2022年CISP教材知識點整理：業(yè)務(wù)連續(xù)性計劃

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

第四章：知識域：業(yè)務(wù)連續(xù)性

4.1知識子域：業(yè)務(wù)連續(xù)性管理

4.1.2業(yè)務(wù)連續(xù)性計劃

業(yè)務(wù)連續(xù)性計劃（Business Continuity Planning，BCP）是一套基于業(yè)務(wù)運行規(guī)律的管理要求和規(guī)章流程，能夠使一個組織在突發(fā)事件面前迅速做出反應(yīng)，以確保關(guān)鍵業(yè)務(wù)功能可以持續(xù)，不造成業(yè)務(wù)中斷或業(yè)務(wù)流程本質(zhì)的改變

如果連續(xù)性受到破壞，組織的業(yè)務(wù)過程停止，那么組織將執(zhí)行災(zāi)難恢復(fù)計劃（Disaster Recovery Planning，DRP）

BCP過程包括BCP的組織管理、業(yè)務(wù)影響分析、BCP的制訂及批準(zhǔn)實施和BCP的評估及維護(hù)4個主要步驟

1.組織管理

BCP的組織管理應(yīng)考慮理解業(yè)務(wù)組織、建立BCP團(tuán)隊、評估BCP資源、BCP的合規(guī)性要求4個因素

（1）理解業(yè)務(wù)組織

（2）建立BCP團(tuán)隊

（3）評估BCP資源

（4）BCP的合規(guī)性要求

服務(wù)級別協(xié)議（SLA）

2.業(yè)務(wù)影響分析

業(yè)務(wù)影響分析（Business Impact Assessment，BIA）

（1）確定業(yè)務(wù)優(yōu)先級

為每項業(yè)務(wù)建立最大允許中斷時間（Maximum Tolerable Downtime，MTD）

自中斷開始，業(yè)務(wù)需要被恢復(fù)的最大期限

業(yè)務(wù)需要恢復(fù)到的最低水平

恢復(fù)到正常水平的時間跨度

MTD指的是某個業(yè)務(wù)功能出現(xiàn)故障但是不會對業(yè)務(wù)產(chǎn)生無法彌補(bǔ)的損害所允許的最大時間長度

在進(jìn)行BCP制定時，MTD是需要重點考慮的

與之有關(guān)的還有另外一個度量標(biāo)準(zhǔn)，即恢復(fù)時間目標(biāo)（Recovery Time Objective，RTO），它指的是當(dāng)中斷事件發(fā)生時，可以實際恢復(fù)功能的時間量

BCP過程的目標(biāo)是確保RTO小于MTD，即要求一個業(yè)務(wù)功能必須在最大容忍中斷事件內(nèi)恢復(fù)

（2）風(fēng)險分析

風(fēng)險要素識別

可能性分析

考慮到計算的一致性，可能性評估通常采用年發(fā)生比率（ARO）表示，ARO反映了業(yè)務(wù)預(yù)期每年遭受特定災(zāi)難的可能性

影響分析

（3）資產(chǎn)優(yōu)先級劃分

3.BCP的制訂及批準(zhǔn)實施

（1）BCP的制訂

信息安全風(fēng)險的處置方式有4種，分別是風(fēng)險降低、風(fēng)險轉(zhuǎn)移、風(fēng)險規(guī)避和風(fēng)險接受

風(fēng)險降低

在BCP中，需要重點保護(hù)的3個對象是人力資源、IT基礎(chǔ)設(shè)施和輔助性設(shè)施/場所

平均故障隔離時間（Mean Time Between Failure，MTBF）

平均修復(fù)時間（Mean Time To Repair，MTTR）

風(fēng)險轉(zhuǎn)移

通過常規(guī)的保險或合同安排來實現(xiàn)風(fēng)險轉(zhuǎn)移，或通過向第三方支付費用以其他方式處理風(fēng)險

風(fēng)險規(guī)避

風(fēng)險接受

風(fēng)險自留

（2）BCP文檔化

文檔化是BCP過程中的關(guān)鍵步驟，其文檔中應(yīng)包含如下內(nèi)容

BCP的目標(biāo)

BCP團(tuán)隊和高級管理層提出的BCP的目標(biāo)

這些目標(biāo)應(yīng)當(dāng)在第一次BCP團(tuán)隊會議上或會議之前決定

職責(zé)聲明

每個參與BCP的人都應(yīng)當(dāng)將他們的職責(zé)以書面形式列出

優(yōu)先級聲明

了解哪些是關(guān)鍵業(yè)務(wù)，哪些是次要業(yè)務(wù)極為重要

風(fēng)險評估

BCP策略

關(guān)鍵業(yè)務(wù)記錄計劃

應(yīng)急響應(yīng)的指導(dǎo)原則

測試與演習(xí)

BCP文檔還應(yīng)當(dāng)闡述一個正式的測試計劃，以確保計劃是最新的，并且所有人員都接受了充分的培訓(xùn)

（3）BCP的批準(zhǔn)與實施

4.BCP的評估及維護(hù)

在更新BCP時，需要進(jìn)行版本控制，所有舊的BCP版本都應(yīng)該進(jìn)行物理銷毀

注：以上內(nèi)容來源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除