CISP 笔记四:业务连续性
2446 字
12 分钟
CISP 笔记四:业务连续性
业务连续性管理
基本概念
- 业务连续性(BC):组织对事故和业务中断的规划和响应,是业务可能在预先定义的级别上持续运行的组织策略和战术上的能力
- 业务连续性管理(BCM):找出组织有潜在影响的威胁及其对组织业务运行的影响,通过有效响应措施保护组织的利益、信誉、品牌和创造价值的活动,并未组织提供建设恢复能力框架的整体管理过程
BCM与组织架构
- BCM应为业务战略服务
- BCM时风险管理框架的补充,主要考虑业务中断的影响
BCM生命周期
- 需求、组织和管理程序的确定
- 业务分析,确定关键业务流程和关键因素
- 制定业务连续性策略
- 开发并执行业务连续性计划(BCP)
- 意识培养和建立
- 计划演练
BCP(业务连续性计划)
一套基于业务运行规律的管理要求和规章流程,使一个组织在突发事件面前迅速做出反应,以确保关键业务功能可以持续。
特点
- 建立在风险评估之上
- 关注基础设施功能和资源减少或受限的情况下维持业务操作
- 应成为组织管理文化的一部分
过程
-
组织管理:
- 理解业务组织
- 建立团队
- 评估资源
- 合规性
-
业务影响分析:
- 确定业务优先级:
- 业务所需资源的相互关系
- 对外部组织或其他方的依赖
- 业务中断的影响和最大允许中断时间(MTD)
- 恢复时间目标(RTO)< MTD
- 风险分析:
- 威胁
- 可能性
- 影响
- 资产优先级划分
- 确定业务优先级:
-
制定及批准实施:
- 风险处置:
- 降低:
- 预防性措施优于反应性策略
- 人员冗余
- 信息系统基础设施:保护性措施
- 转移(财务风险):外包等
- 规避:避免使用高风险的服务或业务功能
- 接受:权衡采取措施的收益和成本
- 主动接受:低风险漏洞等
- 被动接受:解决风险的成本过高
- 降低:
- 文档化:内容包括
- 目标(细化)
- 职责声明:相关人员职责
- 优先级声明
- 风险评估
- BCP策略
- 关键业务记录计划
- 应急响应的指导原则
- 测试与演练
- 风险处置:
-
评估及维护:
- 向高层汇报并获取计划的批准
- 培训和教育(组织文化的一部分)
- 动态性:定期讨论、复审、测试并进行更新
信息安全应急响应
信息安全事件
- 对信息系统造成危害的事件
- 在信息系统内发生的对社会造成负面影响的事件(舆情)
应急响应
组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施
信息安全事件分类分级(GB/Z20986-2007)
分类
- 有害程序(勒索病毒等)
- 网络攻击
- 信息破坏
- 信息内容安全
- 设备设施故障
- 灾害性事件
- 其他信息安全事件
分级
参考要素
- 重要程度:特别重要、重要、一般
- 系统损失:特别严重、严重、较大、较小
- 社会影响:特别重大、重大、较大、一般
GB/Z 20986-2007
- 特别重大事件
- 重大事件
- 较大事件
- 一般事件
组织
- 国际:CERT/CC
- 国家:CNCERT/CC
- 组织:
- 领导组
- 技术保障组
- 专家组
- 实施组
- 日常运行组
应急预案
针对可能发生的重大网络与信息系统突发事件,预先制定行动计划和应急对策
编制
- 基于风险评估
- 描述需要的技术能力
- 详细程度和灵活程度取得平衡
- 对不熟悉计划的人员提供快捷明确的指导
格式
参考《国家网络安全事件应急预案》
应急演练与演习
方式
- 桌面演练
- 模拟演练
- 实战演练
深度
- 数据级别
- 应用级别
- 业务级别
操作流程
- 应急事件通报
- 确定事件优先级
- 应急响应启动实施
- 应急响应事件后期运维
- 更新现有应急预案
应急响应6阶段
-
准备:
- 目标:
- 确定重要资产和风险,实施风险防护措施
- 编制和管理(测试、培训演练和维护)应急响应计划
- 建立、训练响应组织和准备相关资源
- 目标:
-
检测:判断情况
- 目标
- 检测并确认事件发生
- 确定事件性质和影响
- 工作内容
- 监测、报告和信息收集
- 确定事件类别和级别
- 指定事件处理人、初步响应
- 评估影响范围
- 事件通告(通报、上报、披露)
- 目标
-
遏制:防止事态扩大
- 目标:限制事件影响范围和损失
- 工作内容
- 启动应急响应计划
- 确定适当的响应方式
- 实施遏制行动
- 要求用户按照应急响应规范要求配合遏制工作
-
根除:彻底的补救措施
- 目标:避免问题再次发生的长期补救措施
- 内容
- 详细分析确定原因
- 实施补救措施
-
恢复:系统恢复常态
-
跟踪总结:防止二次发生
- 目标:回顾并汇总
- 内容:
- 关注系统恢复以后的安全状况,记录跟踪结果
- 评估损失、响应措施效果
- 分析和总结经验教训
- 重新评估和修改安全策略、措施和应急响应计划
- 对进入司法程序的事件,进一步调查,打击违法犯罪活动
- 编制并提交应急响应报告
计算机取证
使用先进的技术工具,按照标准规程全面检查计算机系统,提取和保护有关计算机犯罪的相关证据的活动
原则
- 合法原则
- 充分授权原则
- 优先保护证据原则
- 全程监督原则
流程
- 准备
- 保护
- 提取
- 分析
- 提交:必须与现实取证结合(电子证据只能作为间接证据)
灾难备份与恢复
概念
保证关键业务和应用在经历各种灾难后,仍能最大限度提供正常服务所进行的一系列系统计划以及建设行为,目的为确保关键业务持续运行以及减少非计划宕机时间
灾难恢复计划(DRP)
定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件,用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能
恢复点目标RPO
- 灾难发生后,系统和数据必须恢复到的时间点要求
- 代表当灾难发生时允许丢失的数据量
恢复时间目标RTO
- 灾难发生后,系统和业务功能从停顿到必须恢复的时间要求
- 代表企业能容忍的信息系统和业务功能恢复的时间
灾备组织
领导组、规划实施组、日常运行组
政策和相关标准
- 国务院27号文
- 重要信息系统灾难恢复指南
- GB/T 20988-2007《信息系统灾难恢复规范》:灾难恢复工作流程、方案设计、预案、演练
- GB/T 30285-2013《灾难恢复中心建设与运维管理规范》:灾备中心建设的全生命周期、运维工作
相关技术
设备
- 直接附加存储(DAS):单服务器外挂存储
- 区域存储网络(SAN):专用存储设备、光纤FC连接,使用FC交换机建立专用数据存储网络
- 网络附加存储(NAS):独立存储服务器、网络传输
备份方式
- 完全备份:每次备份当前所有数据、备份慢、存储占用大
- 差量备份:备份当前数据与上次完全备份有差异的部分、中等
- 增量备份:备份与上次备份有差异的部分、备份快、存储占用小
RAID
- 0(条带):性能高、无容错
- 1(镜像):1:1镜像
- 5(奇偶校验、条带化存储):需要3块+,1块(逻辑上)用于校验、允许1块硬盘损坏
备用场所
- 冷站:只有场地
- 温站:场地、部分或所有硬件和软件
- 热站:场地、硬件、软件、数据(双活、多活机房)
国标
- 国际标准SHARE78:0~6级
- 《重要信息系统灾难恢复指南》:0~6级
- 1基本支持
- 2备用场地支持
- 3电子传输和部分设备支持
- 4电子传输及完整设备支持
- 5实施数据传输及完整设备支持
- 6数据零丢失和远程集群支持:RTO<30m,RPO=0
组织容灾策略构建
- 数据容灾
- 系统容灾
- 应用容灾
- 工作内容
容灾工作内容
需求分析
-
风险分析:
- 标识资产
- 标识威胁
- 标识脆弱性
- 标识现有控制
- 分析风险
-
业务影响分析(BIA):
- 分析业务功能和相关资源配置
- 评估中断影响
-
确定灾难恢复目标:
- 关键业务恢复顺序
- RPO、RTO
策略制定
- 确定灾难恢复资源获取方式
- 确定对灾难恢复资源的要求
策略实现
- 选择和建设灾难备份中心
- 实现灾难备份系统技术方案
- 实现专业技术支持能力
- 实现运行维护管理能力
预案制定和管理
- 制定灾难恢复预案
- 教育、培训和演练灾难恢复预案
- 更新维护灾难恢复预案
文章分享
如果这篇文章对你有帮助,欢迎分享给更多人!
CISP 笔记四:业务连续性
https://blog.cllll.link/posts/cisp-note-four/ 最后更新于 2026-03-26,距今已过 56 天
部分内容可能已过时
相关文章 智能推荐
1
CISP 笔记六:信息安全评估
技术教程 详细介绍安全评估基础、安全评估实施和信息系统审计,基于 CISP 认证考试内容整理。
2
CISP 笔记三:信息安全管理
技术教程 详细介绍信息安全管理基础、信息安全风险管理、信息安全管理体系建设、ISO27002最佳实践和信息安全管理体系度量,基于 CISP 认证考试内容整理。
3
CISP 笔记二:网络安全监管
技术教程 详细介绍网络安全法律体系建设、国家网络安全政策、网络安全道德准则、信息安全标准和等级保护制度,基于 CISP 认证考试内容整理。
4
CISP 笔记一:信息安全保障
技术教程 详细介绍信息安全保障的基础概念、框架和实践,基于 CISP 认证考试内容整理。
5
CISP 笔记七:信息安全支撑技术
技术教程 详细介绍密码学、身份鉴别和访问控制等信息安全支撑技术,基于 CISP 认证考试内容整理。
随机文章 随机推荐
Hello, World!
音乐
暂未播放
0:00 0:00
17
3
48
27,020
0 天
0 天前