業(yè)務連續(xù)性管理是ISO27001標準中的一項安全控制目標，其目的是防止業(yè)務活動中斷，保護關鍵業(yè)務過程免受信息系統(tǒng)重大失誤或災難的影響，并確保它們的及時恢復

業(yè)務連續(xù)性管理起源于20世紀70年代的容災和恢復計劃，它的發(fā)展與計算機信息技術的發(fā)展密不可分。隨著信息技術的不斷發(fā)展，大量計算機系統(tǒng)應用于不同的企業(yè)業(yè)務流程，提高了企業(yè)的業(yè)務運行效率，從而使企業(yè)對信息系統(tǒng)的依賴度逐步上升。在這種情況下，企業(yè)對信息系統(tǒng)運作的穩(wěn)定性和可靠性提出了更高的要求。1995年，英國BSI在信息安全管理標準 BS7799（ISO27001的前身）中，建立了信息安全管理體系的模型，其中業(yè)務連續(xù)性管理（BCM）被作為一個重要部分包括在模型中，從而確立了業(yè)務連續(xù)性管理對于企業(yè)信息安全運營的重要地位。我國也于2014年1月正式發(fā)布了國家標準GB/T 30146《公共安全業(yè)務邊續(xù)性管理體系要求》，為如何建立和管控一個文件化的業(yè)務連續(xù)性管理體系指明了方向。

1 業(yè)務連續(xù)性管理的目標

業(yè)務連續(xù)性管理將找出對組織有潛在影響的威脅以及對組織業(yè)務正常運行可能存在的影響，制定有效響應措施保護組織的利益、信譽、品牌和創(chuàng)造價值的活動，并為組織提供建設健壯度框架的整體管理過程。通過此過程確保重要業(yè)務和流程具備以下三個方面的能力。

(1)高可用性：是指提供在本地故障情況下，能繼續(xù)訪問應用的能力。無論這個故障是業(yè)務流程、物理設施、IT 軟/ 硬件的故障。

(2)連續(xù)操作:是指當所有設備無故障時保持業(yè)務連續(xù)運行的能力。

(3)災難恢復:是指當災難破壞系統(tǒng)中心時在不同的地點恢復數據的能力。

2 業(yè)務連續(xù)性管理運作方式

根據業(yè)務連續(xù)性管理目標可以知道業(yè)務連續(xù)性管理是一項綜合管理流程，它包括組織在面臨災難時對業(yè)務活動的恢復和連續(xù)性的管理，以及為保證業(yè)務連續(xù)性的切合適宜所進行的培訓、演練和評審等涵蓋整個方案的管理。但究其核心則是業(yè)務連續(xù)性計劃的制定和實施。普洱供電局分六個階段開展了業(yè)務連續(xù)性管理，主要包括啟動項目、業(yè)務影響分析、確定恢復策略、編制業(yè)務連續(xù)性計劃、測試與演練計劃、維護與更新計劃等六個階段

1 項目初始化此階段主要為項目實施進行資源準備，需要明確項目實施管控的組織機構和人員責任。普洱供電局成立了相應的信息安全工作領導小組，明確了各小組成員的工作職責，當發(fā)生影響業(yè)務連續(xù)運作的危機時，領導小組作為危機管理組織，集中應對處理危機，確保業(yè)務系統(tǒng)快速恢復。

2 業(yè)務影響分析業(yè)務影響分析主要對可能引起業(yè)務過程中斷的事件（如:設備故障、火災、電力中斷、地震等），以及每一個中斷對普洱供電局產生的影響（如:中斷引起的損害、恢復與替換的費用，以及業(yè)務中斷所造成的損失）進行分析，對于可能造成關鍵業(yè)務活動中斷小于等于可接受業(yè)務中斷時間的災難與安全失效進行分析；對影響關鍵業(yè)務活動中斷小于等于可接受業(yè)務中斷時間的災難與安全失效等威脅發(fā)生可能性（P）和業(yè)務影響程度級別（B）兩方面進行分析。

3 確定恢復策略信息安全工作領導小 組根 據分析結果，從災難的影響程度、發(fā)生可能性、制作實施業(yè)務連續(xù)性計劃和災難恢復計劃成本等因素進行綜合考慮，決定對于哪些災難與安全失效制定實施業(yè)務連續(xù)性計劃；接受哪些災難和安全失效；對哪些災難和安全失效采取日常控制措施或其它方法（如: 保險、與客戶/ 供應商/ 相關組織分擔風險等）降低業(yè)務中斷可能造成的損失，從而確定相關業(yè)務系統(tǒng)的恢復等級和可容忍系統(tǒng)中斷時間（R T O）及可容忍數據丟失量（RPO），從業(yè)務系統(tǒng)恢復等級指標可以看出，業(yè)務恢復等級最高的是生產業(yè)務管理系統(tǒng)。

4 編制業(yè)務連續(xù)性計劃：根據已確定的業(yè)務連續(xù)性指標，找出關鍵設備和關鍵數據，編制應急策略，確保在恢復時間目標范圍內完成恢復。根據業(yè)務連續(xù)計劃和災難恢復計劃的目標。

5 測試與演練計劃：對于業(yè)務連續(xù)性計劃的測試與演練，普洱供電局結合網絡與信息安全應急預案管理要求，確定每年對其進行一次演練，通過演練來檢測業(yè)務連續(xù)性計劃對災難的應對成效。另外，在業(yè)務環(huán)境發(fā)生重大變更時，應對業(yè)務連續(xù)性計劃的可用性和服務連續(xù)性進行測試，確保業(yè)務連續(xù)性計劃的適用性

6 維護與更新計劃：對演練的結果進行記錄和評估，找出業(yè)務連續(xù)性計劃存在的問題，并制定新的措施以維持其連續(xù)性能力。

3 業(yè)務連續(xù)性管理成果

依據信息安全管理體系的標準要求，開展了業(yè)務連續(xù)性管理工作，通過業(yè)務連續(xù)性管理的實施，可以得到了以下幾項結果。

（1)用于防范危害的評測指標。

（2)發(fā)生危害時，有明確的人員知道如何處理各種危害事件。

（3)用于應對災難的應對計劃，提供危險發(fā)生時的操作流程。

      在企業(yè)的業(yè)務連續(xù)性管理中，最大的威脅主要來源于業(yè)務運行過程中因人為誤操作、設備或流缺陷等事件帶來的威脅。雖然這些危害的影響力遠不如地震、火災等重大災難，但是它們卻時刻潛伏在周圍，隨時會對企業(yè)造成致命的打擊。這類危害在演變成災難前都是可以通過相應的管控手段加以管控的，所以本人認為，對于業(yè)務連續(xù)性管理的管控重點，應集中到事件發(fā)生前的預防階段，通過加強預防控制，提升業(yè)務連續(xù)性運行能力。

4 完善業(yè)務連續(xù)性管理

加強業(yè)務連續(xù)性管理，可以幫助企業(yè)建立一套有效應對威脅的自我恢復能力體系，確保災難發(fā)生時關鍵業(yè)務的連續(xù)服務能力。但對于業(yè)務連續(xù)性管理，應加強預防階段的管控，從而降低災難事件發(fā)生的可能性，提升業(yè)務連續(xù)性。對于預防階段的業(yè)務連續(xù)性管理，主要應加強IT系統(tǒng)及IT服務的業(yè)務連續(xù)管理。

      1.IT系統(tǒng)的業(yè)務連續(xù)性管理：IT系統(tǒng)的業(yè)務連續(xù)性管理主要包含對 IT 軟、硬件的連續(xù)性安全管控。其管控重點內容如下。

(1)明確硬件設備巡視內容及評價標準、硬件性能測試方法及評價標準，并在日常運營中嚴格執(zhí)行。

(2)對硬件設備的運行周期進行密切跟蹤，做好維護記錄并定期進行分析，對于關鍵核心設備應做好備品備件管理。

(3)采用身份簽別及訪問控制方式加強系統(tǒng)硬件設備的安全管理，并做好日志審計。

(4)明確各類軟件的性能檢測方法，并做好性能監(jiān)測工作。

(5)對各類軟件的運行數據進行定期備份，并做好存儲管理。

(6)加強各類軟件的身份認證及訪問控制管理，并做好運行日志審計。(7)對IT軟、硬件的運行環(huán)境做好安全監(jiān)控管理工作。

      2.IT服務的業(yè)務連續(xù)性管理：IT服務的業(yè)務連續(xù)性管理主要包含對 IT 技術及人員的安全管控。其管控重點內容如下。

(1)積極引進新技術，改善業(yè)務系統(tǒng)的應用功能，提升其可用性。

(2)選擇資質良好的第三方技術支持服務商，將其作為加強業(yè)務系統(tǒng)運行能力的技術支持力量。

(3)加強員工安全培訓，提升員工安全意識，提高員工對業(yè)務系統(tǒng)的使用操作能力。

(4)加強IT專業(yè)人員的技術培訓，提升專業(yè)人員的技術水平，提高專業(yè)人員對業(yè)務系統(tǒng)的運維能力。

(5)加強業(yè)務系統(tǒng)應急處置演練，提升各級人員在應急狀況下的應急處置能力。

從IT系統(tǒng)和IT服務的連續(xù)性管理內容可以看出這些工作都是企業(yè)信息管理部門的日常運營工作，這也恰好印證了企業(yè)信息管理部門的服務宗旨：深化信息化應用，確保網絡與信息系統(tǒng)的可靠、穩(wěn)定運行。所以對于業(yè)務連續(xù)性管理工作，我們需要從日常工作抓起，在日常工作中做好對設備、系統(tǒng)、人員的安全管理，最大限度地將設備及人為風險控制在源頭，預防此類災難事件的發(fā)生，從而確保各類業(yè)務系統(tǒng)的穩(wěn)定、可靠運行。業(yè)務連續(xù)性管理是企業(yè)運營的重要指標，確保業(yè)務信息系統(tǒng)的穩(wěn)定與可靠運行是實施業(yè)務連續(xù)性管理的目標。對于業(yè)務連續(xù)性管理，需要具備應對災難時有效而快速的恢復體系，確保各項業(yè)務的快速恢復；還需要加強日常運營安全管理，通過控制設備及人為風險因素災難事件的預防管理，降低此類災難事件的發(fā)生概率，這對保障企業(yè)各類業(yè)務的連續(xù)性有著非常重要的作用。