一、知识框架

业务连续性主要分为三个模块：业务连续性管理、信息安全应急响应、灾备与恢复

二、业务连续性管理

业务连续性管理基础

业务连续性（BC）：组织对事故和业务中断的规划和响应，使业务可能在预先定义的级别上持续运行的的组织策略和战术上的能力。

业务连续性管理（BCM）：找出组织有潜在影响的威胁及其对组织业务运行的影响，通过有效响应措施保护组织的利益、信誉、品牌和创造价值的活动，并为组织提供建设恢复能力框架的整体管理过程。总结：针对造成业务中断的事件的准备工作及恢复处置工作。

对比来看业务连续性与业务连续性管理，BCM是一项综合管理流程，由业务驱动，集合了技术、管理的一体化动态管理流程。

BCM服务于组织业务

BCM必须明确业务的目标、范围、内容、边界、流程和关系

BCM团队：由业务部门主导，IT和网络安全等部门参与

BCM需要，基础设施资源、软硬件资源、人力资源等资源的支撑

BCM的合规性：法规（网络安全法、知识产权等）、标准（如GB国家标准）合同、审计

业务连续性计划

BCM的流程：

S1：组织业务分析/确定业务优先级

确定关键资产、针对威胁评估对业务的影响

明确业务的目标、范围、内容、边界、流程与关系

业务流程综合列表，按重要性排序(根据经济产值、核心技术、公共服务能力等）

S2：评估连续性风险（影响）—— 识别和分析面临的业务连续性风险

风险要素识别：资产分析、威胁分析、脆弱性分析、安全措施分析

风险可能性分析、影响分析、等级判定

S3：确定连续性优先级

RTO：最短恢复时间对应CIA中的可用性，指中断发生后多长时间内恢复

RPO：恢复时间差，即发生中断，能恢复到发生中断前那一时刻的状态，对应CIA中的完整性

PTO和RPO理想情况下都可以为0，其中RPO理论上可以为0，RTO从用户角度可以为0，但从原理的角度无限接近于0

S4：业务连续性建设和制定业务连续性预案（BCP）

S5：业务连续性预案维护（培训、演练、演习、更新）

批准：向高层汇报并获得BCP的批准

培训教育、维护更新、复审批准

S6：发生业务中断事件后，根据预案进行处置

四种风险处置方法：风险降低、风险转移、风险规避、风险接收

注：CISP考题中会将规避风险与放弃风险相混淆，注意只有规避没有放弃，签订合同属于风险转移

S7：业务连续性跟踪、总结、改进（补充）

文档化：文档化是BCP过程中的关键步骤

业务的动态性决定了业务连续性要求也会随时改变

定期讨论、复审、测试结果，必要时进行版本更新

ps：还记得信息安全管理那一篇博客中提到的PDCA过程方法吗，是不是挺相似的，先制定计划（P），实施与运行（D），监控与评审（C），总结改进（A）

三、应急响应

应急响应工作列为我国信息安全保障工作的重点之一

组织为了应对突发/重大信息安全时间的发生所做的准备，以及在事件发生所做的准备，以及在事件发生后所采取的措施

应急响应：安全事件前的充分准备和事件后的应急处置

事件分类：有害程序、网络攻击、信息破坏、信息内容、设备设施故障、灾害、其他事件。

事件分级要素：信息系统的重要程度、系统损失和社会影响

事件分级：4级一般事件、3级较大事件、2级重大事件、1级特大事件

应急响应组织架构：领导组-专家组-实施组-日常运行组-技术保障组

处理过程六步：准备-检测-遏制-根除-恢复-跟踪总结

应急预案：处理什么事、达到什么处理目标、谁负责处理、怎么进行处理。

预案要求：高效、简洁、便捷、变通、适用、可行。预案修订、升级，演练和演习。

计算机取证：

原则：合法（充分授权）、优先保护、全程监督

过程：准备-取证保护-证据提取-证据分析-证据报告提交

四、灾备恢复管理

灾备恢复的概念：应对灾难事件备份工作及灾难性事件后的恢复处置工作

灾备恢复过程

S1：灾备需求分析：1-风险评估（灾难）、2-BIA（业务影响分析）、3-需求指标（RTO/RPO）。

S2：灾备恢复方案：7要素（数据、数据系统、网络系统、基础设施、技术能力、管理能力、灾备预案）。

S3：灾备恢复建设：1）选地址和灾备中心建设；2）灾备系统建设；3）技术和管理能力建设

S4：灾备恢复预案：制定灾难应对预案，包括培训、演练、演习、更新。

S5：灾难事件处置：发生灾害后，根据预案进行处理和恢复。（补充）

S6：灾难恢复总结：根据灾难备份和恢复工作总结和跟踪。（补充）

灾备恢复能力是根据国标7要素判断1-6级。

1级：基本支持级：完全备份1周1次。

2级：备用场地级：完全备份1周1次，配备或调配部分设备。

3级：电子传输和部分设备支持：完全备份1天1次，配备部分设备，网络定时传输。

4级：电子传输和完整设备支持：完全备份1天1次，配备完整设备，网络定时传输，就绪状态。

5级：实时传输和完整设备支持：完全备份1天1次，配备完整设备，网络实时传输，就绪和切换。

6级：数据的零丢失和远程集群：RPO=0 RTO->0

灾备恢复的技术

1）DAS、NAS的区别和对比（参考SAN、云存储）

前者分散，浪费资源，可靠性高；后者的集中存储；节约资源；单点故障（需要进行容灾备）

2）完整备份、差量备份、增量备份的区别及使用的场景

完整备份：数据全部备份；备份周期间隔长；场景是系统数据背景；

差分备份：和完整数据备份基线对比后更新修改后的数据备份；间隔中；系统数据、业务数据背

景。

增量备份：和差分备份基线的版本数据对比，修改更新的数据备份；间隔短；场景是业务数据备份。

3）RAID 0/1/5的区别：

RAID-0（条带）：提高了磁盘子系统的性能，但不提供容错能力。

RAID-1（镜像）：磁盘一对一镜像，确保数据不丢失。

RAID-5（奇偶校验）：三块以上磁盘，一块作为校验信息，允许第一磁盘损坏。

4）冷站、温站、热站、移动站（车载机房）、镜像站、隧道机房的不同及使用的场景。

信息安全管理（CISP）—— 业务连续性相关推荐

业务连续性（BCM）小百科系列（四）
BCM小百科目录企业与个人认证对BCM体系建设的重要性 10年期间,BCM在哪些方面有了提升全身而退 or 脱胎换骨 BC已重新定义,DR不曾改变,你的BCM做到位了吗? 三位一体在企业BCM建设 ...
CISSP复习笔记-第8章业务连续性与灾难恢复
CISSP复习笔记-第8章业务连续性与灾难恢复 8.1 业务连续性和灾难恢复业务评估(Business Assessment,BA) 风险评估(Risk Assessment):评估已存在的暴露 ...
信息安全管理（CISP）—— 信息安全管理
目录一.知识框架二.信息安全管理基础 1.信息安全管理基本概念 2.信息安全管理体系三.信息安全风险管理 1.基本概念 2.风险管理 3.常见的风险管理模型 GB/Z 24364<信息安全 ...
《CISP》（三）信息安全管理
本系列是学习<CISP>中易混淆点的记录,文章顺序是按照教材讲解而定目录一.信息安全管理体系 ISMS 二.信息安全风险管理 1.风险 2.风险管理 3.风险管理相关要素 4.信息安全 ...
信息安全管理（CISP）—— 信息安全保障
目录写在最前面一.信息安全保障知识框架二.信息安全保障基础 1.信息安全的定义 2.信息安全问题 3.信息安全问题的根源与特征 4.信息安全属性 5.信息安全视角 6.信息安全发展阶段 7.威胁 ...
CISP管理部分-3、信息安全管理
1.1 信息安全管理基础信息的不同视角: 企业:对用户的信息保护成为新的关注点用户:用户将安全作为选择服务的重要依据之一攻击者:不起眼的数据对攻击者可能价值很高,倒逼企业和个人更关注信息安全信 ...
CISP管理部分-4、业务连续性
1.1 业务连续性管理 v 业务连续性(BC) §业务连续性(Business Continuity, BC)是组织对事故和业务中断的规划和响应,使业务可能在预先定义的级别上持续运行的组织策略和战术 ...
银行业灾备及业务连续性管理：从混沌走向清明
<金融时报>记者潘竑 2007-01-17 每每提及灾难备份与业务连续性管理,银行业总是被誉为行业中的"领头羊".这不仅是由于其起步早,上世纪90年代末,部分 ...
网络信息安全管理之资产、脆弱性、威胁、风险
网络信息安全管理是指对网络资产采取合适的安全措施,以确保网络资产的可用性.完整性.可控制性和抗抵赖性,不致因网络设备.网络通信协议.网络服务.网络管理受到人为和自然因素的危害,而导致网络中断.信息泄露 ...

信息安全管理（CISP）—— 业务连续性