中培伟业IT常青树专家组认为,应急响应管理与业务连续性管理是企业信息安全管控体系中的两大领域,两者既有区别又相互关联。许多信息安全人员在认识上还存在一些误区,容易混淆概念;同时,由于重点行业在监管方面对两者都有相关要求,安全人员往往会感觉重复建设,疲于应对。本篇文章,中培伟业相关专家从应急响应和业务连续性管理的各自目标和工作内容谈起,着重分析一下两者的主要差异,并结合实践对各自的关键管控点进行了说明。
信息安全应急响应
由于信息系统的复杂性和各种已知及未知威胁的不确定性,没有任何一种信息安全策略及防护体系能确保企业的信息资源、信息系统及相关服务绝对不受损害,因此企业必须针对随时可能发生的信息安全事件或疑似事件制定一套严谨周详的应对策略和具体行动方案,最大程度的降低企业在安全事件中的损失。这也是中培伟业倡导的信息安全人员的核心工作内容之一。
管理目标:
及时发现可能对企业信息安全造成威胁的安全事态,确定是否需要将事态归类为信息安全事件;
对已确定的信息安全事件进行评估,并以最恰当和最有效的方式做出响应,将信息安全事件对组织及其业务运行的负面影响降至最小;
及时总结信息安全事件及其管理的经验教训。
主要内容:
信息安全事件响应的工作可分为事前、事中、事后三阶段:
事前:建立企业信息安全应急响应的总体策略并得到高级管理层的确认;构建信息安全应急响应组织并定义各自岗位职责;制定具体应急响应处置预案;组织相关人员定期对各预案进行演练;
事中:监控信息安全事态;对发生的安全事态进行分析,判断是否可定性为信息安全事件;对安全事件进行分类、分级评估,启用相应处置预案;随时对安全事件的进展进行汇报;
事后:对安全事件进行总结,包括原因分析、处置过程评估、事件损失评估;对所发现企业信息安全防护体系中的漏洞和不足进行整改;安全事件若涉及非法犯罪行为应配合相关部门展开进一步司法调查。
业务连续性管理体系
业务连续性管理体系是一个涵盖非常广泛的概念,由业务连续性管理(BCM)、业务连续性规划(BCP)、灾备管理(DRP)等内容构成。其根本目的是使企业充分认识到自身业务面临的各种风险,在突发情况特别是灾难性事件发生时能防止或减少业务的中断,确保企业关键的核心业务在可承受的范围内维持最低限度的持续运行,尽一切手段缩短恢复时间,降低业务损失,减小企业内外部的负面影响。由于IT在企业中的重要性与日俱增,如何保证IT在灾难性事件发生后继续为业务提供持续的服务能力成为企业整体业务连续性管理中的核心内容之一,这需要IT人员和企业中其他人员紧密配合。对于IT人员及信息安全人员而言工作重心是业务连续性规划和灾备管理。
1 业务连续性管理体系总体架构
管理目标:
明确业务连续性管理范围,识别企业关键性业务;
制定业务连续性计划,在灾难性事件发生后按计划执行;
搭建恢复保障机制,包括建立、健全业务连续性管理机构、软硬件设备冗余建设、灾难恢复运行场所建设,并始终维持这些恢复机制的运行能力以保障其在需要时能够及时启用。
主要内容:
配合业务人员执行连续性规划,包括制定业务连续性管理方针、明确业务连续性管理目标及范围、搭建企业业务连续性管理组织架构,明确关键岗位职责;
针对企业业务内外部工作环境按场景预设进行风险分析,评估风险对业务的影响及发生的可能性
执行业务影响分析(BIA),识别企业关键业务、各业务的执行流程及所需的各类支撑资源,梳理各业务间的依存关系,明确灾难发生后对各业务的恢复要求(RTO、RPO);
明确开发业务连续性策略,重点是明确各业务的连续性保证优先级和恢复顺序;
根据个业务RTO、RPO进行相关IT服务支撑建设并保持其有效运行;
制定详尽的业务连续性计划,对相关人员进行培训,定期组织进行演练并对演练结果进行评估和分析;
灾难性事件发生后按既定计划执行,保证企业核心业务持续运行,待灾难平息后进行恢复切换。
“应急响应管理与业务连续性管理”两者的主要差异
通过上述简析,大家可以看出“信息安全应急响应管理与业务连续性管理”都是企业解决突发信息安全事件的重要手段,两者之间存在一定的联系,这里重点讨论两者之间的差异如下:
首先,是针对突发场景不同。应急响应管理针对的常见事件场景,如:有害程序事件、网络攻击事件、设备故障事件、信息破坏事件等;业务连续性管理针对的灾难性事件场景,如:特大型自然灾害(地震、洪水、火山爆发……)、政治动乱、恐怖袭击等。
其次,是事件造成的影响不同。灾难性事件一旦发生后往往会对企业业务和IT运行环境造成大面积影响,甚至会直接导致正常业务的全面瘫痪,相对而言应急响应针对的事件所造成的影响多为局部的,直接受损对象是信息系统,业务虽也受影响但尚可运行。
再次,是恢复所需的资源不同。突发事件发生后直接受损的是企业的信息系统,应急处置以IT服务能力的恢复为主,IT人员、信息安全人员是处置恢复的绝对主力,一些较轻级别的应急响应处置甚至无需业务人员的参与配合,所需资源以各类IT资源为主;灾难性事件对企业的影响是全方面的,恢复工作需要各部门通力配合,除IT资源外企业正常业务运行所需的其他各类资源在业务持续保障及灾后重建过程中也必不可少。
最后,是处置手段及流程的不同。应急响应针对的事件场景特征明确,故制定的处置预案针对性很强,如主机系统应急预案、网络应急预案。处置流程可详细到软硬件设备操作的具体执行步骤;业务连续性计划面对的局面极其复杂,在灾难场景下企业的运行环境往往需要进行远距离的整体迁移,故业务连续性计划常由一系列的子计划,如IT应急计划、危机沟通计划、运输保障计划、场所应急计划等构成,其着眼点在于各计划间的整体性和一致性。
企业信息安全体系关键控制点
应急响应管理由来已久,各方面标准非常多,实际工作中也经常会遇到此类情况,信息安全人员对此一般都不陌生。而业务连续性管理是近十年来才在国内重点行业陆续提出,相关标准较少,由于其复杂性和影响范围,实际启用,可供参考的真实案例少之又少。另一方面重点行业对业务连续性管理的监管力度又在逐年加大,许多企业的信息安全人员对二者的区别和联系深感困惑, 疲于应对。作为信息安全人员对应急响应和业务连续性管理,IT常青树提示CIO应重点控制好以下几点:
做好应急响应的事件分类、分级工作,可根据信息安全事件的来源和成因对事件进行分类,根据信息系统的重要程度、系统损失和社会影响对事件进行分级。
在安全事件分类、分级的基础上针对不同的事件场景做好应急处置预案,预案必须在企业现有IT运行环境下制定,必须足够详尽,达到操作手册的程度。
做好BIA分析,这是业务连续性管理的最显著特征。业务连续性管理是针对企业业务层面的,BIA分析的重要产出就是识别各业务的重要性,明确各业务间的依存关系和所需资源,从而确定业务持续运行保障的优先级。BIA分析的另一产出物是各业务恢复的RTO、RPO,可作为应急预案处置目标的重要依据。
业务连续性管理一定要强调各部门的配合。无论在BIA分析过程中还是在实际业务连续性计划启用过程中,业务部门、各职能部门、IT部门一定要紧密联动、通力协作才能保证业务连续性计划的合理制定和顺利执行。如果计划中只有IT部门的参与,那一定不是业务连续性计划。
如恢复场景条件相同,恢复的RTO、RPO目标相同,应急响应的各场景处置预案可作为具体的执行流程在业务连续性计划执行部分被直接引用,无需充分开发。