淺談業務連續性管理的實現方法

[摘 ?要]業務連續性管理本身也是一種過程方法，也應遵從PDCA模型的規則。下面我們來看看如果利用PDCA的方法，實現業務連續性的管理。

[關鍵詞]業務連續性 管理風險 ?實現方法

中圖分類號：F302.6 文獻標識碼：A 文章編號：1009-914X（2016）24-0092-01

一、 評估針對業務連續性的風險點

首先列出關鍵業務流程中涉及的所有資產，然后對組織涉及的各類業務所處的環境分析其面臨的威脅并對其脆弱性進行推斷，完成風險識別，推斷由信息安全事故引起的業務中斷對業務可能產生的影響，并且確定應急及恢復的業務目標。在這類風險評估過程中，應在業務資源和過程的所有者全面參與的情況下進行業務風險評估。僅僅靠高層管理者或是某個部門來識別組織業務的全部風險，產生的風險評估結果是不全面的。另外，在考慮業務過程的時候，應充分照顧到組織的所有業務過程，不能只局限于信息處理設施，還應考慮到可能產生的信息安全影響。然后將不同方面的風險結合起來，得到組織業務連續性需求的整體結構圖。其后對風險進行確認、量化、排定優先級，包括重要資源，中斷影響，允許中斷時間，恢復的優先級。若組織沒有明確的行業要求或專屬的法律法規要求，風險的量化及定級工作應由組織自行制定統一的標準并在組織范圍內進行描述。最后根據風險評估的結果制定業務連續性戰略，以確定業務連續性的總體途徑。該戰略應由管理層簽署，并制定計劃以實施該戰略。

二、建立業務連續性計劃

從業務影響分析入手，創建業務連續性一般涉及以下六個步聚：

1、 要把職責明確好，要識別出組織的全部職責并和業務連續性流程進行一一比對，達成一致;

2、 識別出組織在產生各類業務中斷以后，確定組織可以接受中斷的程度;

3、 制定應急規程，也就業務未恢復完成時應遵循的操作規程;

4、 制定恢復規程，以在所要求的時段內恢復和復原業務操作和可用性信息，這里還應考慮滿足與業務相關方的合同要求及相關行業規定，法律規定的要求以及與相關政府及主管部門的聯系，包括在什么狀況下應與某個特定機構聯系如，公安局、消防局、監管部門等的聯系;

5、 將已商定的流程形成文檔，并用已商定的應急流程培訓員工;

6、 制定測試和更新計劃

到這里，整個業務連續性計劃集合可以算是做好了，注意，這里說的業務連續性計劃是一個集合，業務連續性計劃是由許多個計劃集合而成的。現在組織已經有了業務連續性計劃，但整個工作還沒有做完，因為計劃還需要實施，如何實施呢，請看下面的闡述。

三、測試、保持和再評估

前面說了P和D兩個環節，后面就需要談談C和A兩個環節了。

簡單來講，測試的目標就是確認一個組織在發生災難（或者危機事件）時，執行業務連續性計劃的能力。但如何組織和管理測試和演習，以確保測試的規范性和有效性，是許多用戶關心的問題。

1、測試前的準備工作

首先要明確測試的目的和測試的方式。測試方式多種多樣，根據測試的目的不同，測試的方式可以是簡單的桌面測試，也可以是全面的場景演習等等。

測試過程的管理團隊很重要，測試應該由訓練有素的團隊來規劃、實施和控制。通常起草業務持續性計劃的人員是管理和控制測試的最佳人選（在應急恢復過程中承擔重要角色的人員除外）。為了確保測試的組織效果，應該事先對實施測試過程的團隊進行培訓。

在測試之前，需要“設計”一個供測試用的模擬場景。場景應該包括一系列很可能發生的事件。這些事件應該經過恰當的設計，確?？梢詼y試到計劃中的全部（或者相應部分，視測試的范圍而定）行動要素。

對測試的結果進行分析和評估是必須的。因此，要事先制定測試反饋信息表，做好收集反饋信息的準備工作，確保測試結束后可以盡快收集到反饋信息。

應該積極與領導溝通。測試需要費用，所以事先要有相應的預算，并報請領導批準。此外，測試過程不可避免地會影響到員工的正常工作，甚至影響業務的進展，這一點也需要事先得到領導的認可。另外員工可能會在測試的日期正好出差在外，這些都需要做充分的考慮。

如果測試需要單位外部的人員（例如業務持續性計劃中提到的應急產品供應商等）參與，則更需要積極進行協調和溝通，事先要仔細考慮外部人員參與的方式和程度。

2、測試過程的規劃

測試的過程需要進行詳細的規劃。規劃主要步驟包括：分析業務持續性計劃，制定測試計劃，設計測試場景，準備測試反饋意見表等。其中分析業務持續性計劃是其他工作的基礎。

測試計劃的制定過程本身可能也很復雜，所以也需要精心安排。應該考慮到制定測試規劃過程中的所有步驟，每個步驟的執行時間和負責人，以及每個步驟之間的前后順序?？梢钥紤]采用項目管理軟件來輔助完成。

測試的參與者應該涉及組織的各個關鍵部門，而且，應該包括了業務持續性計劃中的相應角色。實際上，在測試過程中有兩類參與者，第一類參與者積極行動，應對“危機”;第二類人員管理和控制測試過程，包括收集現場的數據。兩類參與者的具體人選都非常重要。

3、測試場景的設計

企業應該充分重視測試場景的重要性。未經仔細考慮、不夠完善的場景常常會使整個測試的效果大打折扣。

在設計場景時，要重點關注危機發生后的2～4小時。場景應該包括一系列需要積極響應的事件，并盡可能覆蓋危機計劃中定義的關鍵行動。

場景應該能反映對業務影響較大的威脅和風險。應該首先考慮在風險評估階段提供的風險信息。由于在應對不同的風險時，需要不同的應急響應流程和行動，因此可能需要設計和測試的場景不只一個。

因為參與者要隨著測試場景的發展及時做出反應，所以場景應該足夠逼真。在描述場景時，應該盡可能采用真實的客戶姓名、員工姓名、地點名稱、產品名稱、設施名稱等等，名稱越真實，會給測試者越“逼真”的感覺，測試的效果就越好。但由于采用了真實的名稱，有可能在測試的時刻，真實的名稱需要做最后的確定，這一點一定要注意。另外，為了獲得測試的真實效果，應該對場景設計信息保密，避免測試參與者事先獲得信息，從而使測試成為走過場。

四、保持和再評估

每次測試過后，應該完整記錄測試結果，并對測試數據進行分析，對測試效果進行評估，從而考慮采取措施以改進業務連續性計劃。

由于組織的業務是不斷的發生變化的，有的組織可能變化的周期比較長，有的組織可能變化周期短，但是不管是什么樣的組織，隨著社會的發展，環境的變化，技術的提升，其業務總是會多多少少的發生變化，所以對業務連續性計劃的評審就顯得很有必要。對于每個業務連續性計劃的定期評審應分配職責，應按適當的計劃更新業務連續性計劃以反映業務安排的變更，應確保通過整個計劃的定期評審來分配和補充已更新的計劃。

文中提到的方法和思路，意在讓組織在實施業務連續性管理時有一條清晰的思路，組織還應針對自身的實際情況來加以實施。

參考文獻：

標準出版物：

[1] GB/T 22080-2008/ISO/IEC 27001：2005 信息技術 安全技術 信息安全管理體系 要求。

作者簡介：

王淑清（1978.02--）性別：女、民族（漢族），籍貫（江西省贛縣），現供職單位：廣州賽寶認證中心服務有限公司，學歷本科，研究方向：信息安全管理、信息技術服務管理， 單位郵編：510507