淺析涉密信息系統(tǒng)業(yè)務(wù)連續(xù)性管理

◆甘清云

淺析涉密信息系統(tǒng)業(yè)務(wù)連續(xù)性管理

◆甘清云

(中國(guó)直升機(jī)設(shè)計(jì)研究所 天津 300300)

業(yè)務(wù)連續(xù)性管理是識(shí)別對(duì)組織的潛在威脅以及這些威脅一旦發(fā)生可能對(duì)業(yè)務(wù)運(yùn)行帶來(lái)的影響的一整套管理過(guò)程。本文介紹了涉密信息系統(tǒng)業(yè)務(wù)連續(xù)性管理存在的問(wèn)題以及改進(jìn)的措施。

涉密信息系統(tǒng)；業(yè)務(wù)連續(xù)性管理

0 引言

因自然災(zāi)害、事故災(zāi)難等突發(fā)事件導(dǎo)致業(yè)務(wù)中斷的情況越來(lái)越多，業(yè)務(wù)連續(xù)性管理作為組織應(yīng)對(duì)突發(fā)事件，保障業(yè)務(wù)連續(xù)的有效方法，已被越來(lái)越多的組織采納。本文主要介紹了業(yè)務(wù)連續(xù)性的概況、涉密信息系統(tǒng)業(yè)務(wù)連續(xù)性存在的問(wèn)題、改進(jìn)的措施。

1 業(yè)務(wù)連續(xù)性

業(yè)務(wù)連續(xù)性是指在中斷事件發(fā)生后，組織在預(yù)先確定的可接受的水平上連續(xù)交付產(chǎn)品或提供服務(wù)的能力。業(yè)務(wù)連續(xù)性管理是識(shí)別對(duì)組織的潛在威脅以及這些威脅一旦發(fā)生可能對(duì)業(yè)務(wù)運(yùn)行帶來(lái)的影響的一整套管理過(guò)程。該過(guò)程為組織建立有效應(yīng)對(duì)威脅的自我恢復(fù)能力提供了框架，以保護(hù)關(guān)鍵相關(guān)方的利益、聲譽(yù)、品牌和創(chuàng)造價(jià)值的活動(dòng)。

英國(guó)、美國(guó)、新加波、日本等發(fā)達(dá)國(guó)家高度重視業(yè)務(wù)連續(xù)性管理，在國(guó)家層面的法律法規(guī)、行業(yè)層面的規(guī)范、企業(yè)層面的實(shí)施等方面大力推進(jìn)，制定業(yè)務(wù)連續(xù)性管理國(guó)家標(biāo)準(zhǔn)，指導(dǎo)和規(guī)范業(yè)務(wù)連續(xù)性管理發(fā)展。英國(guó)在2006年頒發(fā)了BS25999-1《業(yè)務(wù)連續(xù)性管理-實(shí)施規(guī)程》，2007年頒布了BS25999-2《業(yè)務(wù)連續(xù)性管理-規(guī)范》；美國(guó)在2007發(fā)布了NFPA 1600（2007版）；新加坡在2008年發(fā)布了SS 540:2008；國(guó)際標(biāo)準(zhǔn)化組織ISO在2012年先后發(fā)布了ISO 22301《公共安全業(yè)務(wù)連續(xù)性管理體系要求》，ISO 22313《公共安全業(yè)務(wù)連續(xù)性管理體系指南》。

我們國(guó)家在2013年發(fā)布了GB/T 30146《公共安全業(yè)務(wù)連續(xù)性管理體系要求》。

2 涉密信息系統(tǒng)業(yè)務(wù)連續(xù)性管理存在的問(wèn)題

（1）應(yīng)急演練缺乏實(shí)戰(zhàn)性

重方案，輕演練，多模擬，少操作，這是目前應(yīng)急演練存在的突出問(wèn)題。應(yīng)急演練缺少實(shí)戰(zhàn)性，普遍采用“導(dǎo)著演，等著練”的模式：事先確定演練的具體項(xiàng)目，編制演練腳本、按照腳本演，各參演人員等著演練總指揮發(fā)號(hào)施令、根據(jù)腳本完成自己的演練任務(wù)。長(zhǎng)期采用這種模式進(jìn)行應(yīng)急演練，突發(fā)事件真的發(fā)生了，大家就都抓瞎了。

（2）應(yīng)急預(yù)案缺少全生命周期管理

大部分單位在應(yīng)急預(yù)案的制定和演練環(huán)節(jié)都能按要求做好相關(guān)工作，但是對(duì)應(yīng)急預(yù)案的培訓(xùn)、更新等環(huán)節(jié)不夠重視。

（3）災(zāi)備體系有待完善

災(zāi)備體系建設(shè)面臨諸多挑戰(zhàn)：比如如何提升災(zāi)備效率，進(jìn)一步縮短災(zāi)備恢復(fù)時(shí)間RTO(Recovery Time object)、減少災(zāi)備數(shù)據(jù)損失RPO(Recovery Point 0bject)，比如如何推動(dòng)信息系統(tǒng)災(zāi)備建設(shè)與業(yè)務(wù)連續(xù)性管理策略的緊密結(jié)合等。

（4）在虛擬化應(yīng)用方面有待加強(qiáng)

虛擬化技術(shù)目前在信息系統(tǒng)中已經(jīng)得到廣泛應(yīng)用，也取得了很好的應(yīng)用效果。但是由于有關(guān)標(biāo)準(zhǔn)要求等原因，虛擬化在涉密信息系統(tǒng)中的應(yīng)用還不夠深入，虛擬化在業(yè)務(wù)連續(xù)性體系中的重要作用還未充分發(fā)揮。

（5）對(duì)于業(yè)務(wù)連續(xù)性管理的認(rèn)識(shí)還不夠深入

部分企業(yè)對(duì)于業(yè)務(wù)連續(xù)性的認(rèn)識(shí)還不夠深入，比如業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)是什么關(guān)系，業(yè)務(wù)連續(xù)性與風(fēng)險(xiǎn)管理是什么關(guān)系，業(yè)務(wù)連續(xù)性與應(yīng)急管理是什么關(guān)系等。

3 涉密信息系統(tǒng)業(yè)務(wù)連續(xù)性管理改進(jìn)措施

（1）突出實(shí)戰(zhàn)性，確保應(yīng)急演練取得實(shí)效

應(yīng)急演練要突出實(shí)戰(zhàn)性，演練的具體項(xiàng)目不提前公布，演練時(shí)間不提前通知，完全模擬現(xiàn)實(shí)中發(fā)生突發(fā)事件，這樣才能真正檢驗(yàn)應(yīng)急響應(yīng)是否及時(shí)、有效。應(yīng)急演練結(jié)束后要對(duì)演練結(jié)果及時(shí)分析、總結(jié)，對(duì)不符合要求的部分進(jìn)行改進(jìn)，必要時(shí)應(yīng)修改預(yù)案中的條款和流程。

（2） 嚴(yán)格執(zhí)行應(yīng)急預(yù)案的全生命周期管理

應(yīng)急辦公室應(yīng)定期或不定期舉辦不同層次、不同類(lèi)型的培訓(xùn)班或研討會(huì)，以便不同崗位的應(yīng)急人員都能全面熟悉并掌握信息系統(tǒng)應(yīng)急處理的知識(shí)和技能。應(yīng)急預(yù)案由應(yīng)急辦公室負(fù)責(zé)組織有關(guān)部門(mén)每年進(jìn)行評(píng)審、更新。

（3）不斷完善災(zāi)備體系

個(gè)人信息安全問(wèn)題之所以達(dá)到目前的程度，跟個(gè)人信息安全保護(hù)意識(shí)普遍比較低也有很大關(guān)系。

容災(zāi)理念的發(fā)展經(jīng)歷過(guò)以下幾個(gè)階段：重要數(shù)據(jù)備份、主備中心容災(zāi)、雙中心容災(zāi)。雙中心容災(zāi)是生產(chǎn)中心和容災(zāi)中心均承擔(dān)生產(chǎn)任務(wù)，兩中心負(fù)荷分擔(dān)，互為容災(zāi)保護(hù)的運(yùn)營(yíng)模式，提高了容災(zāi)系統(tǒng)資源利用率，降低系統(tǒng)切換時(shí)間，減小災(zāi)難影響程度。要實(shí)現(xiàn)災(zāi)備技術(shù)方案從傳統(tǒng)的災(zāi)備方案向業(yè)務(wù)連續(xù)性方案的轉(zhuǎn)變，技術(shù)架構(gòu)要從傳統(tǒng)的主備切換模式向雙活模式轉(zhuǎn)變。

（4）加強(qiáng)虛擬化等方面的應(yīng)用

在符合相關(guān)標(biāo)準(zhǔn)的前提下，積極探索虛擬化在企業(yè)的應(yīng)用，推進(jìn)服務(wù)器虛擬化和桌面虛擬化等工作，尤其是服務(wù)器虛擬化。

（5）不斷完善災(zāi)備體系

英國(guó)業(yè)務(wù)持續(xù)協(xié)會(huì)BCI定義了業(yè)務(wù)連續(xù)性管理的范圍包括風(fēng)險(xiǎn)管理、災(zāi)難恢復(fù)、緊急事件管理、安全管理、知識(shí)管理、危機(jī)通信和公共關(guān)系、設(shè)施管理、供應(yīng)鏈管理、質(zhì)量管理、健康和人身安全等十個(gè)領(lǐng)域的內(nèi)容。業(yè)務(wù)連續(xù)性管理所涉及的范圍不僅僅限于上面所列出的十個(gè)部分，其核心是保障企業(yè)業(yè)務(wù)持續(xù)運(yùn)行，業(yè)務(wù)連續(xù)性管理是一個(gè)開(kāi)放的框架，任何與此有關(guān)的領(lǐng)域都可以是其組成部分。

4 結(jié)束語(yǔ)

隨著大家對(duì)業(yè)務(wù)連續(xù)性管理的認(rèn)識(shí)不斷深入，業(yè)務(wù)連續(xù)性管理必將越來(lái)越受重視。針對(duì)涉密信息系統(tǒng)業(yè)務(wù)連續(xù)性管理目前存在的問(wèn)題，只要我們認(rèn)真研究，不斷改進(jìn)，涉密信息系統(tǒng)業(yè)務(wù)連續(xù)性管理一定會(huì)上新臺(tái)階。

[1]丁輝.企業(yè)安全管理和業(yè)務(wù)連續(xù)性管理[J].中國(guó)標(biāo)準(zhǔn)化，2006.

[2]魏軍，趙海.全面認(rèn)識(shí)業(yè)務(wù)連續(xù)性管理體系[J].質(zhì)量與認(rèn)證，2014.

[3]田長(zhǎng)星.建立運(yùn)維規(guī)范標(biāo)準(zhǔn)，保障業(yè)務(wù)連續(xù)性[J].金融電子化，2014.

[4]秦挺鑫.業(yè)務(wù)連續(xù)性管理標(biāo)準(zhǔn)化的動(dòng)向以及我國(guó)的工作進(jìn)展[J].標(biāo)準(zhǔn)科學(xué)，2015.

[5]秦挺鑫，董曉媛，王金玉.業(yè)務(wù)連續(xù)性管理體系評(píng)價(jià)指標(biāo)體系研究[J].保標(biāo)準(zhǔn)科學(xué)，2014.