◆甘清云

淺析涉密信息系統(tǒng)業(yè)務連續(xù)性管理

◆甘清云

(中國直升機設計研究所 天津 300300)

業(yè)務連續(xù)性管理是識別對組織的潛在威脅以及這些威脅一旦發(fā)生可能對業(yè)務運行帶來的影響的一整套管理過程。本文介紹了涉密信息系統(tǒng)業(yè)務連續(xù)性管理存在的問題以及改進的措施。

涉密信息系統(tǒng)；業(yè)務連續(xù)性管理

0 引言

因自然災害、事故災難等突發(fā)事件導致業(yè)務中斷的情況越來越多，業(yè)務連續(xù)性管理作為組織應對突發(fā)事件，保障業(yè)務連續(xù)的有效方法，已被越來越多的組織采納。本文主要介紹了業(yè)務連續(xù)性的概況、涉密信息系統(tǒng)業(yè)務連續(xù)性存在的問題、改進的措施。

1 業(yè)務連續(xù)性

業(yè)務連續(xù)性是指在中斷事件發(fā)生后，組織在預先確定的可接受的水平上連續(xù)交付產(chǎn)品或提供服務的能力。業(yè)務連續(xù)性管理是識別對組織的潛在威脅以及這些威脅一旦發(fā)生可能對業(yè)務運行帶來的影響的一整套管理過程。該過程為組織建立有效應對威脅的自我恢復能力提供了框架，以保護關(guān)鍵相關(guān)方的利益、聲譽、品牌和創(chuàng)造價值的活動。

英國、美國、新加波、日本等發(fā)達國家高度重視業(yè)務連續(xù)性管理，在國家層面的法律法規(guī)、行業(yè)層面的規(guī)范、企業(yè)層面的實施等方面大力推進，制定業(yè)務連續(xù)性管理國家標準，指導和規(guī)范業(yè)務連續(xù)性管理發(fā)展。英國在2006年頒發(fā)了BS25999-1《業(yè)務連續(xù)性管理-實施規(guī)程》，2007年頒布了BS25999-2《業(yè)務連續(xù)性管理-規(guī)范》；美國在2007發(fā)布了NFPA 1600（2007版）；新加坡在2008年發(fā)布了SS 540:2008；國際標準化組織ISO在2012年先后發(fā)布了ISO 22301《公共安全業(yè)務連續(xù)性管理體系要求》，ISO 22313《公共安全業(yè)務連續(xù)性管理體系指南》。

我們國家在2013年發(fā)布了GB/T 30146《公共安全業(yè)務連續(xù)性管理體系要求》。

2 涉密信息系統(tǒng)業(yè)務連續(xù)性管理存在的問題

（1）應急演練缺乏實戰(zhàn)性

重方案，輕演練，多模擬，少操作，這是目前應急演練存在的突出問題。應急演練缺少實戰(zhàn)性，普遍采用“導著演，等著練”的模式：事先確定演練的具體項目，編制演練腳本、按照腳本演，各參演人員等著演練總指揮發(fā)號施令、根據(jù)腳本完成自己的演練任務。長期采用這種模式進行應急演練，突發(fā)事件真的發(fā)生了，大家就都抓瞎了。

（2）應急預案缺少全生命周期管理

大部分單位在應急預案的制定和演練環(huán)節(jié)都能按要求做好相關(guān)工作，但是對應急預案的培訓、更新等環(huán)節(jié)不夠重視。

（3）災備體系有待完善

災備體系建設面臨諸多挑戰(zhàn)：比如如何提升災備效率，進一步縮短災備恢復時間RTO(Recovery Time object)、減少災備數(shù)據(jù)損失RPO(Recovery Point 0bject)，比如如何推動信息系統(tǒng)災備建設與業(yè)務連續(xù)性管理策略的緊密結(jié)合等。

（4）在虛擬化應用方面有待加強

虛擬化技術(shù)目前在信息系統(tǒng)中已經(jīng)得到廣泛應用，也取得了很好的應用效果。但是由于有關(guān)標準要求等原因，虛擬化在涉密信息系統(tǒng)中的應用還不夠深入，虛擬化在業(yè)務連續(xù)性體系中的重要作用還未充分發(fā)揮。

（5）對于業(yè)務連續(xù)性管理的認識還不夠深入

部分企業(yè)對于業(yè)務連續(xù)性的認識還不夠深入，比如業(yè)務連續(xù)性與災難恢復是什么關(guān)系，業(yè)務連續(xù)性與風險管理是什么關(guān)系，業(yè)務連續(xù)性與應急管理是什么關(guān)系等。

3 涉密信息系統(tǒng)業(yè)務連續(xù)性管理改進措施

（1）突出實戰(zhàn)性，確保應急演練取得實效

應急演練要突出實戰(zhàn)性，演練的具體項目不提前公布，演練時間不提前通知，完全模擬現(xiàn)實中發(fā)生突發(fā)事件，這樣才能真正檢驗應急響應是否及時、有效。應急演練結(jié)束后要對演練結(jié)果及時分析、總結(jié)，對不符合要求的部分進行改進，必要時應修改預案中的條款和流程。

（2） 嚴格執(zhí)行應急預案的全生命周期管理

應急辦公室應定期或不定期舉辦不同層次、不同類型的培訓班或研討會，以便不同崗位的應急人員都能全面熟悉并掌握信息系統(tǒng)應急處理的知識和技能。應急預案由應急辦公室負責組織有關(guān)部門每年進行評審、更新。

（3）不斷完善災備體系

個人信息安全問題之所以達到目前的程度，跟個人信息安全保護意識普遍比較低也有很大關(guān)系。

容災理念的發(fā)展經(jīng)歷過以下幾個階段：重要數(shù)據(jù)備份、主備中心容災、雙中心容災。雙中心容災是生產(chǎn)中心和容災中心均承擔生產(chǎn)任務，兩中心負荷分擔，互為容災保護的運營模式，提高了容災系統(tǒng)資源利用率，降低系統(tǒng)切換時間，減小災難影響程度。要實現(xiàn)災備技術(shù)方案從傳統(tǒng)的災備方案向業(yè)務連續(xù)性方案的轉(zhuǎn)變，技術(shù)架構(gòu)要從傳統(tǒng)的主備切換模式向雙活模式轉(zhuǎn)變。

（4）加強虛擬化等方面的應用

在符合相關(guān)標準的前提下，積極探索虛擬化在企業(yè)的應用，推進服務器虛擬化和桌面虛擬化等工作，尤其是服務器虛擬化。

（5）不斷完善災備體系

英國業(yè)務持續(xù)協(xié)會BCI定義了業(yè)務連續(xù)性管理的范圍包括風險管理、災難恢復、緊急事件管理、安全管理、知識管理、危機通信和公共關(guān)系、設施管理、供應鏈管理、質(zhì)量管理、健康和人身安全等十個領(lǐng)域的內(nèi)容。業(yè)務連續(xù)性管理所涉及的范圍不僅僅限于上面所列出的十個部分，其核心是保障企業(yè)業(yè)務持續(xù)運行，業(yè)務連續(xù)性管理是一個開放的框架，任何與此有關(guān)的領(lǐng)域都可以是其組成部分。

4 結(jié)束語

隨著大家對業(yè)務連續(xù)性管理的認識不斷深入，業(yè)務連續(xù)性管理必將越來越受重視。針對涉密信息系統(tǒng)業(yè)務連續(xù)性管理目前存在的問題，只要我們認真研究，不斷改進，涉密信息系統(tǒng)業(yè)務連續(xù)性管理一定會上新臺階。

[1]丁輝.企業(yè)安全管理和業(yè)務連續(xù)性管理[J].中國標準化，2006.

[2]魏軍，趙海.全面認識業(yè)務連續(xù)性管理體系[J].質(zhì)量與認證，2014.

[3]田長星.建立運維規(guī)范標準，保障業(yè)務連續(xù)性[J].金融電子化，2014.

[4]秦挺鑫.業(yè)務連續(xù)性管理標準化的動向以及我國的工作進展[J].標準科學，2015.

[5]秦挺鑫，董曉媛，王金玉.業(yè)務連續(xù)性管理體系評價指標體系研究[J].保標準科學，2014.