大家好，欢迎来到IT知识分享网。

一、业务连续性计划（BCP）简介

BCP涉及评估组织流程的风险，并创建策略、计划和程序，以最大限度的降低这些风险发生时对组织产生的不良影响，用于在紧急情况下维持业务的连续性运营。BCP的总体目标是在紧急情况下提供快速、冷静和有效的响应，提高公司从破坏性事件中快速恢复的能力。BCP流程中有4个主要阶段：

• 项目范围和计划
• 业务影响评估
• 连续性计划
• 计划批准和实施

ailx10 网络安全优秀回答者 网络安全硕士

二、项目范围和计划

1、业务组织分析

负责业务连续性计划的人员的首要职责之一，就是对业务组织进行分析，以识别与BCP流程具有利害关系的所有部门和个人。需要考虑的范围：

• 负责向客户提供核心服务业务的运营部门
• 关键是支持服务部门（IT）、设施和维护人员以及负责维护支持运营系统的其他团队
• 负责物理安全的公司安全团队，负责主要基础设施和备用处理设施的物理保护
• 高级管理人员和对组织持续运营来说至关重要的其他人员

2、选择BCP团队

BCP团队至少包括以下人员：

• 负责执行业务核心服务的每个组织部门的代表
• 根据组织分析确定的来自不同职能区域的业务单元团队成员
• BCP所涉及领域内拥有技术专长的IT专家
• 掌握BCP流程知识的网络安全团队成员
• 负责工厂实施物理安全和实施管理的团队
• 熟悉公司法规、监管和合同责任的律师
• 可解决人员配置问题以及对员工个人产生影响的人力资源团队成员
• 需要制定在发生中断时如何与利益相关方和公众进行沟通的公共关系团队成员
• 高级管理层代表，这些代表能设定愿景、确定优先级和分配资源

3、资源需求

开发：BCP团队需要一些资源来执行BCP流程的四个阶段，这个阶段需要耗费人力资源，BCP团队成员和召集过来协助制定计划的支持人员

• 项目范围和计划
• 业务影响评估
• 连续性计划
• 计划批准和实施

测试、培训和维护：主要资源是参与这些活动的成员付出的人力

实施：当灾难发生且BCP团队认为有必要全面实施业务连续性计划时，将需要大量资源，这些资源包括大量实施工作和对实际资源的消耗。

三、业务影响评估BIA

1、确定优先级

• 有些活动对业务日常运营极为关键，对业务按照优先级排序
• MTD最大允许中断时间，也称为最大容忍中断时间MTO
• 恢复时间目标RTO

2、风险识别

• 互联网中断
• 服务提供商停运
• 是存粹的定性分析

3、可能性评估

• 确定每种风险发生的可能性
• 常用年度发生率ARO表示，反映企业每年遭受特定灾难的次数

4、影响评估

• 暴露因子EF
• 资产价值AV
• 单一损失期望SLE=EF*AV
• ARO年度发生次数
• 年度损失期望ALE=SLE*ARO

5、资源优先级排序

• 按照ALE降序

四、连续性计划

1、策略开发

• 策略开发阶段在业务影响评估与BCP开发连续性计划阶段之间架起桥梁
• 确定哪些风险是是可接受的
• 哪些风险是必须通过BCP连续性措施缓解的

2、预备和处理

BCP团队设计具体的过程和机制来减轻在策略开发阶段，被认为不可接受的风险。

• 人员：必须确保人员在紧急情况发生前、发生时、发生后都是安全的
• 建筑物：安全加固预备措施、替代站点备份
• 基础设施：物理性加固系统、备用系统

五、计划批准和实施

1、计划批准

• 让企业高管批准该计划

2、计划实施

• BCP团队应该共同开发实施计划
• 根据给定的修改范围和组织环境，尽快实现所描述的过程和预备目标
• 监督相应BCP维护程序的执行情况，以确保计划能响应业务需求的不断变化

3、培训教育

• 培训和教育是BCP实施的基本要素
• 所有直接或间接参与计划的人员都应该接受关于总体计划、个人责任的培训

4、BCP文档化

• 连续性计划的目标
• 重要性声明
• 优先级声明
• 组织职责声明
• 紧急程度和时限声明
• 风险评估
• 风险接受/风险缓解
• 重要记录计划
• 应急响应指南
• 维护
• 测试和演练