)鏡頭。世貿(mào)大廈世界上最大、最快3飛利浦芯片廠火災(zāi)危機(jī)是你改進(jìn)的機(jī)遇！我們根本沒(méi)有所謂的危機(jī)處理方案！EricssonNokia飛利浦芯片廠火災(zāi)危機(jī)是你改進(jìn)的機(jī)遇！我們根本沒(méi)有所謂的危機(jī)處4災(zāi)難災(zāi)難的定義災(zāi)難(Disaster)是導(dǎo)致重大損失的突發(fā)的不幸事件災(zāi)難自然的Natural人為的Man-Made系統(tǒng)/技術(shù)的System/Technical支持系統(tǒng)SupplySystems災(zāi)難災(zāi)難的定義災(zāi)難(Disaster)是導(dǎo)致重大損失的突5機(jī)構(gòu)的災(zāi)難對(duì)于機(jī)構(gòu)來(lái)說(shuō)，任何導(dǎo)致機(jī)構(gòu)關(guān)鍵業(yè)務(wù)功能(CriticalBusinessFunctions)在一定時(shí)間內(nèi)無(wú)法進(jìn)行的事件都被視為災(zāi)難，其特點(diǎn)表現(xiàn)為:—計(jì)劃之外的服務(wù)中斷—超期的服務(wù)中斷—中斷無(wú)法通過(guò)平常的事件管理程序得到解決—中斷造成重大損失機(jī)構(gòu)的災(zāi)難對(duì)于機(jī)構(gòu)來(lái)說(shuō)，任何導(dǎo)致機(jī)構(gòu)關(guān)鍵業(yè)務(wù)功能(Cri6災(zāi)難的危害Gartner分析報(bào)告:—2/5公司經(jīng)歷大災(zāi)難后再也不能恢復(fù)運(yùn)作—1/3公司經(jīng)歷大災(zāi)難后在2年內(nèi)倒閉明尼蘇達(dá)大學(xué)研究:—兩周內(nèi)不能恢復(fù)運(yùn)作，75%企業(yè)完全停頓—兩周內(nèi)不能恢復(fù)運(yùn)作，43%企業(yè)再無(wú)法恢復(fù)災(zāi)難的危害Gartner分析報(bào)告:7什么是業(yè)務(wù)連續(xù)性管理？業(yè)務(wù)連續(xù)性管理（BusinessContinuityManagement，縮寫(xiě)為BCM）——是一個(gè)全面、持續(xù)的過(guò)程，包括：識(shí)別威脅組織的潛在影響；提供一個(gè)框架用于指導(dǎo)組織提升應(yīng)對(duì)災(zāi)難和持續(xù)運(yùn)營(yíng)的能力。用于保障組織的主要股東利益，以及公司的聲譽(yù)、品牌和其他創(chuàng)造價(jià)值的活動(dòng)。BCM目標(biāo)是提升組織的持續(xù)運(yùn)營(yíng)能力。通過(guò)事先發(fā)現(xiàn)組織中由各種突發(fā)業(yè)務(wù)中斷所造成的潛在影響，協(xié)助組織排定各種業(yè)務(wù)恢復(fù)先后順序，最終實(shí)現(xiàn)各業(yè)領(lǐng)域的業(yè)務(wù)持續(xù)運(yùn)營(yíng)。什么是業(yè)務(wù)連續(xù)性管理？業(yè)務(wù)連續(xù)性管理（BusinessCo8BCM對(duì)組織帶來(lái)什么好處？確保組織對(duì)生死攸關(guān)的災(zāi)難性事件，做出及時(shí)響應(yīng)。合理的BCM計(jì)劃既滿足規(guī)范和應(yīng)對(duì)特殊風(fēng)險(xiǎn)的要求，同時(shí)提升了組織風(fēng)險(xiǎn)意識(shí)。組織可以通過(guò)BCM來(lái)提升自身競(jìng)爭(zhēng)力，爭(zhēng)取新的客戶、提高利潤(rùn)，并且能增加"客戶關(guān)懷度"。能最大限度發(fā)現(xiàn)低效的業(yè)務(wù)和平時(shí)無(wú)法揭露的隱患。提前采取BCM預(yù)防措施要比臨時(shí)采取措施所花費(fèi)的成本低。BCM對(duì)組織帶來(lái)什么好處？確保組織對(duì)生死攸關(guān)的災(zāi)難性事件，做9BCM過(guò)程BS7799所描述的BCM主要有以下要點(diǎn)：

業(yè)務(wù)持續(xù)計(jì)劃首先是組織高層管理人員的首要職責(zé)，因?yàn)樗麄儽晃伪Ｗo(hù)公司的資產(chǎn)及公司的生存；制定和實(shí)施一個(gè)完整的業(yè)務(wù)持續(xù)計(jì)劃應(yīng)從理解自身業(yè)務(wù)開(kāi)始，進(jìn)行業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估；由組織高層管理者形成本企業(yè)的業(yè)務(wù)持續(xù)性戰(zhàn)略方針，然后規(guī)劃業(yè)務(wù)持續(xù)性計(jì)劃；進(jìn)行計(jì)劃的測(cè)試與實(shí)施；進(jìn)行計(jì)劃的維護(hù)與更新，通過(guò)審計(jì)保證計(jì)劃不斷改進(jìn)和完善。

BCM生命周期BCM過(guò)程BS7799所描述的BCM主要有以下要點(diǎn)：

業(yè)務(wù)持10BCPVSDRPBCP業(yè)務(wù)持續(xù)計(jì)劃DRP災(zāi)難恢復(fù)計(jì)劃—"天己經(jīng)塌了，我們?nèi)绾握粘＿\(yùn)轉(zhuǎn)"—業(yè)務(wù)—持續(xù)(Continuity)—"天要塌了，我們?nèi)绾位謴?fù)原貌"—IT—恢復(fù)(Recovery)BCPVSDRPBCP業(yè)務(wù)持續(xù)計(jì)劃DRP災(zāi)難恢復(fù)計(jì)劃—11BCM概述BCM規(guī)劃業(yè)務(wù)影響分析確定BCM策略BCM開(kāi)發(fā)和實(shí)施BCM演練和維護(hù)本講提綱BCM概述本講提綱12BCM規(guī)劃角色和職責(zé)項(xiàng)目準(zhǔn)備BCM規(guī)劃角色和職責(zé)項(xiàng)目準(zhǔn)備13關(guān)鍵活動(dòng)234561組建團(tuán)隊(duì)BCM需求制定項(xiàng)目計(jì)劃書(shū)確定數(shù)據(jù)收集方法工作匯報(bào)推銷BCPBCM關(guān)鍵活動(dòng)234561組建團(tuán)隊(duì)BCM需求制定項(xiàng)目計(jì)劃書(shū)確定數(shù)據(jù)14BCM策略要求BCM

策略要求范圍基本原則職責(zé)關(guān)鍵環(huán)節(jié)的原則要求目的需求指導(dǎo)方針責(zé)任得到高級(jí)管理層的正式批準(zhǔn)返回BCM策略要求BCM

策略要求范圍基本原則職責(zé)關(guān)鍵環(huán)節(jié)的原15項(xiàng)目計(jì)劃項(xiàng)目計(jì)劃里程碑預(yù)算目標(biāo)與任務(wù)（Objective-to-taskmapping）任務(wù)與資源（Resource-to-taskmapping）成功因素關(guān)鍵環(huán)節(jié)的原則要求返回項(xiàng)目計(jì)劃項(xiàng)目計(jì)劃里程碑預(yù)算目標(biāo)與任務(wù)（Objective-16BCM規(guī)劃角色和職責(zé)項(xiàng)目準(zhǔn)備BCM規(guī)劃角色和職責(zé)項(xiàng)目準(zhǔn)備17BCM項(xiàng)目負(fù)責(zé)人業(yè)務(wù)連續(xù)性協(xié)調(diào)人做為BCM項(xiàng)目負(fù)責(zé)人全面負(fù)責(zé)項(xiàng)目的規(guī)劃、準(zhǔn)備、培訓(xùn)等各項(xiàng)工作:—接觸高級(jí)管理層—影響高級(jí)管理層的決策—與管理層的溝通和聯(lián)絡(luò)—組建和領(lǐng)導(dǎo)BCM委員會(huì)—與計(jì)劃相關(guān)所有人員進(jìn)行直接接觸和溝通—了解機(jī)構(gòu)業(yè)務(wù)使命和高級(jí)管理層的意圖—充分了解中斷對(duì)機(jī)構(gòu)業(yè)務(wù)的影響—熟悉機(jī)構(gòu)的需求和運(yùn)作，有能力平衡相關(guān)部門(mén)的不同需求BCM項(xiàng)目負(fù)責(zé)人業(yè)務(wù)連續(xù)性協(xié)調(diào)人做為BCM項(xiàng)目負(fù)責(zé)人全面負(fù)責(zé)18其他重要角色BCM委員會(huì)高級(jí)管理層業(yè)務(wù)部門(mén)代表用戶危機(jī)管理團(tuán)隊(duì)恢復(fù)團(tuán)隊(duì)系統(tǒng)和網(wǎng)絡(luò)專家信息安全部門(mén)法律代表其他重要角色BCM委員會(huì)高級(jí)管理層業(yè)務(wù)部門(mén)代表用戶危機(jī)管理團(tuán)19BCM概述BCM規(guī)劃業(yè)務(wù)影響分析確定BCM策略BCM開(kāi)發(fā)和實(shí)施BCM演練和維護(hù)本講提綱BCM概述本講提綱20業(yè)務(wù)影響分析BIA過(guò)程BIA概述業(yè)務(wù)影響分析BIA過(guò)程BIA概述21業(yè)務(wù)影響分析（BusinessImpactAnalysis,BIA）——實(shí)質(zhì)上是對(duì)關(guān)鍵性的企業(yè)功能，以及當(dāng)這些功能一旦失去作用時(shí)可能造成的損失和影響的分析?！狟IA是整個(gè)BCM流程的工作基礎(chǔ)。業(yè)務(wù)影響分析（BusinessImpactAnalysi22BIA的作用BIA識(shí)別關(guān)鍵的業(yè)務(wù)功能及其支持方面的不足BIA分析中斷事件造成的影響B(tài)IA分析業(yè)務(wù)功能的中斷忍受程度和恢復(fù)的優(yōu)先順序—定量(Quantitative)分析—定性(Qualitative)分析—確定業(yè)務(wù)功能的最大允許中斷時(shí)間（MTD）—確定業(yè)務(wù)功能之間的依賴關(guān)系—確定恢復(fù)點(diǎn)目標(biāo)（RPO)BIA的作用BIA識(shí)別關(guān)鍵的業(yè)務(wù)功能及其支持方面的不足—定23中斷的影響收入的損失延遲收入的損失生產(chǎn)力的損失營(yíng)運(yùn)成本的增加聲譽(yù)和公眾信任的損失競(jìng)爭(zhēng)力的損失違約責(zé)任

違背法律法規(guī)中斷的影響收入的損失24業(yè)務(wù)影響分析BIA過(guò)程BIA概述業(yè)務(wù)影響分析BIA過(guò)程BIA概述25確定信息收集技術(shù)BIA過(guò)程—討論（Discussion)）—調(diào)查問(wèn)卷（questionnaires）—訪談（Interview）—存在的問(wèn)題—應(yīng)對(duì)建議選擇受訪者識(shí)別關(guān)鍵業(yè)務(wù)功能及其支持資源確定最大允許中斷時(shí)間（MTD）識(shí)別弱點(diǎn)和威脅分析風(fēng)險(xiǎn)向管理層匯報(bào)BIA結(jié)果確定信息收集技術(shù)BIA過(guò)程—討論（Discu26信息收集技術(shù)討論調(diào)查問(wèn)卷訪談開(kāi)會(huì)討論能夠加速得出分析結(jié)論，同時(shí)要和各個(gè)部門(mén)進(jìn)行激烈的爭(zhēng)論，最終達(dá)成一致的BIA結(jié)論。調(diào)查問(wèn)卷能提供大量的BIA分析數(shù)據(jù)。如果問(wèn)卷填寫(xiě)不完整，會(huì)降低調(diào)查信息的質(zhì)量。訪談能提供很好的信息，但是比較費(fèi)時(shí)間，得到的信息的格式和詳細(xì)程度變化較大。信息收集技術(shù)開(kāi)會(huì)討論能夠加速得出分析結(jié)論，同時(shí)要和各個(gè)部門(mén)進(jìn)27調(diào)查問(wèn)卷設(shè)計(jì)根據(jù)企業(yè)文化、管理風(fēng)格、自身特點(diǎn)設(shè)計(jì)適合于受訪者的BIA問(wèn)卷，問(wèn)卷內(nèi)容可包括:—基本信息(受訪者姓名、部門(mén)、職位、聯(lián)絡(luò)方式、受訪時(shí)間等)—業(yè)務(wù)功能概況(名稱、規(guī)模、運(yùn)行時(shí)間、員工數(shù)量、客戶數(shù)量、重要的時(shí)間段、高峰業(yè)務(wù)量、法規(guī)要求、與其它業(yè)務(wù)或支持系統(tǒng)的關(guān)系等)—業(yè)務(wù)中斷對(duì)業(yè)務(wù)成本或收入的影響(增加開(kāi)支租用額外設(shè)備或人員等)—業(yè)務(wù)中斷可能承擔(dān)的法律責(zé)任(合同違約、違反相關(guān)規(guī)定等)—業(yè)務(wù)中斷對(duì)業(yè)務(wù)運(yùn)作的影響(無(wú)法提供服務(wù)等)—業(yè)務(wù)中斷對(duì)聲譽(yù)的影響(失去客戶信任、客戶流失等)—依賴于哪些技術(shù)系統(tǒng)(如硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)等)—存在哪些弱點(diǎn)和威脅(火災(zāi)、地震、罷工等)—現(xiàn)有的應(yīng)對(duì)措施(應(yīng)急預(yù)案等)返回調(diào)查問(wèn)卷設(shè)計(jì)根據(jù)企業(yè)文化、管理風(fēng)格、自身特點(diǎn)設(shè)計(jì)適合于受訪者28支持資源的確定人力資源（Humanresources）處理能力（Processingcapability）物理基礎(chǔ)設(shè)施（Physicalinfrastructure）基于計(jì)算機(jī)的服務(wù)（Computer-basedservices）應(yīng)用和數(shù)據(jù)（ApplicationandData）文檔和票據(jù)（Documentsandpapers）—如操作員、專家、系統(tǒng)用戶等—如數(shù)據(jù)中心、備用數(shù)據(jù)中心、網(wǎng)絡(luò)、小型機(jī)、工作站、個(gè)人計(jì)算機(jī)等—如辦公室、辦公家具、環(huán)境控制系統(tǒng)、電力、上下水、物流服務(wù)等—如語(yǔ)音和數(shù)據(jù)通信服務(wù)、數(shù)據(jù)庫(kù)服務(wù)、公告服務(wù)等—計(jì)算機(jī)設(shè)備上運(yùn)行的各種程序和存儲(chǔ)的數(shù)據(jù)—如合同、票據(jù)、操作程序等文件、文檔和資料返回支持資源的確定人力資源（Humanresources）29確定MTD中斷時(shí)間超過(guò)最大允許中斷時(shí)間(MaximumTolerableDowntime)將造成業(yè)務(wù)難以恢復(fù)，越是關(guān)鍵的功能或資源，MTD應(yīng)該越短：根據(jù)MTDs排定關(guān)鍵業(yè)務(wù)功能及其支持資源的恢復(fù)順序—關(guān)鍵：1小時(shí)之內(nèi)—緊急：24小時(shí)—重要：72小時(shí)—一般：7天—非必要：30天返回確定MTD中斷時(shí)間超過(guò)最大允許中斷時(shí)間(MaximumT30風(fēng)險(xiǎn)分析電力中斷火災(zāi)、洪水、風(fēng)暴、地震系統(tǒng)設(shè)備故障和軟件故障喪失基礎(chǔ)設(shè)施功能（如電信等）測(cè)試和變更造成的中斷關(guān)鍵人員缺席恐怖襲擊、爆炸、罷工傳染病返回風(fēng)險(xiǎn)分析電力中斷返回31BCM概述BCM規(guī)劃業(yè)務(wù)影響分析確定BCM策略BCM開(kāi)發(fā)和實(shí)施BCM演練和維護(hù)本講提綱BCM概述本講提綱32確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原33BCM原則預(yù)防為先恢復(fù)為后—通過(guò)遏制、探測(cè)或降低對(duì)系統(tǒng)影響的防御性措施予以消減或清除風(fēng)險(xiǎn)—達(dá)不到災(zāi)難級(jí)別的風(fēng)險(xiǎn)，采取預(yù)防措施規(guī)避或降低風(fēng)險(xiǎn)—災(zāi)難級(jí)別的風(fēng)險(xiǎn)，采取預(yù)防措施降低風(fēng)險(xiǎn)—對(duì)于不可忍受的災(zāi)難，采取恢復(fù)措施BCM原則預(yù)防為先—通過(guò)遏制、探測(cè)或降低對(duì)系統(tǒng)影響—對(duì)于34預(yù)防目的——減少災(zāi)難發(fā)生的可能性預(yù)防策略制止控制預(yù)防控制——保護(hù)企業(yè)的弱點(diǎn)區(qū)域，以防御危險(xiǎn)的發(fā)生并降低其影響?！獪p少威脅的可能性。預(yù)防目的——減少災(zāi)難發(fā)生的可能性預(yù)防策略制止控制預(yù)防控制——35預(yù)防措施設(shè)施采取加固材料(建筑、設(shè)備等)冗余服務(wù)器和通訊線路多方多路供電、配置UPS和發(fā)電機(jī)消防系統(tǒng)(火警發(fā)現(xiàn)、滅火)防水措施冗余供應(yīng)商購(gòu)買(mǎi)保險(xiǎn)數(shù)據(jù)備份介質(zhì)保護(hù)備用關(guān)鍵設(shè)備人員培訓(xùn)預(yù)防措施設(shè)施采取加固材料(建筑、設(shè)備等)36確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原37應(yīng)急響應(yīng)：指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生初期所采取的措施。目的：避免、降低危害和損失，以及從危害和損失中恢復(fù)。應(yīng)急響應(yīng)：指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及38應(yīng)急響應(yīng)的必要性：網(wǎng)絡(luò)安全保護(hù)的困難；大量的安全漏洞；攻擊系統(tǒng)和網(wǎng)絡(luò)的程序的存在；實(shí)際的和潛在的財(cái)務(wù)損失；不利的媒體曝光的威脅；對(duì)效率的需求；當(dāng)前入侵檢測(cè)能力的局限性。應(yīng)急響應(yīng)的必要性：網(wǎng)絡(luò)安全保護(hù)的困難；39準(zhǔn)備檢測(cè)抑制恢復(fù)跟蹤PDCERA應(yīng)急響應(yīng)方法學(xué)根除準(zhǔn)備檢測(cè)抑制恢復(fù)跟蹤PDCERA應(yīng)急響應(yīng)方法學(xué)根除40準(zhǔn)備(Preparation)——即在安全事件發(fā)生前為應(yīng)急響應(yīng)做好準(zhǔn)備。這一階段極為重要，因?yàn)榘踩录鄶?shù)都比較復(fù)雜，事先準(zhǔn)備是必須的。這一階段的準(zhǔn)備工作包括：基于威脅建立一組合理的防御／控制措施。建立一組盡可能高效的安全事件處理程序。獲得處理問(wèn)題必須的資源和人員。建立一個(gè)支持應(yīng)急響應(yīng)活動(dòng)的基礎(chǔ)設(shè)施。返回準(zhǔn)備(Preparation)——即在安全事件發(fā)生前為應(yīng)急響41檢測(cè)(Detection)——檢測(cè)意味著弄清是否出現(xiàn)了惡意代碼、文件和目錄是否被篡改或者出現(xiàn)其他的特征；如果是的話，問(wèn)題在哪里，影響范圍有多大。檢測(cè)包括軟件檢測(cè)和人工檢測(cè)。軟件檢測(cè)—面對(duì)今天如此種類繁多復(fù)雜的攻擊，檢測(cè)軟件(如殺毒軟件、入侵檢測(cè)軟件、完整性校驗(yàn)軟件等)對(duì)應(yīng)急響應(yīng)工作的成功是非常必要的?！S多廠商的軟件可以迅速地檢測(cè)桌面系統(tǒng)和郵件服務(wù)器的病毒。這些軟件通常還可以檢測(cè)出Windows系統(tǒng)上是否秘密安裝了后門(mén)木馬程序。人工檢測(cè)用不活躍或系統(tǒng)缺省賬號(hào)登錄。在非工作時(shí)間有系統(tǒng)活動(dòng)。出現(xiàn)了不是由系統(tǒng)管理員創(chuàng)建的賬號(hào)。出現(xiàn)了不熟悉的文件或程序。用戶權(quán)限的提升或超級(jí)用戶權(quán)限的使用，但對(duì)此無(wú)法解釋。Web服務(wù)器主頁(yè)或其他頁(yè)面被修改。系統(tǒng)日志出現(xiàn)一段時(shí)間的空白或擦除。DNS表、路由器或防火墻規(guī)則中的無(wú)法說(shuō)明的變化。系統(tǒng)性能變慢。返回檢測(cè)(Detection)——檢測(cè)意味著弄清是否出現(xiàn)了惡意代42抑制(Containment)——抑制的目的是限制攻擊的范圍，同時(shí)也就限制了潛在的損失和破壞。其只有在第2階段觀察到事件的確已經(jīng)發(fā)生的基礎(chǔ)上才能進(jìn)行可能的抑制措施：—關(guān)閉所有系統(tǒng)?！獢嚅_(kāi)網(wǎng)絡(luò)?！薷乃蟹阑饓吐酚善鞯倪^(guò)濾規(guī)則，拒絕來(lái)自看起來(lái)是發(fā)起攻擊的主機(jī)的所有的流量?！怄i或刪除被攻破的登錄賬號(hào)?！岣呦到y(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別?！O(shè)置誘餌服務(wù)器作為陷阱，如“蜜罐”等?！P(guān)閉存在漏洞的服務(wù)?！磽艄粽叩南到y(tǒng)。返回抑制(Containment)——抑制的目的是限制攻擊的范43根除(Eradication)——在事件被抑制以后，應(yīng)該找出事件根源并徹底根除。根除手段：—工具軟件。比如，防病毒軟件可以消滅大多數(shù)感染小系統(tǒng)的(甚至大系統(tǒng)的)病毒以及特洛伊木馬程序?！獙?duì)于單機(jī)上的事件，主要可以根據(jù)各種操作系統(tǒng)平臺(tái)的具體的檢查和根除程序進(jìn)行操作?！笠?guī)模爆發(fā)的帶有蠕蟲(chóng)性質(zhì)的惡意程序的根除相對(duì)復(fù)雜。返回根除(Eradication)——在事件被抑制以后，應(yīng)該找出44恢復(fù)(Recovery)——在事件的根源根除以后，恢復(fù)階段定義下一階段的行動(dòng)。恢復(fù)的目標(biāo)是把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底地還原到它們正常的任務(wù)狀態(tài)。返回恢復(fù)(Recovery)——在事件的根源根除以后，恢復(fù)階段定45跟蹤(Follow-up)——跟蹤是最后一個(gè)階段。其整體目標(biāo)是回顧并整合發(fā)生事件的相關(guān)信息。跟蹤的重要性：有助于事件處理人員吸取經(jīng)驗(yàn)教訓(xùn)，提高他們的技能，以應(yīng)付將來(lái)發(fā)生的同樣的事件。有助于評(píng)判和管理一個(gè)組織機(jī)構(gòu)的應(yīng)急響應(yīng)能力。所吸取的任何教訓(xùn)都可以當(dāng)作應(yīng)急響應(yīng)工作組新成員的培訓(xùn)教材?？梢援?dāng)作應(yīng)急響應(yīng)工作組建設(shè)的基礎(chǔ)。能夠產(chǎn)生在法律行為中有用的信息。返回跟蹤(Follow-up)——跟蹤是最后一個(gè)階段。其整體目46應(yīng)急響應(yīng)預(yù)案—是被設(shè)計(jì)用于在信息安全突發(fā)事件中維持或恢復(fù)包括計(jì)算機(jī)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行的策略和規(guī)程?！獞?yīng)該有系統(tǒng)完整的設(shè)計(jì)、標(biāo)準(zhǔn)化的文本文件、行之有效的操作程序和持續(xù)改進(jìn)的運(yùn)行機(jī)制?；驹瓌t——集中管理、統(tǒng)一指揮、規(guī)范運(yùn)行、標(biāo)準(zhǔn)操作、反應(yīng)迅速和響應(yīng)高效?！刂凭o急事件的發(fā)展并盡可能消除，將事故對(duì)人、財(cái)產(chǎn)和環(huán)境的損失和影響減小到最低限度。目標(biāo)應(yīng)急響應(yīng)預(yù)案—是被設(shè)計(jì)用于在信息安全突發(fā)事件中維持或恢復(fù)包47應(yīng)急響應(yīng)制定過(guò)程：初稿的制訂：參照應(yīng)急響應(yīng)預(yù)案框架，按照IT系統(tǒng)風(fēng)險(xiǎn)分析和業(yè)務(wù)影響分析所確定的應(yīng)急內(nèi)容，根據(jù)應(yīng)急響應(yīng)等級(jí)的要求，結(jié)合組織其它相關(guān)的應(yīng)急計(jì)劃，撰寫(xiě)出應(yīng)急響應(yīng)預(yù)案的初稿。初稿的評(píng)審：組織應(yīng)對(duì)應(yīng)急響應(yīng)預(yù)案初稿的全面性、易用性、明確性、有效性和兼容性進(jìn)行嚴(yán)格的評(píng)審。評(píng)審應(yīng)有相應(yīng)的流程保證。初稿的修訂：根據(jù)評(píng)審結(jié)果，對(duì)預(yù)案進(jìn)行修訂，糾正在初稿評(píng)審過(guò)程中發(fā)現(xiàn)的問(wèn)題和缺陷，形成預(yù)案的修訂稿。預(yù)案的測(cè)試：應(yīng)預(yù)先制訂測(cè)試計(jì)劃，在計(jì)劃中說(shuō)明測(cè)試的案例。測(cè)試應(yīng)包含基本單元測(cè)試、關(guān)聯(lián)測(cè)試和整體測(cè)試。測(cè)試的整個(gè)過(guò)程應(yīng)有詳細(xì)的記錄，并形成測(cè)試報(bào)告。預(yù)案的審核和批準(zhǔn)：根據(jù)測(cè)試的記錄和報(bào)告，對(duì)預(yù)案的修訂稿進(jìn)一步完善，形成預(yù)案的報(bào)批稿，并由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組審核和批準(zhǔn)，確定為預(yù)案的執(zhí)行稿。應(yīng)急響應(yīng)制定過(guò)程：初稿的制訂：參照應(yīng)急響應(yīng)預(yù)案框架，按照IT48應(yīng)急響應(yīng)預(yù)案實(shí)例XXX事件應(yīng)急預(yù)案總則（簡(jiǎn)述本預(yù)案編制所依據(jù)的法律法規(guī)以及相關(guān)行業(yè)管理規(guī)定、技術(shù)規(guī)范和標(biāo)準(zhǔn)等）組織機(jī)構(gòu)及職責(zé)（對(duì)實(shí)施應(yīng)急響應(yīng)的機(jī)構(gòu)、人員及其職責(zé)范圍都進(jìn)行具體說(shuō)明與規(guī)劃）預(yù)防與預(yù)警4.1預(yù)防（明確對(duì)本類型事件危險(xiǎn)源監(jiān)測(cè)的方式方法，以及采取的預(yù)防措施）4.2預(yù)警（明確本類型事件預(yù)警的條件、方式、方法和信息發(fā)布程序）4.3預(yù)警解除應(yīng)急響應(yīng)4.1事件分類分級(jí)（對(duì)本類型信息安全事件進(jìn)行定義和分類、分級(jí)）4.2應(yīng)急事件通告（按照有關(guān)規(guī)定，明確本類型事件信息報(bào)告程序和內(nèi)容）4.3應(yīng)急準(zhǔn)備與啟動(dòng)（明確相關(guān)部門(mén)或人員分工和職責(zé)，相關(guān)應(yīng)急資源準(zhǔn)備等）4.4應(yīng)急處理（應(yīng)急上報(bào)的渠道、程序、內(nèi)容；應(yīng)急行動(dòng)、現(xiàn)場(chǎng)救援實(shí)施方案的實(shí)施原則等）4.5應(yīng)急結(jié)束（明確應(yīng)急終止條件，事件調(diào)查及總結(jié)事項(xiàng)等）后期處置（對(duì)事件處理結(jié)果的情況匯報(bào)、經(jīng)驗(yàn)總結(jié)、獎(jiǎng)懲評(píng)定及表彰等后續(xù)工作）保障措施6.1通信保障6.2物資保障6.3人員保障6.4資金保障6.5技術(shù)保障6.6其它保障工作（交通運(yùn)輸保障、電力保障等）6.7宣傳、培訓(xùn)和學(xué)習(xí)附則（本條以上條款未盡事宜及所涉及的相關(guān)術(shù)語(yǔ)解釋）應(yīng)急響應(yīng)預(yù)案實(shí)例XXX事件應(yīng)急預(yù)案49應(yīng)急響應(yīng)組——應(yīng)急響應(yīng)組由管理、業(yè)務(wù)、技術(shù)和行政后勤等人員組成，一般可設(shè)為應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組、應(yīng)急響應(yīng)實(shí)施小組和應(yīng)急響應(yīng)日常運(yùn)行小組等。應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，組長(zhǎng)應(yīng)由組織最高管理層成員擔(dān)任。領(lǐng)導(dǎo)小組的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要如下：a）審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算；b）審核并批準(zhǔn)恢復(fù)策略；c）審核并批準(zhǔn)應(yīng)急響應(yīng)預(yù)案；d）批準(zhǔn)應(yīng)急響應(yīng)預(yù)案的執(zhí)行。應(yīng)急響應(yīng)實(shí)施小組的主要職責(zé)是負(fù)責(zé)：a）應(yīng)急響應(yīng)的需求分析；b）確定應(yīng)急策略和等級(jí)；c）應(yīng)急策略的實(shí)現(xiàn)；d）編制應(yīng)急響應(yīng)預(yù)案文檔；e）組織應(yīng)急響應(yīng)預(yù)案的測(cè)試和演練。應(yīng)急響應(yīng)日常運(yùn)行小組的主要職責(zé)是負(fù)責(zé)：a）協(xié)助災(zāi)難恢復(fù)系統(tǒng)實(shí)施；b）備份中心日常管理；c）備份系統(tǒng)的運(yùn)行和維護(hù)；d）災(zāi)難恢復(fù)的專業(yè)技術(shù)支持；e）參與和協(xié)助應(yīng)急響應(yīng)預(yù)案的教育、培訓(xùn)和演練；f）維護(hù)和管理應(yīng)急響應(yīng)預(yù)案文檔；g）信息安全突發(fā)事件發(fā)生時(shí)的損失控制和損害評(píng)估；h）信息安全事件發(fā)生后信息系統(tǒng)和業(yè)務(wù)功能的恢復(fù)；應(yīng)急響應(yīng)組——應(yīng)急響應(yīng)組由管理、業(yè)務(wù)、技術(shù)和行政后勤等人員組50確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原51業(yè)務(wù)持續(xù)——業(yè)務(wù)持續(xù)只涉及那些時(shí)間敏感的業(yè)務(wù)流程，要么是在中斷后立即持續(xù)，要么是在可允許的一段時(shí)間后持續(xù)，但不是對(duì)所有業(yè)務(wù)的恢復(fù)?！獦I(yè)務(wù)持續(xù)預(yù)案主要關(guān)注業(yè)務(wù)的損壞、中斷和喪失等突發(fā)事件，從初始應(yīng)急響應(yīng)開(kāi)始到恢復(fù)至正常業(yè)務(wù)水平。業(yè)務(wù)持續(xù)——業(yè)務(wù)持續(xù)只涉及那些時(shí)間敏感的業(yè)務(wù)流程，要么是在中52一旦BCP被激活，需要做出的第一個(gè)決策是：關(guān)鍵性業(yè)務(wù)的運(yùn)營(yíng)能否在日常的工作場(chǎng)所或者一個(gè)備選場(chǎng)所很快運(yùn)營(yíng)。備選場(chǎng)所可分為以下幾類：熱站點(diǎn)（HotSite）溫站點(diǎn)（WarmSite）冷站點(diǎn)（CodeSite）鏡像站點(diǎn)（MirroredSite）移動(dòng)站點(diǎn)（MobileSite）一旦BCP被激活，需要做出的第一個(gè)決策是：關(guān)鍵性業(yè)務(wù)的運(yùn)營(yíng)能53熱站點(diǎn)(HotSite)冷站點(diǎn)(ColdSite)溫站點(diǎn)(WarmSite)—配置了所需的基礎(chǔ)設(shè)施、服務(wù)、系統(tǒng)硬件、軟件、實(shí)時(shí)數(shù)據(jù)和支持人員，通常24小時(shí)有人值守—接到應(yīng)急計(jì)劃啟動(dòng)通知時(shí)只需要進(jìn)行適當(dāng)?shù)穆酚赊D(zhuǎn)換和通知就可以提供主站點(diǎn)的關(guān)鍵應(yīng)用服務(wù)—通常具有充足空間和支持IT系統(tǒng)的基礎(chǔ)設(shè)施和服務(wù)(電源、電信連接和環(huán)境控制)—不包含IT設(shè)備并且通常也不包含辦公自動(dòng)化設(shè)備如電話、傳真機(jī)或復(fù)印機(jī)—介于熱站點(diǎn)和冷站點(diǎn)之間—配置部分IT資源，不包含實(shí)時(shí)數(shù)據(jù)—啟用時(shí)需要安裝部分設(shè)備和軟件，還需要上載數(shù)據(jù)熱站點(diǎn)(HotSite)—配置了所需的基礎(chǔ)設(shè)施、服務(wù)、54鏡像站點(diǎn)(MirroredSite)移動(dòng)站點(diǎn)(MobileSite)—具有完整和實(shí)時(shí)信息鏡像的完全的冗余設(shè)施—鏡像站點(diǎn)與主站點(diǎn)在所有的技術(shù)層面上都是一致的—內(nèi)部配置適當(dāng)電信裝備和IT設(shè)備的可移動(dòng)拖車—可以被機(jī)動(dòng)拖放和安置在所需的備用場(chǎng)所鏡像站點(diǎn)(MirroredSite)—具有完整和實(shí)時(shí)信息55確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原56業(yè)務(wù)恢復(fù)——是事件發(fā)生后為了繼續(xù)支持關(guān)鍵功能所采取的行動(dòng)。是啟動(dòng)時(shí)間敏感度稍低一些的業(yè)務(wù)流程。——業(yè)務(wù)恢復(fù)的開(kāi)始時(shí)間要取決于接續(xù)時(shí)間敏感的業(yè)務(wù)流程所需要的時(shí)間。業(yè)務(wù)恢復(fù)策略的技術(shù)指標(biāo)：恢復(fù)時(shí)間目標(biāo)(RecoveryTimeObjectives.RTO)恢復(fù)點(diǎn)目標(biāo)(RecoveryPointObjectives.RPO)業(yè)務(wù)恢復(fù)——是事件發(fā)生后為了繼續(xù)支持關(guān)鍵功能所采取的行動(dòng)。是57不同層次的恢復(fù)策略業(yè)務(wù)恢復(fù)BusinessRecovery設(shè)施恢復(fù)FacilityRecovery支持和技術(shù)恢復(fù)SupplyandTechnicalRecovery用戶環(huán)境恢復(fù)UserEnvironmentRecovery數(shù)據(jù)恢復(fù)DateRecovery不同層次的恢復(fù)策略業(yè)務(wù)恢復(fù)設(shè)施恢復(fù)支持和技術(shù)恢復(fù)用戶環(huán)境恢復(fù)58基礎(chǔ)設(shè)施的恢復(fù)考慮:電力的恢復(fù)考慮:基礎(chǔ)設(shè)施和電力的恢復(fù)考慮—備用站點(diǎn)和離站存儲(chǔ)設(shè)施—主站點(diǎn)到備用站點(diǎn)的設(shè)備和人員運(yùn)輸問(wèn)題—不間斷電源(UPS)—雙電源(DPS)—雙回路供電系統(tǒng)—備用發(fā)電機(jī)基礎(chǔ)設(shè)施的恢復(fù)考慮:基礎(chǔ)設(shè)施和電力的恢復(fù)考慮—備用站點(diǎn)和離59支持服務(wù)的恢復(fù)考慮:應(yīng)用程序和數(shù)據(jù)的恢復(fù)考慮:文檔和票據(jù)的恢復(fù)考慮:服務(wù)、程序、數(shù)據(jù)和文檔的恢復(fù)考慮—服務(wù)水平協(xié)議(ServiceLevelAgreement.SLA)，與服務(wù)提供商簽訂的服務(wù)協(xié)議中應(yīng)考慮到在緊急情況下提供服務(wù)的問(wèn)題—通信恢復(fù)的問(wèn)題—常規(guī)備份和離站(off-site)存儲(chǔ)—備份頻率和備份介質(zhì)的運(yùn)輸—備份方式:全備份(FullBackup)、差異備份(Differential)、增備份(Incremental)—重要的文件、資料包括應(yīng)急計(jì)劃本身應(yīng)該有離站存儲(chǔ)支持服務(wù)的恢復(fù)考慮:服務(wù)、程序、數(shù)據(jù)和文檔的恢復(fù)考慮—服務(wù)60供應(yīng)商協(xié)議(VendorAgreements)設(shè)備存貨(EquipmentInventory)現(xiàn)有的兼容設(shè)備(ExistingCompatibleEquipment)設(shè)備更換的考慮—與硬件、軟件和支持供應(yīng)商簽訂緊急維護(hù)服務(wù)的服務(wù)水平協(xié)議—預(yù)先采購(gòu)所需的設(shè)備并將其存儲(chǔ)到安全的離站地點(diǎn)—現(xiàn)在庫(kù)存的設(shè)備、租用的熱站點(diǎn)中使用的設(shè)備以及部門(mén)中其它機(jī)構(gòu)使用的設(shè)備供應(yīng)商協(xié)議(VendorAgreements)設(shè)備更換61雙電纜布線和預(yù)留額外的數(shù)據(jù)插口關(guān)鍵網(wǎng)絡(luò)設(shè)備的冗余或容錯(cuò)冗余的遠(yuǎn)程通信鏈路冗余網(wǎng)絡(luò)服務(wù)提供商(NetworkServiceProvidor,NSP)由NSP或互聯(lián)網(wǎng)服務(wù)提供商(InternetServiceProvider,ISP)提供冗余與NSP或ISP簽訂的服務(wù)水平協(xié)議網(wǎng)絡(luò)的恢復(fù)考慮雙電纜布線和預(yù)留額外的數(shù)據(jù)插口網(wǎng)絡(luò)的恢復(fù)考慮62在災(zāi)難發(fā)生后，保護(hù)人的生命是第一要?jiǎng)?wù)員工培訓(xùn)和應(yīng)急指引人員備份和輪崗雇傭額外或臨時(shí)工作人員人力資源的考慮在災(zāi)難發(fā)生后，保護(hù)人的生命是第一要?jiǎng)?wù)人力資源的考慮63確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原64業(yè)務(wù)復(fù)原——是事件發(fā)生后為了恢復(fù)到正常運(yùn)行狀態(tài)所采取的行動(dòng)。主要是修復(fù)并恢復(fù)主要的運(yùn)營(yíng)場(chǎng)所。——其最終目的是要在原有的場(chǎng)所或者一個(gè)全新的場(chǎng)所完全恢復(fù)所有的業(yè)務(wù)流程?！M(jìn)行復(fù)原時(shí)，必須確保該復(fù)原場(chǎng)所配備必要的基礎(chǔ)設(shè)施、設(shè)備、硬件、軟件和通信設(shè)備。而且要對(duì)該場(chǎng)所能否處理全部的業(yè)務(wù)流程進(jìn)行測(cè)試。業(yè)務(wù)復(fù)原——是事件發(fā)生后為了恢復(fù)到正常運(yùn)行狀態(tài)所采取的行動(dòng)。65BCM概述BCM規(guī)劃業(yè)務(wù)影響分析確定BCM策略BCM開(kāi)發(fā)和實(shí)施BCM演練和維護(hù)本講提綱BCM概述本講提綱66BCM建設(shè)思路業(yè)務(wù)戰(zhàn)略基礎(chǔ)設(shè)施組織業(yè)務(wù)和IT流程應(yīng)用和數(shù)據(jù)IT技術(shù)制定BCM建設(shè)戰(zhàn)略增加人員BCM意識(shí)建立BCM組織確定角色和職責(zé)確定業(yè)務(wù)和IT流程建立恢復(fù)流程和恢復(fù)計(jì)劃實(shí)時(shí)或定期備份數(shù)據(jù)和程序定期檢查備份數(shù)據(jù)的有效性構(gòu)建災(zāi)難備份系統(tǒng)應(yīng)用高效存儲(chǔ)設(shè)備建立災(zāi)備中心營(yíng)建災(zāi)備IT基礎(chǔ)環(huán)境BCM建設(shè)思路業(yè)務(wù)戰(zhàn)略基礎(chǔ)設(shè)施組織業(yè)務(wù)和IT流程應(yīng)用和數(shù)據(jù)I67BCM計(jì)劃制定BCM計(jì)劃重建階段恢復(fù)階段計(jì)劃的附錄通知/啟動(dòng)階段BCM計(jì)劃制定BCM重建階段恢復(fù)階段計(jì)劃的附錄通知/啟動(dòng)階段68損害評(píng)估啟動(dòng)標(biāo)準(zhǔn)啟動(dòng)通知通知/啟動(dòng)階段—緊急情況的原因、損失情況、影響范圍、需更換的項(xiàng)目、預(yù)計(jì)恢復(fù)所需的時(shí)間等—預(yù)警級(jí)別—觸發(fā)條件—工作時(shí)間和非工作時(shí)間的通知方法—呼叫樹(shù)—通知可能受影響的外部機(jī)構(gòu)或互聯(lián)的伙伴系統(tǒng)—通知中所傳遞的信息類型應(yīng)該在計(jì)劃中載明返回?fù)p害評(píng)估通知/啟動(dòng)階段—緊急情況的原因、損失情況、影響范圍69恢復(fù)順序恢復(fù)規(guī)程恢復(fù)階段—系統(tǒng)允許的中斷時(shí)間(AllowableOutageTime)—系統(tǒng)之間的依賴關(guān)系—按照直接和逐步的風(fēng)格書(shū)寫(xiě)—不能假定規(guī)程的步驟—不能忽略規(guī)程的步驟—準(zhǔn)備檢查列表返回恢復(fù)順序恢復(fù)階段—系統(tǒng)允許的中斷時(shí)間(Allowable70恢復(fù)原站點(diǎn)測(cè)試系統(tǒng)終止操作重建階段—確保充足的基礎(chǔ)設(shè)施支持，如電源、供水、電信、安全、環(huán)境控制、辦公設(shè)備和用品—安裝系統(tǒng)硬件、軟件和固件—準(zhǔn)備和使用恢復(fù)階段類似的詳細(xì)恢復(fù)規(guī)程—對(duì)系統(tǒng)進(jìn)行測(cè)試—備份和上載應(yīng)急系統(tǒng)中的運(yùn)行數(shù)據(jù)—關(guān)閉應(yīng)急系統(tǒng)、終止應(yīng)急操作—保護(hù)、清除或重新配置應(yīng)急站點(diǎn)—恢復(fù)人員回到原設(shè)施返回恢復(fù)原站點(diǎn)重建階段—確保充足的基礎(chǔ)設(shè)施支持，如電源、供水、71BCM團(tuán)隊(duì)成員的聯(lián)絡(luò)信息供應(yīng)商聯(lián)絡(luò)信息，包括離站存儲(chǔ)(Off-siteStorage)和備用站點(diǎn)(AlternateSite)的聯(lián)絡(luò)點(diǎn)(PointOfContact.POC)系統(tǒng)恢復(fù)的標(biāo)準(zhǔn)操作規(guī)程和檢查列表支持系統(tǒng)所需的硬件、軟件、固件和其它資源的設(shè)備和系統(tǒng)需求清單。每個(gè)條目應(yīng)該包含詳細(xì)內(nèi)容，包括型號(hào)或版本號(hào)、規(guī)格說(shuō)明和數(shù)量供應(yīng)商SLA、與其它機(jī)構(gòu)的互惠協(xié)議備用站點(diǎn)的描述和說(shuō)明BIA報(bào)告，包含系統(tǒng)各部分相互關(guān)系、風(fēng)險(xiǎn)、優(yōu)先級(jí)別和影響的有價(jià)值的信息計(jì)劃的附錄返回BCM團(tuán)隊(duì)成員的聯(lián)絡(luò)信息計(jì)劃的附錄返回72BCM團(tuán)隊(duì)損害評(píng)估小組恢復(fù)小組BCM負(fù)責(zé)人重建小組服務(wù)器恢復(fù)小組LAN/WAN恢復(fù)小組數(shù)據(jù)庫(kù)恢復(fù)小組網(wǎng)絡(luò)運(yùn)行恢復(fù)小組應(yīng)用程序恢復(fù)小組電信恢復(fù)小組硬件拯軍救小組測(cè)試小組行政支持小組運(yùn)輸布置小組媒體公關(guān)小組法律事務(wù)小組物理/人員安全小組采購(gòu)小組BCM團(tuán)隊(duì)損害評(píng)估小組恢復(fù)小組BCM負(fù)責(zé)人重建小組服務(wù)器恢復(fù)73團(tuán)隊(duì)成員選擇團(tuán)隊(duì)建設(shè)BCM團(tuán)隊(duì)要求—技能(Skills)—知識(shí)(Knowledge)—充分的培訓(xùn)，至少一年一次—新員工上崗之前應(yīng)該接受BCM培訓(xùn)—能夠隨時(shí)開(kāi)展工作—小組應(yīng)該具有足夠規(guī)模，不存在人員單點(diǎn)—繼任序列(LineofSuccessionPlanning)團(tuán)隊(duì)成員選擇BCM團(tuán)隊(duì)要求—技能(Skills)—74BCM概述BCM規(guī)劃業(yè)務(wù)影響分析確定BCM策略BCM開(kāi)發(fā)和實(shí)施BCM演練、維護(hù)和評(píng)估本講提綱BCM概述本講提綱75通過(guò)演練、維護(hù)和評(píng)估，確保組織的BCM策略、預(yù)案和契約安排的高效性，并保持更新到最新?tīng)顟B(tài)。演練維護(hù)評(píng)估通過(guò)演練、維護(hù)和評(píng)估，確保組織的BCM策略、預(yù)案和契76演練只有經(jīng)過(guò)演練驗(yàn)證后，才能確認(rèn)BCM的水平及能力。演練有多種形式，包括技術(shù)測(cè)試、桌面演練和實(shí)戰(zhàn)演練等。演練所需的時(shí)間和資源是演練工作的重要組成部分。維護(hù)大部分的組織都處于變化的環(huán)境之中，為了保證組織的BCM能力適應(yīng)自身的特性，必須滿足及時(shí)性、正確性、完整性等要求。須制定業(yè)務(wù)持續(xù)性管理制度，以保障所有利益相關(guān)方都能得到與其相關(guān)的BCP內(nèi)容。評(píng)估內(nèi)部審計(jì)。外部審計(jì)。自我評(píng)估。演練只有經(jīng)過(guò)演練驗(yàn)證后，才能確認(rèn)BCM的水平及能力。維77演練制定演練計(jì)劃演練總結(jié)演練要求—明確的演練目標(biāo)(TestObjectives)—成功標(biāo)準(zhǔn)(StandardforSuccess)—演練結(jié)果和學(xué)習(xí)到的經(jīng)驗(yàn)應(yīng)該記錄到文檔—在演練中和演練后收集到的有助于提高計(jì)劃效率的信息應(yīng)該修訂BCP計(jì)劃演練制定演練計(jì)劃演練要求—明確的演練目標(biāo)(TestOb78演練規(guī)劃演練規(guī)劃流程演練規(guī)劃演練規(guī)劃流程79演練規(guī)劃（續(xù)）時(shí)間要求——在RTO時(shí)限恢復(fù)技術(shù)——確保設(shè)備工作正常管理——確保流程可控人員——確保合適人員參練后勤——確保流程正常展開(kāi)流程——確保流程正確主要包括演練計(jì)劃應(yīng)該包括BCM策略規(guī)定的所有方面演練規(guī)劃（續(xù)）時(shí)間要求技術(shù)管理人員后勤流程主要包括演練計(jì)劃應(yīng)80演練規(guī)劃（續(xù)）測(cè)試類型流程參與者演練周期復(fù)雜程度桌面檢查檢察預(yù)案，確保完整預(yù)案制定者、部門(mén)主管高低過(guò)程演練確保交互、協(xié)調(diào)能力預(yù)案制定者、主要參與者模擬演練綜合各項(xiàng)預(yù)案場(chǎng)地預(yù)案應(yīng)急通訊預(yù)案主要參與者觀察員協(xié)調(diào)員模擬、實(shí)戰(zhàn)演練將工作轉(zhuǎn)移到備用場(chǎng)地，重建業(yè)務(wù)功能業(yè)務(wù)部門(mén)員工場(chǎng)地服務(wù)商觀察員協(xié)調(diào)員實(shí)戰(zhàn)演練完全關(guān)閉主場(chǎng)地，重新部署、恢復(fù)業(yè)務(wù)所有員工場(chǎng)地服務(wù)商觀察員協(xié)調(diào)員低高下表是各種演練的分級(jí)和類型:演練規(guī)劃（續(xù)）測(cè)試類型流程參與者演練周期復(fù)雜程度桌面檢查檢察81演練BCM預(yù)案評(píng)估組織當(dāng)前的BCM能力。發(fā)現(xiàn)BCM的不足，持續(xù)改進(jìn)。檢查預(yù)案場(chǎng)景假設(shè)的不足之處。為演練參與者提供信息，增強(qiáng)信心。提高團(tuán)隊(duì)工作能力。全面提升組織的BCM意識(shí)水平。最后，測(cè)試恢復(fù)流程的有效性、所花費(fèi)時(shí)間等。預(yù)案演練的目的：演練BCM預(yù)案評(píng)估組織當(dāng)前的BCM能力。預(yù)案演練的目的：82演練BCM預(yù)案（續(xù)）應(yīng)該盡一切可能開(kāi)展演練，并且盡可能采用與現(xiàn)實(shí)環(huán)域中相同的流程和方法。嚴(yán)謹(jǐn)周密如果場(chǎng)景假設(shè)不合理，那么測(cè)試的效果也會(huì)大打折扣。結(jié)合實(shí)際將造成業(yè)務(wù)中斷的風(fēng)險(xiǎn)控制到最小程度。業(yè)務(wù)部門(mén)需要理解、同意接受測(cè)試的潛在風(fēng)險(xiǎn)。最小破壞為實(shí)現(xiàn)測(cè)試的有效性，必須滿足以下標(biāo)準(zhǔn)演練BCM預(yù)案（續(xù)）應(yīng)該盡一切可能嚴(yán)謹(jǐn)周密如果場(chǎng)景假設(shè)不結(jié)合83演練BCM預(yù)案（續(xù)）測(cè)試：主要針對(duì)技術(shù)流程/業(yè)務(wù)流程的檢驗(yàn)活動(dòng)，經(jīng)常用目標(biāo)時(shí)間來(lái)衡量測(cè)試水平。在這種情況下，結(jié)果或者是"通過(guò)"或者是"失敗"(結(jié)果是針對(duì)BCP流程而不是人員)。舉例:基于備份磁帶，重新配置服務(wù)器。排演：是指包含一系列特殊的流程，通過(guò)劇本/手冊(cè)等傳達(dá)相關(guān)的知識(shí)和技能。舉例：火災(zāi)排演。演練：通常是基于場(chǎng)景的，用于檢驗(yàn)決策能力。舉例：針對(duì)某個(gè)重大事故舉行桌面演練。演練方式演練BCM預(yù)案（續(xù)）測(cè)試：主要針對(duì)技術(shù)流程/業(yè)務(wù)流程的檢驗(yàn)活84演練BCM預(yù)案（續(xù)）技術(shù)測(cè)試流程確定技術(shù)測(cè)試的目標(biāo)和范圍。確定技術(shù)測(cè)試的費(fèi)用預(yù)算。指定專人負(fù)責(zé)技術(shù)測(cè)試。為技術(shù)測(cè)試假設(shè)一個(gè)基本場(chǎng)景。對(duì)技術(shù)測(cè)試開(kāi)展風(fēng)險(xiǎn)評(píng)估，將測(cè)試對(duì)實(shí)際生產(chǎn)造成的影響降到最低。開(kāi)展測(cè)試并記錄測(cè)試結(jié)果。評(píng)估和匯報(bào)測(cè)試結(jié)果。解決在測(cè)試中發(fā)現(xiàn)的任何問(wèn)題。演練BCM預(yù)案（續(xù)）技術(shù)測(cè)試流程確定技術(shù)測(cè)試的目標(biāo)和范圍。85測(cè)演練BCM預(yù)案（續(xù)）場(chǎng)景演練流程高層管理確認(rèn)并同意場(chǎng)景演練的目的和范圍。確定場(chǎng)景測(cè)試的費(fèi)用預(yù)算。與相關(guān)部門(mén)達(dá)成一致。準(zhǔn)備真實(shí)、恰當(dāng)和詳細(xì)的模擬場(chǎng)景。調(diào)查相關(guān)信息。確?？梢哉{(diào)用演練參與者。通知有關(guān)演練活動(dòng)的信息和簡(jiǎn)報(bào)。開(kāi)展演練。立刻舉行簡(jiǎn)短的演練總結(jié)。舉行正式、詳細(xì)的演練總結(jié)。制定演練報(bào)告和整改建議。報(bào)告在演練中發(fā)現(xiàn)的不足。發(fā)布演練報(bào)告。制定演練整改計(jì)劃，指導(dǎo)演練報(bào)告中的整改措施測(cè)演練BCM預(yù)案（續(xù)）場(chǎng)景演練流程高層管理確認(rèn)并同意場(chǎng)景演練86演練BCM預(yù)案（續(xù)）BCM演練流程的輸出包括：驗(yàn)證業(yè)務(wù)持續(xù)性策略的有效性；應(yīng)急團(tuán)隊(duì)成員、普通員工在應(yīng)對(duì)突發(fā)事件中熟悉各自的職責(zé)、義務(wù)和權(quán)力，提高人員BCM的意識(shí)及技能；測(cè)試業(yè)務(wù)持續(xù)預(yù)案中技術(shù)、后勤和管理等；測(cè)試恢復(fù)設(shè)施中應(yīng)急指揮中心、工作場(chǎng)地、技術(shù)和通信等的資源恢復(fù)情

況；演練人員的可用性、人員調(diào)配；在事后演練報(bào)告中記錄演練結(jié)果，供高層管理、審計(jì)者、保險(xiǎn)公司、監(jiān)管機(jī)構(gòu)及其他組織參考和使用；記錄和處理在演練中暴露的不足；提升人員關(guān)于應(yīng)急流程的意識(shí)；提升人員關(guān)干BCM重要性的意識(shí)；發(fā)現(xiàn)組織的不足，提高業(yè)務(wù)持續(xù)性能力。返回演練BCM預(yù)案（續(xù)）BCM演練流程的輸出包括：驗(yàn)證業(yè)務(wù)持續(xù)87維護(hù)BCM預(yù)案BCM維護(hù)程序，能確保組織在激烈的變化環(huán)境中，仍然保持應(yīng)對(duì)各種突發(fā)事件的能力。要使BCM維護(hù)程持續(xù)有效，應(yīng)該將其融入到組織的日常管理流程中，而不是單獨(dú)設(shè)置而遭遺忘。確保組織在自身和外部環(huán)境變化的情況下，仍挫保持有效的BCM能力。維護(hù)BCM預(yù)案BCM維護(hù)程序，能確保組織在激烈的變化環(huán)境中88有效的變更管理是BCM維護(hù)的前提，因此，應(yīng)定期檢查組織的內(nèi)部變更，其包括以下三個(gè)部分:有效的變更管理是BCM維護(hù)的前提，因此，應(yīng)定期檢查組織的內(nèi)89如果變更流程發(fā)生重大變化，或者在演練總結(jié)報(bào)告和審計(jì)報(bào)告中有重大發(fā)現(xiàn)事項(xiàng)，需要立即進(jìn)行以下幾個(gè)方面的檢查：檢查BIA報(bào)告中的假設(shè)內(nèi)容，分析業(yè)務(wù)的時(shí)間敏感度是否發(fā)生變化。檢查組織在不同時(shí)期所需的外部服務(wù)是否充分、可用。檢查與關(guān)鍵業(yè)務(wù)相關(guān)的供應(yīng)商的安排事宜。評(píng)估是否需要變更和改善培訓(xùn)、意識(shí)和溝通。供適當(dāng)?shù)呐嘤?xùn)、意識(shí)和溝通培訓(xùn)。依據(jù)正式文檔變更(版本)控制流程，向各利益相關(guān)方發(fā)布更新、修訂和變更的BCM政策、策略、解決方案、流程和計(jì)劃。如果變更流程發(fā)生重大變化，或者在演練總結(jié)報(bào)告和審計(jì)報(bào)告中有重90BCM維護(hù)流程的成果包括以下:BCM監(jiān)控和維護(hù)工作的文檔；內(nèi)容清晰的BC文檔維護(hù)報(bào)告(包括整改建議)，并且由相應(yīng)的高級(jí)管理層確認(rèn)和批準(zhǔn)；內(nèi)容清晰的BCM維護(hù)報(bào)告的行動(dòng)計(jì)劃，并且由相應(yīng)的高級(jí)管理層確認(rèn)和審批；維護(hù)業(yè)務(wù)持續(xù)預(yù)案(BCP)、策略和解決方案的有效，保持最新版本。返回BCM維護(hù)流程的成果包括以下:BCM監(jiān)控和維護(hù)工作的文檔；91評(píng)估BCM演練外部審計(jì)內(nèi)部審計(jì)自我評(píng)估檢驗(yàn)組織BCM的競(jìng)爭(zhēng)力和能力。將組織BCM現(xiàn)狀和審計(jì)標(biāo)準(zhǔn)對(duì)比，提出正式、規(guī)范的審計(jì)報(bào)告。另外，BCM的審計(jì)周期會(huì)影響到組織的BCM能力水平。目的評(píng)估BCM演練外部審計(jì)內(nèi)部審計(jì)自我評(píng)估檢驗(yàn)組織BCM的競(jìng)92BCM的保證流程包括：定義BCM工作的崗位職責(zé)、權(quán)力和義務(wù)。定義BCM工作的KPI(關(guān)鍵性能指標(biāo))目標(biāo)、衡量的尺度和標(biāo)準(zhǔn)。定義BCM工作的成功要素。將KPI(關(guān)鍵性能指標(biāo))納入內(nèi)部、外部合同和年度考核工作中。根據(jù)事先預(yù)定的KPI(關(guān)鍵性能指標(biāo))，評(píng)估和檢查實(shí)際的執(zhí)行效果。提供后續(xù)整改計(jì)劃。BCM審計(jì)過(guò)程類似于BCM的規(guī)劃、實(shí)施和維護(hù)，涉及復(fù)雜的流程，需要與業(yè)務(wù)、技術(shù)領(lǐng)域的管理和操作崗位人員進(jìn)行廣泛的交流溝通。BCM的保證流程包括：定義BCM工作的崗位職責(zé)、權(quán)力和義務(wù)。93BCM審計(jì)流程：BCM審計(jì)計(jì)劃。定義審計(jì)范圍。確定需要審計(jì)涉及到組織的區(qū)域/部門(mén)/場(chǎng)地。通過(guò)BCM審計(jì)活動(dòng)，檢查和收集信息。整理、匯總相關(guān)的文擋。分析收集到的信息的內(nèi)容和水平。收集和比較相關(guān)文檔。參考其他信息。恨據(jù)審計(jì)目的要求，出具審計(jì)結(jié)論。提供審計(jì)草案提供一個(gè)雙方協(xié)商一致的審計(jì)意見(jiàn)報(bào)告。提供一個(gè)雙方協(xié)商一致的后續(xù)整改計(jì)劃。提供一個(gè)BCM審計(jì)的監(jiān)控流程。BCM審計(jì)流程：BCM審計(jì)計(jì)劃。94其方法由執(zhí)行BCM審計(jì)的人員決定。定量評(píng)估定性評(píng)估評(píng)估方法VS其方法由執(zhí)行BCM審計(jì)的人員決定。定量定性評(píng)估方法VS95定量的評(píng)估方法包括：從最近一次演練到現(xiàn)在的間隔時(shí)間(月份)；從最近一次演練到現(xiàn)在，還未解決所發(fā)現(xiàn)問(wèn)題的數(shù)量；BC計(jì)劃文檔的完整程度；從最近一次業(yè)務(wù)影響分析到現(xiàn)在的間隔時(shí)間(月份)；從最近一次業(yè)務(wù)影響分析到現(xiàn)在，還未解決所發(fā)現(xiàn)問(wèn)題的數(shù)量；在BC管理/計(jì)劃中包含的新IT應(yīng)用的評(píng)估內(nèi)容；在BC管理/計(jì)劃中包含的新業(yè)務(wù)或業(yè)務(wù)變更；恢復(fù)團(tuán)隊(duì)動(dòng)態(tài)數(shù)據(jù)的完整性、可用性，例如團(tuán)隊(duì)成員、聯(lián)系電話、通知/供應(yīng)商列表，恢復(fù)站點(diǎn)/工作站的配置等；

確定實(shí)施和維護(hù)BCM的費(fèi)用預(yù)算；控制費(fèi)用的使用；自我評(píng)估保證記分卡。返回定量的評(píng)估方法包括：從最近一次演練到現(xiàn)在的間隔時(shí)間(月份)96定性的評(píng)估方法包括：分析和檢查文檔；訪談員工和其他利益相關(guān)方。定性的評(píng)估方法包括：分析和檢查文檔；97獨(dú)立的BCM審計(jì)報(bào)告，并且由高層管理者同意和批準(zhǔn)；后續(xù)整改行動(dòng)計(jì)劃，并且由高層管理者同意和批準(zhǔn)；BCM執(zhí)行水平較低將：BCM評(píng)估的輸出包括：內(nèi)部審計(jì)部門(mén)所認(rèn)可的BC計(jì)劃是“不適當(dāng)”的，需要進(jìn)一步完善。需要由BC專家協(xié)助組織重新檢查BC，提升組織相關(guān)團(tuán)隊(duì)的水平。返回獨(dú)立的BCM審計(jì)報(bào)告，并且由高層管理者同意和批準(zhǔn)；BCM98小結(jié)小結(jié)99ThankYou!ThankYou!100第11講業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理——BCM北京郵電大學(xué)計(jì)算機(jī)學(xué)院副教授郭燕慧第11講業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理——BCM北京郵電大學(xué)101BCM概述BCM規(guī)劃業(yè)務(wù)影響分析確定BCM策略BCM開(kāi)發(fā)和實(shí)施BCM演練和維護(hù)本講提綱BCM概述本講提綱102案例圖為世貿(mào)大廈北樓倒塌的連續(xù)鏡頭。世貿(mào)大廈世界上最大、最快的電梯南樓共有99座電梯每個(gè)電梯最多容納55人45秒內(nèi)由78層到地面大樓備用電源，應(yīng)急燈3個(gè)樓梯樓梯扶手、天花板、樓道門(mén)上涂熒光漆，指示疏散線路安裝揚(yáng)聲器、疏散指揮系統(tǒng)大樓設(shè)救火指揮所，每樓層有火警監(jiān)督員，定期演練案例圖為世貿(mào)大廈北樓倒塌的連續(xù)鏡頭。世貿(mào)大廈世界上最大、最快103飛利浦芯片廠火災(zāi)危機(jī)是你改進(jìn)的機(jī)遇！我們根本沒(méi)有所謂的危機(jī)處理方案！EricssonNokia飛利浦芯片廠火災(zāi)危機(jī)是你改進(jìn)的機(jī)遇！我們根本沒(méi)有所謂的危機(jī)處104災(zāi)難災(zāi)難的定義災(zāi)難(Disaster)是導(dǎo)致重大損失的突發(fā)的不幸事件災(zāi)難自然的Natural人為的Man-Made系統(tǒng)/技術(shù)的System/Technical支持系統(tǒng)SupplySystems災(zāi)難災(zāi)難的定義災(zāi)難(Disaster)是導(dǎo)致重大損失的突105機(jī)構(gòu)的災(zāi)難對(duì)于機(jī)構(gòu)來(lái)說(shuō)，任何導(dǎo)致機(jī)構(gòu)關(guān)鍵業(yè)務(wù)功能(CriticalBusinessFunctions)在一定時(shí)間內(nèi)無(wú)法進(jìn)行的事件都被視為災(zāi)難，其特點(diǎn)表現(xiàn)為:—計(jì)劃之外的服務(wù)中斷—超期的服務(wù)中斷—中斷無(wú)法通過(guò)平常的事件管理程序得到解決—中斷造成重大損失機(jī)構(gòu)的災(zāi)難對(duì)于機(jī)構(gòu)來(lái)說(shuō)，任何導(dǎo)致機(jī)構(gòu)關(guān)鍵業(yè)務(wù)功能(Cri106災(zāi)難的危害Gartner分析報(bào)告:—2/5公司經(jīng)歷大災(zāi)難后再也不能恢復(fù)運(yùn)作—1/3公司經(jīng)歷大災(zāi)難后在2年內(nèi)倒閉明尼蘇達(dá)大學(xué)研究:—兩周內(nèi)不能恢復(fù)運(yùn)作，75%企業(yè)完全停頓—兩周內(nèi)不能恢復(fù)運(yùn)作，43%企業(yè)再無(wú)法恢復(fù)災(zāi)難的危害Gartner分析報(bào)告:107什么是業(yè)務(wù)連續(xù)性管理？業(yè)務(wù)連續(xù)性管理（BusinessContinuityManagement，縮寫(xiě)為BCM）——是一個(gè)全面、持續(xù)的過(guò)程，包括：識(shí)別威脅組織的潛在影響；提供一個(gè)框架用于指導(dǎo)組織提升應(yīng)對(duì)災(zāi)難和持續(xù)運(yùn)營(yíng)的能力。用于保障組織的主要股東利益，以及公司的聲譽(yù)、品牌和其他創(chuàng)造價(jià)值的活動(dòng)。BCM目標(biāo)是提升組織的持續(xù)運(yùn)營(yíng)能力。通過(guò)事先發(fā)現(xiàn)組織中由各種突發(fā)業(yè)務(wù)中斷所造成的潛在影響，協(xié)助組織排定各種業(yè)務(wù)恢復(fù)先后順序，最終實(shí)現(xiàn)各業(yè)領(lǐng)域的業(yè)務(wù)持續(xù)運(yùn)營(yíng)。什么是業(yè)務(wù)連續(xù)性管理？業(yè)務(wù)連續(xù)性管理（BusinessCo108BCM對(duì)組織帶來(lái)什么好處？確保組織對(duì)生死攸關(guān)的災(zāi)難性事件，做出及時(shí)響應(yīng)。合理的BCM計(jì)劃既滿足規(guī)范和應(yīng)對(duì)特殊風(fēng)險(xiǎn)的要求，同時(shí)提升了組織風(fēng)險(xiǎn)意識(shí)。組織可以通過(guò)BCM來(lái)提升自身競(jìng)爭(zhēng)力，爭(zhēng)取新的客戶、提高利潤(rùn)，并且能增加"客戶關(guān)懷度"。能最大限度發(fā)現(xiàn)低效的業(yè)務(wù)和平時(shí)無(wú)法揭露的隱患。提前采取BCM預(yù)防措施要比臨時(shí)采取措施所花費(fèi)的成本低。BCM對(duì)組織帶來(lái)什么好處？確保組織對(duì)生死攸關(guān)的災(zāi)難性事件，做109BCM過(guò)程BS7799所描述的BCM主要有以下要點(diǎn)：

業(yè)務(wù)持續(xù)計(jì)劃首先是組織高層管理人員的首要職責(zé)，因?yàn)樗麄儽晃伪Ｗo(hù)公司的資產(chǎn)及公司的生存；制定和實(shí)施一個(gè)完整的業(yè)務(wù)持續(xù)計(jì)劃應(yīng)從理解自身業(yè)務(wù)開(kāi)始，進(jìn)行業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估；由組織高層管理者形成本企業(yè)的業(yè)務(wù)持續(xù)性戰(zhàn)略方針，然后規(guī)劃業(yè)務(wù)持續(xù)性計(jì)劃；進(jìn)行計(jì)劃的測(cè)試與實(shí)施；進(jìn)行計(jì)劃的維護(hù)與更新，通過(guò)審計(jì)保證計(jì)劃不斷改進(jìn)和完善。

BCM生命周期BCM過(guò)程BS7799所描述的BCM主要有以下要點(diǎn)：

業(yè)務(wù)持110BCPVSDRPBCP業(yè)務(wù)持續(xù)計(jì)劃DRP災(zāi)難恢復(fù)計(jì)劃—"天己經(jīng)塌了，我們?nèi)绾握粘＿\(yùn)轉(zhuǎn)"—業(yè)務(wù)—持續(xù)(Continuity)—"天要塌了，我們?nèi)绾位謴?fù)原貌"—IT—恢復(fù)(Recovery)BCPVSDRPBCP業(yè)務(wù)持續(xù)計(jì)劃DRP災(zāi)難恢復(fù)計(jì)劃—111BCM概述BCM規(guī)劃業(yè)務(wù)影響分析確定BCM策略BCM開(kāi)發(fā)和實(shí)施BCM演練和維護(hù)本講提綱BCM概述本講提綱112BCM規(guī)劃角色和職責(zé)項(xiàng)目準(zhǔn)備BCM規(guī)劃角色和職責(zé)項(xiàng)目準(zhǔn)備113關(guān)鍵活動(dòng)234561組建團(tuán)隊(duì)BCM需求制定項(xiàng)目計(jì)劃書(shū)確定數(shù)據(jù)收集方法工作匯報(bào)推銷BCPBCM關(guān)鍵活動(dòng)234561組建團(tuán)隊(duì)BCM需求制定項(xiàng)目計(jì)劃書(shū)確定數(shù)據(jù)114BCM策略要求BCM

策略要求范圍基本原則職責(zé)關(guān)鍵環(huán)節(jié)的原則要求目的需求指導(dǎo)方針責(zé)任得到高級(jí)管理層的正式批準(zhǔn)返回BCM策略要求BCM

策略要求范圍基本原則職責(zé)關(guān)鍵環(huán)節(jié)的原115項(xiàng)目計(jì)劃項(xiàng)目計(jì)劃里程碑預(yù)算目標(biāo)與任務(wù)（Objective-to-taskmapping）任務(wù)與資源（Resource-to-taskmapping）成功因素關(guān)鍵環(huán)節(jié)的原則要求返回項(xiàng)目計(jì)劃項(xiàng)目計(jì)劃里程碑預(yù)算目標(biāo)與任務(wù)（Objective-116BCM規(guī)劃角色和職責(zé)項(xiàng)目準(zhǔn)備BCM規(guī)劃角色和職責(zé)項(xiàng)目準(zhǔn)備117BCM項(xiàng)目負(fù)責(zé)人業(yè)務(wù)連續(xù)性協(xié)調(diào)人做為BCM項(xiàng)目負(fù)責(zé)人全面負(fù)責(zé)項(xiàng)目的規(guī)劃、準(zhǔn)備、培訓(xùn)等各項(xiàng)工作:—接觸高級(jí)管理層—影響高級(jí)管理層的決策—與管理層的溝通和聯(lián)絡(luò)—組建和領(lǐng)導(dǎo)BCM委員會(huì)—與計(jì)劃相關(guān)所有人員進(jìn)行直接接觸和溝通—了解機(jī)構(gòu)業(yè)務(wù)使命和高級(jí)管理層的意圖—充分了解中斷對(duì)機(jī)構(gòu)業(yè)務(wù)的影響—熟悉機(jī)構(gòu)的需求和運(yùn)作，有能力平衡相關(guān)部門(mén)的不同需求BCM項(xiàng)目負(fù)責(zé)人業(yè)務(wù)連續(xù)性協(xié)調(diào)人做為BCM項(xiàng)目負(fù)責(zé)人全面負(fù)責(zé)118其他重要角色BCM委員會(huì)高級(jí)管理層業(yè)務(wù)部門(mén)代表用戶危機(jī)管理團(tuán)隊(duì)恢復(fù)團(tuán)隊(duì)系統(tǒng)和網(wǎng)絡(luò)專家信息安全部門(mén)法律代表其他重要角色BCM委員會(huì)高級(jí)管理層業(yè)務(wù)部門(mén)代表用戶危機(jī)管理團(tuán)119BCM概述BCM規(guī)劃業(yè)務(wù)影響分析確定BCM策略BCM開(kāi)發(fā)和實(shí)施BCM演練和維護(hù)本講提綱BCM概述本講提綱120業(yè)務(wù)影響分析BIA過(guò)程BIA概述業(yè)務(wù)影響分析BIA過(guò)程BIA概述121業(yè)務(wù)影響分析（BusinessImpactAnalysis,BIA）——實(shí)質(zhì)上是對(duì)關(guān)鍵性的企業(yè)功能，以及當(dāng)這些功能一旦失去作用時(shí)可能造成的損失和影響的分析。——BIA是整個(gè)BCM流程的工作基礎(chǔ)。業(yè)務(wù)影響分析（BusinessImpactAnalysi122BIA的作用BIA識(shí)別關(guān)鍵的業(yè)務(wù)功能及其支持方面的不足BIA分析中斷事件造成的影響B(tài)IA分析業(yè)務(wù)功能的中斷忍受程度和恢復(fù)的優(yōu)先順序—定量(Quantitative)分析—定性(Qualitative)分析—確定業(yè)務(wù)功能的最大允許中斷時(shí)間（MTD）—確定業(yè)務(wù)功能之間的依賴關(guān)系—確定恢復(fù)點(diǎn)目標(biāo)（RPO)BIA的作用BIA識(shí)別關(guān)鍵的業(yè)務(wù)功能及其支持方面的不足—定123中斷的影響收入的損失延遲收入的損失生產(chǎn)力的損失營(yíng)運(yùn)成本的增加聲譽(yù)和公眾信任的損失競(jìng)爭(zhēng)力的損失違約責(zé)任

違背法律法規(guī)中斷的影響收入的損失124業(yè)務(wù)影響分析BIA過(guò)程BIA概述業(yè)務(wù)影響分析BIA過(guò)程BIA概述125確定信息收集技術(shù)BIA過(guò)程—討論（Discussion)）—調(diào)查問(wèn)卷（questionnaires）—訪談（Interview）—存在的問(wèn)題—應(yīng)對(duì)建議選擇受訪者識(shí)別關(guān)鍵業(yè)務(wù)功能及其支持資源確定最大允許中斷時(shí)間（MTD）識(shí)別弱點(diǎn)和威脅分析風(fēng)險(xiǎn)向管理層匯報(bào)BIA結(jié)果確定信息收集技術(shù)BIA過(guò)程—討論（Discu126信息收集技術(shù)討論調(diào)查問(wèn)卷訪談開(kāi)會(huì)討論能夠加速得出分析結(jié)論，同時(shí)要和各個(gè)部門(mén)進(jìn)行激烈的爭(zhēng)論，最終達(dá)成一致的BIA結(jié)論。調(diào)查問(wèn)卷能提供大量的BIA分析數(shù)據(jù)。如果問(wèn)卷填寫(xiě)不完整，會(huì)降低調(diào)查信息的質(zhì)量。訪談能提供很好的信息，但是比較費(fèi)時(shí)間，得到的信息的格式和詳細(xì)程度變化較大。信息收集技術(shù)開(kāi)會(huì)討論能夠加速得出分析結(jié)論，同時(shí)要和各個(gè)部門(mén)進(jìn)127調(diào)查問(wèn)卷設(shè)計(jì)根據(jù)企業(yè)文化、管理風(fēng)格、自身特點(diǎn)設(shè)計(jì)適合于受訪者的BIA問(wèn)卷，問(wèn)卷內(nèi)容可包括:—基本信息(受訪者姓名、部門(mén)、職位、聯(lián)絡(luò)方式、受訪時(shí)間等)—業(yè)務(wù)功能概況(名稱、規(guī)模、運(yùn)行時(shí)間、員工數(shù)量、客戶數(shù)量、重要的時(shí)間段、高峰業(yè)務(wù)量、法規(guī)要求、與其它業(yè)務(wù)或支持系統(tǒng)的關(guān)系等)—業(yè)務(wù)中斷對(duì)業(yè)務(wù)成本或收入的影響(增加開(kāi)支租用額外設(shè)備或人員等)—業(yè)務(wù)中斷可能承擔(dān)的法律責(zé)任(合同違約、違反相關(guān)規(guī)定等)—業(yè)務(wù)中斷對(duì)業(yè)務(wù)運(yùn)作的影響(無(wú)法提供服務(wù)等)—業(yè)務(wù)中斷對(duì)聲譽(yù)的影響(失去客戶信任、客戶流失等)—依賴于哪些技術(shù)系統(tǒng)(如硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)等)—存在哪些弱點(diǎn)和威脅(火災(zāi)、地震、罷工等)—現(xiàn)有的應(yīng)對(duì)措施(應(yīng)急預(yù)案等)返回調(diào)查問(wèn)卷設(shè)計(jì)根據(jù)企業(yè)文化、管理風(fēng)格、自身特點(diǎn)設(shè)計(jì)適合于受訪者128支持資源的確定人力資源（Humanresources）處理能力（Processingcapability）物理基礎(chǔ)設(shè)施（Physicalinfrastructure）基于計(jì)算機(jī)的服務(wù)（Computer-basedservices）應(yīng)用和數(shù)據(jù)（ApplicationandData）文檔和票據(jù)（Documentsandpapers）—如操作員、專家、系統(tǒng)用戶等—如數(shù)據(jù)中心、備用數(shù)據(jù)中心、網(wǎng)絡(luò)、小型機(jī)、工作站、個(gè)人計(jì)算機(jī)等—如辦公室、辦公家具、環(huán)境控制系統(tǒng)、電力、上下水、物流服務(wù)等—如語(yǔ)音和數(shù)據(jù)通信服務(wù)、數(shù)據(jù)庫(kù)服務(wù)、公告服務(wù)等—計(jì)算機(jī)設(shè)備上運(yùn)行的各種程序和存儲(chǔ)的數(shù)據(jù)—如合同、票據(jù)、操作程序等文件、文檔和資料返回支持資源的確定人力資源（Humanresources）129確定MTD中斷時(shí)間超過(guò)最大允許中斷時(shí)間(MaximumTolerableDowntime)將造成業(yè)務(wù)難以恢復(fù)，越是關(guān)鍵的功能或資源，MTD應(yīng)該越短：根據(jù)MTDs排定關(guān)鍵業(yè)務(wù)功能及其支持資源的恢復(fù)順序—關(guān)鍵：1小時(shí)之內(nèi)—緊急：24小時(shí)—重要：72小時(shí)—一般：7天—非必要：30天返回確定MTD中斷時(shí)間超過(guò)最大允許中斷時(shí)間(MaximumT130風(fēng)險(xiǎn)分析電力中斷火災(zāi)、洪水、風(fēng)暴、地震系統(tǒng)設(shè)備故障和軟件故障喪失基礎(chǔ)設(shè)施功能（如電信等）測(cè)試和變更造成的中斷關(guān)鍵人員缺席恐怖襲擊、爆炸、罷工傳染病返回風(fēng)險(xiǎn)分析電力中斷返回131BCM概述BCM規(guī)劃業(yè)務(wù)影響分析確定BCM策略BCM開(kāi)發(fā)和實(shí)施BCM演練和維護(hù)本講提綱BCM概述本講提綱132確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原133BCM原則預(yù)防為先恢復(fù)為后—通過(guò)遏制、探測(cè)或降低對(duì)系統(tǒng)影響的防御性措施予以消減或清除風(fēng)險(xiǎn)—達(dá)不到災(zāi)難級(jí)別的風(fēng)險(xiǎn)，采取預(yù)防措施規(guī)避或降低風(fēng)險(xiǎn)—災(zāi)難級(jí)別的風(fēng)險(xiǎn)，采取預(yù)防措施降低風(fēng)險(xiǎn)—對(duì)于不可忍受的災(zāi)難，采取恢復(fù)措施BCM原則預(yù)防為先—通過(guò)遏制、探測(cè)或降低對(duì)系統(tǒng)影響—對(duì)于134預(yù)防目的——減少災(zāi)難發(fā)生的可能性預(yù)防策略制止控制預(yù)防控制——保護(hù)企業(yè)的弱點(diǎn)區(qū)域，以防御危險(xiǎn)的發(fā)生并降低其影響。——減少威脅的可能性。預(yù)防目的——減少災(zāi)難發(fā)生的可能性預(yù)防策略制止控制預(yù)防控制——135預(yù)防措施設(shè)施采取加固材料(建筑、設(shè)備等)冗余服務(wù)器和通訊線路多方多路供電、配置UPS和發(fā)電機(jī)消防系統(tǒng)(火警發(fā)現(xiàn)、滅火)防水措施冗余供應(yīng)商購(gòu)買(mǎi)保險(xiǎn)數(shù)據(jù)備份介質(zhì)保護(hù)備用關(guān)鍵設(shè)備人員培訓(xùn)預(yù)防措施設(shè)施采取加固材料(建筑、設(shè)備等)136確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原137應(yīng)急響應(yīng)：指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生初期所采取的措施。目的：避免、降低危害和損失，以及從危害和損失中恢復(fù)。應(yīng)急響應(yīng)：指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及138應(yīng)急響應(yīng)的必要性：網(wǎng)絡(luò)安全保護(hù)的困難；大量的安全漏洞；攻擊系統(tǒng)和網(wǎng)絡(luò)的程序的存在；實(shí)際的和潛在的財(cái)務(wù)損失；不利的媒體曝光的威脅；對(duì)效率的需求；當(dāng)前入侵檢測(cè)能力的局限性。應(yīng)急響應(yīng)的必要性：網(wǎng)絡(luò)安全保護(hù)的困難；139準(zhǔn)備檢測(cè)抑制恢復(fù)跟蹤PDCERA應(yīng)急響應(yīng)方法學(xué)根除準(zhǔn)備檢測(cè)抑制恢復(fù)跟蹤PDCERA應(yīng)急響應(yīng)方法學(xué)根除140準(zhǔn)備(Preparation)——即在安全事件發(fā)生前為應(yīng)急響應(yīng)做好準(zhǔn)備。這一階段極為重要，因?yàn)榘踩录鄶?shù)都比較復(fù)雜，事先準(zhǔn)備是必須的。這一階段的準(zhǔn)備工作包括：基于威脅建立一組合理的防御／控制措施。建立一組盡可能高效的安全事件處理程序。獲得處理問(wèn)題必須的資源和人員。建立一個(gè)支持應(yīng)急響應(yīng)活動(dòng)的基礎(chǔ)設(shè)施。返回準(zhǔn)備(Preparation)——即在安全事件發(fā)生前為應(yīng)急響141檢測(cè)(Detection)——檢測(cè)意味著弄清是否出現(xiàn)了惡意代碼、文件和目錄是否被篡改或者出現(xiàn)其他的特征；如果是的話，問(wèn)題在哪里，影響范圍有多大。檢測(cè)包括軟件檢測(cè)和人工檢測(cè)。軟件檢測(cè)—面對(duì)今天如此種類繁多復(fù)雜的攻擊，檢測(cè)軟件(如殺毒軟件、入侵檢測(cè)軟件、完整性校驗(yàn)軟件等)對(duì)應(yīng)急響應(yīng)工作的成功是非常必要的?！S多廠商的軟件可以迅速地檢測(cè)桌面系統(tǒng)和郵件服務(wù)器的病毒。這些軟件通常還可以檢測(cè)出Windows系統(tǒng)上是否秘密安裝了后門(mén)木馬程序。人工檢測(cè)用不活躍或系統(tǒng)缺省賬號(hào)登錄。在非工作時(shí)間有系統(tǒng)活動(dòng)。出現(xiàn)了不是由系統(tǒng)管理員創(chuàng)建的賬號(hào)。出現(xiàn)了不熟悉的文件或程序。用戶權(quán)限的提升或超級(jí)用戶權(quán)限的使用，但對(duì)此無(wú)法解釋。Web服務(wù)器主頁(yè)或其他頁(yè)面被修改。系統(tǒng)日志出現(xiàn)一段時(shí)間的空白或擦除。DNS表、路由器或防火墻規(guī)則中的無(wú)法說(shuō)明的變化。系統(tǒng)性能變慢。返回檢測(cè)(Detection)——檢測(cè)意味著弄清是否出現(xiàn)了惡意代142抑制(Containment)——抑制的目的是限制攻擊的范圍，同時(shí)也就限制了潛在的損失和破壞。其只有在第2階段觀察到事件的確已經(jīng)發(fā)生的基礎(chǔ)上才能進(jìn)行可能的抑制措施：—關(guān)閉所有系統(tǒng)?！獢嚅_(kāi)網(wǎng)絡(luò)?！薷乃蟹阑饓吐酚善鞯倪^(guò)濾規(guī)則，拒絕來(lái)自看起來(lái)是發(fā)起攻擊的主機(jī)的所有的流量。—封鎖或刪除被攻破的登錄賬號(hào)?！岣呦到y(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別?！O(shè)置誘餌服務(wù)器作為陷阱，如“蜜罐”等?！P(guān)閉存在漏洞的服務(wù)。—反擊攻擊者的系統(tǒng)。返回抑制(Containment)——抑制的目的是限制攻擊的范143根除(Eradication)——在事件被抑制以后，應(yīng)該找出事件根源并徹底根除。根除手段：—工具軟件。比如，防病毒軟件可以消滅大多數(shù)感染小系統(tǒng)的(甚至大系統(tǒng)的)病毒以及特洛伊木馬程序?！獙?duì)于單機(jī)上的事件，主要可以根據(jù)各種操作系統(tǒng)平臺(tái)的具體的檢查和根除程序進(jìn)行操作?！笠?guī)模爆發(fā)的帶有蠕蟲(chóng)性質(zhì)的惡意程序的根除相對(duì)復(fù)雜。返回根除(Eradication)——在事件被抑制以后，應(yīng)該找出144恢復(fù)(Recovery)——在事件的根源根除以后，恢復(fù)階段定義下一階段的行動(dòng)。恢復(fù)的目標(biāo)是把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底地還原到它們正常的任務(wù)狀態(tài)。返回恢復(fù)(Recovery)——在事件的根源根除以后，恢復(fù)階段定145跟蹤(Follow-up)——跟蹤是最后一個(gè)階段。其整體目標(biāo)是回顧并整合發(fā)生事件的相關(guān)信息。跟蹤的重要性：有助于事件處理人員吸取經(jīng)驗(yàn)教訓(xùn)，提高他們的技能，以應(yīng)付將來(lái)發(fā)生的同樣的事件。有助于評(píng)判和管理一個(gè)組織機(jī)構(gòu)的應(yīng)急響應(yīng)能力。所吸取的任何教訓(xùn)都可以當(dāng)作應(yīng)急響應(yīng)工作組新成員的培訓(xùn)教材?？梢援?dāng)作應(yīng)急響應(yīng)工作組建設(shè)的基礎(chǔ)。能夠產(chǎn)生在法律行為中有用的信息。返回跟蹤(Follow-up)——跟蹤是最后一個(gè)階段。其整體目146應(yīng)急響應(yīng)預(yù)案—是被設(shè)計(jì)用于在信息安全突發(fā)事件中維持或恢復(fù)包括計(jì)算機(jī)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行的策略和規(guī)程?！獞?yīng)該有系統(tǒng)完整的設(shè)計(jì)、標(biāo)準(zhǔn)化的文本文件、行之有效的操作程序和持續(xù)改進(jìn)的運(yùn)行機(jī)制?；驹瓌t——集中管理、統(tǒng)一指揮、規(guī)范運(yùn)行、標(biāo)準(zhǔn)操作、反應(yīng)迅速和響應(yīng)高效?！刂凭o急事件的發(fā)展并盡可能消除，將事故對(duì)人、財(cái)產(chǎn)和環(huán)境的損失和影響減小到最低限度。目標(biāo)應(yīng)急響應(yīng)預(yù)案—是被設(shè)計(jì)用于在信息安全突發(fā)事件中維持或恢復(fù)包147應(yīng)急響應(yīng)制定過(guò)程：初稿的制訂：參照應(yīng)急響應(yīng)預(yù)案框架，按照IT系統(tǒng)風(fēng)險(xiǎn)分析和業(yè)務(wù)影響分析所確定的應(yīng)急內(nèi)容，根據(jù)應(yīng)急響應(yīng)等級(jí)的要求，結(jié)合組織其它相關(guān)的應(yīng)急計(jì)劃，撰寫(xiě)出應(yīng)急響應(yīng)預(yù)案的初稿。初稿的評(píng)審：組織應(yīng)對(duì)應(yīng)急響應(yīng)預(yù)案初稿的全面性、易用性、明確性、有效性和兼容性進(jìn)行嚴(yán)格的評(píng)審。評(píng)審應(yīng)有相應(yīng)的流程保證。初稿的修訂：根據(jù)評(píng)審結(jié)果，對(duì)預(yù)案進(jìn)行修訂，糾正在初稿評(píng)審過(guò)程中發(fā)現(xiàn)的問(wèn)題和缺陷，形成預(yù)案的修訂稿。預(yù)案的測(cè)試：應(yīng)預(yù)先制訂測(cè)試計(jì)劃，在計(jì)劃中說(shuō)明測(cè)試的案例。測(cè)試應(yīng)包含基本單元測(cè)試、關(guān)聯(lián)測(cè)試和整體測(cè)試。測(cè)試的整個(gè)過(guò)程應(yīng)有詳細(xì)的記錄，并形成測(cè)試報(bào)告。預(yù)案的審核和批準(zhǔn)：根據(jù)測(cè)試的記錄和報(bào)告，對(duì)預(yù)案的修訂稿進(jìn)一步完善，形成預(yù)案的報(bào)批稿，并由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組審核和批準(zhǔn)，確定為預(yù)案的執(zhí)行稿。應(yīng)急響應(yīng)制定過(guò)程：初稿的制訂：參照應(yīng)急響應(yīng)預(yù)案框架，按照IT148應(yīng)急響應(yīng)預(yù)案實(shí)例XXX事件應(yīng)急預(yù)案總則（簡(jiǎn)述本預(yù)案編制所依據(jù)的法律法規(guī)以及相關(guān)行業(yè)管理規(guī)定、技術(shù)規(guī)范和標(biāo)準(zhǔn)等）組織機(jī)構(gòu)及職責(zé)（對(duì)實(shí)施應(yīng)急響應(yīng)的機(jī)構(gòu)、人員及其職責(zé)范圍都進(jìn)行具體說(shuō)明與規(guī)劃）預(yù)防與預(yù)警4.1預(yù)防（明確對(duì)本類型事件危險(xiǎn)源監(jiān)測(cè)的方式方法，以及采取的預(yù)防措施）4.2預(yù)警（明確本類型事件預(yù)警的條件、方式、方法和信息發(fā)布程序）4.3預(yù)警解除應(yīng)急響應(yīng)4.1事件分類分級(jí)（對(duì)本類型信息安全事件進(jìn)行定義和分類、分級(jí)）4.2應(yīng)急事件通告（按照有關(guān)規(guī)定，明確本類型事件信息報(bào)告程序和內(nèi)容）4.3應(yīng)急準(zhǔn)備與啟動(dòng)（明確相關(guān)部門(mén)或人員分工和職責(zé)，相關(guān)應(yīng)急資源準(zhǔn)備等）4.4應(yīng)急處理（應(yīng)急上報(bào)的渠道、程序、內(nèi)容；應(yīng)急行動(dòng)、現(xiàn)場(chǎng)救援實(shí)施方案的實(shí)施原則等）4.5應(yīng)急結(jié)束（明確應(yīng)急終止條件，事件調(diào)查及總結(jié)事項(xiàng)等）后期處置（對(duì)事件處理結(jié)果的情況匯報(bào)、經(jīng)驗(yàn)總結(jié)、獎(jiǎng)懲評(píng)定及表彰等后續(xù)工作）保障措施6.1通信保障6.2物資保障6.3人員保障6.4資金保障6.5技術(shù)保障6.6其它保障工作（交通運(yùn)輸保障、電力保障等）6.7宣傳、培訓(xùn)和學(xué)習(xí)附則（本條以上條款未盡事宜及所涉及的相關(guān)術(shù)語(yǔ)解釋）應(yīng)急響應(yīng)預(yù)案實(shí)例XXX事件應(yīng)急預(yù)案149應(yīng)急響應(yīng)組——應(yīng)急響應(yīng)組由管理、業(yè)務(wù)、技術(shù)和行政后勤等人員組成，一般可設(shè)為應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組、應(yīng)急響應(yīng)實(shí)施小組和應(yīng)急響應(yīng)日常運(yùn)行小組等。應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，組長(zhǎng)應(yīng)由組織最高管理層成員擔(dān)任。領(lǐng)導(dǎo)小組的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要如下：a）審核并批準(zhǔn)經(jīng)費(fèi)預(yù)算；b）審核并批準(zhǔn)恢復(fù)策略；c）審核并批準(zhǔn)應(yīng)急響應(yīng)預(yù)案；d）批準(zhǔn)應(yīng)急響應(yīng)預(yù)案的執(zhí)行。應(yīng)急響應(yīng)實(shí)施小組的主要職責(zé)是負(fù)責(zé)：a）應(yīng)急響應(yīng)的需求分析；b）確定應(yīng)急策略和等級(jí)；c）應(yīng)急策略的實(shí)現(xiàn)；d）編制應(yīng)急響應(yīng)預(yù)案文檔；e）組織應(yīng)急響應(yīng)預(yù)案的測(cè)試和演練。應(yīng)急響應(yīng)日常運(yùn)行小組的主要職責(zé)是負(fù)責(zé)：a）協(xié)助災(zāi)難恢復(fù)系統(tǒng)實(shí)施；b）備份中心日常管理；c）備份系統(tǒng)的運(yùn)行和維護(hù)；d）災(zāi)難恢復(fù)的專業(yè)技術(shù)支持；e）參與和協(xié)助應(yīng)急響應(yīng)預(yù)案的教育、培訓(xùn)和演練；f）維護(hù)和管理應(yīng)急響應(yīng)預(yù)案文檔；g）信息安全突發(fā)事件發(fā)生時(shí)的損失控制和損害評(píng)估；h）信息安全事件發(fā)生后信息系統(tǒng)和業(yè)務(wù)功能的恢復(fù)；應(yīng)急響應(yīng)組——應(yīng)急響應(yīng)組由管理、業(yè)務(wù)、技術(shù)和行政后勤等人員組150確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原確定BCM策略過(guò)程策略預(yù)防應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)業(yè)務(wù)恢復(fù)業(yè)務(wù)復(fù)原151業(yè)務(wù)持續(xù)——業(yè)務(wù)持續(xù)只涉及那些時(shí)間敏感的業(yè)務(wù)流程，要么是在中斷后立即持續(xù)，要么是在可允許的一段時(shí)間后持續(xù)，但不是對(duì)所有業(yè)務(wù)的恢復(fù)?！獦I(yè)務(wù)持續(xù)預(yù)案主要關(guān)注業(yè)務(wù)的損壞、中斷和喪失等突發(fā)事件，從初始應(yīng)急響應(yīng)開(kāi)始到恢復(fù)至正常業(yè)務(wù)水平。業(yè)務(wù)持續(xù)——業(yè)務(wù)持續(xù)只涉及那些時(shí)間敏感的業(yè)務(wù)流程，要么是在中152一旦BCP被激活，需要做出的第一個(gè)決策是：關(guān)鍵性業(yè)務(wù)的運(yùn)營(yíng)能否在日常的工作場(chǎng)所或者一個(gè)備選場(chǎng)所很快運(yùn)營(yíng)。備選場(chǎng)所可分為以下幾類：熱站點(diǎn)（HotSite）溫站點(diǎn)（WarmSite）冷站點(diǎn)（CodeSite）鏡像站點(diǎn)（MirroredSite）移動(dòng)站點(diǎn)（MobileSite）一旦BCP被激活，需要做出的第一個(gè)決策是：關(guān)鍵性業(yè)務(wù)的運(yùn)營(yíng)能153熱站點(diǎn)(HotSite)冷站點(diǎn)(ColdSite)溫站點(diǎn)(WarmSite)—配置了所需的基礎(chǔ)設(shè)施、服務(wù)、系統(tǒng)硬件、軟件、實(shí)時(shí)數(shù)據(jù)和支持人員，通常24小時(shí)有人值守—接到應(yīng)急計(jì)劃啟動(dòng)通知時(shí)只需要進(jìn)行適當(dāng)?shù)穆酚赊D(zhuǎn)換和通知就可以提供主站點(diǎn)的關(guān)鍵應(yīng)用服務(wù)—通常具有充足空間和支持IT系統(tǒng)的基礎(chǔ)設(shè)施和服務(wù)(電源、電信連接和環(huán)境控制)—不包含IT設(shè)備并且通常也不包含辦公自動(dòng)化設(shè)備如電話、傳真機(jī)或復(fù)印機(jī)—介于熱站點(diǎn)和冷站點(diǎn)之間—配置部分IT資源，不包含實(shí)時(shí)數(shù)據(jù)—啟用時(shí)需要安裝部分設(shè)備和軟件，還需要上載數(shù)據(jù)