CISSP第七版针对业务连续性计划(BCP)的考察,更着重突出其于企业整体风险管理框架里的核心位置,它已不再单纯是一份技术恢复文档了,而是涉及企业生死存亡状况的战略规划。简而言之,业务连续性指的是,确保企业在遭遇重大破坏性事件之际,关键业务功能仍能够持续运行,又或者能够在可接受的时间范围内得以恢复。
如何确定关键业务功能优先级
要去制定出有效的业务连续性计划,第一步便是弄明白啥业务停了会致使企业难以存活下去,这得借助业务影响分析予以确定,我们会跟各个业务部门的负责人展开深度访谈,梳理出业务流程,并且评估要是该流程中断,会在财务、声誉、合规等方面造成多大的损失,依据最大可容忍中断时间,我们便能将业务功能排出优先级,比如说支付结算系统或许必须在几小时内实现恢复,而内部考勤系统则能够等上几天。
业务连续性策略如何选择
将优先级确定好了以后,就得针对每一个关键功能去挑选恢复策略。这可不是简简单单的技术方面的选型,实实在在是商业层面的决策。就好比说,核心数据中心到底该去选择双活形式、主备形式还是纯粹的云形式?关键岗位的人员一旦流失了之后又要怎样能够迅速地进行补位?我们有必要在恢复成本跟恢复速度之间找寻到一个平衡点。策略的选择务必要讲求实际,要顾虑到企业的预算以及实际的资源情况,要是光有理论上面的最优方案然而却没有办法去落地实施,那计划就完全是一张没有用的废纸。
计划制定与人员培训要点
定好了策略之后啊,便得去写成那种清晰的、能够执行的文档。这份计划可不是深奥的技术手册那般,而是要如同作战地图一样,使得每一个应急响应人员在拿到它之后,都晓得自己该去做什么、找谁联系、往哪里去。计划那当中必须涵盖详细的呼叫树、应急指挥中心的位置以及启用流程,外加关键供应商的联系方式。更为重要的是,计划制定好了以后,必须针对相关人员开展培训,以确保他们不单单知道计划存有,且还明晰自身具体的职责。
为什么测试和审计至关重要
业务连续性计划,若从未经过测试,本质上不过是个美好的愿望。我们得按时定期组织桌面推演,还有实战模拟演练,像模拟机房断电的场景,模拟勒索软件攻击的场景,甚至模拟办公大楼无法进入的场景。唯有通过测试,我们才能够发现计划里的漏洞,以及过时信息,进而锻炼团队的应急反应能力。与此同时,独立的内部及外部审计也是必不可少的,它能够客观评估BCP是否契合CISSP的要求,以及相关法规,以此确保计划维持持续有效状态。
不晓得你于实际工作期间,所碰到的最为巨大的阻力究竟是源自高层对于资源的那种吝啬,还是业务部门对于演练的配合程度不够高呢?欢迎在评论区域分享你的经验,点个赞以便让更多同行瞧见这篇内容哟。
主题测试文章,只做测试使用。发布者:qinglinet,转转请注明出处:https://www.qlw.net/%e4%bf%a1%e6%81%af%e5%ae%89%e5%85%a8%e7%b1%bb/cissp%e5%9b%bd%e9%99%85%e6%b3%a8%e5%86%8c%e4%bf%a1%e6%81%af%e5%ae%89%e5%85%a8%e4%b8%93%e5%ae%b6/cissp%e7%ac%ac%e4%b8%83%e7%89%88-%e4%b8%9a%e5%8a%a1%e8%bf%9e%e7%bb%ad%e6%80%a7%e8%ae%a1%e5%88%92%ef%bc%9a%e4%bc%81%e4%b8%9a%e7%94%9f%e5%ad%98%e7%9a%84%e6%88%98%e7%95%a5%e6%a0%b8%e5%bf%83%ef%bc%8c.html