龙源期刊网 http://www.qikan.com.cn
通过ISO27001加强企业业务连续性管理
作者:吴秋玫 姚莉 杨鸥 车勇波 丁东 来源:《科技创新导报》2015年第26期
摘 要:业务连性管理是ISO27001标准中的一项安全控制目标,其目的是防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保它们的及时恢复。该文作者就普洱供电局信息安全管理体系建设过程中所采用的业务连续性管理运作方式,对业务连续性管理的实施过程进行了梳理,并依据普洱供电局业务连续性管理成果,从IT系统和IT服务两个方面对如何加强业务连续管理进行了阐述。
关键词:信息安全管理 业务连续性 运作方式 管理内容
中图分类号:TP393108 文献标识码:A 文章编号:1674-098X(2015)09(b)-0186-02 Strengthening Enterprise Business Continuity Management by ISO27001 Wu Qiumei Yao Li Yang Ou Che Yong bo Ding Dong
(Yunnan Power Grid Co.,Ltd.Puer Power Supply Bureau,Puer Yunnan,665000,China) Abstract:The Business Continuity management is ISO27001 standard of a safety control target,its purpose is to prevent the effects of interruptions to business activities and to protect critical business processes from major failures of information systems or disasters,and ensure their timely recovery.Author Puer power supply bureau information security management system construction process in the business continuity management mode of operation,the implementation process of business continuity management carried out and Puer electric power supply bureau business
continuity management achievement basis,from two aspects of IT systems and IT services on how to strengthen the business continuity management are described.
Key Words:Information security management;Business continuity;Operation mode;Management content
业务连续性管理起源于20世纪70年代的容灾和恢复计划,它的发展与计算机信息技术的发展密不可分。随着信息技术的不断发展,大量计算机系统应用于不同的企业业务流程,提高了企业的业务运行效率,从而使企业对信息系统的依赖度逐步上升。在这种情况下,企业对信息系统运作的稳定性和可靠性提出了更高的要求。1995年,英国BSI在信息安全管理标准BS7799(ISO27001的前身)中,建立了信息安全管理体系的模型,其中业务连续性管理(BCM)被作为一个重要部分包括在模型中,从而确立了业务连续性管理对于企业信息安全运营的重要地位。我国也于2014年1月正式发布了国家标准GB/T 30146《公共安全 业务边续性管理体系 要求》,为如何建立和管控一个文件化的业务连续性管理体系指明了方向。
龙源期刊网 http://www.qikan.com.cn
1 业务连续性管理的目标
业务连续性管理将找出对组织有潜在影响的威胁以及对组织业务正常运行可能存在的影响,制定有效响应措施保护组织的利益、信誉、品牌和创造价值的活动,并为组织提供建设健壮度框架的整体管理过程。通过此过程确保重要业务和流程具备以下三个方面的能力。 (1)高可用性:是指提供在本地故障情况下,能继续访问应用的能力。无论这个故障是业务流程、物理设施、IT软/硬件的故障。
(2)连续操作:是指当所有设备无故障时保持业务连续运行的能力。 (3)灾难恢复:是指当灾难破坏系统中心时在不同的地点恢复数据的能力。
普洱供电局信息安全管理体系中业务连续性管理的目标是:防止普洱供电局各类信息业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保它们的及时恢复。 2 业务连续性管理运作方式
根据业务连续性管理目标可以知道业务连续性管理是一项综合管理流程,它包括组织在面临灾难时对业务活动的恢复和连续性的管理,以及为保证业务连续性的切合适宜所进行的培训、演练和评审等涵盖整个方案的管理。但究其核心则是业务连续性计划的制定和实施。普洱供电局分六个阶段开展了业务连续性管理,主要包括启动项目、业务影响分析、确定恢复策略、编制业务连续性计划、测试与演练计划、维护与更新计划等六个阶段。 2.1 项目初始化
此阶段主要为项目实施进行资源准备,需要明确项目实施管控的组织机构和人员责任。普洱供电局成立了相应的信息安全工作领导小组,明确了各小组成员的工作职责,当发生影响业务连续运作的危机时,领导小组作为危机管理组织,集中应对处理危机,确保业务系统快速恢复。
2.2 业务影响分析
业务影响分析主要对可能引起业务过程中断的事件(如:设备故障、火灾、电力中断、地震等),以及每一个中断对普洱供电局产生的影响(如:中断引起的损害、恢复与替换的费用,以及业务中断所造成的损失)进行分析,分析重大安全失效和灾难的发生将对普洱供电局业务产生的冲击和影响程度。然后根据影响程度的定性评估,确定关键业务活动的关键性级别、恢复目标时间以及普洱供电局可接受的业务中断时间。对于可能造成关键业务活动中断小于等于可接受业务中断时间的灾难与安全失效进行分析;对影响关键业务活动中断小于等于可接受业务中断时间的灾难与安全失效等威胁发生可能性(P)和业务影响程度级别(B)两方面进行分析。
龙源期刊网 http://www.qikan.com.cn
2.3 确定恢复策略
信息安全工作领导小组根据分析结果,从灾难的影响程度、发生可能性、制作实施业务连续性计划和灾难恢复计划成本等因素进行综合考虑,决定对于哪些灾难与安全失效制定实施业务连续性计划;接受哪些灾难和安全失效;对哪些灾难和安全失效采取日常控制措施或其它方法(如:保险、与客户/供应商/相关组织分担风险等)降低业务中断可能造成的损失,从而确定相关业务系统的恢复等级和可容忍系统中断时间(RTO)及可容忍数据丢失量(RPO),从业务系统恢复等级指标(表1),可以看出,业务恢复等级最高的是生产业务管理系统。 2.4 编制业务连续性计划
根据已确定的业务连续性指标,找出关键设备和关键数据,编制应急策略,确保在恢复时间目标范围内完成恢复。根据业务连续计划和灾难恢复计划的目标,普洱供电局信息安全工作领导小组决定将业务连续性通过《普洱供电局管理信息系统网络与信息安全应急预案》的管理来提高。
2.5 测试与演练计划
对于业务连续性计划的测试与演练,普洱供电局结合网络与信息安全应急预案管理要求,确定每年对其进行一次演练,通过演练来检测业务连续性计划对灾难的应对成效。另外,在业务环境发生重大变更时,应对业务连续性计划的可用性和服务连续性进行测试,确保业务连续性计划的适用性。 2.6 维护与更新计划
对演练的结果进行记录和评估,找出业务连续性计划存在的问题,并制定新的措施以维持其连续性能力。
3 普洱供电局业务连续性管理成果
普洱供电局依据信息安全管理体系的标准要求,开展了业务连续性管理工作,通过业务连续性管理的实施,得到了以下几项结果。 (1)用于防范危害的评测指标。
(2)发生危害时,有明确的人员知道如何处理各种危害事件。 (3)用于应对灾难的应对计划,提供危险发生时的操作流程。
从上述结果可以看出,普洱供电局业务连续性管理的重点是对灾难的应对,但从实际情况来看,在企业的业务连续性管理中,最大的威胁主要来源于业务运行过程中因人为误操作、设