新钛云服已为您服务1452天
本文包含以下内容:
· 什么是IT业务连续性计划
· BC相关的规范和标准
· ISO 22332 标准
· FFIEC 业务连续性手册
目前,没有比疫情更好的理由来制定业务连续性(BC,Business Continuity) 计划。对于组织而言, BC 计划表明该组织致力于保护业务并保持其运营,尽可能避免发生破坏性事件。
从审计的角度来看,BC 计划对于执行审计控制越来越重要。内部和外部审计师比以往更熟悉BC计划和DR计划,因此对于 IT领导者来说,必须认识到重要性。
经验表明,制定BC和DR计划会增加组织从破坏性事件中成功恢复并恢复运营的可能性。只需知道在紧急情况下该做什么就可以大大提高组织成功恢复的机会,在应对 IT 基础架构中断时尤其如此。
什么是 IT 业务连续性计划?
业务连续性(BC,Business Continuity)计划与灾难恢复(DR,Disaster Recovery) 计划的不同之处在于BC侧重于保护整个组织,将 IT 作为关键的支持资源,而 DR 计划通常侧重于保护整个 IT 基础架构。
BC 计划有几个输入,可提供有关业务运作方式的数据。其中包括业务影响分析 ( BIA )、风险分析和已确定为关键任务的业务元素的恢复策略定义。
BC 计划中有什么?典型的 BC 计划包括以下内容:
· 关于 BC 计划的目的、范围和目标的声明;
· 确定组织的关键任务业务活动;
· 如果无法履行这些职能,可能会给组织带来损失;
· 关键功能的风险、威胁和脆弱性以及防止其发生的措施;
· 应对破坏性事件和恢复关键功能的策略和程序;
· 重要的内部和外部联系人的联系人列表,即供应商和政府机构;
· 关键记录的清单,例如客户记录、硬拷贝文件和法律文件,以及它们的存储位置;
· 关键业务资源的库存,包括办公设备、家具和系统;
· 搬迁到其他空间时典型办公区域的平面图;
· 继任计划,以确保经过适当培训的员工能够接替因健康、假期等原因无法工作的员工的职责;
· 与媒体打交道的预案;
· 与银行、保险公司和公用事业等关键组织互动的程序;
· 响应事件初始阶段的预案,也称为事件响应;
· 从事件响应过渡到业务恢复的程序;
· 将员工从灾难模式转变为商业模式的程序;
· 确保 IT 资源正常运行的程序;
· 恢复正常业务运营的程序;
· 准备总结从事件中吸取的教训的事后报告的程序。
BC 计划的衡量指标
IT 基础架构是大多数业务关键功能的基础,因此在制定 BC 计划时,IT 应该做的第一件事就是映射技术资源和业务功能之间的关系。BIA 最重要的输出之一是识别支持关键任务功能的 IT 资源,因为它产生了两个指标:恢复时间目标 ( RTO ) 和恢复点目标 ( RPO )。
· RTO :定义了在组织遭受损失之前禁用特定业务功能所需的最长时间。对于 IT 而言,这意味着在业务受损之前禁用特定系统和资源的最长时间。RTO 和 RPO的一般经验法则是:时间框架越短,实现该指标的潜在投资就越大。
· RPO :对当前数据、数据库和其他资源的最后备份时间而言也很重要。例如,客户个人数