信息安全管理（CISP）—— 业务连续性

一、知识框架

业务连续性主要分为三个模块：业务连续性管理、信息安全应急响应、灾备与恢复

 二、业务连续性管理

业务连续性管理基础

业务连续性（BC）：组织对事故和业务中断的规划和响应，使业务可能在预先定义的级别上持续运行的的组织策略和战术上的能力。

业务连续性管理（BCM）：找出组织有潜在影响的威胁及其对组织业务运行的影响，通过有效响应措施保护组织的利益、信誉、品牌和创造价值的活动，并为组织提供建设恢复能力框架的整体管理过程。总结：针对造成业务中断的事件的准备工作及恢复处置工作。

对比来看业务连续性与业务连续性管理，BCM是一项综合管理流程，由业务驱动，集合了技术、管理的一体化动态管理流程。

BCM服务于组织业务

BCM必须明确业务的目标、范围、内容、边界、流程和关系

BCM团队：由业务部门主导，IT和网络安全等部门参与

BCM需要，基础设施资源、软硬件资源、人力资源等资源的支撑

BCM的合规性：法规（网络安全法、知识产权等）、标准（如GB国家标准）合同、审计

业务连续性计划

BCM的流程：

S1：组织业务分析/确定业务优先级

 

确定关键资产、针对威胁评估对业务的影响

明确业务的目标、范围、内容、边界、流程与关系

业务流程综合列表，按重要性排序(根据经济产值、核心技术、公共服务能力等）

S2：评估连续性风险（影响）—— 识别和分析面临的业务连续性风险

风险要素识别：资产分析、威胁分析、脆弱性分析、安全措施分析

风险可能性分析、影响分析、等级判定

S3：确定连续性优先级

RTO：最短恢复时间对应CIA中的可用性，指中断发生后多长时间内恢复

RPO：恢复时间差，即发生中断，能恢复到发生中断前那一时刻的状态，对应CIA中的完整性

PTO和RPO理想情况下都可以为0，其中RPO理论上可以为0，RTO从用户角度可以为0，但从原理的角度无限接近于0

S4：业务连续性建设和制定业务连续性预案（BCP）

S5：业务连续性预案维护（培训、演练、演习、更新）

批准：向高层汇报并获得BCP的批准

培训教育、维护更新、复审批准

S6：发生业务中断事件后，根据预案进行处置

四种风险处置方法：风险降低、风险转移、风险规避、风险接收

注：CISP考题中会将规避风险与放弃风险相混淆，注意只有规避没有放弃，签订合同属于风险转移

S7：业务连续性跟踪、总结、改进（补充）

文档化：文档化是BCP过程中的关键步骤

业务的动态性决定了业务连续性要求也会随时改变

定期讨论、复审、测试结果，必要时进行版本更新

ps：还记得信息安全管理那一篇博客中提到的PDCA过程方法吗，是不是挺相似的，先制定计划（P），实施与运行（D），监控与评审（C），总结改进（A）

三、应急响应

应急响应工作列为我国信息安全保障工作的重点之一

组织为了应对突发/重大信息安全时间的发生所做的准备，以及在事件发生所做的准备，以及在事件发生后所采取的措施

应急响应：安全事件前的充分准备和事件后的应急处置

事件分类：有害程序、网络攻击、信息破坏、信息内容、设备设施故障、灾害、其他事件。

事件分级要素：信息系统的重要程度、系统损失和社会影响

事件分级：4级 一般事件、3级 较大事件、2级 重大事件、1级 特大事件

应急响应组织架构：领导组-专家组-实施组-日常运行组-技术保障组

处理过程六步：准备-检测-遏制-根除-恢复-跟踪总结

应急预案：处理什么事、达到什么处理目标、谁负责处理、怎么进行处理。

预案要求：高效、简洁、便捷、变通、适用、可行。预案修订、升级，演练和演习。

计算机取证：

原则：合法（充分授权）、优先保护、全程监督

过程：准备-取证保护-证据提取-证据分析-证据报告提交

四、灾备恢复管理

灾备恢复的概念：应对灾难事件备份工作及灾难性事件后的恢复处置工作

灾备恢复过程

S1：灾备需求分析：1-风险评估（灾难）、2-BIA（业务影响分析）、3-需求指标（RTO/RPO）。

S2：灾备恢复方案：7要素（数据、数据系统、网络系统、基础设施、技术能力、管理能力、灾备预案）。

S3：灾备恢复建设：1）选地址和灾备中心建设；2）灾备系统建设；3）技术和管理能力建设

S4：灾备恢复预案：制定灾难应对预案，包括培训、演练、演习、更新。

S5：灾难事件处置：发生灾害后，根据预案进行处理和恢复。（补充）

S6：灾难恢复总结：根据灾难备份和恢复工作总结和跟踪。（补充）

灾备恢复能力是根据国标7要素判断1-6级。

1级：基本支持级：            完全备份1周1次。

2级：备用场地级：            完全备份1周1次，配备或调配部分设备。

3级：电子传输和部分设备支持：完全备份1天1次，配备部分设备，网络定时传输。

4级：电子传输和完整设备支持：完全备份1天1次，配备完整设备，网络定时传输，就绪状态。

5级：实时传输和完整设备支持：完全备份1天1次，配备完整设备，网络实时传输，就绪和切换。

6级：数据的零丢失和远程集群：RPO=0  RTO->0

灾备恢复的技术

1）DAS、NAS的区别和对比（参考SAN、云存储）

前者分散，浪费资源，可靠性高；后者的集中存储；节约资源；单点故障（需要进行容灾备）

2）完整备份、差量备份、增量备份的区别及使用的场景

完整备份：数据全部备份；备份周期间隔长；场景是系统数据背景；

差分备份：和完整数据备份基线对比后更新修改后的数据备份；间隔中；系统数据、业务数据背

景。

增量备份：和差分备份基线的版本数据对比，修改更新的数据备份；间隔短；场景是业务数据备份。

3）RAID 0/1/5的区别：

RAID-0（条带）：提高了磁盘子系统的性能，但不提供容错能力。

RAID-1（镜像）：磁盘一对一镜像，确保数据不丢失。

RAID-5（奇偶校验）：三块以上磁盘，一块作为校验信息，允许第一磁盘损坏。

4）冷站、温站、热站、移动站（车载机房）、镜像站、隧道机房的不同及使用的场景。