通过ISO27001加强企业业务连续性管理

吴秋玫 姚莉 杨鸥 车勇波 丁东

摘 要：业务连性管理是ISO27001标准中的一项安全控制目标，其目的是防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保它们的及时恢复。该文作者就普洱供电局信息安全管理体系建设过程中所采用的业务连续性管理运作方式，对业务连续性管理的实施过程进行了梳理，并依据普洱供电局业务连续性管理成果，从IT系统和IT服务两个方面对如何加强业务连续管理进行了阐述。

关键词：信息安全管理 业务连续性 运作方式 管理内容

中圖分类号：TP393108 文献标识码：A 文章编号：1674-098X（2015）09（b）-0186-02

Strengthening Enterprise Business Continuity Management by ISO27001

Wu Qiumei Yao Li Yang Ou Che Yong bo Ding Dong

（Yunnan Power Grid Co.，Ltd.Puer Power Supply Bureau，Puer Yunnan，665000，China）

Abstract：The Business Continuity management is ISO27001 standard of a safety control target，its purpose is to prevent the effects of interruptions to business activities and to protect critical business processes from major failures of information systems or disasters，and ensure their timely recovery.Author Puer power supply bureau information security management system construction process in the business continuity management mode of operation，the implementation process of business continuity management carried out and Puer electric power supply bureau business continuity management achievement basis，from two aspects of IT systems and IT services on how to strengthen the business continuity management are described.

Key Words：Information security management；Business continuity；Operation mode；Management content

业务连续性管理起源于20世纪70年代的容灾和恢复计划，它的发展与计算机信息技术的发展密不可分。随着信息技术的不断发展，大量计算机系统应用于不同的企业业务流程，提高了企业的业务运行效率，从而使企业对信息系统的依赖度逐步上升。在这种情况下，企业对信息系统运作的稳定性和可靠性提出了更高的要求。1995年，英国BSI在信息安全管理标准BS7799（ISO27001的前身）中，建立了信息安全管理体系的模型，其中业务连续性管理（BCM）被作为一个重要部分包括在模型中，从而确立了业务连续性管理对于企业信息安全运营的重要地位。我国也于2014年1月正式发布了国家标准GB/T 30146《公共安全 业务边续性管理体系 要求》，为如何建立和管控一个文件化的业务连续性管理体系指明了方向。

1 业务连续性管理的目标

业务连续性管理将找出对组织有潜在影响的威胁以及对组织业务正常运行可能存在的影响，制定有效响应措施保护组织的利益、信誉、品牌和创造价值的活动，并为组织提供建设健壮度框架的整体管理过程。通过此过程确保重要业务和流程具备以下三个方面的能力。

（1）高可用性：是指提供在本地故障情况下，能继续访问应用的能力。无论这个故障是业务流程、物理设施、IT软/硬件的故障。

（2）连续操作：是指当所有设备无故障时保持业务连续运行的能力。

（3）灾难恢复：是指当灾难破坏系统中心时在不同的地点恢复数据的能力。

普洱供电局信息安全管理体系中业务连续性管理的目标是：防止普洱供电局各类信息业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保它们的及时恢复。

2 业务连续性管理运作方式

根据业务连续性管理目标可以知道业务连续性管理是一项综合管理流程，它包括组织在面临灾难时对业务活动的恢复和连续性的管理，以及为保证业务连续性的切合适宜所进行的培训、演练和评审等涵盖整个方案的管理。但究其核心则是业务连续性计划的制定和实施。普洱供电局分六个阶段开展了业务连续性管理，主要包括启动项目、业务影响分析、确定恢复策略、编制业务连续性计划、测试与演练计划、维护与更新计划等六个阶段。

2.1 项目初始化

此阶段主要为项目实施进行资源准备，需要明确项目实施管控的组织机构和人员责任。普洱供电局成立了相应的信息安全工作领导小组，明确了各小组成员的工作职责，当发生影响业务连续运作的危机时，领导小组作为危机管理组织，集中应对处理危机，确保业务系统快速恢复。

2.2 业务影响分析

业务影响分析主要对可能引起业务过程中断的事件（如：设备故障、火灾、电力中断、地震等），以及每一个中断对普洱供电局产生的影响（如：中断引起的损害、恢复与替换的费用，以及业务中断所造成的损失）进行分析，分析重大安全失效和灾难的发生将对普洱供电局业务产生的冲击和影响程度。然后根据影响程度的定性评估，确定关键业务活动的关键性级别、恢复目标时间以及普洱供电局可接受的业务中断时间。对于可能造成关键业务活动中断小于等于可接受业务中断时间的灾难与安全失效进行分析；对影响关键业务活动中断小于等于可接受业务中断时间的灾难与安全失效等威胁发生可能性（P）和业务影响程度级别（B）两方面进行分析。

2.3 确定恢复策略

信息安全工作领导小组根据分析结果，从灾难的影响程度、发生可能性、制作实施业务连续性计划和灾难恢复计划成本等因素进行综合考虑，决定对于哪些灾难与安全失效制定实施业务连续性计划；接受哪些灾难和安全失效；对哪些灾难和安全失效采取日常控制措施或其它方法（如：保险、与客户/供应商/相关组织分担风险等）降低业务中断可能造成的损失，从而确定相关业务系统的恢复等级和可容忍系统中断时间（RTO）及可容忍數据丢失量（RPO），从业务系统恢复等级指标（表1），可以看出，业务恢复等级最高的是生产业务管理系统。

2.4 编制业务连续性计划

根据已确定的业务连续性指标，找出关键设备和关键数据，编制应急策略，确保在恢复时间目标范围内完成恢复。根据业务连续计划和灾难恢复计划的目标，普洱供电局信息安全工作领导小组决定将业务连续性通过《普洱供电局管理信息系统网络与信息安全应急预案》的管理来提高。

2.5 测试与演练计划

对于业务连续性计划的测试与演练，普洱供电局结合网络与信息安全应急预案管理要求，确定每年对其进行一次演练，通过演练来检测业务连续性计划对灾难的应对成效。另外，在业务环境发生重大变更时，应对业务连续性计划的可用性和服务连续性进行测试，确保业务连续性计划的适用性。

2.6 维护与更新计划

对演练的结果进行记录和评估，找出业务连续性计划存在的问题，并制定新的措施以维持其连续性能力。

3 普洱供电局业务连续性管理成果

普洱供电局依据信息安全管理体系的标准要求，开展了业务连续性管理工作，通过业务连续性管理的实施，得到了以下几项结果。

（1）用于防范危害的评测指标。

（2）发生危害时，有明确的人员知道如何处理各种危害事件。

（3）用于应对灾难的应对计划，提供危险发生时的操作流程。

从上述结果可以看出，普洱供电局业务连续性管理的重点是对灾难的应对，但从实际情况来看，在企业的业务连续性管理中，最大的威胁主要来源于业务运行过程中因人为误操作、设备或流缺陷等事件带来的威胁。虽然这些危害的影响力远不如地震、火灾等重大灾难，但是它们却时刻潜伏在周围，随时会对企业造成致命的打击。这类危害在演变成灾难前都是可以通过相应的管控手段加以管控的，所以本人认为，对于业务连续性管理的管控重点，应集中到事件发生前的预防阶段（如图1），通过加强预防控制，提升业务连续性运行能力。

4 完善业务连续性管理

加强业务连续性管理，可以帮助企业建立一套有效应对威胁的自我恢复能力体系，确保灾难发生时关键业务的连续服务能力。但对于业务连续性管理，应加强预防阶段的管控，从而降低灾难事件发生的可能性，提升业务连续性。对于预防阶段的业务连续性管理，主要应加强IT系统及IT服务的业务连续管理。

4.1 IT系统的业务连续性管理

IT系统的业务连续性管理主要包含对IT软、硬件的连续性安全管控。其管控重点内容如下。

（1）明确硬件设备巡视内容及评价标准、硬件性能测试方法及评价标准，并在日常运营中严格执行。

（2）对硬件设备的运行周期进行密切跟踪，做好维护记录并定期进行分析，对于关键核心设备应做好备品备件管理。

（3）采用身份签别及访问控制方式加强系统硬件设备的安全管理，并做好日志审计。

（4）明确各类软件的性能检测方法，并做好性能监测工作。

（5）对各类软件的运行数据进行定期备份，并做好存储管理。

（6）加强各类软件的身份认证及访问控制管理，并做好运行日志审计。

（7）对IT软、硬件的运行环境做好安全监控管理工作。

4.2 IT服务的业务连续性管理

IT服务的业务连续性管理主要包含对IT技术及人员的安全管控。其管控重点内容如下。

（1）积极引进新技术，改善业务系统的应用功能，提升其可用性。

（2）选择资质良好的第三方技术支持服务商，将其作为加强业务系统运行能力的技术支持力量。

（3）加强员工安全培训，提升员工安全意识，提高员工对业务系统的使用操作能力。

（4）加强IT专业人员的技术培训，提升专业人员的技术水平，提高专业人员对业务系统的运维能力。

（5）加强业务系统应急处置演练，提升各级人员在应急状况下的应急处置能力。

从IT系统和IT服务的连续性管理内容可以看出这些工作都是企业信息管理部门的日常运营工作，这也恰好印证了企业信息管理部门的服务宗旨：深化信息化应用，确保网络与信息系统的可靠、稳定运行。所以对于业务连续性管理工作，我们需要从日常工作抓起，在日常工作中做好对设备、系统、人员的安全管理，最大限度地将设备及人为风险控制在源头，预防此类灾难事件的发生，从而确保各类业务系统的稳定、可靠运行。

5 结语

业务连续性管理是企业运营的重要指标，确保业务信息系统的稳定与可靠运行是实施业务连续性管理的目标。对于业务连续性管理，需要具备应对灾难时有效而快速的恢复体系，确保各项业务的快速恢复；还需要加强日常运营安全管理，通过控制设备及人为风险因素灾难事件的预防管理，降低此类灾难事件的发生概率，这对保障企业各类业务的连续性有着非常重要的作用。

参考文献

[1] 魏军，赵海.全面认识业务连续性管理体系[J].质量与认证，2014（5）：39-40，43.

[2] 潘蓉.有效实施业务连续性管理[J].中国电信业，2007（9）：64-65.

[3] 万东，曹木恒.基于ISO27001的IDC信息安全管理体系[J].信息安全与通信保密，2009（1）：75-77.

[4] 高文涛.国内外信息安全管理体系研究[J].计算机安全，2008（12）：95-97.

[5] 李婕娜.信息安全管理度量研究[D].哈尔滨：哈尔滨理工大学，2007.