526互联

17、业务连续性

发布时间 2023-07-14 08:51:20作者: Diligent_Maple

所有组织的基本关注点是业务连续性。组织需要在中断正常运营的紧急情况下执行基本功能,并在紧急情况结束后及时恢复正常运营。
ISO发布了一系列业务连续性管理标准,企业安全管理人员应该熟悉这些标准:
- ISO 22300:2021 - 安全和弹性(Security and resilience) — 词汇(Vocabulary):提供相关术语的词汇表。
- ISO 22301:2019 - 安全和弹性(Security and resilience) — 业务连续性管理系统(Business continuity management systems) — 要求(Requirements):指定设置和管理有效的业务连续性管理系统(Business continuity management systems,BCMS)的要求。
- ISO 22313:2020 - 安全和弹性(Security and resilience) — 业务连续性管理系统(Business continuity management systems) — ISO 22301使用指南(Guidance on the use of ISO 22301):在适当的情况下,根据ISO 22301中的要求提供指导,并提供与它们相关的建议和权限。
- ISO/TS 22317:2021 - 安全和弹性(Security and resilience) — 业务连续性管理系统(Business continuity management systems) — 业务影响分析指南(Guidelines for business impact analysis):提供进行业务影响分析(Business Impact Analysis,BIA)的指南。它为建立、实施和维护业务影响分析的正式的和文档化的过程提供指导,它适用于所有组织。
- ISO/TS 22318:2021 - 安全和弹性(Security and resilience) — 业务连续性管理系统(Business continuity management systems) — 供应链连续性管理指南(Guidelines for supply chain continuity management):以业务连续性原则管理工艺工商。它使组织能够指定和记录战略,以便更好地准备管理供应链连续性。
下图介绍了业务连续性管理(BCM)的关键概念。提供了实用的BCM三层模型,还改了治理和政策、准备以及运营。

下图提供了BCM在ISO 22301中主要元素之间的过程。

BCM可用于应各种灾害,包括自然灾害、建康和安全事故以及网络攻击的广泛领域。

一、业务连续性概念

下述基于ISO 22300的定义:
- 业务:业务是指组织为实现其目标、目的或使命而开展的运营和服务。
- 业务连续性:发生破坏性事件后,组织继续以可接受的预定义级别交付产品或服务的能力。业务连续性涵盖公司的所有业务,包括在系统受到威胁的情况下员工是如何工作的。
- 业务连续性管理:是一个整体管理过程。该过程能够识别组织面临的潜在威胁以及这些威胁可能对业务运营造成的影响,并为公司建立有效响应提供了弹性框架,以保护其关键利益相关者的利益、声誉、品牌和价值创造活动。
- 业务连续性管理系统:管理系统的一部分,用于建立、实施、运营、监控、审查、维护和改善业务连续性。管理系统包括组织结构、策略、计划活动、职责、流程、过程和资源。
- 业务连续性管理员:管理、涉及、监督和评估企业业务连续性能力的人,确保企业的关键职能在破坏性实践发生后仍能继续运行。
- 业务连续性计划:预先确定的指令或流程集的文档,描述在重大中断旗舰和中断之后如何维持组织的任务/业务过程。
- 业务连续性程序:由最高管理层支持并有适当的资源来实施和维护业务连续性管理的持续性管理和治理过程。

1.1 威胁

显然,尽可能防止运营和资源可用性遭到严重破坏并在必要时恢复的能力对每个组织非常重要。在考虑对连续性的广泛威胁时,规划业务连续性的也是十分重要的。这些威胁分为:自然威胁、系统问题、网络攻击和人为灾害。

1.2 运营中的业务连续性

实质上,业务连续性管理关注的是减轻灾害的影响。

上图基于ISO 22313绘制,说明了业务连续性管理中实现减轻灾害的两种方式。灰色曲线显示了具有业务连续性计划的恢复速度;黑色曲线显示了没有业务连续性计划的典型恢复速度。

1.3 业务连续性目标

企业执行业务连续性计划,以便将任何破坏性事件的后果降低到可管理水平。不同组织的连续性计划的具体目标可能有所不同,具体取决于其任务和职能、能力以及总体的连续性政策。

1.4 维持业务连续性的基本组件

组织的弹性与其业务连续性能力的有效性直接相关。组织的连续性功能依赖于以下关键组件,这些组件对维护业务性能至关重要:
- 管理:管理的连续性对确保基本功能的连续性至关重要。组织应制定详细的应急计划、明确的维持连续性权限的顺序关系,以便指定的备用人员在关键管理员不在时具有维持连续性所需的权限;
- 员工:对员工有两面方面要求。首先,应该对所有员工进行保持运行连续性(Continuity Of Operations,COOP )或恢复运营以应对意外中断的培训。其次,组织应制定垂直培训和交叉培训指南,以便员工根据需要在报告层级结构(reporting hierarchy)中承担层级以及上下层级的职能。
- ICT系统:中断侯的首要任务是保持内部和外部的通信。通信系统和技术应具有互操作性、稳健性和可靠性。组织应识别关键IT系统,并已测试并部署备份和滚动更新功能
- 建筑物和设备:该组件包括执行基本功能的建筑物、基本设备和公共设施。组织应具有单独的备份位置,当主要设施在某种程度上不可用时,管理和业务过程功能可在其中继续进行。

二、业务连续性程序

2.1 治理

业务连续性治理涉及建立和维护管理结构和过程,这些结构和过程提供了一个框架,用于维护业务连续性以应对重大安全事故和灾害。
建立管理框架的典型过程包括以下内容:
1. 与执行管理层会以确定业务连续性政策以及政策的短期目标和长期。
2. 高级管理层任命业务连续性主管和BCM指导委员会。
3. 业务连续性专家准备用于展示工作量和时间的业务/过程的工作图,以及项目计划。主要内容包括:
1. 识别主要的/关键的服务;
2. 确定BCM范围的例外情况;
3. 确定实施时间线(timeline)目标;
4. 执行管理层与所有董事和经理沟通将执行的业务连续性计划程序。
5. 部门负责人致力于业务连续性计划的长期目的。
6. 部门主管和经理任命联系人。
7. 业务连续性主管与部门主管和经理会面以讨论短期目标。

2.2 业务影响分析

NIST SP 800-34将业务影响分析(Business Impact Analysis,BIA)定义为对信息系统的要求、功能和相互依赖性的分析,用于表明系统应急需求和发生重大中断时的优先级,BIST有助于识别那些对组织的任务/业务过程至关重要的信息系统和组件并确定其优先级。
典型BIA包括以下几个步骤:
1. 清点关键业务要素,包括:
- 业务过程
- 信息系统/应用程序
- 资产
- 人员
- 供应商
2. 创建录入表以收集一致的信息,与整个业务的主要专家进行面谈,并从清单中获取信息;
3. 评估所有业务功能和过程并确定其优先级,包括它们之间的相互依赖关系;
4. 确定不受控制的非特定事件对机构的业务功能和过程造成业务中断的潜在影响;
5. 确定机构业务功能和过程的法律和监管要求;
6. 确定每个业务过程的最大容许停机时间(Maximum Tolerable Downtime,MTD);
7. 为每个业务过程计算合理的恢复时间目标(Recovery Time Objective,RTO)和恢复点目标(Recovery Point Objective,RPO)。MTD或RTO最短的过程是最关键的业务过程,需要获得高级管理层的同意
BIA的结果是确定时间敏感的流程以及在实体可接受的时间范围内恢复这些流程的要求。

2.3 风险评估

组织需要对每个关键的过程执行风险分析,识别存在的所有漏洞,确定缓解这些漏洞的步骤
从本质上讲,业务连续性风险评估解决了三个问题:什么可能出错?发生意外事件的可能性有多大?它会产生什么影响?风险评估的关键步骤如下:
1. 清点组织提供的基本功能。这些功能的中断会导致不可接受的业务影响。
2. 确定可能影响基本功能交付的威胁。这一步骤探索可能对组织履行其基本功能的能力产生不利影响的潜在自然事件、系统事件、故意和非故意的人为事件。
3. 制定连续性危害情景。在一组情境下执行所有这些评估步骤,每个情景都是特定威胁和组织基本功能的特有组合。在每个情景中,酌情考虑四个关键要素(管理、员工、ICT系统和设施)。情景风险评估包括以下步骤:
1. 确定评估风险所需的风险信息。描述评估每种情景所需的信息。对于每个信息项,指定所需信息类型、精度和确定性,以及可用的分析资源;
2. 评估风险。对于每种情景,评估威胁、漏洞和后果。
1. 威胁是尝试进行某类攻击的可能性,或是该情景发生的可能性;
2. 漏洞是攻击者成功使用特定攻击类型的可能性,或是该情景将导致的预期后果的级别;
3. 后果是特定攻击的潜在影响或该情景的负面影响;
4. 确定现有的保障措施/对策。对于每种情景,确定现有的安全措施,从而降低威胁的可能性或后果。

2.4 业务连续性政策

业务连续性政策是预防和恢复策略的概念性总结,必须在灾害发生到恢复正常运行期间运行。策略设计包括理解业务影响分析和风险评估期间收集的需求,以及有效地将其转化为可操作的策略。此外,它还包括考虑任何被提出的策略的成本/收益。
下图说明了管理层需要考虑的权衡类型。中断成本来自业务影响分析和风险评估。实施业务连续性的资源成本与此相反。通常,中断持续的时间越长,组织成本越高,但RTO越短,成本越高。

ISO 22301将业务连续性政策分为三步:确定和选择、资源需求以及保护和缓解。

2.4.1 确定和选择

制定业务连续性政策的第一步和业务连续性文件的第一部分,包括根据业务影响分析和风险评估确定可能的业务连续性政策。
ISO 22301提出了制定策略时需要考虑的三个方面:
- 保护优先的活动:对于被认为对有维持连续性有重要意义的活动,组织需要查看每项活动如何开展的一般策略。目标是确定一种降低活动风险的策略。
- 稳定、持续、重启和恢复优先活动及其依赖和支持资源:组织应提供更详细的选项,以便在业务连续性过程中管理每个优先活动。
- 减轻并应对影响:最后,组织制定策略,以遏制灾害对组织造成损害。

2.4.2 资源需求

资源需求类别的目标是确定实现每个业务连续性政策类别需要的资源。ISO 22301了出以下考虑类型:
- 人员:总要干活吧
- 信息和数据:估算维护关键信息资产的备份和冗余副本所需的资源;
- 建筑物、工作环境和相关公共设施:包括加固或保护资源的成本以及组织维护的任何备用或回退设施的成本。
- 设施、设备和消耗品:包括保护和提供荣誉的估算。
- ICT系统:估算保护ICT系统和提供冗余的资源。
- 运输:考虑在响应和恢复阶段移动设备和人员的可能性。
- 财务:确定选项以确保在时间发生期间获得所需的资金,以满足与响应和恢复相关的额外费用。
- 合作伙伴和供应商:说明合作伙伴和供应商需要做出哪些承诺以及组织的成本是多少。

2.4.3 保护和缓解

ISO 22301和ISO 22313都将保护和缓解作为制定策略的一部分。最好将此类别视为制定策略的最终阶段,即参与制定业务连续性政策的人员向管理层提交策略选项和建议以供反馈、选择和批准。通过提供的信息,管理层可以提供需求和组织的风险偏好评估成本/收益分析,以确定最佳策略。

三、业务连续性准备

业务连续性准备是指组织及其资产对中断事件进行响应、管理和恢复的能力。

3.1 意识

提高意识程序确保组织人员了解业务连续性的重要性,并了解他们在维持业务连续性方面的作用。一个组织应确保所有的员工都能在新员工的入职培训计划中了解这种意识。

3.2 培训

培训提供技能使领导和员工熟悉执行连续性计划时要执行的流程和任务。

3.3 弹性

企业的起初设施、资产和流程的恢复能力(称为信息系统弹性,Information System Resilience)提高了组织抵御破坏性事件并从中恢复的能力。
IBM白皮书《弹性基础设施:提高你的业务弹性》定义了业务弹性(business resilience)的要素。前三个主要是防御性的,是企业使用的常用策略和业务连续性管理的必要部分:
- 恢复:在发生灾难时提供安全、快速的异地数据恢复。
- 强化:强化全部或部分基础设施,使其不易受到自然灾害、员工错误或恶意行为的影响。
- 冗余:全部或部分基础设施的备份,以便在发生意外事件时提供及时的、有效的备份服务。

信息系统弹性:(1)在不利条件或压力下运作的能力,即使处于退化或衰弱的状态,同时保持必要的行动能力;(2)在符合特派团需要的时间框架内恢复到有效的行动态势。
业务弹性:在保持连续的业务操作和保护人员、资产和品牌质量的情况下,组织具有的必须快速适应中断的能力。业务弹性比灾难恢复更进一步,提供了灾后策略以避免代价高昂的停机、加固漏洞,并在面临额外的意外破坏时保持业务操作的连续性。

它还定义了三种超越传统弹性方法的进攻措施:
- 可访问:如果主要工作站点不可访问,可访问措施能使企业人员、合作伙伴和客户从其他位置访问基础设施。
- 多样化:为了降低单一灾害严重降低业务运营的可能性,多样化措施包括资源的物理分配以及各种通信路径的实施。
- 自动化:这是指在基础设施中包含自我管理的硬件和软件组件。这些产品在没有人为干预的情况下做出决策,或者至少绕过问题并提醒人员开始采取适当的行动。

3.4 控制选择

控制选择是选择与满足安全目标的资产和运营相关的具体措施。《ENISA IT 业务连续性管理:适用于中小型企业的方法》提供了两类综合控制:组织连续性控制和基于资产的连续性控制。
5种组织连续性控制39类控制措施,如下:
- 业务连续性管理:包括要求组织的业务策略定期纳入业务连续性考虑因素的控制措施;
- 业务连续性政策、计划和流程:要求组织拥有一套全面的、文档化的当前的业务连续性政策、计划和流程,并定期进行审查和更新;
- 测试业务连续性计划:整合安全控制措施,以完成连续性计划的测试模拟,以确保在实施时保持平稳运行;
- 维持业务连续性管理:包括要求员工了解其安全角色和职责的控制措施。应为所有人员提供安全意识、培训和定期提醒。
- 服务提供商/第三方业务连续性管理:包括在与外部组织合作时强制执行记录、监控和强制执行的流程、以保护组织的信息安全控制措施。
基于资产的连续性控制更为广泛,包括5组中种的92个控制措施:
- 硬件和网络:涵盖弹性、备份、冗余和恢复操作;
- 应用程序:涵盖弹性、备份和恢复操作;
- 数据:涵盖数据存储、数据备份和恢复操作;
- 人员:涵盖人身安全、意识和培训以及恢复行动;
- 设施:涵盖IT站点、环境安全、物理安全和恢复操作;
组织应使用业务影响分析和风险评估作为选择过程的输入,以确定每个控制的成本/收益,以便进行最佳选择。

3.5 业务连续性计划

业务连续性政策提供了企业业务连续性管理的总体视图,而业务连续性计划则为准备和响应破坏性事件建立了文档化的过程和资源
ISO 22301要求组织制定业务连续性计划或相互关联的业务连续性计划集。组织应建立文档化的流程,以响应破坏性事件,并确定如何在预定的事件范围内继续或恢复其活动,该计划或相关计划应满足计划用户的要求。ISO 22313提供了有关计划或相关计划制定的指南。
所有组织都没有单一的方法来开发和记录业务连续性流程,业务连续性最终目标是创建响应结构、警告和通信流程以及恢复计划,从而产生可重复、有效的响应和恢复过程,可在发生破坏性事件后立即调用和执行
《业务连续性管理指南》为涵盖业务连续性运营所有阶段的一系列计划的内容提供了有用的指导,包括概述文档、应急响应计划、危机管理计划和一组恢复和复原(Restoration)计划。

3.5.1 BCM计划概述

BCM概述是用于提供业务连续性准备和执行业务连续性运营的框架、政策、过程和总体策略的描述。概述文档没有提供处理中断具体指导,相反,它记录了组织的业务连续性方法。

3.5.2 应急响应计划

应急响应计划包括发生人员和资产保护的重大事故后应立即采取的行动。

3.5.3 危机管理计划

危机管理计划为启动应急响应后处理破坏性事件提供指导。这样的计划应该为迅速形成有组织的、系统的反应提供指导,以便保持某种程度的连续性。

3.5.4 恢复/复原(Restoration)计划

恢复和复原(Restoration)计划针对的是负责响应某些类型的中断或支持某些方面的恢复和复原的各个目标。目标是定义委会关键业务活动的流程和所需资源,并尽快恢复以重新正常运行。

3.6 演习和测试

演习(exercising)和测试(testing)对于组织在管理层规定的事件范围内验证其有效响应和恢复破坏性事件的能力至关重要。必须持续进行演习和测试,以应对员工流动以及设施、设备和威胁环境的变化。
ISO 22300将演习和测试定于如下:
- 演习:培训、评估、联系和提高组织效能的过程;
- 测试:评估流程;确定某事物的存在、质量或准确性的手段;
演习侧重于业务连续性计划,并尝试确认人员、流程和设备是否全部到位且处于准备好响应事件的状态。
测试更侧重于业务连续性的各个方面,并确保设备和流程保持恒定的准备状态,以支持连续性激活和运营。

3.6.1 演习

需要进行演习以确保组织业务连续性流程可靠。以下是复杂程度递增的演习类型:
- 研讨会演习(Seminar exercise)(或计划演练):将参与者分组,讨论具体问题的演习;
- 桌面演习(Tabletop exercise):一种便利演习,参与者可以作为个人或团体获得特定的角色;
- 简单演习(Simple exercise):计划排练可能发生的事故,旨在评估组织管理该事件的能力,提供机会改善组织的未来响应并提高相关人员的相关能力;
- 常规(Drill)演习:通常用于在一个机构内执行单个特定操作、流程或功能的协调和监督活动;
- 模拟(Simulation)演习:一组人员(通常代表控制中心或管理团队)对其他地方发生的模拟事件做出反应。
- 实况(live play)演习:尽可能安全地接近对真实事件的预期响应的锻炼活动。对于此练习的最全面形式(称为完全中断),操作在主站点关闭,并根据灾难恢复计划转移到恢复站点。
根据组织的规模和需求,管理层可以选择使用一种或多种情景的演习。负责人或组织者应确定一个或多个方案以指导演习参与者,并鼓励对业务连续性计划的使用、审查和反馈。

3.6.2 测试

测试的目标是通过验证一个或多个系统组件以及计划的可操作性来识别和解决业务连续性计划的缺陷。测试采用多种形式并实现多个目标。确保在尽可能类似运营环境的环境中进行。

3.6.3 演习或测试计划

演习和测试计划有BCP种定义的测试目标决定。每个单独的演习或测试计划应确定演习或测试目标的可量化测量措施。

3.7 性能评估

性能评估的主要内容是考核BCMS(BCMS的运营以及规划过程)与管理要求以及ISO 22301等标准中的要求一致性。ISO 22301包括三个关键性能评估要求:
- 建立、监控、分析、评估和更新指标,以定期评估BCMS的性能;
- 建立并维护内部审核过程,以确保BCMS符合管理层的期望和ISO 22301;
- 通过管理评审过程向程序发起人和其他高级管理层代表传达BCMS及其解决方案的性能,目标是优先考虑持续性改进机会;

3.7.1 性能指标

指标的反馈指导管理层优先持续改进和调整业务连续性流程。下表提供了一个可用于衡量组织满足连续性要求能力的指标列表。

3.7.2 内部审计

组织应为业务连续性实施内部审计过程,其目的是评估BCMS的性能。但这并不一定意味着内部审计部门需要或具有此任务。审核需要由独立于BCMS的知识渊博的人或团体执行,组织应扩大审计活动的深度和频率,并根据业务连续性的评估重要性进行评估。虽然审计活动和可交付成果的范围可能不同,但在所有情况下,它们必须对BCMS有效性的独立和客观评估。

3.7.3 管理评审

管理评审是业务连续性管理的重要部分。此类评审需要评估准备情况以及要求和标准的一致性。

四、业务连续性运营

业务连续性运营构成了业务连续性管理的基础。为了应对破坏性事件,业务连续性过程分为三个重叠节点进行:

1. 应急响应:专注于捕获和稳定事件;
2. 危机管理:专注于保护组织;
3. 业务恢复/复原:专注于快速重载和恢复关键业务过程;

4.1 应急响应

应急响应是对严重威胁系统运行的情况做出响应,旨在保护生命,限制财产损失,并最大限度地减少对系统运行的干扰。通常,应急响应的持续时间有限,一般为几分钟到几个小时。
安全事故的性质决定了参与应急响应的人员

4.2 危机管理

危机管理涉及确保在中断后立即提供过程、控制和资源,以确保企业继续提供其关键业务服务。通常,危机管理发生在数小时到数天的范围内。
危机管理团队需要快速做出反应。这应该是一个由十几个或更少的人组成的小组,他们可以轻松地相互协调。该团队必须包括有权在危机时期或紧急情况下提供公司领导和指导业务连续性活动的个人。

4.3 业务恢复/复原

业务恢复/复原(recovery/restoration)旨在使企业尽快恢复正常运营。通常,业务恢复/复原发生在数天到数周或甚至数月地范围内。业务恢复/复原可能涉及许多团队,具体取决于组织的规模和复杂程度,团队可能在功能或部门方面进行组织。
下图的过程爱输了安全事件管理、应急响应、危机管理和恢复/复原之间的关系。