信息系統的使用提高了組織信息處理和業務運行的效率��,正是由于信息系統的廣泛使用��,人們可以得到方便快捷的服務����。這些信息系統一旦因為安全問題不能正常支持組織的業務�����,整個組織的業務必然會因此受到影響����,從而造成利益的損失��。由于企業對信息系統依賴度的逐步上升�����,特別是在金融����、電力����、交通等行業中��,信息系統的使用已經到了關系企業存亡的程度����,這些信息系統一旦發生故障使得業務中斷�����,其所造成的損失是難以估量的����。
根據市場調研公司Strategic Research Corp的研究報告顯示��,證券業的業務每停頓1小時��,平均損失將達到650萬美元��;ATM系統中斷1小時��,平均損失為
1.45萬美元�����;而業的信息系統中斷��,平均每小時則高達
8.4萬美元�����。
正因為業務連續性管理對組織的業務和信息安全如此重要����,而一旦發生業務中斷所造成的損失又如此巨大����,使得對業務連續性的關注已經成為信息安全領域關注的一大焦點����。但如何來實施業務連續性管理方案����,如何保證業務連續性管理方案的成功實施����,成為客戶所面臨的挑戰�����。
建立包含業務連續性管理的信息安全管理體系
全球標準的領導者BSI在信息安全管理標準BS7799中����,建立了信息安全管理體系的模型����,其中業務連續性管理(BCM)被作為一個重要部分包括在模型中�����。對于那些需要不間斷地提供各種公共服務的企業來說����,業務連續性管理已經成為信息安全管理體系中一個極為關鍵的內容�����。
2006年��,BSI又發布了一個新的標準BS25999-1—業務連續性管理最佳實踐的征求意見稿��,并且相應的認證咨詢標準也將出臺����。這對于公共基礎設施的提供者��,金融�����、電信等信息時代的基礎支撐行業來說����,不但有了實踐的指南還有了檢驗的標準����。
BCM的實施過程
根據BSI的業務連續性標準�����,BCM的實施包括一系列企業管理行為��,核心是制定并實施業務連續性計劃�����。BCM的實施過程可以分為以下的六個步驟:啟動項目�����、業務影響分析����、確定恢復策略����、編制業務連續性計劃��、測試與演練計劃�����、維護與更新計劃����。
其中�����,項目啟動階段的主要工作是為項目分配必需的資源和進行前期的準備工作�����。項目啟動階段所包括的主要工作有得到領導層對項目的支持��、明確項目實施的組織結構和角色責任�����、為項目實施分配資源�����、安排項目的實施進度與時間��。在上述幾個工作完成后��,項目就可以進入下一個階段——業務影響分析(BIA)�����。
業務影響分析(Business Impact Analysis����,BIA)是實施BCM的關鍵性的第一步����。業務連續性管理必須努力考慮到所有可能發生的安全事故和災難并對其潛在的損害做出估計����,才能制定可行的控制策略以防備這些事故的發生��,而這正是BIA所關注的方面����。BIA階段一般包括以下這些任務:確定關鍵業務功能和損失標準�����、確定最大容忍時間����、確定恢復的優先順序��。
