第8講信息安全組織管理1概述信息安全管理信息安全管理體系信息安全保障信息安全組織管理信息安全管理概念：組織為實現信息安全目標而進行的管理活動，是組織完整的管理體系中的一個重要組成部分，是為保護信息資產安全，指導和控制組織的關于信息安全風險的相互協調的活動范圍：包括組織安全策略及安全管理制度、人員管理、業務流程、物理安全、操作安全等從人員上看，信息安全管理涉及到全體員工，包括各級管理人員、技術人員、操作人員等；從業務上看，信息安全管理貫穿到所有與信息及其處理設施有關的業務流程當中重要性：威脅的多樣性和復雜性技術手段的局限性，特別是對內部用戶、合法用戶信息安全管理基本方法ISO/IEC27001提出的PDCA我國的《信息安全風險管理指南》美國卡耐基﹒梅隆大學軟件工程研究所（CMU/SEI）的OCTAVE美國國家安全局提出的SSE-CMM美國審計總署提出的《信息安全管理指南——向先進公司學習》（GAO/AIMD-98-68）美國國家標準和技術學會（NIST）信息技術實驗室（ITL）通過對國家測量和標準體系提供技術指導。SP800澳大利亞和新西蘭提出的AS-NZS4360：1990《風險管理指南》信息安全管理體系信息安全管理體系（ISMS：InformationSecurityManagementSystem）基于業務風險方法，來建立、實施、運行、監視、評審、保持和改進信息安全的一套管理體系整個管理體系的一部分。管理體系包括組織結構、方針策略、規劃活動、職責、實踐、程序、過程和資源ISMS概念起源源于BS7799-2，也就是后來的ISO/IEC27001。ISO/IEC27001提出了在組織整體業務活動和所面臨風險的環境下建立、實施、運行、監視、評審、保持和改進ISMS的PDCA模型，對PDCA模型的每個階段的任務及注意事項、ISMS的文件要求、管理職責做了較為詳細的說明，并對內部ISMS審核、ISMS管理評審、ISMS改進也分別做了說明信息安全保障組織管理保障信息系統安全保障的動力源泉，普通的安全技術，通過制定恰當的管理措施予以配合，可以發揮出出色的安全效能技術保障技術保障是信息安全保障的基礎，沒有相應的安全技術作為支撐，信息安全目標很難實現法律法規保障法律法規建設不是組織的內部事務，而是整個社會共同面對的問題。法律法規是組織從事各種政務、商務活動所處社會環境的重要組成部分，它能為信息安全提供制度保障，沒有法律法規保障，商務、政務活動將無章可循，信息安全的技術和管理人員將失去了約束。標準化建設信息安全標準是規范和協調信息安全管理和技術互通和一致的重要手段信息安全組織管理組織管理方面的安全保障措施包括：信息安全策略：是在一個組織內指導如何對包括敏感信息在內的資產進行管理、保護和分配的規則和指示安全組織建設：組織安全是指組織應建立一定的管理框架，以啟動和控制組織范圍內的信息安全的實施，同時加強處理因與外界各方交流而可能引發的安全問題。如信息安全職責分配、職能部門間工作的協調與溝通、與外部各方合同與協議安全等人力資源安全：人員安全管理是不僅指組織內部人員的安全管理、也包括簽約合作方及第三方人員的安全管理業務連續性管理：業務連續性管理通過預防、檢測和恢復的組合，將對機構的影響減少到最低水平，并將信息資產的損失恢復到可接受的程度。信息安全事故管理：安全事故報告機制、處理機制、脆弱點的規范管理機制等符合性：符合性包含三個方面的含義，其一是指法律法規的符合性，其二是指與有關標準、技術規范的符合性，其三是指與組織目標及安全策略的符合性。組織應執行符合性審查，如有不符合情況，應該：確定不符合的原因；評估要糾正這個不符合所需要的措施及代價；決定和實施適當的糾正措施；評審糾正措施操作安全：組織應該具備規范化的操作程序、操作培訓、職責分割、信息備份、安全監控與審計蹤跡等物理安全保護：物理安全保護是指對信息處理設施、介質、場所提供物理的安全保護，避免物理介質、設備的物理破壞以及信息處理場所的未授權進入。包括信息處理設備安全、電纜安全、信息處理場所的物理安全等……2信息安全策略什么是信息安全策略信息安全策略的制定信息安全策略的框架信息安全策略的支持文件信息安全策略的推行什么是信息安全策略信息安全策略是一組規則，它們定義了一個組織要實現的安全目標和實現這些安全目標的途徑。分為兩個部分：問題策略（issuepolicy）：描述了一個組織所關心的安全領域和對這些領域內安全問題的基本態度功能策略（functionalpolicy）：描述如何解決所關心的問題，包括制定具體的硬件和軟件配置規格說明、使用策略以及雇員行為策略對信息安全策略的要求必須有清晰和完全的文檔描述必須有相應的措施保證信息安全策略得到強制執行，包括行政措施等也需要根據業務情況的變化不斷地修改和補充信息安全策略特點：信息安全策略的內容應該有別于技術方案：信息安全策略只是描述一個組織保證信息安全的途徑的指導性文件，它不涉及具體做什么和如何做的問題，只需指出要完成的目標信息安全策略是原則性的和不涉及具體細節的：對于整個組織提供全局性指導，為具體的安全措施和規定提供一個全局性框架。在信息安全策略中不規定使用什么具體技術，也不描述技術配置參數。信息安全策略的另外一個特性就是可以被審核，即能夠對組織內各個部門信息安全策略的遵守程度給出評價。信息安全策略的描述語言應該是簡潔的、非技術性的和具有指導性的信息安全策略的制定制定信息安全策略的基礎組織業務系統的組成：哪些業務部分是孤立的、哪些部分是相互連接的、系統內部人員采用什么通信方式、各個部門采用什么業務運做方式等而這些都是隨時間不斷變化的，在需要時信息安全策略的制定者要對信息安全策略進行修改和調整衡量信息安全策略的首要標準信息安全策略現實可行性，信息安全策略既要符合現實業務狀態，又要能包容未來一段時間的業務發展要求制定信息安全策略應該是一個組織保證信息安全的第二步在制定信息安全策略之前首先要確定安全風險量化和估價方法，明確一個組織要保護什么和需要付出多大的代價去保護。建立信息安全策略的過程應該是一個協商的團體活動起草小組應該包括業務部門的代表信息安全策略草稿完成后，應該將它發放到業務部門去征求意見，弄清信息安全策略會如何影響各部門的業務活動在這些活動中，發現一些熟悉部門情況能代表部門意見幫助與部門進行溝通的業務聯絡人員信息安全策略框架信息安全策略的制定者綜合風險評估、信息對業務的重要性，管理考慮、組織所遵從的安全標準，信息安全策略可能包括下面的內容：加密策略—描述組織對數據加密的安全要求使用策略—描述設備使用、計算機服務使用和雇員安全規定、以保護組織的信息和資源安全線路連接策略—描述諸如傳真發送和接收、模擬線路與計算機連接、撥號連接等安全要求反病毒策略—給出有效減少計算機病毒對組織的威脅的一些指導方針，明確在哪些環節必須進行病毒檢測應用服務提供策略—定義應用服務提供者必須遵守的安全方針審計策略—描述信息審計要求，包括審計小組的組成、權限、事故調查、安全風險估計、信息安全策略符合程度評價、對用戶和系統活動進行監控等活動的要求電子郵件使用策略—描述內部和外部電子郵件接收、傳遞的安全要求數據庫策略—描述存儲、檢索、更新等管理數據庫數據的安全要求非武裝區域策略—定義位于“非軍事區域”（DemilitarizedZone）的設備和網絡分區第三方的連接策略—定義第三方接入的安全要求敏感信息策略—對于組織的機密信息進行分級，按照它們的敏感度描述安全要求內部策略—描述對組織內部的各種活動安全要求，使組織的產品服務和利益受到充分保護Internet接入策略—定義在組織防火墻之外的設備和操作的安全要求口令防護策略—定義創建，保護和改變口令的要求遠程訪問策略—定義從外部主機或者網絡連接到組織的網絡進行外部訪問的安全要求。路由器安全策略—定義組織內部路由器和交換機的最低安全配置。服務器安全策略—定義組織內部服務器的最低安全配置。VPN安全策略—定義通過VPN接入的安全要求。無線通訊策略—定義無線系統接入的安全要求。信息安全策略的支持文件組織制定出信息安全策略之后，還需要制定一系列的配套標準來規定人員和部門如何遵守信息安全策略，比如針對條目1的規定，可以為財務部門的計算機數據加密規定如下的標準：所有安裝Windows2000的財務部門計算機應該利用內置加密文件系統EFS將所有文件夾和子文件夾配置成自動加密文檔方式所有人員必須將公司的文件和信息存放在加密的硬盤分區上計算機技術部負責保管EFS恢復密鑰，此密鑰只能由計算機技術部經理和內部審計經理訪問類似地，對于掌上電腦中信息的加密，對于電子郵件消息的加密，仍然需要規定其他的標準。這樣，條目1所規定的加密策略才能保證得到執行。在這些標準里，要明確說明使用什么產品對什么類型的信息進行加密。這樣做帶來的好處是：策略描述了總體的安全目標和方向，不會因為技術產品的升級而過時，一個信息安全策略應該能夠使用幾年甚至十幾年的時間。充分考慮不同部門的業務差異。各個部門的安全要求可能很不相同，各個部門通過制定不同的部門標準可以獲得一定的自主空間。詳細的標準便于雇員查找、了解和學習安全規定。信息安全策略的推行對策略的支持與服從建立對信息安全策略的支持和服從是一個艱難的過程，使用“這將造成嚴重后果”這樣的威脅性語句對于雇員的影響是有限度的，過于頻繁的安全警告最終會降低大家的注意力采用以業務為中心的對話，提醒員工所面對的信息有極大的價值和需要給予特別的保護倒是行之有效的措施，同時信息安全策略制定者也應該掌握安全和業務需要之間的平衡，爭取盡早得到最高管理層的理解和支持策略的宣貫：一個信息安全策略如果是由最高管理者頒布的，則是一個好的開始。

除此之外，還有一些好的手段印刷日歷，強調每個月不同的策略，將它們張貼在辦公室中。利用幽默和簡單的語言表述信息安全策略，分發給每個雇員。設立一些幾十分鐘的內部培訓課程。進行信息安全策略知識競賽。將信息安全策略和標準發布在內部系統的網站上。向公司員工發送宣傳信息安全策略的郵件。建立內部安全熱線，回答雇員關于信息安全策略的問題信息安全策略推行的日常化制定和執行信息安全策略是一個持續性的工作，包括起草和更新標準、對雇員進行培訓和測量策略符合程度等3安全組織建設3.1內部組織3.2外部各方3.3人力資源安全3.4人力防火墻3.1內部組織內部組織的內容內部組織工作要點內部組織的內容建立管理框架，以啟動和控制組織范圍內的信息安全的實施管理層批準信息安全方針、指派安全角色、協調和評審整個組織安全的實施建立信息安全專家團隊內部組織工作要點信息安全的管理承諾確保信息安全目標得以識別，滿足組織需求，并已被整合到相關過程中；制定、評審、批準信息安全策略；評審信息安全策略實施的有效性；為安全舉措提供清晰的方向和可視化的管理層支持；為信息安全提供所需的資源；批準整個組織內信息安全特定角色和職責的分配；啟動計劃和程序來保持信息安全意識；確保整個組織內的信息安全控制的實施相互協調。信息安全協調：信息安全活動應由來自組織不同部門并具備相關角色和工作職責的代表進行協調確保安全活動的實施與信息安全策略相一致；確定如何處理不符合；核準信息安全相關的方法和過程，例如風險評估、信息分類；識別重大的威脅變化和信息系統內暴露于威脅下的信息和信息處理過程；評估信息安全控制實施的充分性性和協調性；有效地促進整個組織內的信息安全教育、培訓和意識；評價在信息安全事故的監視和評審中獲得的信息，推薦適當的措施響應識別的信息安全事故。信息安全職責的分配信息安全職責的分配應和信息安全策略相一致。各個資產的保護和執行特定安全過程的職責應被清晰的識別。這些職責應在必要時加以補充，來為特定地點和信息處理設施提供更詳細的指南。資產保護和執行特定安全過程（諸如業務連續性規劃）的局部職責應予以清晰地定義。分配有安全職責的人員可以將安全任務委托給其他人員。盡管如此，他們仍然負有責任，并且他們應能夠確定任何被委托的任務是否已被正確地執行。個人負責的領域要予以清晰地規定；特別是，應進行下列工作：與每個特殊系統相關的資產和安全過程應予以標識并清晰地定義；應分配每一資產或安全過程的實體職責，并且應形成該職責細節的文件；授權級別應清晰地予以定義，并形成文件。信息處理設施的授權過程

新設施要有相應用戶管理層的授權，以授權設施的用途和使用；還要獲得負責維護本地系統安全環境的管理者授權，以確保所有相關安全策略和要求得到滿足；若需要，硬件和軟件應進行檢驗，以確保它們與其他系統部件兼容；使用個人或私有信息處理設施（例如膝上電腦、家用電腦或手上裝置）處理業務信息，可能引起新的脆弱性，因此應識別和實施必要的控制。保密性協議協議的期望持續時間，包括不確定的需要維持保密性的情形；協議終止時所需的措施；為避免未授權信息泄露的簽署者的職責和行為（即“需要知道的”），信息所有者、商業秘密和知識產權，以及他們如何與機密信息保護相關聯；機密信息的許可使用，及簽署者使用信息的權力；對涉及機密信息的活動的審計監視權力；未授權泄露或機密信息破壞的通知和報告過程；關于協議終止時信息歸檔或銷毀的條款；違反協議后期望采取的措施。基于一個組織的安全需求，在保密性或不泄露協議中可能需要其他因素。保密性和不泄密協議保護組織信息，并告知簽署者他們的職責，以授權、負責的方式保護、使用和泄露信息。對于一個組織來說，可能需要在不同環境中使用保密性或不泄密協議的不同格式。

與政府部門的聯系組織應有程序指明什么時候應當與哪個部門（例如，執法部門、消防局、監管部門）聯系，如果懷疑已識別的信息安全事故可能觸犯了法律，如何及時報告。

與特定權益團體的聯系

信息安全的獨立評審

組織管理信息安全的方法及其實施（例如信息安全的控制目標、控制措施、策略、過程和程序）應按計劃的時間間隔進行獨立評審，當安全實施發生重大變化時，也要進行獨立評審。獨立評審應由管理層啟動。這種獨立評審對確保組織管理信息安全方法的持續適宜性、充分性和有效性是必須的。評審應包括評價安全方法改進的機會和變更的需要，包括策略和控制目標。這樣的評審應由獨立于被評審區域的個人執行，例如內部審核部門、獨立的管理者或專門做這種評審的第三方組織。從事這些評審的個人應具備適當的技能和經驗。獨立評審的結果應被記錄并報告給啟動評審的管理層。這些記錄應加以保持。如果獨立評審識別出組織管理信息安全的方法和實施不充分或不符合信息安全策略文件中聲明的信息安全的方向，管理層應考慮糾正措施。3.2外部各方外部各方相關的安全組織建設的內容保持組織的被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理設施的安全組織的信息處理設施和信息資產的安全不應由于引入外部機構的產品或服務而降低。任何外部機構對組織信息處理設施的訪問、對信息資產的處理和通訊都應予以控制若有與外部機構一起工作的業務需要，它可能要求訪問組織的信息和信息處理設施、從外部機構獲得一個產品和服務或提供給外部機構一個產品和服務，就要進行風險評估，以確定安全蘊涵和控制要求。在與外部機構簽訂的合同中要商定和定義控制措施。與外部各方相關風險識別的關注點外部機構需要訪問的信息處理設施；外部機構對信息和信息處理設施的訪問類型，例如：物理訪問、邏輯訪問、組織和外部機構網絡的網絡連接、現場訪問還是非現場訪問等所涉及信息的價值和敏感性，及對業務運行的危險程度；保護不打算被外部機構訪問到的信息所需要的控制；處理組織信息所涉及的外部機構的人員；組織或授權訪問的人員如何被識別、進行授權驗證，多長時間需要重新確認；外部機構在貯存、處理、傳送、共享和交換信息過程中所使用的不同的方法和控制；當需要時外部機構無法獲得訪問，外部機構進入或接收到不正確的信息或誤導信息的影響；處理信息安全事故和潛在破壞的實踐和程序，當發生信息安全事故時外部機構訪問的期限和條件；應考慮與外部機構有關的法律法規要求和其他合同責任；其他利益相關人的利益如何被安排所影響。除非已實施適當的控制，一般而言，與外部機構合作導致的安全要求或內部控制通過與外部機構的協議反映出來。處理與顧客有關的安全問題組織應在允許顧客訪問組織信息或資產之前處理所有確定的安全要求處理第三方協議中的安全問題涉及訪問、處理或管理組織的信息或信息處理設施以及與之通信的第三方協議，或在信息處理設施中增加產品或服務的第三方協議，應涵蓋所有相關的安全要求。協議應確保在組織和第三方之間不存在誤解。關于第三方的保證，組織應滿足自己的需要。3.3人力資源安全任用之前任用之中任用終止任用之前目標：確保雇員、承包方人員和第三方人員理解其職責、考慮對其承擔的角色是適合的，以降低設施被竊、欺詐和誤用的風險角色和職責：雇員、承包方人員和第三方人員的安全角色和職責應按照組織的信息安全方針定義并形成文件。

審查：關于所有任用的候選者、承包方人員和第三方人員的背景驗證檢查應按照相關法律法規、道德規范和對應的業務要求、被訪問信息的類別和察覺的風險來執行。任用條款：作為他們合同義務的一部分，雇員、承包方人員和第三方人員應同意并簽署他們的任用合同的條款和條件，這些條款和條件要聲明他們和組織的信息安全職責。若合適，包含于雇用條款和條件中的職責應在雇用結束后持續一段規定的時間。任用之中目標：確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針，以減少人為過失的風險。管理職責：管理者應要求雇員、承包方人員和第三方人員按照組織已建立的方針策略和程序對安全盡心盡力。如果雇員、訂約人和第三方用戶沒有意識到他們的安全職責，他們會對組織造成相當大的破壞。被激勵的人員更可靠并能減少信息安全事件的發生。缺乏有效的管理會致使員工感覺被低估，并由此導致對組織的負面安全影響。例如，缺乏有效的管理可能導致安全被忽視或組織資產的潛在誤用。信息安全意識、教育和培訓：組織的所有雇員，適當時，包括承包方人員和第三方人員，應受到與其工作職能相關的適當的意識培訓和組織方針策略及程序的定期更新培訓紀律處分：對于安全違規的雇員，應有一個正式的紀律處理過程，紀律處理之前應有一個安全違規的驗證過程。任用終止終止職責任用終止或任用變化的職責應清晰的定義和分配。終止職責的傳達應包括正在進行的安全需求和法律職責，適當時，還包括機密性協議規定的職責和在雇員、訂約人或第三方用戶的雇傭結束后持續一段時間仍然有效的雇用條款和條件。規定職責和義務在雇用終止后仍然有效的內容應包含在雇員、訂約人或第三方用戶的合同中。人力資源的職能通常是與管理相關程序的安全方面的監督經理一塊負責總體的工作終止處理。在訂約人的例子中，終止職責的處理可能由代表訂約人的代理完成，其他情況下的用戶可能由他們的組織來處理。有必要通知雇員、顧客、訂約人或第三方用戶組織人員的變化和運營上的安排。

資產歸還所有的雇員、承包方人員和第三方人員在終止任用、合同或協議時，應歸還他們使用的所有組織資產。終止過程應被正式化以包括所有先前發放的軟件、公司文件和設備的歸還。其他組織資產，例如移動計算設備、信用卡、訪問卡、軟件、手冊和存儲于電子媒體中的信息也需要歸還。當雇員、訂約人或第三方用戶購買了組織的設備或使用他們自己的設備時，應遵循程序確保所有相關的信息已轉移給組織，并且已從設備中安全的刪除。當一個雇員、訂約人或第三方用戶擁有的知識對正在進行的操作具有重要意義時，此信息應形成文件并傳達給組織。撤銷訪問權限所有雇員、承包方人員和第三方人員對信息和信息處理設施的訪問權應在任用、合同或協議終止時刪除，或在變化時調整。工作終止時，個人對與信息系統和服務有關的資產的訪問權力應被重新考慮。這將決定是否必須刪除訪問權力。工作的變化應反映在不適用于新的工作的權力的刪除上。應刪除或改變的訪問權力包括物理和邏輯訪問、密鑰、ID卡、信息處理設備、簽名，要從標識其作為組織的現有用戶的文件中刪除。如果一個已離開的雇員、訂約人或第三方用戶知道仍保持活動狀態的帳戶的密碼，則應在工作、合同或協議終止或變化后改變密碼。對信息資產和信息處理設施的訪問權力在工作終止或變化前是否減少或刪除，依賴于對風險因素的評價在某些情況下，訪問權力的分配基于對于多人可用而不是基于離開的雇員、訂約人或第三方用戶，例如群ID。在這種情況下，離開的個人應從群訪問列表中刪除，還應建議所有相關的其他雇員、訂約人和第三方用戶不應再與已離開的員工共享信息。在管理者發起終止的情況中，不滿的雇員、訂約人或第三方用戶可能故意破壞信息或破壞信息處理設施。在員工辭職的情況下，他們可能為將來的使用而收集必要的信息。3.4人力防火墻概述概念：信息安全中對人的有效管理稱為“人力防火墻”。對人的管理包括法律法規與安全政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓、人力資源管理措施以及企業安全文化熏陶等。重要性：人，特別是內部員工，既可以是對信息系統的最大潛在威脅，也可以是最可靠的安全防線。統計結果表明，在所有的信息安全事故中，只有30%是由于黑客入侵或其他外部原因造成得，70%是由于內部員工的疏忽或有意泄密造成的在國內，大部分企業對信息安全的理解還只停留在技術層面上，以為企業外部網建立了防火墻能防黑客，內部網能殺病毒就達到安全要求了。最近國內的幾次安全事件，如亞信的電信方案被盜版，華為與美國思科及上海滬科的知識產權訴訟案都生動地告訴我們，在信息安全中人的因素比技術因素更重要。支持與動力領導的重視：一是相應的安全方針政策、控制措施可以在組織的上上下下得到有效的貫徹；二是可以得到有效的資源保證，比如實施有效安全過程的必要的資金與人力資源的支持，及跨部門之間的協調問題都必須由高層管理人員來推動。安全主管的推銷：要得到組織高層領導的支持，安全主管要善于“推銷”安全計劃，在與決策層進行有效溝通時，安全主管要注意兩方面的問題：使企業組織高層相信信息安全并不是可有可無的擺設，它是組織戰略一部分，是實現業務目標的加速器，缺乏信息安全保障的組織會面臨極大的風險；避免使用技術性的語言，而要使用決策層可以充分理解的語言—投資回報，來使他們相信信息安全是可以為組織帶來利益的，對信息安全的投資是有回報的。信息安全可以為組織帶來兩種效益：減少信息安全事故的經濟損失而帶來的價值效益和由于完備的信息安全體系而提升組織聲譽、品牌的非價值效益。角色與責任在一個組織中，安全角色與責任的不明確是實施信息安全過程中的最大障礙，建立安全組織與落實責任是實施信息安全管理的第一步。建立是信息安全指導委員會建立一支以信息安全主管為核心的、專業的信息安全管理的隊伍把相應的安全責任落實到每一個員工身上信息安全教育信息安全教育是實施信息安全的基礎完備的安全教育計劃可以提高員工的安全意識與技能，改變他們對待安全事件的態度，使他們具有一定的安全保護技能，以更好地保護組織的信息資產。好的安全教育計劃，應該讓員工知道組織的信息安全面臨的威脅，及信息安全事件帶來的后果，并通過各種方式使這種不良后果能明確地展現在員工面前，使員工切身感覺到安全事件與自己息息相關。

安全教育模型

4業務連續性管理4.1業務連續性概述4.2業務影響分析(BIA)4.3開發業務連續性計劃4.4測試和維護BCP4.1業務連續性概述什么是業務連續性計劃（BCP）組織為避免關鍵業務功能中斷，減少業務風險而建立的一個控制過程包括對支持組織關鍵功能的人力需求保證、物力需求保證和關鍵功能所需的最小級別服務水平的連續性保證BCP關注點：組織日常風險管理程序所不能完全消除的剩余風險BCP的目標就是把組織的剩余風險和因意外事件產生的風險降低到組織可以接受的程度BCPvsDRP災難恢復計劃（DRP）的目的是將災難造成的影響減少到最小程度，并采取必要的步驟來保證資源、員工和業務流程能夠繼續運行。災難恢復計劃和業務連續性計劃不同業務連續性計劃用來為長時間的停工和災難提供處理方法和步驟，災難恢復計劃的目標是在災難發生后馬上處理災難及其后果。災難恢復計劃在所有事情都還處于緊急狀態的時候就開始執行，而業務連續性計劃考慮問題的方面更加長遠：原有設施正在修理的時候將關鍵系統轉移到另一個地方去，安全正確的人員到正確的崗位上在正常程序恢復之前改變業務運行模式，通過各種渠道處理與客戶、合作伙伴和持股者的關系，直到一切恢復正常為止。BCP按其生命周期項目啟動業務影響分析（BusinessImpactAnalysis）制定業務連續性策略開發業務連續性計劃業務連續性計劃測試與實施業務連續性計劃維護4.2業務影響分析(BIA)概念：BIA就是要確定影響組織業務連續性運行的關鍵資源或流程，并評估其對組織的影響。業務影響分析（BIA,BusinessImpactAnalysis）是一個關鍵步驟BIA需要考慮的問題組織的關鍵業務流程是什么？對每一個業務流程進行評估以確定其重要性。與組織關鍵業務流程相關的關鍵信息資源是什么？信息資源出現故障并不一定引起災難，除非它與特定的關鍵業務流程相關。關鍵恢復時間周期是多長？中斷的業務在一定時間周期內必須恢復，否則將引起重大損失。恢復的時間長短取決于被中斷業務的性質。BIA執行方法1.問卷調查法：首先設計一個詳細的調查問卷，分發給重要的業務人員，然后對收集的反饋信息進行分類、分析，確定不同信息資源的重要性。2.詢問關鍵用戶：通過分析面談收集來的信息，開發一個詳細的BIA計劃和策略。3.把IT人員和終端用戶召集在一起，討論得到結論，確定各種級別的中斷對業務的影響程度。4.3開發業務連續性計劃根據組織規模與需求的不同，BCP可能含有多個計劃文件，一般包括以下計劃：業務連續性計劃業務恢復計劃連續作業計劃危機通信計劃事件響應計劃災難恢復計劃場所緊急撤離計劃4.4測試和維護BCPBCP測試應完成以下任務：驗證BCP的完全性和準確性評價BCP測試中的個人績效評價對非BCP團隊成員的其他員工的教育與培訓評價BCP團隊與外部供應商之間的協調性通過實施預定的程序來測試備份站點評估重要記錄的檢索能力評價要轉移到恢復站點的設備的狀態、數量及供應情況評價與維護業務實體有關的運行活動和信息系統處理活動的績效測試階段預測試階段：為正式的測試做準備工作的一系列必要活動。包括在正確的恢復區域內放置電纜，運送和安裝備份等。測試階段：通過實際的運行活動來測試BCP的特定目標，測試對象包括：數據錄入、電話呼叫、信息系統處理、恢復活動優先級安排、人員行動、恢復設備供應等內容，評估審核相關人員的操作。測試后階段：對參與測試的各個團隊的活動進行清理。例如，把所有的資源歸還到原有位置，人員返回，刪除所有來自第三方系統的數據等。測試后階段還要對BCP進行總體評價，并提出完善建議。測試類型核對性測試結構化的排練性測試模擬測試并行測試完全中斷測試維護：組織應當定期對業務連續性計劃和策略進行審核與更新，以反映需求變化。以下因素可能影響業務連續性需求，需要對BCP進行更新：在過去某一時間點上建立的恢復策略可能已經不能滿足組織變更后的新要求。組織開發或獲得了新的資源或應用系統。業務策略上的變更可能會改變關鍵應用系統的重要性級別，或者產生了新的關鍵應用系統。硬件或軟件環境的變更可能會使為恢復而準備的供應物品過時或不再適用。5操作與物理安全5.1操作安全5.2物理安全保護范圍5.3物理安全模型5.1操作安全在信息系統的實際運行過程中，由于操作中用戶的無意過失或故意行為，都可能導致嚴重的安全問題，應對這類威脅措施有：規范化的操作程序：應制定規范化的信息系統處理和操作程序，并形成文件。例如計算機啟動和關機程序、備份、設備維護、介質處理、計算機機房管理、郵件處置和物理安全等。操作培訓：為減少無意錯誤導致的信息安全問題，實際操作前，應對操作人員進行培訓。職責分割：對責任及職責范圍加以分割，可以降低無意的過失導致嚴重損害，也可阻止用戶故意行為對組織資產的損害。通過職責分離，只有若干人勾結在一起才能實施預定的陰謀。信息備份：應提供足夠的備份設施，同時注意備份信息應異地存儲，以確保所有必要的信息和軟件能在災難或設備故障后進行恢復。各個系統的備份安排應定期測試以確保他們滿足業務連續性計劃的要求。對于重要的系統，備份不止應覆蓋所有的系統信息、應用，還應包括在災難事件時恢復整個系統所需的必須信息。變更管理：由于硬件或軟