淺談業(yè)務(wù)連續(xù)性管理的實現(xiàn)方法

[摘 ?要]業(yè)務(wù)連續(xù)性管理本身也是一種過程方法，也應(yīng)遵從PDCA模型的規(guī)則。下面我們來看看如果利用PDCA的方法，實現(xiàn)業(yè)務(wù)連續(xù)性的管理。

[關(guān)鍵詞]業(yè)務(wù)連續(xù)性 管理風(fēng)險 ?實現(xiàn)方法

中圖分類號：F302.6 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-914X（2016）24-0092-01

一、 評估針對業(yè)務(wù)連續(xù)性的風(fēng)險點

首先列出關(guān)鍵業(yè)務(wù)流程中涉及的所有資產(chǎn)，然后對組織涉及的各類業(yè)務(wù)所處的環(huán)境分析其面臨的威脅并對其脆弱性進(jìn)行推斷，完成風(fēng)險識別，推斷由信息安全事故引起的業(yè)務(wù)中斷對業(yè)務(wù)可能產(chǎn)生的影響，并且確定應(yīng)急及恢復(fù)的業(yè)務(wù)目標(biāo)。在這類風(fēng)險評估過程中，應(yīng)在業(yè)務(wù)資源和過程的所有者全面參與的情況下進(jìn)行業(yè)務(wù)風(fēng)險評估。僅僅靠高層管理者或是某個部門來識別組織業(yè)務(wù)的全部風(fēng)險，產(chǎn)生的風(fēng)險評估結(jié)果是不全面的。另外，在考慮業(yè)務(wù)過程的時候，應(yīng)充分照顧到組織的所有業(yè)務(wù)過程，不能只局限于信息處理設(shè)施，還應(yīng)考慮到可能產(chǎn)生的信息安全影響。然后將不同方面的風(fēng)險結(jié)合起來，得到組織業(yè)務(wù)連續(xù)性需求的整體結(jié)構(gòu)圖。其后對風(fēng)險進(jìn)行確認(rèn)、量化、排定優(yōu)先級，包括重要資源，中斷影響，允許中斷時間，恢復(fù)的優(yōu)先級。若組織沒有明確的行業(yè)要求或?qū)俚姆煞ㄒ?guī)要求，風(fēng)險的量化及定級工作應(yīng)由組織自行制定統(tǒng)一的標(biāo)準(zhǔn)并在組織范圍內(nèi)進(jìn)行描述。最后根據(jù)風(fēng)險評估的結(jié)果制定業(yè)務(wù)連續(xù)性戰(zhàn)略，以確定業(yè)務(wù)連續(xù)性的總體途徑。該戰(zhàn)略應(yīng)由管理層簽署，并制定計劃以實施該戰(zhàn)略。

二、建立業(yè)務(wù)連續(xù)性計劃

從業(yè)務(wù)影響分析入手，創(chuàng)建業(yè)務(wù)連續(xù)性一般涉及以下六個步聚：

1、 要把職責(zé)明確好，要識別出組織的全部職責(zé)并和業(yè)務(wù)連續(xù)性流程進(jìn)行一一比對，達(dá)成一致;

2、 識別出組織在產(chǎn)生各類業(yè)務(wù)中斷以后，確定組織可以接受中斷的程度;

3、 制定應(yīng)急規(guī)程，也就業(yè)務(wù)未恢復(fù)完成時應(yīng)遵循的操作規(guī)程;

4、 制定恢復(fù)規(guī)程，以在所要求的時段內(nèi)恢復(fù)和復(fù)原業(yè)務(wù)操作和可用性信息，這里還應(yīng)考慮滿足與業(yè)務(wù)相關(guān)方的合同要求及相關(guān)行業(yè)規(guī)定，法律規(guī)定的要求以及與相關(guān)政府及主管部門的聯(lián)系，包括在什么狀況下應(yīng)與某個特定機構(gòu)聯(lián)系如，公安局、消防局、監(jiān)管部門等的聯(lián)系;

5、 將已商定的流程形成文檔，并用已商定的應(yīng)急流程培訓(xùn)員工;

6、 制定測試和更新計劃

到這里，整個業(yè)務(wù)連續(xù)性計劃集合可以算是做好了，注意，這里說的業(yè)務(wù)連續(xù)性計劃是一個集合，業(yè)務(wù)連續(xù)性計劃是由許多個計劃集合而成的?，F(xiàn)在組織已經(jīng)有了業(yè)務(wù)連續(xù)性計劃，但整個工作還沒有做完，因為計劃還需要實施，如何實施呢，請看下面的闡述。

三、測試、保持和再評估

前面說了P和D兩個環(huán)節(jié)，后面就需要談?wù)凜和A兩個環(huán)節(jié)了。

簡單來講，測試的目標(biāo)就是確認(rèn)一個組織在發(fā)生災(zāi)難（或者危機事件）時，執(zhí)行業(yè)務(wù)連續(xù)性計劃的能力。但如何組織和管理測試和演習(xí)，以確保測試的規(guī)范性和有效性，是許多用戶關(guān)心的問題。

1、測試前的準(zhǔn)備工作

首先要明確測試的目的和測試的方式。測試方式多種多樣，根據(jù)測試的目的不同，測試的方式可以是簡單的桌面測試，也可以是全面的場景演習(xí)等等。

測試過程的管理團隊很重要，測試應(yīng)該由訓(xùn)練有素的團隊來規(guī)劃、實施和控制。通常起草業(yè)務(wù)持續(xù)性計劃的人員是管理和控制測試的最佳人選（在應(yīng)急恢復(fù)過程中承擔(dān)重要角色的人員除外）。為了確保測試的組織效果，應(yīng)該事先對實施測試過程的團隊進(jìn)行培訓(xùn)。

在測試之前，需要“設(shè)計”一個供測試用的模擬場景。場景應(yīng)該包括一系列很可能發(fā)生的事件。這些事件應(yīng)該經(jīng)過恰當(dāng)?shù)脑O(shè)計，確?？梢詼y試到計劃中的全部（或者相應(yīng)部分，視測試的范圍而定）行動要素。

對測試的結(jié)果進(jìn)行分析和評估是必須的。因此，要事先制定測試反饋信息表，做好收集反饋信息的準(zhǔn)備工作，確保測試結(jié)束后可以盡快收集到反饋信息。

應(yīng)該積極與領(lǐng)導(dǎo)溝通。測試需要費用，所以事先要有相應(yīng)的預(yù)算，并報請領(lǐng)導(dǎo)批準(zhǔn)。此外，測試過程不可避免地會影響到員工的正常工作，甚至影響業(yè)務(wù)的進(jìn)展，這一點也需要事先得到領(lǐng)導(dǎo)的認(rèn)可。另外員工可能會在測試的日期正好出差在外，這些都需要做充分的考慮。

如果測試需要單位外部的人員（例如業(yè)務(wù)持續(xù)性計劃中提到的應(yīng)急產(chǎn)品供應(yīng)商等）參與，則更需要積極進(jìn)行協(xié)調(diào)和溝通，事先要仔細(xì)考慮外部人員參與的方式和程度。

2、測試過程的規(guī)劃

測試的過程需要進(jìn)行詳細(xì)的規(guī)劃。規(guī)劃主要步驟包括：分析業(yè)務(wù)持續(xù)性計劃，制定測試計劃，設(shè)計測試場景，準(zhǔn)備測試反饋意見表等。其中分析業(yè)務(wù)持續(xù)性計劃是其他工作的基礎(chǔ)。

測試計劃的制定過程本身可能也很復(fù)雜，所以也需要精心安排。應(yīng)該考慮到制定測試規(guī)劃過程中的所有步驟，每個步驟的執(zhí)行時間和負(fù)責(zé)人，以及每個步驟之間的前后順序?？梢钥紤]采用項目管理軟件來輔助完成。

測試的參與者應(yīng)該涉及組織的各個關(guān)鍵部門，而且，應(yīng)該包括了業(yè)務(wù)持續(xù)性計劃中的相應(yīng)角色。實際上，在測試過程中有兩類參與者，第一類參與者積極行動，應(yīng)對“危機”;第二類人員管理和控制測試過程，包括收集現(xiàn)場的數(shù)據(jù)。兩類參與者的具體人選都非常重要。

3、測試場景的設(shè)計

企業(yè)應(yīng)該充分重視測試場景的重要性。未經(jīng)仔細(xì)考慮、不夠完善的場景常常會使整個測試的效果大打折扣。

在設(shè)計場景時，要重點關(guān)注危機發(fā)生后的2～4小時。場景應(yīng)該包括一系列需要積極響應(yīng)的事件，并盡可能覆蓋危機計劃中定義的關(guān)鍵行動。

場景應(yīng)該能反映對業(yè)務(wù)影響較大的威脅和風(fēng)險。應(yīng)該首先考慮在風(fēng)險評估階段提供的風(fēng)險信息。由于在應(yīng)對不同的風(fēng)險時，需要不同的應(yīng)急響應(yīng)流程和行動，因此可能需要設(shè)計和測試的場景不只一個。

因為參與者要隨著測試場景的發(fā)展及時做出反應(yīng)，所以場景應(yīng)該足夠逼真。在描述場景時，應(yīng)該盡可能采用真實的客戶姓名、員工姓名、地點名稱、產(chǎn)品名稱、設(shè)施名稱等等，名稱越真實，會給測試者越“逼真”的感覺，測試的效果就越好。但由于采用了真實的名稱，有可能在測試的時刻，真實的名稱需要做最后的確定，這一點一定要注意。另外，為了獲得測試的真實效果，應(yīng)該對場景設(shè)計信息保密，避免測試參與者事先獲得信息，從而使測試成為走過場。

四、保持和再評估

每次測試過后，應(yīng)該完整記錄測試結(jié)果，并對測試數(shù)據(jù)進(jìn)行分析，對測試效果進(jìn)行評估，從而考慮采取措施以改進(jìn)業(yè)務(wù)連續(xù)性計劃。

由于組織的業(yè)務(wù)是不斷的發(fā)生變化的，有的組織可能變化的周期比較長，有的組織可能變化周期短，但是不管是什么樣的組織，隨著社會的發(fā)展，環(huán)境的變化，技術(shù)的提升，其業(yè)務(wù)總是會多多少少的發(fā)生變化，所以對業(yè)務(wù)連續(xù)性計劃的評審就顯得很有必要。對于每個業(yè)務(wù)連續(xù)性計劃的定期評審應(yīng)分配職責(zé)，應(yīng)按適當(dāng)?shù)挠媱澑聵I(yè)務(wù)連續(xù)性計劃以反映業(yè)務(wù)安排的變更，應(yīng)確保通過整個計劃的定期評審來分配和補充已更新的計劃。

文中提到的方法和思路，意在讓組織在實施業(yè)務(wù)連續(xù)性管理時有一條清晰的思路，組織還應(yīng)針對自身的實際情況來加以實施。

參考文獻(xiàn)：

標(biāo)準(zhǔn)出版物：

[1] GB/T 22080-2008/ISO/IEC 27001：2005 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求。

作者簡介：

王淑清（1978.02--）性別：女、民族（漢族），籍貫（江西省贛縣），現(xiàn)供職單位：廣州賽寶認(rèn)證中心服務(wù)有限公司，學(xué)歷本科，研究方向：信息安全管理、信息技術(shù)服務(wù)管理， 單位郵編：510507