中文字幕一区二区三区四区五区久久99精品久久久久久不卡中文字幕|蜜桃传媒在线观看中文字幕不卡的|精品人妻少妇一区二区大牛影视日韩中文字幕一区三区|精品国产91久久久久久果冻传媒91大神的片子|av毛片久久久久午夜福利hd|91凹凸视频|国产精品秘果冻传媒的特点|国产精品久久久久久无|亚洲伊人中文字幕|中文字幕在线精品中文字幕导入,成人字幕一区,亚洲国产极品尤物,国产清纯91

歡迎訪問北京卓越同舟咨詢有限公司!提供iso認(rèn)證,,質(zhì)量體系認(rèn)證,,售后服務(wù)認(rèn)證,,信息安全認(rèn)證,,業(yè)務(wù)連續(xù)性認(rèn)證,,食品安全體系認(rèn)證服務(wù),!
INFORMATION

資訊中心

學(xué)術(shù)專題

您當(dāng)前所在位置: 首頁 > 資訊中心 > 學(xué)術(shù)專題

通過ISO27001加強企業(yè)業(yè)務(wù)連續(xù)性管理

發(fā)布時間: 2021-04-07 04:07:05

業(yè)務(wù)連續(xù)性管理是ISO27001標(biāo)準(zhǔn)中的一項安全控制目標(biāo),,其目的是防止業(yè)務(wù)活動中斷,,保護關(guān)鍵業(yè)務(wù)過程免受信息系統(tǒng)重大失誤或災(zāi)難的影響,并確保它們的及時恢復(fù)

業(yè)務(wù)連續(xù)性.jpg

業(yè)務(wù)連續(xù)性管理起源于20世紀(jì)70年代的容災(zāi)和恢復(fù)計劃,,它的發(fā)展與計算機信息技術(shù)的發(fā)展密不可分,。隨著信息技術(shù)的不斷發(fā)展,,大量計算機系統(tǒng)應(yīng)用于不同的企業(yè)業(yè)務(wù)流程,提高了企業(yè)的業(yè)務(wù)運行效率,,從而使企業(yè)對信息系統(tǒng)的依賴度逐步上升,。在這種情況下,企業(yè)對信息系統(tǒng)運作的穩(wěn)定性和可靠性提出了更高的要求,。1995年,英國BSI在信息安全管理標(biāo)準(zhǔn) BS7799(ISO27001的前身)中,,建立了信息安全管理體系的模型,,其中業(yè)務(wù)連續(xù)性管理(BCM)被作為一個重要部分包括在模型中,從而確立了業(yè)務(wù)連續(xù)性管理對于企業(yè)信息安全運營的重要地位,。我國也于2014年1月正式發(fā)布了國家標(biāo)準(zhǔn)GB/T 30146《公共安全業(yè)務(wù)邊續(xù)性管理體系要求》,,為如何建立和管控一個文件化的業(yè)務(wù)連續(xù)性管理體系指明了方向。

1 業(yè)務(wù)連續(xù)性管理的目標(biāo)

業(yè)務(wù)連續(xù)性管理將找出對組織有潛在影響的威脅以及對組織業(yè)務(wù)正常運行可能存在的影響,,制定有效響應(yīng)措施保護組織的利益,、信譽、品牌和創(chuàng)造價值的活動,,并為組織提供建設(shè)健壯度框架的整體管理過程,。通過此過程確保重要業(yè)務(wù)和流程具備以下三個方面的能力。

(1)高可用性:是指提供在本地故障情況下,,能繼續(xù)訪問應(yīng)用的能力,。無論這個故障是業(yè)務(wù)流程、物理設(shè)施,、IT 軟/ 硬件的故障,。

(2)連續(xù)操作:是指當(dāng)所有設(shè)備無故障時保持業(yè)務(wù)連續(xù)運行的能力。

(3)災(zāi)難恢復(fù):是指當(dāng)災(zāi)難破壞系統(tǒng)中心時在不同的地點恢復(fù)數(shù)據(jù)的能力,。


2 業(yè)務(wù)連續(xù)性管理運作方式


根據(jù)業(yè)務(wù)連續(xù)性管理目標(biāo)可以知道業(yè)務(wù)連續(xù)性管理是一項綜合管理流程,,它包括組織在面臨災(zāi)難時對業(yè)務(wù)活動的恢復(fù)和連續(xù)性的管理,以及為保證業(yè)務(wù)連續(xù)性的切合適宜所進(jìn)行的培訓(xùn),、演練和評審等涵蓋整個方案的管理,。但究其核心則是業(yè)務(wù)連續(xù)性計劃的制定和實施。普洱供電局分六個階段開展了業(yè)務(wù)連續(xù)性管理,,主要包括啟動項目,、業(yè)務(wù)影響分析、確定恢復(fù)策略,、編制業(yè)務(wù)連續(xù)性計劃,、測試與演練計劃、維護與更新計劃等六個階段


1 項目初始化此階段主要為項目實施進(jìn)行資源準(zhǔn)備,,需要明確項目實施管控的組織機構(gòu)和人員責(zé)任,。普洱供電局成立了相應(yīng)的信息安全工作領(lǐng)導(dǎo)小組,明確了各小組成員的工作職責(zé),當(dāng)發(fā)生影響業(yè)務(wù)連續(xù)運作的危機時,,領(lǐng)導(dǎo)小組作為危機管理組織,,集中應(yīng)對處理危機,確保業(yè)務(wù)系統(tǒng)快速恢復(fù),。

2 業(yè)務(wù)影響分析業(yè)務(wù)影響分析主要對可能引起業(yè)務(wù)過程中斷的事件(如:設(shè)備故障,、火災(zāi)、電力中斷,、地震等),,以及每一個中斷對普洱供電局產(chǎn)生的影響(如:中斷引起的損害、恢復(fù)與替換的費用,,以及業(yè)務(wù)中斷所造成的損失)進(jìn)行分析,,對于可能造成關(guān)鍵業(yè)務(wù)活動中斷小于等于可接受業(yè)務(wù)中斷時間的災(zāi)難與安全失效進(jìn)行分析;對影響關(guān)鍵業(yè)務(wù)活動中斷小于等于可接受業(yè)務(wù)中斷時間的災(zāi)難與安全失效等威脅發(fā)生可能性(P)和業(yè)務(wù)影響程度級別(B)兩方面進(jìn)行分析,。

3 確定恢復(fù)策略信息安全工作領(lǐng)導(dǎo)小 組根 據(jù)分析結(jié)果,,從災(zāi)難的影響程度、發(fā)生可能性,、制作實施業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)計劃成本等因素進(jìn)行綜合考慮,,決定對于哪些災(zāi)難與安全失效制定實施業(yè)務(wù)連續(xù)性計劃;接受哪些災(zāi)難和安全失效,;對哪些災(zāi)難和安全失效采取日??刂拼胧┗蚱渌椒ǎㄈ?/span>: 保險、與客戶/ 供應(yīng)商/ 相關(guān)組織分擔(dān)風(fēng)險等)降低業(yè)務(wù)中斷可能造成的損失,,從而確定相關(guān)業(yè)務(wù)系統(tǒng)的恢復(fù)等級和可容忍系統(tǒng)中斷時間(R T O)及可容忍數(shù)據(jù)丟失量(RPO),,從業(yè)務(wù)系統(tǒng)恢復(fù)等級指標(biāo)可以看出,業(yè)務(wù)恢復(fù)等級最高的是生產(chǎn)業(yè)務(wù)管理系統(tǒng),。

4 編制業(yè)務(wù)連續(xù)性計劃:根據(jù)已確定的業(yè)務(wù)連續(xù)性指標(biāo),,找出關(guān)鍵設(shè)備和關(guān)鍵數(shù)據(jù),編制應(yīng)急策略,,確保在恢復(fù)時間目標(biāo)范圍內(nèi)完成恢復(fù),。根據(jù)業(yè)務(wù)連續(xù)計劃和災(zāi)難恢復(fù)計劃的目標(biāo)。

5 測試與演練計劃:對于業(yè)務(wù)連續(xù)性計劃的測試與演練,,普洱供電局結(jié)合網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案管理要求,,確定每年對其進(jìn)行一次演練,通過演練來檢測業(yè)務(wù)連續(xù)性計劃對災(zāi)難的應(yīng)對成效,。另外,,在業(yè)務(wù)環(huán)境發(fā)生重大變更時,應(yīng)對業(yè)務(wù)連續(xù)性計劃的可用性和服務(wù)連續(xù)性進(jìn)行測試,,確保業(yè)務(wù)連續(xù)性計劃的適用性

6 維護與更新計劃:對演練的結(jié)果進(jìn)行記錄和評估,,找出業(yè)務(wù)連續(xù)性計劃存在的問題,,并制定新的措施以維持其連續(xù)性能力。


3 業(yè)務(wù)連續(xù)性管理成果


依據(jù)信息安全管理體系的標(biāo)準(zhǔn)要求,,開展了業(yè)務(wù)連續(xù)性管理工作,,通過業(yè)務(wù)連續(xù)性管理的實施,可以得到了以下幾項結(jié)果,。

(1)用于防范危害的評測指標(biāo),。

(2)發(fā)生危害時,有明確的人員知道如何處理各種危害事件,。

(3)用于應(yīng)對災(zāi)難的應(yīng)對計劃,,提供危險發(fā)生時的操作流程。

      在企業(yè)的業(yè)務(wù)連續(xù)性管理中,,最大的威脅主要來源于業(yè)務(wù)運行過程中因人為誤操作,、設(shè)備或流缺陷等事件帶來的威脅,。雖然這些危害的影響力遠(yuǎn)不如地震,、火災(zāi)等重大災(zāi)難,但是它們卻時刻潛伏在周圍,,隨時會對企業(yè)造成致命的打擊,。這類危害在演變成災(zāi)難前都是可以通過相應(yīng)的管控手段加以管控的,所以本人認(rèn)為,,對于業(yè)務(wù)連續(xù)性管理的管控重點,,應(yīng)集中到事件發(fā)生前的預(yù)防階段,通過加強預(yù)防控制,,提升業(yè)務(wù)連續(xù)性運行能力,。


4 完善業(yè)務(wù)連續(xù)性管理


加強業(yè)務(wù)連續(xù)性管理,可以幫助企業(yè)建立一套有效應(yīng)對威脅的自我恢復(fù)能力體系,,確保災(zāi)難發(fā)生時關(guān)鍵業(yè)務(wù)的連續(xù)服務(wù)能力,。但對于業(yè)務(wù)連續(xù)性管理,應(yīng)加強預(yù)防階段的管控,,從而降低災(zāi)難事件發(fā)生的可能性,,提升業(yè)務(wù)連續(xù)性。對于預(yù)防階段的業(yè)務(wù)連續(xù)性管理,,主要應(yīng)加強IT系統(tǒng)及IT服務(wù)的業(yè)務(wù)連續(xù)管理,。

      1.IT系統(tǒng)的業(yè)務(wù)連續(xù)性管理IT系統(tǒng)的業(yè)務(wù)連續(xù)性管理主要包含對 IT 軟、硬件的連續(xù)性安全管控,。其管控重點內(nèi)容如下,。

(1)明確硬件設(shè)備巡視內(nèi)容及評價標(biāo)準(zhǔn)、硬件性能測試方法及評價標(biāo)準(zhǔn),,并在日常運營中嚴(yán)格執(zhí)行,。

(2)對硬件設(shè)備的運行周期進(jìn)行密切跟蹤,,做好維護記錄并定期進(jìn)行分析,對于關(guān)鍵核心設(shè)備應(yīng)做好備品備件管理,。

(3)采用身份簽別及訪問控制方式加強系統(tǒng)硬件設(shè)備的安全管理,,并做好日志審計。

(4)明確各類軟件的性能檢測方法,,并做好性能監(jiān)測工作,。

(5)對各類軟件的運行數(shù)據(jù)進(jìn)行定期備份,并做好存儲管理,。

(6)加強各類軟件的身份認(rèn)證及訪問控制管理,,并做好運行日志審計。(7)對IT軟,、硬件的運行環(huán)境做好安全監(jiān)控管理工作,。

      2.IT服務(wù)的業(yè)務(wù)連續(xù)性管理IT服務(wù)的業(yè)務(wù)連續(xù)性管理主要包含對 IT 技術(shù)及人員的安全管控。其管控重點內(nèi)容如下,。

(1)積極引進(jìn)新技術(shù),,改善業(yè)務(wù)系統(tǒng)的應(yīng)用功能,提升其可用性,。

(2)選擇資質(zhì)良好的第三方技術(shù)支持服務(wù)商,,將其作為加強業(yè)務(wù)系統(tǒng)運行能力的技術(shù)支持力量。

(3)加強員工安全培訓(xùn),,提升員工安全意識,,提高員工對業(yè)務(wù)系統(tǒng)的使用操作能力。

(4)加強IT專業(yè)人員的技術(shù)培訓(xùn),,提升專業(yè)人員的技術(shù)水平,,提高專業(yè)人員對業(yè)務(wù)系統(tǒng)的運維能力。

(5)加強業(yè)務(wù)系統(tǒng)應(yīng)急處置演練,,提升各級人員在應(yīng)急狀況下的應(yīng)急處置能力,。

從IT系統(tǒng)和IT服務(wù)的連續(xù)性管理內(nèi)容可以看出這些工作都是企業(yè)信息管理部門的日常運營工作,這也恰好印證了企業(yè)信息管理部門的服務(wù)宗旨:深化信息化應(yīng)用,,確保網(wǎng)絡(luò)與信息系統(tǒng)的可靠,、穩(wěn)定運行。所以對于業(yè)務(wù)連續(xù)性管理工作,,我們需要從日常工作抓起,,在日常工作中做好對設(shè)備、系統(tǒng),、人員的安全管理,,最大限度地將設(shè)備及人為風(fēng)險控制在源頭,預(yù)防此類災(zāi)難事件的發(fā)生,,從而確保各類業(yè)務(wù)系統(tǒng)的穩(wěn)定,、可靠運行,。業(yè)務(wù)連續(xù)性管理是企業(yè)運營的重要指標(biāo),確保業(yè)務(wù)信息系統(tǒng)的穩(wěn)定與可靠運行是實施業(yè)務(wù)連續(xù)性管理的目標(biāo),。對于業(yè)務(wù)連續(xù)性管理,,需要具備應(yīng)對災(zāi)難時有效而快速的恢復(fù)體系,確保各項業(yè)務(wù)的快速恢復(fù),;還需要加強日常運營安全管理,,通過控制設(shè)備及人為風(fēng)險因素災(zāi)難事件的預(yù)防管理,降低此類災(zāi)難事件的發(fā)生概率,,這對保障企業(yè)各類業(yè)務(wù)的連續(xù)性有著非常重要的作用,。

 


關(guān)注卓越空間

關(guān)注卓越空間

關(guān)注卓越微博

關(guān)注卓越微博

關(guān)注卓越微信

關(guān)注卓越微信

公司地址:北京市通州區(qū)磚廠北里154號金隅創(chuàng)客+905室  郵編:101121 電話::  傳真::010-56542750   京ICP備12042316號-1
市場部::[email protected] 網(wǎng)站運營部::[email protected]提供iso認(rèn)證,質(zhì)量體系認(rèn)證,,售后服務(wù)認(rèn)證,,信息安全認(rèn)證,業(yè)務(wù)連續(xù)性認(rèn)證,,食品安全體系認(rèn)證服務(wù),!