BCM业务连续性管理程序

第⼗六章业务连续性管理第16章业务连续性管理随着信息化的发展、企业、政府对信息系统运作的稳定性和可靠性的要求就越⾼。

本章⾸先将从什么是业务连续性计划及BCP相关概念进⾏了介绍；然后介绍了应急响应概念、如何建⽴安全应急响应管理系统和应急响应流程以及针对事件的发⽣如何处理；最后介绍了灾难恢复计划相关概念和所使⽤的技术以及灾难恢复级别是如何定义和如何制定灾难恢复计划。

本章内容适合参加信息安全⾼级管理师认证的读者。

16.1 概述16.1.1什么是业务连续性计划业务连续性计划(Business Continuity Planning，缩写为BCP)，BCP可被定义为⼀种先知先觉的流程, 它可以帮助企业确认影响业务发展的关键性因素及其可能⾯临的威胁。

由此⽽拟定的⼀系列计划与步骤可以确保企业⽆论处于何种状况下，这些关键因素的作⽤都能正常⽽持续地发挥。

BCP的⽬标是建⽴⼀种合理有效的成本控制⽅案，以平衡由威胁带来的可能的业务或资产的损失及为保证业务连续性运作⽽进⾏的成本投⼊。

业务连续性对确保灾难发⽣时企业的⽣存是⾄关重要的，不过与之同等重要的是要保证企业⽇常的业务运⾏平稳有序。

业务持续管理即BCM是⼀种整体管理流程，它能够确定可能发⽣的冲击及对企业运作造成的威胁，并提供⼀个架构来阻⽌或有效的抵消这些威胁，以保护股东的利益、公司的名誉及品牌。

16.1.2BCP运作流程BCP运作共有6个阶段，分别为：1. 项⽬初始化2. 风险分析及业务影响3. 策略及实施4. BCP开发5. 培训计划6. 测试及维护1. 项⽬初始化(1) 获得管理层的⽀持与投⼊为了确保该程序能够成功，⾼级管理层必须参与其中。

BCP计划必须成为公司的战略性业务计划提供独⽴的预算。

(2) 建⽴团队必须建⽴⼀个团队，⼈员包括财务部，审计部，信息技术部，⼈事部，⾏政部等等。

当灾难开始时，这些部门在继续扮演他们承担的⽀援⾓⾊的同时，也必须实施重⼤的机构转变以援助受影响的区域。

应急预案中的业务连续性管理与保障业务连续性管理与保障（Business Continuity Management，简称BCM）是指企业为应对突发事件或灾害，确保业务连续运行的一种管理方法和体系。

它通过系统性的、有计划的措施，保障企业在面临各种内外部风险时，能够继续提供的关键产品和服务。

在应急预案中，业务连续性管理与保障具有重要性，它帮助企业建立完善的应急响应机制，提高企业应对突发事件的能力，保障企业的业务不中断，最大限度地减少损失。

具体来说，业务连续性管理与保障在应急预案中主要包括以下几个方面：第一，制定与更新业务连续性管理计划。

业务连续性管理计划是企业在突发事件发生时，保障业务连续运行的指导性文件，其中包括相关的预警机制、应急响应流程、团队组织、资源调度等内容。

制定业务连续性管理计划需要根据企业的实际情况，确定重要业务的优先级和影响范围，明确各个部门的职责和任务，并定期进行评估和更新。

第二，建立完善的备份与恢复机制。

备份与恢复机制是保障业务连续性的关键步骤。

企业需要建立定期备份关键数据和信息的制度，确保备份的数据安全可靠。

同时，还需要制定数据恢复的详细方案，包括恢复的时间、方式和步骤等，以最短的时间恢复业务运行。

第三，建立灾害恢复团队。

灾害恢复团队是企业应对灾害和突发事件的核心力量，它由各个部门的代表组成，拥有丰富的应急处理经验和专业知识。

灾害恢复团队需要定期进行演练和培训，提高应对紧急情况的能力，保证在突发事件发生时，能够快速有效地响应和处置。

第四，建立与外部机构的合作机制。

突发事件往往超出企业自身的能力范围，需要借助外部资源和机构的支持。

因此，企业在制定应急预案时，需要与相关的政府部门、行业协会、供应商等建立合作机制，明确紧急情况下的合作内容和流程，提高应对突发事件的整体响应能力。

第五，建立监测预警机制。

监测预警机制是防范突发事件和灾害的关键环节。

企业需要建立相应的监测预警系统，及时获得与业务运行相关的信息，提前预警和预防可能发生的风险，为业务连续性管理提供必要的支持。

业务连续性管理程序在现代社会中，企业面临着越来越多的风险和挑战。

面对自然灾害、技术故障、恶意袭击等各种不可预测因素，业务连续性管理程序成为企业保证业务正常运行的重要手段。

它是一种综合性的管理策略，旨在确保企业在面临各种灾难和危机时能够快速恢复业务并保持持续的运营。

首先，一个完善的业务连续性管理程序应该以风险评估为基础。

通过对企业所面临的各种潜在风险进行评估和分析，可以帮助企业确定哪些风险可能对业务造成严重影响，进而制定相应的对策。

比如，在面临自然灾害的地区，企业可以考虑建立备用的生产基地，以应对突发事件对主要生产设施的破坏。

而在面临网络攻击的行业，企业可以加强网络安全防护，提高系统的弹性和韧性。

其次，一个有效的业务连续性管理程序需要建立起一套完善的紧急响应机制。

一旦发生灾难或紧急情况，企业应该能够迅速作出反应，并启动相关的应急预案。

在这个过程中，明确的责任分工和角色扮演非常重要。

各个部门应该清楚自己在紧急情况下的职责和任务，以便能够在最短的时间内恢复业务。

同时，对员工进行紧急情况下的培训和演练也是非常必要的，这样可以提高员工的应变能力和危机处理能力。

此外，一个健全的业务连续性管理程序需要建立起一套完善的备份和恢复机制。

数据是企业最重要的资产之一，及时备份和恢复数据是确保业务连续性的关键。

企业应该建立定期备份数据的制度，将备份的数据存储在安全可靠的地方，以防止遭受数据丢失或损坏。

同时，企业还应该开发恢复数据的系统和方法，以便在需要时能够快速恢复业务并保证数据的完整性。

最后，一个成功的业务连续性管理程序需要进行定期的检查和测试。

只有通过检查和测试，企业才能确保所采取的措施和政策在实践中的有效性。

企业可以定期组织模拟测试或演练，检验业务连续性计划的可行性和有效性。

通过实际操作，可以找出其中存在的问题和不足之处，并采取相应的措施进行改进和优化。

总之，业务连续性管理程序是企业在面临各种风险和挑战时保证业务正常运行的关键所在。

BCM业务连续性文件编号版本号修改号方针BCM5.3-01A01.目的：为了确保BCM管理体系有效运行，以确保满足法律法规相关方的要求，明确管理目的和方向，特制定BCM管理承诺和方针管理规范，对承诺、方针进行宣传、理解并评审进行规范，必要时改进以提高管理水平。

2.适用范围：适用于BCM体系承诺、方针的制定贯彻和实施。

3.职责：3.1 最高管理者负责确定BCM承诺、审批方针；3.2 各级各部门负责宣传贯彻和实施BCM承诺、方针；3.3 有关人员理解和掌握并贯彻实施BCM承诺、方针。

4.承诺管理4.1 总经理负责制定并落实在BCMS方面的领导力和承诺如下：---确保已经为业务连续性管理体系制定了方针和目标并确保方针目标与组织的战略方向是一致的；---确保业务连续性管理体系的要求纳入组织的业务过程中；---确保业务连续性管理体系所需资源可用；---就业务连续性管理体系的有效性和符合BCMS要求的重要性进行传达；---确保业务连续性管理体系达到预期结果；---指导和支持员工为BCMS的有效性作出贡献；---推动持续改进---支持其他相关管理者在其职责领域内展示其领导作用和承诺。

4.2 总经理通过下列活动为建立实施、运行、监视、评审、保持和改进BCMS的承诺提供证据：---建立业务连续性方针---确保BCMS目标和和计划已被制定；---为业务连续性管理确定角色、职责和能力；---任命一名或多名具有适当权限和能力的BCMS责任人员来负责实施和保持BCMS .4.3 总经理通过下列方式确保相关角色的职责和职权在组织内被授权和传达：----确定风险接受准则和可接受的风险级别；----积极参与演练和测试；----确保BCMS的内部审核被执行；----实施BCMS的管理评审；----证明其对持续改进的承诺。

5.方针管理：5.1方针制定的要求：a)适应组织的宗旨并支持其战略方向；b)为业务连续性目标的制定提供框架；c)包括满足适用要求的承诺；d)包括对BCMS进行持续改进的承诺。