浅析涉密信息系统业务连续性管理

◆甘清云

浅析涉密信息系统业务连续性管理

◆甘清云

(中国直升机设计研究所 天津 300300)

业务连续性管理是识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。本文介绍了涉密信息系统业务连续性管理存在的问题以及改进的措施。

涉密信息系统；业务连续性管理

0 引言

因自然灾害、事故灾难等突发事件导致业务中断的情况越来越多，业务连续性管理作为组织应对突发事件，保障业务连续的有效方法，已被越来越多的组织采纳。本文主要介绍了业务连续性的概况、涉密信息系统业务连续性存在的问题、改进的措施。

1 业务连续性

业务连续性是指在中断事件发生后，组织在预先确定的可接受的水平上连续交付产品或提供服务的能力。业务连续性管理是识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动。

英国、美国、新加波、日本等发达国家高度重视业务连续性管理，在国家层面的法律法规、行业层面的规范、企业层面的实施等方面大力推进，制定业务连续性管理国家标准，指导和规范业务连续性管理发展。英国在2006年颁发了BS25999-1《业务连续性管理-实施规程》，2007年颁布了BS25999-2《业务连续性管理-规范》；美国在2007发布了NFPA 1600（2007版）；新加坡在2008年发布了SS 540:2008；国际标准化组织ISO在2012年先后发布了ISO 22301《公共安全业务连续性管理体系要求》，ISO 22313《公共安全业务连续性管理体系指南》。

我们国家在2013年发布了GB/T 30146《公共安全业务连续性管理体系要求》。

2 涉密信息系统业务连续性管理存在的问题

（1）应急演练缺乏实战性

重方案，轻演练，多模拟，少操作，这是目前应急演练存在的突出问题。应急演练缺少实战性，普遍采用“导着演，等着练”的模式：事先确定演练的具体项目，编制演练脚本、按照脚本演，各参演人员等着演练总指挥发号施令、根据脚本完成自己的演练任务。长期采用这种模式进行应急演练，突发事件真的发生了，大家就都抓瞎了。

（2）应急预案缺少全生命周期管理

大部分单位在应急预案的制定和演练环节都能按要求做好相关工作，但是对应急预案的培训、更新等环节不够重视。

（3）灾备体系有待完善

灾备体系建设面临诸多挑战：比如如何提升灾备效率，进一步缩短灾备恢复时间RTO(Recovery Time object)、减少灾备数据损失RPO(Recovery Point 0bject)，比如如何推动信息系统灾备建设与业务连续性管理策略的紧密结合等。

（4）在虚拟化应用方面有待加强

虚拟化技术目前在信息系统中已经得到广泛应用，也取得了很好的应用效果。但是由于有关标准要求等原因，虚拟化在涉密信息系统中的应用还不够深入，虚拟化在业务连续性体系中的重要作用还未充分发挥。

（5）对于业务连续性管理的认识还不够深入

部分企业对于业务连续性的认识还不够深入，比如业务连续性与灾难恢复是什么关系，业务连续性与风险管理是什么关系，业务连续性与应急管理是什么关系等。

3 涉密信息系统业务连续性管理改进措施

（1）突出实战性，确保应急演练取得实效

应急演练要突出实战性，演练的具体项目不提前公布，演练时间不提前通知，完全模拟现实中发生突发事件，这样才能真正检验应急响应是否及时、有效。应急演练结束后要对演练结果及时分析、总结，对不符合要求的部分进行改进，必要时应修改预案中的条款和流程。

（2） 严格执行应急预案的全生命周期管理

应急办公室应定期或不定期举办不同层次、不同类型的培训班或研讨会，以便不同岗位的应急人员都能全面熟悉并掌握信息系统应急处理的知识和技能。应急预案由应急办公室负责组织有关部门每年进行评审、更新。

（3）不断完善灾备体系

个人信息安全问题之所以达到目前的程度，跟个人信息安全保护意识普遍比较低也有很大关系。

容灾理念的发展经历过以下几个阶段：重要数据备份、主备中心容灾、双中心容灾。双中心容灾是生产中心和容灾中心均承担生产任务，两中心负荷分担，互为容灾保护的运营模式，提高了容灾系统资源利用率，降低系统切换时间，减小灾难影响程度。要实现灾备技术方案从传统的灾备方案向业务连续性方案的转变，技术架构要从传统的主备切换模式向双活模式转变。

（4）加强虚拟化等方面的应用

在符合相关标准的前提下，积极探索虚拟化在企业的应用，推进服务器虚拟化和桌面虚拟化等工作，尤其是服务器虚拟化。

（5）不断完善灾备体系

英国业务持续协会BCI定义了业务连续性管理的范围包括风险管理、灾难恢复、紧急事件管理、安全管理、知识管理、危机通信和公共关系、设施管理、供应链管理、质量管理、健康和人身安全等十个领域的内容。业务连续性管理所涉及的范围不仅仅限于上面所列出的十个部分，其核心是保障企业业务持续运行，业务连续性管理是一个开放的框架，任何与此有关的领域都可以是其组成部分。

4 结束语

随着大家对业务连续性管理的认识不断深入，业务连续性管理必将越来越受重视。针对涉密信息系统业务连续性管理目前存在的问题，只要我们认真研究，不断改进，涉密信息系统业务连续性管理一定会上新台阶。

[1]丁辉.企业安全管理和业务连续性管理[J].中国标准化，2006.

[2]魏军，赵海.全面认识业务连续性管理体系[J].质量与认证，2014.

[3]田长星.建立运维规范标准，保障业务连续性[J].金融电子化，2014.

[4]秦挺鑫.业务连续性管理标准化的动向以及我国的工作进展[J].标准科学，2015.

[5]秦挺鑫，董晓媛，王金玉.业务连续性管理体系评价指标体系研究[J].保标准科学，2014.