学文网业务连续性管理体系的核心要素组成了三个层面的框架,具体的实施步骤不仅包括策略设计,还要考虑实施以及演练、测试及改进等具体环节。
实中引发信息安全问题的原因主要分为三类:
管理不善占62%;人才缺乏占20%;技术不足占15%。
从统计的结果来看,引发安全问题的主要原因第一位是管理不善,但企业解决所面临的信息安全往往是以技术第一,策略第二。
这就和前面的统计产生了矛盾,产生这种矛盾的原因是:企业应对信息漏洞的普遍规律是对内以管理为主,对外以技术为主,分界线非常清楚。人们普遍的意识是互联网有风险,那么通过建立局域网或者禁止上网来规避互联网带来的风险。所以企业和外部的接口非常明确,也可以通过技术来实现。但从另一个方面来说,外部的威胁又不可确定,外面的人做什么也不受企业约束,但内部员工的信息安全意识可以通过管理来提高,所以对内以管理为主。
同时,信息安全在技术的发展方面有久远的历史渊源。从企业信息化发展来看,刚开始的时候接触的是网站或者通过Email收发邮件。但发展到今天,内部管理系统已经非常多,只要公司能够提供足够的资源,就可以通过内部管理系统提高工作效率,同时互联网的威胁无处不在。即使是安装了杀毒软件,或者进行隔离,或者不允上网,系统内部或者互联网仍然可以带来威胁。所以信息安全管理体系非常重要,已经和业务上升到了同样的位置。
业务连续性也面临着严重的问题。导致信息安全事件的原因可能有:毒气、技术故障、地震、电力系统、爆炸、洪水等。那么就催生了另一个体系的诞生:BS25999―业务连续性(BCM)。业务连续性管理体系的核心要素组成了三个层面的框架。
第一层面:不仅仅要了解每个部门的权限和职责,也要考虑在事件发生时运用怎样的响应机制,灾难负责小组机制。
第二层面:在已经建立的框架下,进一步对业务连续性进行策划。包括策略、明确的范围目标。
第三层面:对业务影响进行分析,并明确能承受的最大的中断时间是什么以及恢复目标。并制定计划、演习、培训和改进等。
下***体现的是建立业务连续性管理的步骤,包括确立BCM业务范围、影响和风险分析、BCM策略、响应计划以及培训和维护。
建立业务连续性管理,主要是针对关键性业务的,这一点需要在确定范围的时候明确。在影响和分析时,需确定关键活动中断会影响到哪些业务和客户,还有最大的容忍时间是多少,恢复的目标是多少和风险分析、风险评估,最主要的目的是把风险降低。
在进行BCM策略设计时,需要明确业务的优先级,并确定实施目标的BCM方法。BCM策略不仅仅是给策略人员看的,更重要的是为实施人员在响应以及恢复时作为依据,所以一定要详细说明采用什么方法、级别、操作步骤。在制定响应计划时,需要制定明确的响应结构,规定响应流程。
当然仅仅有响应计划还不足够,更重要的是业务的计划,需要对响应计划进行演练、测试以及改进,以利于促进业务交付的能力。