[摘 ?要]業(yè)務(wù)連續(xù)性管理本身也是一種過(guò)程方法，也應(yīng)遵從PDCA模型的規(guī)則。下面我們來(lái)看看如果利用PDCA的方法，實(shí)現(xiàn)業(yè)務(wù)連續(xù)性的管理。

[關(guān)鍵詞]業(yè)務(wù)連續(xù)性 管理風(fēng)險(xiǎn) ?實(shí)現(xiàn)方法

中圖分類(lèi)號(hào)：F302.6 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2016）24-0092-01

一、 評(píng)估針對(duì)業(yè)務(wù)連續(xù)性的風(fēng)險(xiǎn)點(diǎn)

首先列出關(guān)鍵業(yè)務(wù)流程中涉及的所有資產(chǎn)，然后對(duì)組織涉及的各類(lèi)業(yè)務(wù)所處的環(huán)境分析其面臨的威脅并對(duì)其脆弱性進(jìn)行推斷，完成風(fēng)險(xiǎn)識(shí)別，推斷由信息安全事故引起的業(yè)務(wù)中斷對(duì)業(yè)務(wù)可能產(chǎn)生的影響，并且確定應(yīng)急及恢復(fù)的業(yè)務(wù)目標(biāo)。在這類(lèi)風(fēng)險(xiǎn)評(píng)估過(guò)程中，應(yīng)在業(yè)務(wù)資源和過(guò)程的所有者全面參與的情況下進(jìn)行業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估。僅僅靠高層管理者或是某個(gè)部門(mén)來(lái)識(shí)別組織業(yè)務(wù)的全部風(fēng)險(xiǎn)，產(chǎn)生的風(fēng)險(xiǎn)評(píng)估結(jié)果是不全面的。另外，在考慮業(yè)務(wù)過(guò)程的時(shí)候，應(yīng)充分照顧到組織的所有業(yè)務(wù)過(guò)程，不能只局限于信息處理設(shè)施，還應(yīng)考慮到可能產(chǎn)生的信息安全影響。然后將不同方面的風(fēng)險(xiǎn)結(jié)合起來(lái)，得到組織業(yè)務(wù)連續(xù)性需求的整體結(jié)構(gòu)圖。其后對(duì)風(fēng)險(xiǎn)進(jìn)行確認(rèn)、量化、排定優(yōu)先級(jí)，包括重要資源，中斷影響，允許中斷時(shí)間，恢復(fù)的優(yōu)先級(jí)。若組織沒(méi)有明確的行業(yè)要求或?qū)俚姆煞ㄒ?guī)要求，風(fēng)險(xiǎn)的量化及定級(jí)工作應(yīng)由組織自行制定統(tǒng)一的標(biāo)準(zhǔn)并在組織范圍內(nèi)進(jìn)行描述。最后根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果制定業(yè)務(wù)連續(xù)性戰(zhàn)略，以確定業(yè)務(wù)連續(xù)性的總體途徑。該戰(zhàn)略應(yīng)由管理層簽署，并制定計(jì)劃以實(shí)施該戰(zhàn)略。

二、建立業(yè)務(wù)連續(xù)性計(jì)劃

從業(yè)務(wù)影響分析入手，創(chuàng)建業(yè)務(wù)連續(xù)性一般涉及以下六個(gè)步聚：

1、 要把職責(zé)明確好，要識(shí)別出組織的全部職責(zé)并和業(yè)務(wù)連續(xù)性流程進(jìn)行一一比對(duì)，達(dá)成一致;

2、 識(shí)別出組織在產(chǎn)生各類(lèi)業(yè)務(wù)中斷以后，確定組織可以接受中斷的程度;

3、 制定應(yīng)急規(guī)程，也就業(yè)務(wù)未恢復(fù)完成時(shí)應(yīng)遵循的操作規(guī)程;

4、 制定恢復(fù)規(guī)程，以在所要求的時(shí)段內(nèi)恢復(fù)和復(fù)原業(yè)務(wù)操作和可用性信息，這里還應(yīng)考慮滿足與業(yè)務(wù)相關(guān)方的合同要求及相關(guān)行業(yè)規(guī)定，法律規(guī)定的要求以及與相關(guān)政府及主管部門(mén)的聯(lián)系，包括在什么狀況下應(yīng)與某個(gè)特定機(jī)構(gòu)聯(lián)系如，公安局、消防局、監(jiān)管部門(mén)等的聯(lián)系;

5、 將已商定的流程形成文檔，并用已商定的應(yīng)急流程培訓(xùn)員工;

6、 制定測(cè)試和更新計(jì)劃

到這里，整個(gè)業(yè)務(wù)連續(xù)性計(jì)劃集合可以算是做好了，注意，這里說(shuō)的業(yè)務(wù)連續(xù)性計(jì)劃是一個(gè)集合，業(yè)務(wù)連續(xù)性計(jì)劃是由許多個(gè)計(jì)劃集合而成的?，F(xiàn)在組織已經(jīng)有了業(yè)務(wù)連續(xù)性計(jì)劃，但整個(gè)工作還沒(méi)有做完，因?yàn)橛?jì)劃還需要實(shí)施，如何實(shí)施呢，請(qǐng)看下面的闡述。

三、測(cè)試、保持和再評(píng)估

前面說(shuō)了P和D兩個(gè)環(huán)節(jié)，后面就需要談?wù)凜和A兩個(gè)環(huán)節(jié)了。

簡(jiǎn)單來(lái)講，測(cè)試的目標(biāo)就是確認(rèn)一個(gè)組織在發(fā)生災(zāi)難（或者危機(jī)事件）時(shí)，執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃的能力。但如何組織和管理測(cè)試和演習(xí)，以確保測(cè)試的規(guī)范性和有效性，是許多用戶關(guān)心的問(wèn)題。

1、測(cè)試前的準(zhǔn)備工作

首先要明確測(cè)試的目的和測(cè)試的方式。測(cè)試方式多種多樣，根據(jù)測(cè)試的目的不同，測(cè)試的方式可以是簡(jiǎn)單的桌面測(cè)試，也可以是全面的場(chǎng)景演習(xí)等等。

測(cè)試過(guò)程的管理團(tuán)隊(duì)很重要，測(cè)試應(yīng)該由訓(xùn)練有素的團(tuán)隊(duì)來(lái)規(guī)劃、實(shí)施和控制。通常起草業(yè)務(wù)持續(xù)性計(jì)劃的人員是管理和控制測(cè)試的最佳人選（在應(yīng)急恢復(fù)過(guò)程中承擔(dān)重要角色的人員除外）。為了確保測(cè)試的組織效果，應(yīng)該事先對(duì)實(shí)施測(cè)試過(guò)程的團(tuán)隊(duì)進(jìn)行培訓(xùn)。

在測(cè)試之前，需要“設(shè)計(jì)”一個(gè)供測(cè)試用的模擬場(chǎng)景。場(chǎng)景應(yīng)該包括一系列很可能發(fā)生的事件。這些事件應(yīng)該經(jīng)過(guò)恰當(dāng)?shù)脑O(shè)計(jì)，確?？梢詼y(cè)試到計(jì)劃中的全部（或者相應(yīng)部分，視測(cè)試的范圍而定）行動(dòng)要素。

對(duì)測(cè)試的結(jié)果進(jìn)行分析和評(píng)估是必須的。因此，要事先制定測(cè)試反饋信息表，做好收集反饋信息的準(zhǔn)備工作，確保測(cè)試結(jié)束后可以盡快收集到反饋信息。

應(yīng)該積極與領(lǐng)導(dǎo)溝通。測(cè)試需要費(fèi)用，所以事先要有相應(yīng)的預(yù)算，并報(bào)請(qǐng)領(lǐng)導(dǎo)批準(zhǔn)。此外，測(cè)試過(guò)程不可避免地會(huì)影響到員工的正常工作，甚至影響業(yè)務(wù)的進(jìn)展，這一點(diǎn)也需要事先得到領(lǐng)導(dǎo)的認(rèn)可。另外員工可能會(huì)在測(cè)試的日期正好出差在外，這些都需要做充分的考慮。

如果測(cè)試需要單位外部的人員（例如業(yè)務(wù)持續(xù)性計(jì)劃中提到的應(yīng)急產(chǎn)品供應(yīng)商等）參與，則更需要積極進(jìn)行協(xié)調(diào)和溝通，事先要仔細(xì)考慮外部人員參與的方式和程度。

2、測(cè)試過(guò)程的規(guī)劃

測(cè)試的過(guò)程需要進(jìn)行詳細(xì)的規(guī)劃。規(guī)劃主要步驟包括：分析業(yè)務(wù)持續(xù)性計(jì)劃，制定測(cè)試計(jì)劃，設(shè)計(jì)測(cè)試場(chǎng)景，準(zhǔn)備測(cè)試反饋意見(jiàn)表等。其中分析業(yè)務(wù)持續(xù)性計(jì)劃是其他工作的基礎(chǔ)。

測(cè)試計(jì)劃的制定過(guò)程本身可能也很復(fù)雜，所以也需要精心安排。應(yīng)該考慮到制定測(cè)試規(guī)劃過(guò)程中的所有步驟，每個(gè)步驟的執(zhí)行時(shí)間和負(fù)責(zé)人，以及每個(gè)步驟之間的前后順序?？梢钥紤]采用項(xiàng)目管理軟件來(lái)輔助完成。

測(cè)試的參與者應(yīng)該涉及組織的各個(gè)關(guān)鍵部門(mén)，而且，應(yīng)該包括了業(yè)務(wù)持續(xù)性計(jì)劃中的相應(yīng)角色。實(shí)際上，在測(cè)試過(guò)程中有兩類(lèi)參與者，第一類(lèi)參與者積極行動(dòng)，應(yīng)對(duì)“危機(jī)”;第二類(lèi)人員管理和控制測(cè)試過(guò)程，包括收集現(xiàn)場(chǎng)的數(shù)據(jù)。兩類(lèi)參與者的具體人選都非常重要。

3、測(cè)試場(chǎng)景的設(shè)計(jì)

企業(yè)應(yīng)該充分重視測(cè)試場(chǎng)景的重要性。未經(jīng)仔細(xì)考慮、不夠完善的場(chǎng)景常常會(huì)使整個(gè)測(cè)試的效果大打折扣。

在設(shè)計(jì)場(chǎng)景時(shí)，要重點(diǎn)關(guān)注危機(jī)發(fā)生后的2～4小時(shí)。場(chǎng)景應(yīng)該包括一系列需要積極響應(yīng)的事件，并盡可能覆蓋危機(jī)計(jì)劃中定義的關(guān)鍵行動(dòng)。

場(chǎng)景應(yīng)該能反映對(duì)業(yè)務(wù)影響較大的威脅和風(fēng)險(xiǎn)。應(yīng)該首先考慮在風(fēng)險(xiǎn)評(píng)估階段提供的風(fēng)險(xiǎn)信息。由于在應(yīng)對(duì)不同的風(fēng)險(xiǎn)時(shí)，需要不同的應(yīng)急響應(yīng)流程和行動(dòng)，因此可能需要設(shè)計(jì)和測(cè)試的場(chǎng)景不只一個(gè)。

因?yàn)閰⑴c者要隨著測(cè)試場(chǎng)景的發(fā)展及時(shí)做出反應(yīng)，所以場(chǎng)景應(yīng)該足夠逼真。在描述場(chǎng)景時(shí)，應(yīng)該盡可能采用真實(shí)的客戶姓名、員工姓名、地點(diǎn)名稱、產(chǎn)品名稱、設(shè)施名稱等等，名稱越真實(shí)，會(huì)給測(cè)試者越“逼真”的感覺(jué)，測(cè)試的效果就越好。但由于采用了真實(shí)的名稱，有可能在測(cè)試的時(shí)刻，真實(shí)的名稱需要做最后的確定，這一點(diǎn)一定要注意。另外，為了獲得測(cè)試的真實(shí)效果，應(yīng)該對(duì)場(chǎng)景設(shè)計(jì)信息保密，避免測(cè)試參與者事先獲得信息，從而使測(cè)試成為走過(guò)場(chǎng)。

四、保持和再評(píng)估

每次測(cè)試過(guò)后，應(yīng)該完整記錄測(cè)試結(jié)果，并對(duì)測(cè)試數(shù)據(jù)進(jìn)行分析，對(duì)測(cè)試效果進(jìn)行評(píng)估，從而考慮采取措施以改進(jìn)業(yè)務(wù)連續(xù)性計(jì)劃。

由于組織的業(yè)務(wù)是不斷的發(fā)生變化的，有的組織可能變化的周期比較長(zhǎng)，有的組織可能變化周期短，但是不管是什么樣的組織，隨著社會(huì)的發(fā)展，環(huán)境的變化，技術(shù)的提升，其業(yè)務(wù)總是會(huì)多多少少的發(fā)生變化，所以對(duì)業(yè)務(wù)連續(xù)性計(jì)劃的評(píng)審就顯得很有必要。對(duì)于每個(gè)業(yè)務(wù)連續(xù)性計(jì)劃的定期評(píng)審應(yīng)分配職責(zé)，應(yīng)按適當(dāng)?shù)挠?jì)劃更新業(yè)務(wù)連續(xù)性計(jì)劃以反映業(yè)務(wù)安排的變更，應(yīng)確保通過(guò)整個(gè)計(jì)劃的定期評(píng)審來(lái)分配和補(bǔ)充已更新的計(jì)劃。

文中提到的方法和思路，意在讓組織在實(shí)施業(yè)務(wù)連續(xù)性管理時(shí)有一條清晰的思路，組織還應(yīng)針對(duì)自身的實(shí)際情況來(lái)加以實(shí)施。

參考文獻(xiàn)：

標(biāo)準(zhǔn)出版物：

[1] GB/T 22080-2008/ISO/IEC 27001：2005 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求。

作者簡(jiǎn)介：

王淑清（1978.02--）性別：女、民族（漢族），籍貫（江西省贛縣），現(xiàn)供職單位：廣州賽寶認(rèn)證中心服務(wù)有限公司，學(xué)歷本科，研究方向：信息安全管理、信息技術(shù)服務(wù)管理， 單位郵編：510507