CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:
第四章:知识域:业务连续性
4.1知识子域:业务连续性管理
4.1.2业务连续性计划
业务连续性计划(Business Continuity Planning,BCP)是一套基于业务运行规律的管理要求和规章流程,能够使一个组织在突发事件面前迅速做出反应,以确保关键业务功能可以持续,不造成业务中断或业务流程本质的改变
如果连续性受到破坏,组织的业务过程停止,那么组织将执行灾难恢复计划(Disaster Recovery Planning,DRP)
BCP过程包括BCP的组织管理、业务影响分析、BCP的制订及批准实施和BCP的评估及维护4个主要步骤
1.组织管理
BCP的组织管理应考虑理解业务组织、建立BCP团队、评估BCP资源、BCP的合规性要求4个因素
(1)理解业务组织
(2)建立BCP团队
(3)评估BCP资源
(4)BCP的合规性要求
服务级别协议(SLA)
2.业务影响分析
业务影响分析(Business Impact Assessment,BIA)
(1)确定业务优先级
为每项业务建立最大允许中断时间(Maximum Tolerable Downtime,MTD)
自中断开始,业务需要被恢复的最大期限
业务需要恢复到的最低水平
恢复到正常水平的时间跨度
MTD指的是某个业务功能出现故障但是不会对业务产生无法弥补的损害所允许的最大时间长度
在进行BCP制定时,MTD是需要重点考虑的
与之有关的还有另外一个度量标准,即恢复时间目标(Recovery Time Objective,RTO),它指的是当中断事件发生时,可以实际恢复功能的时间量
BCP过程的目标是确保RTO小于MTD,即要求一个业务功能必须在最大容忍中断事件内恢复
(2)风险分析
风险要素识别
可能性分析
考虑到计算的一致性,可能性评估通常采用年发生比率(ARO)表示,ARO反映了业务预期每年遭受特定灾难的可能性
影响分析
(3)资产优先级划分
3.BCP的制订及批准实施
(1)BCP的制订
信息安全风险的处置方式有4种,分别是风险降低、风险转移、风险规避和风险接受
风险降低
在BCP中,需要重点保护的3个对象是人力资源、IT基础设施和辅助性设施/场所
平均故障隔离时间(Mean Time Between Failure,MTBF)
平均修复时间(Mean Time To Repair,MTTR)
风险转移
通过常规的保险或合同安排来实现风险转移,或通过向第三方支付费用以其他方式处理风险
风险规避
风险接受
风险自留
(2)BCP文档化
文档化是BCP过程中的关键步骤,其文档中应包含如下内容
BCP的目标
BCP团队和高级管理层提出的BCP的目标
这些目标应当在第一次BCP团队会议上或会议之前决定
职责声明
每个参与BCP的人都应当将他们的职责以书面形式列出
优先级声明
了解哪些是关键业务,哪些是次要业务极为重要
风险评估
BCP策略
关键业务记录计划
应急响应的指导原则
测试与演习
BCP文档还应当阐述一个正式的测试计划,以确保计划是最新的,并且所有人员都接受了充分的培训
(3)BCP的批准与实施
4.BCP的评估及维护
在更新BCP时,需要进行版本控制,所有旧的BCP版本都应该进行物理销毁
注:以上内容来源于网络,如有侵权,可联系客服删除
