中培偉業(yè)IT常青樹專家組認(rèn)為，應(yīng)急響應(yīng)管理與業(yè)務(wù)連續(xù)性管理是企業(yè)信息安全管控體系中的兩大領(lǐng)域，兩者既有區(qū)別又相互關(guān)聯(lián)。許多信息安全人員在認(rèn)識(shí)上還存在一些誤區(qū)，容易混淆概念；同時(shí)，由于重點(diǎn)行業(yè)在監(jiān)管方面對(duì)兩者都有相關(guān)要求，安全人員往往會(huì)感覺(jué)重復(fù)建設(shè)，疲于應(yīng)對(duì)。本篇文章，中培偉業(yè)相關(guān)專家從應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性管理的各自目標(biāo)和工作內(nèi)容談起，著重分析一下兩者的主要差異，并結(jié)合實(shí)踐對(duì)各自的關(guān)鍵管控點(diǎn)進(jìn)行了說(shuō)明。

信息安全應(yīng)急響應(yīng)

由于信息系統(tǒng)的復(fù)雜性和各種已知及未知威脅的不確定性，沒(méi)有任何一種信息安全策略及防護(hù)體系能確保企業(yè)的信息資源、信息系統(tǒng)及相關(guān)服務(wù)絕對(duì)不受損害，因此企業(yè)必須針對(duì)隨時(shí)可能發(fā)生的信息安全事件或疑似事件制定一套嚴(yán)謹(jǐn)周詳?shù)膽?yīng)對(duì)策略和具體行動(dòng)方案，最大程度的降低企業(yè)在安全事件中的損失。這也是中培偉業(yè)倡導(dǎo)的信息安全人員的核心工作內(nèi)容之一。

管理目標(biāo)：

及時(shí)發(fā)現(xiàn)可能對(duì)企業(yè)信息安全造成威脅的安全事態(tài)，確定是否需要將事態(tài)歸類為信息安全事件；

對(duì)已確定的信息安全事件進(jìn)行評(píng)估，并以最恰當(dāng)和最有效的方式做出響應(yīng)，將信息安全事件對(duì)組織及其業(yè)務(wù)運(yùn)行的負(fù)面影響降至最小；

及時(shí)總結(jié)信息安全事件及其管理的經(jīng)驗(yàn)教訓(xùn)。

主要內(nèi)容：

信息安全事件響應(yīng)的工作可分為事前、事中、事后三階段：

事前：建立企業(yè)信息安全應(yīng)急響應(yīng)的總體策略并得到高級(jí)管理層的確認(rèn)；構(gòu)建信息安全應(yīng)急響應(yīng)組織并定義各自崗位職責(zé)；制定具體應(yīng)急響應(yīng)處置預(yù)案；組織相關(guān)人員定期對(duì)各預(yù)案進(jìn)行演練；

事中：監(jiān)控信息安全事態(tài)；對(duì)發(fā)生的安全事態(tài)進(jìn)行分析，判斷是否可定性為信息安全事件；對(duì)安全事件進(jìn)行分類、分級(jí)評(píng)估，啟用相應(yīng)處置預(yù)案；隨時(shí)對(duì)安全事件的進(jìn)展進(jìn)行匯報(bào)；

事后：對(duì)安全事件進(jìn)行總結(jié)，包括原因分析、處置過(guò)程評(píng)估、事件損失評(píng)估；對(duì)所發(fā)現(xiàn)企業(yè)信息安全防護(hù)體系中的漏洞和不足進(jìn)行整改；安全事件若涉及非法犯罪行為應(yīng)配合相關(guān)部門展開進(jìn)一步司法調(diào)查。

業(yè)務(wù)連續(xù)性管理體系

業(yè)務(wù)連續(xù)性管理體系是一個(gè)涵蓋非常廣泛的概念，由業(yè)務(wù)連續(xù)性管理（BCM）、業(yè)務(wù)連續(xù)性規(guī)劃（BCP）、災(zāi)備管理（DRP）等內(nèi)容構(gòu)成。其根本目的是使企業(yè)充分認(rèn)識(shí)到自身業(yè)務(wù)面臨的各種風(fēng)險(xiǎn)，在突發(fā)情況特別是災(zāi)難性事件發(fā)生時(shí)能防止或減少業(yè)務(wù)的中斷，確保企業(yè)關(guān)鍵的核心業(yè)務(wù)在可承受的范圍內(nèi)維持最低限度的持續(xù)運(yùn)行，盡一切手段縮短恢復(fù)時(shí)間，降低業(yè)務(wù)損失，減小企業(yè)內(nèi)外部的負(fù)面影響。由于IT在企業(yè)中的重要性與日俱增，如何保證IT在災(zāi)難性事件發(fā)生后繼續(xù)為業(yè)務(wù)提供持續(xù)的服務(wù)能力成為企業(yè)整體業(yè)務(wù)連續(xù)性管理中的核心內(nèi)容之一，這需要IT人員和企業(yè)中其他人員緊密配合。對(duì)于IT人員及信息安全人員而言工作重心是業(yè)務(wù)連續(xù)性規(guī)劃和災(zāi)備管理。

1 業(yè)務(wù)連續(xù)性管理體系總體架構(gòu)

管理目標(biāo)：

明確業(yè)務(wù)連續(xù)性管理范圍，識(shí)別企業(yè)關(guān)鍵性業(yè)務(wù)；

制定業(yè)務(wù)連續(xù)性計(jì)劃，在災(zāi)難性事件發(fā)生后按計(jì)劃執(zhí)行；

搭建恢復(fù)保障機(jī)制，包括建立、健全業(yè)務(wù)連續(xù)性管理機(jī)構(gòu)、軟硬件設(shè)備冗余建設(shè)、災(zāi)難恢復(fù)運(yùn)行場(chǎng)所建設(shè)，并始終維持這些恢復(fù)機(jī)制的運(yùn)行能力以保障其在需要時(shí)能夠及時(shí)啟用。

主要內(nèi)容：

配合業(yè)務(wù)人員執(zhí)行連續(xù)性規(guī)劃，包括制定業(yè)務(wù)連續(xù)性管理方針、明確業(yè)務(wù)連續(xù)性管理目標(biāo)及范圍、搭建企業(yè)業(yè)務(wù)連續(xù)性管理組織架構(gòu)，明確關(guān)鍵崗位職責(zé)；

針對(duì)企業(yè)業(yè)務(wù)內(nèi)外部工作環(huán)境按場(chǎng)景預(yù)設(shè)進(jìn)行風(fēng)險(xiǎn)分析，評(píng)估風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響及發(fā)生的可能性

執(zhí)行業(yè)務(wù)影響分析（BIA），識(shí)別企業(yè)關(guān)鍵業(yè)務(wù)、各業(yè)務(wù)的執(zhí)行流程及所需的各類支撐資源，梳理各業(yè)務(wù)間的依存關(guān)系，明確災(zāi)難發(fā)生后對(duì)各業(yè)務(wù)的恢復(fù)要求（RTO、RPO）；

明確開發(fā)業(yè)務(wù)連續(xù)性策略，重點(diǎn)是明確各業(yè)務(wù)的連續(xù)性保證優(yōu)先級(jí)和恢復(fù)順序；

根據(jù)個(gè)業(yè)務(wù)RTO、RPO進(jìn)行相關(guān)IT服務(wù)支撐建設(shè)并保持其有效運(yùn)行；

制定詳盡的業(yè)務(wù)連續(xù)性計(jì)劃，對(duì)相關(guān)人員進(jìn)行培訓(xùn)，定期組織進(jìn)行演練并對(duì)演練結(jié)果進(jìn)行評(píng)估和分析；

災(zāi)難性事件發(fā)生后按既定計(jì)劃執(zhí)行，保證企業(yè)核心業(yè)務(wù)持續(xù)運(yùn)行，待災(zāi)難平息后進(jìn)行恢復(fù)切換。

“應(yīng)急響應(yīng)管理與業(yè)務(wù)連續(xù)性管理”兩者的主要差異

通過(guò)上述簡(jiǎn)析，大家可以看出“信息安全應(yīng)急響應(yīng)管理與業(yè)務(wù)連續(xù)性管理”都是企業(yè)解決突發(fā)信息安全事件的重要手段，兩者之間存在一定的聯(lián)系，這里重點(diǎn)討論兩者之間的差異如下：

首先，是針對(duì)突發(fā)場(chǎng)景不同。應(yīng)急響應(yīng)管理針對(duì)的常見事件場(chǎng)景，如：有害程序事件、網(wǎng)絡(luò)攻擊事件、設(shè)備故障事件、信息破壞事件等；業(yè)務(wù)連續(xù)性管理針對(duì)的災(zāi)難性事件場(chǎng)景，如：特大型自然災(zāi)害（地震、洪水、火山爆發(fā)……）、政治動(dòng)亂、恐怖襲擊等。

其次，是事件造成的影響不同。災(zāi)難性事件一旦發(fā)生后往往會(huì)對(duì)企業(yè)業(yè)務(wù)和IT運(yùn)行環(huán)境造成大面積影響，甚至?xí)苯訉?dǎo)致正常業(yè)務(wù)的全面癱瘓，相對(duì)而言應(yīng)急響應(yīng)針對(duì)的事件所造成的影響多為局部的，直接受損對(duì)象是信息系統(tǒng)，業(yè)務(wù)雖也受影響但尚可運(yùn)行。

再次，是恢復(fù)所需的資源不同。突發(fā)事件發(fā)生后直接受損的是企業(yè)的信息系統(tǒng)，應(yīng)急處置以IT服務(wù)能力的恢復(fù)為主，IT人員、信息安全人員是處置恢復(fù)的絕對(duì)主力，一些較輕級(jí)別的應(yīng)急響應(yīng)處置甚至無(wú)需業(yè)務(wù)人員的參與配合，所需資源以各類IT資源為主；災(zāi)難性事件對(duì)企業(yè)的影響是全方面的，恢復(fù)工作需要各部門通力配合，除IT資源外企業(yè)正常業(yè)務(wù)運(yùn)行所需的其他各類資源在業(yè)務(wù)持續(xù)保障及災(zāi)后重建過(guò)程中也必不可少。

最后，是處置手段及流程的不同。應(yīng)急響應(yīng)針對(duì)的事件場(chǎng)景特征明確，故制定的處置預(yù)案針對(duì)性很強(qiáng)，如主機(jī)系統(tǒng)應(yīng)急預(yù)案、網(wǎng)絡(luò)應(yīng)急預(yù)案。處置流程可詳細(xì)到軟硬件設(shè)備操作的具體執(zhí)行步驟；業(yè)務(wù)連續(xù)性計(jì)劃面對(duì)的局面極其復(fù)雜，在災(zāi)難場(chǎng)景下企業(yè)的運(yùn)行環(huán)境往往需要進(jìn)行遠(yuǎn)距離的整體遷移，故業(yè)務(wù)連續(xù)性計(jì)劃常由一系列的子計(jì)劃，如IT應(yīng)急計(jì)劃、危機(jī)溝通計(jì)劃、運(yùn)輸保障計(jì)劃、場(chǎng)所應(yīng)急計(jì)劃等構(gòu)成，其著眼點(diǎn)在于各計(jì)劃間的整體性和一致性。

企業(yè)信息安全體系關(guān)鍵控制點(diǎn)

應(yīng)急響應(yīng)管理由來(lái)已久，各方面標(biāo)準(zhǔn)非常多，實(shí)際工作中也經(jīng)常會(huì)遇到此類情況，信息安全人員對(duì)此一般都不陌生。而業(yè)務(wù)連續(xù)性管理是近十年來(lái)才在國(guó)內(nèi)重點(diǎn)行業(yè)陸續(xù)提出，相關(guān)標(biāo)準(zhǔn)較少，由于其復(fù)雜性和影響范圍，實(shí)際啟用，可供參考的真實(shí)案例少之又少。另一方面重點(diǎn)行業(yè)對(duì)業(yè)務(wù)連續(xù)性管理的監(jiān)管力度又在逐年加大，許多企業(yè)的信息安全人員對(duì)二者的區(qū)別和聯(lián)系深感困惑， 疲于應(yīng)對(duì)。作為信息安全人員對(duì)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性管理，IT常青樹提示CIO應(yīng)重點(diǎn)控制好以下幾點(diǎn)：

做好應(yīng)急響應(yīng)的事件分類、分級(jí)工作，可根據(jù)信息安全事件的來(lái)源和成因?qū)κ录M(jìn)行分類，根據(jù)信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響對(duì)事件進(jìn)行分級(jí)。

在安全事件分類、分級(jí)的基礎(chǔ)上針對(duì)不同的事件場(chǎng)景做好應(yīng)急處置預(yù)案，預(yù)案必須在企業(yè)現(xiàn)有IT運(yùn)行環(huán)境下制定，必須足夠詳盡，達(dá)到操作手冊(cè)的程度。

做好BIA分析，這是業(yè)務(wù)連續(xù)性管理的最顯著特征。業(yè)務(wù)連續(xù)性管理是針對(duì)企業(yè)業(yè)務(wù)層面的，BIA分析的重要產(chǎn)出就是識(shí)別各業(yè)務(wù)的重要性，明確各業(yè)務(wù)間的依存關(guān)系和所需資源，從而確定業(yè)務(wù)持續(xù)運(yùn)行保障的優(yōu)先級(jí)。BIA分析的另一產(chǎn)出物是各業(yè)務(wù)恢復(fù)的RTO、RPO，可作為應(yīng)急預(yù)案處置目標(biāo)的重要依據(jù)。

業(yè)務(wù)連續(xù)性管理一定要強(qiáng)調(diào)各部門的配合。無(wú)論在BIA分析過(guò)程中還是在實(shí)際業(yè)務(wù)連續(xù)性計(jì)劃啟用過(guò)程中，業(yè)務(wù)部門、各職能部門、IT部門一定要緊密聯(lián)動(dòng)、通力協(xié)作才能保證業(yè)務(wù)連續(xù)性計(jì)劃的合理制定和順利執(zhí)行。如果計(jì)劃中只有IT部門的參與，那一定不是業(yè)務(wù)連續(xù)性計(jì)劃。

如恢復(fù)場(chǎng)景條件相同，恢復(fù)的RTO、RPO目標(biāo)相同，應(yīng)急響應(yīng)的各場(chǎng)景處置預(yù)案可作為具體的執(zhí)行流程在業(yè)務(wù)連續(xù)性計(jì)劃執(zhí)行部分被直接引用，無(wú)需充分開發(fā)。