信息系统应急管理体系研究
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统应急管理体系研究
本文以重点介绍业务连续性管理体系基本概念、发展历程,以及国内对业务连续性发展的误区。通过分析,总结出开展业务连续性建设的思路和方法,力求通过本文的描述,使读者对业务连续性管理体系有一个全面的认识。
【关键词】业务连续性管理(BCM)恢复时间点目标(RTO)恢复数据点目标(RPO)
随着信息系统的逐步增多和结构更加复杂化,信息安全工作的需求和重要性逐步凸现显出来,并日益受到高层领导的重视。为了保证整体信息安全,保障信息系统的可用性、完整性和保密性,防止信息泄密,保护企业的知识产权,维护企业核心利益,保障企业的业务连续性,开展业务连续性管理体系的建设工作就显得十分必要。
1 什么是业务连续性和业务连续性管理
业务连续性是指企业有应对风险、自动调整和快速反应的能力,以保证企业业务的连续运转。概括起来,业务连续性主要有一下三个方面的特性。
(1)高可用性(High Availability):提供在本地故障情况下,能继续访问应用的能力。无论这个故障是业务流程、物理设施,还是IT软硬件故障。
(2)连续操作(Continuous Opera-tions):当所有设备
无故障时保持业务连续运行的能力。用户不需要仅仅因为正常的备份或维护而需要停止应用的能力。
(3)灾难恢复(Disaster Recovery):当灾难破坏生产中心时,在不同的地点恢复数据的能力。
业务连续性管理(Business Continuity Management)是一项综合管理流程,目的是使企业认识到潜在的危机和相关影响,制订相应业务和使业务连续运转的计划,其总体目标在于提高企业的风险防范能力,有效地响应非计划的业务破坏并降低不良影响。
2 业务连续性管理的发展过程
业务连续性管理起源于上个世纪70年代,其发展历程大概经历了3个阶段,分别是:IT灾难恢复阶段、业务恢复阶段、业务连续性管理阶段。如图1所示。
3 业务连续性管理体系实施流程
为了使业务连续性管理工作能够做到有序进行,也务连续性建设过程中应遵照如下的流程进行。
3.1 应用需求分析
首先信息中心组织各信息系统相关各部门,对信息系统的业务连续性需求进行分析和判断,从系统恢复时间点目标(RTO)和数据恢复点目标(RPO)两个方面,分为财务损失和非财务损失进行分析,从各自的业务要求出发,对系统连续性的要求提出了指标。信息中心根据满足各时间段连续
运行和数据恢复的要求,进行建设成本估算,然后将业务要求和建设成本进行综合分析,确定各系统的RTO和RPO,作为制定容灾建设方案的基本参考指标。
3.2 系统容灾建设
根据业务需求分析的结果和建设成本的分析,制定切实可行的建设改造方案,并按照方案,对各信息系统进行改造和建设,以使其满足相关指标的要求。
3.3 制定应急预案
根据各系统的特点和所支撑业务情况,制定全面的应急预案,包括系统恢复预案、系统恢复前的业务连续运行预案、系统恢复后数据处理预案等,保证业务运行尽可能不受系统中断的影响或者将影响降到最低。
3.4 应急预案演练
应急预案完成后,根据业务情况,策划了应急预案的演练。模拟真实的环境,从各个层面检验应急预案的效果,已保证在真实灾难发生时,能够起到应有的作用。。
3.5 应急预案优化
应急预案演练后,对演练过程和演练结果进行总结,从可行性、适宜性等方面对应急演练进行评价,并进行了优化和改进。以使其能够持之以恒的满足公司的业务连续管理的需要。
4 总结
业务连续性管理体系建设工作完成后,整个体系主要为公司取得了以下2个方面的收益和好处。
4.1 增强企业应对各种灾难的能力
(1)预防了潜在的威胁带来的风险。
(2)保护人员的生命财产安全。
(3)使企业的业务中断和损失最小化。
(4)最大程度地减小了数据的丢失、收入的损失、客户的流失。
(5)增强了投资者、股东和消费者的信心。
(6)维护了企业的形象和信誉。
4.2 完善了公司的日常经营管理流程,提高了工作效率
(1)提高了企业的信誉和竞争力。
(2)增强企业的合规性,特别是对GB 22239-2008等级保护要求中对数据备份和应急管理的要求,最大程度的满足了上级机关的管控要求。
(3)有助于不断地发现业务运行中存在的问题。
(4)完善了管理措施,改善了业务流程,提高了工作效率。
参考文献
[1]ISO/IEC 27001:2013-信息安全管理国际标准[Z].2013.
[2]ISO/IEC 22301-国际标准和最佳实践.
[3]GB 22239-2008信息安全技术信息系统安全等级保护基本要求[Z].2008.
[4]国信办发布重要信息系统灾难备份与恢复指南[Z].2005.
[5]公安部发布信息安全技术信息系统灾难恢复规范(GB/T 20988-2007)[Z].2007(11).
作者单位
天帷信息技术(上海)股份有限公司上海市200070