如何制定業務連續性計劃

2020-12-30 12:02

火災、地震、病毒、網絡攻擊,得益于業務流程中不斷增加的技術使用,消費者的期望以及網絡犯罪的迅猛發展,大量破壞的威脅越來越容易出現在組織中。

    你幾乎不可能事先得知何時發生業務中斷,這就是為什么你需要業務連續性計劃的原因。

    在此篇文章中,我嘗試解釋業務連續性計劃的工作原理、涵蓋的內容以及如何創建業務連續性計劃,希望對你有所幫助。



1.什么是業務連續性計劃?


業務連續性計劃概述了組織在發生中斷時必須遵循的流程和程序。

      該計劃必須確定可能引起問題的相關風險,無論是網絡攻擊、內部漏洞、天氣事件還是技術問題。

    每種已識別的風險都應伴有一套臨時措施或快速解決方案,以確保最重要的業務運營保持正常運轉。

    網絡連接、在線系統、通訊線路、硬盤、服務器和業務應用程序都容易受到一系列中斷的影響。如果受到破壞,可能會造成巨大的麻煩。但是業務連續性計劃不僅僅是恢復IT功能。它主要關注的是關鍵活動,如果這些活動受到干擾,可能會立即損害你的生產力或服務的可用性。在這方面,業務連續性將IT視為保存這些活動的幾個關鍵資源之一。

    然而,恢復IT可能需要一些時間,因此你應該制定一個有關如何同時進行管理的計劃。這樣的臨時解決方案很可能是lo-fi,例如使用筆和紙完成流程。

    無論選擇哪種方法,都必須將其記錄在業務連續性計劃中,以便員工知道如何進行。


2.為什么業務連續性計劃很重要?

    實施業務連續性計劃的最主要的原因是為了確保你的組織在發生故障時仍能保持生產力。
    客戶必須仍然能夠使用你的服務,員工必須能夠繼續工作,并且隨著延誤的繼續,你不能讓自己面對大量積壓的工作。
    但是業務連續性不僅與短期目標有關。近年來,網絡安全形勢變得越來越動蕩,網絡犯罪持續上升,企業對技術的依賴導致大量意外和核心的數據泄露。
    結果,組織需要向客戶和利益相關者證明他們為任何事情做好了準備。
    對于OES(基本服務的運營商)和DSPs(數字服務提供商)而言,業務連續性尤其重要,因為延遲可能會廣泛傳播或引起嚴重的麻煩。

    為了確保此類組織為風險做好充分的準備,歐盟采用了歐盟網絡和信息系統安全指令,該指令已被轉換為英國法律,成為2018年網絡和信息系統法規。明確要求該法規范圍內的DSP采取業務連續性措施。盡管OES不需如此,但他們仍應考慮實施業務連續性計劃,以提供更可靠的服務。


3.業務連續性計劃的好處

      創建業務連續性計劃將使你的組織更容易應對危機,并最大程度地減少對你和你的客戶的干擾。
    如果受到干擾,業務連續性計劃還可以減少甚至避免收入損失的風險。像往常一樣恢復正常運作可以最大程度地減少組織無法運營并因此無法產生收入的時間。

    但是,除了這些原因之外,你還應該考慮業務連續性計劃的能力:

保護你組織的聲譽
    在展示對中斷的快速有效響應時,你的操作方式將給公眾留下深刻的印象。這樣可以減輕因生產力下降而帶來的負面情緒,甚至可以提高你的聲譽。

提高員工士氣
    沒有人愿意在混亂的環境中工作,因此你的員工將很高興知道管理層有計劃以防萬一。
    如果計劃寫得好(我將在短期內向你展示如何做),則將組織中的負責人,可以向員工證明管理層已考慮了他們的需求。

與第三方和子公司建立關系
    有效的業務連續性計劃證明組織上下運作良好,這將鼓舞與你一起工作的任何人。

    它表明你是一個可靠的合作伙伴,已充分考慮了其對客戶、員工和第三方的責任。


4.誰應該制定業務連續性計劃?

    根據ICAS的2019年英國網絡安全違規調查,僅在過去的一年中,英國就有32%的組織受到違反。在過去幾年中,該百分比一直在穩定增長,而數據泄露的相關成本也在不斷增加。2019年,各機構平均花費4180英鎊應對安全事故,而2018年為3160英鎊。
    組織規模越大,這些成本就會越高。報告中提到,中型企業在數據泄露恢復上花費了9270英鎊,大型企業花費了22700英鎊。

    所有組織,無論規模大小,都應創建業務連續性計劃。這是一筆很小的投資,卻可以在遭受數據泄露或網絡破壞時為你節省很多錢。所以,我認為這是一個什么時候開始做的問題,而不是是否要做的問題。


5.有效的業務連續性計劃的關鍵特征

5.1目的和范圍
    你的首要任務是定義計劃的目的和范圍。如果你的組織包含多個子公司或位于不同位置,就需要考慮每個子公司自己的要求。
    在這種情況下,由你決定是創建一個單獨覆蓋每個子公司的計劃還是只專注于業務的一部分。
5.2責任
     下一步是確定哪些人員將負責制定計劃。你可以選擇由一個人負責該計劃,或將責任委托給你組織中的所有人。
     小型組織可能只需要一位領導就可以解決此類問題,因為單個負責人很有可能會監督每個部門及其需求。但如果不是這樣,則一組員工將需要分擔責任。
    你還需要確定誰有權在正常部門預算范圍之外批準財務費用。這可以是負責制定計劃的同一個人,也可以是指派給其他人的特定職責。
5.3 計劃調用
    此步驟定義了計劃何時以及如何生效。畢竟并不總是清楚是否發生了嚴重的(可能是計劃中的)中斷。譬如,辦公室的燈突然熄滅,員工隔著房間面面相覷地問:“怎么了?”
    只有當有人負責時,你才能確定是什么原因導致了問題以及如何做出反應。
    你不需要在這里討論細節(這是第五步所涉及的),但是你需要記錄誰將開始這個過程,如何調動響應團隊,以及負責制定計劃的人應該在哪里開會。
5.4 開發業務連續性計劃
    這是你計劃的核心,包括你將采取的行動,以及恢復各種事件。它將是風險評估和業務影響評估兩個流程的結果,在這兩個流程中,你將識別你所面臨的威脅以及你的組織將如何受到這些威脅的影響。
    一旦你已經收集了這些信息,你應該考慮每個業務中斷的可能性,并概述在業務中斷期間必須采取的保護個人(員工、客戶和第三方)的步驟,并應采取措施遏制該業務中斷并防止進一步的損失、干擾或不可用。
    你還應該利用這個機會來制定有關事件發生期間和之后的記錄保持要求的指導方針(例如,需要記錄的內容和位置),記錄優先恢復目標、實現這些目標所需的行動和資源,以及內部和外部(內部)依賴關系,以及這些因素在破壞性事件中如何相互影響。
5.5通訊
    這一階段的重點是內部和外部的溝通。內部溝通指的是讓員工了解公司業務狀況的方式,如果你通常的溝通方式因業務中斷而無法進行,那么內部溝通就顯得尤為重要。
    外部溝通指的是你與事件有關的媒體處理方式。如果影響足夠嚴重,你應該發布一份聲明,解釋事件的性質、受到了什么影響,以及你如何應對。
    在極端情況下,你可能還不得不接受采訪。在這種情況下,你應該決定誰將代表你的組織,以及你的戰略是什么。
5.6 利益相關者
    在業務中斷后,你需要盡快與利益相關者聯系,因此你的業務連續性計劃應包含他們的聯系方式,以方便參考。
5.7 文件所有者、批準人和變更歷史記錄
    業務連續性負責人是業務連續性計劃的所有者,負責確保定期檢查和測試該流程。
5.8 變更管理
    計劃定稿后,應以紙質副本和電子文檔形式內部發布,并應向所有員工開放。

    每次對業務連續性計劃進行更改時,都必須確保更新了電子文檔和紙質副本。


6.測試業務連續性計劃的重要性

      確保計劃有效的唯一方法是測試(或“驗證”)計劃。測試計劃的頻率由你決定,我個人建議至少每半年一次或在組織發生重大變化的時候進行測試計劃。


你可以進行以下三種類型的測試:

    沙盤推演。這實質上是對計劃的通讀。安全人員和承擔業務連續性計劃職責的人員應共同研究計劃,尋找差距并確保所有業務部門都有代表。

    結構化演練。這就像個預演,每個團隊成員根據指定的業務中斷方式來演習自己的職責。這樣做的目的是讓員工熟悉他們的職責,并確??梢园从媱澾M行。
    你可能會選擇在整個組織中模擬流程,但是很難同時使每個相關人員都上班,特別是鑒于演練可能必須在辦公時間之外進行。因此,你可以選擇將演練劃分為一周,而一個或兩個部門會同時處理一次災難。

    ■ 災難模擬測試。這實際上是一場彩排,你可以創建一個測試環境,模擬整個組織中的實際災難,然后將計劃付諸實施。
    其他類型的測試不同,你不需要在測試過程中尋找漏洞。相反,你應該把計劃進行到底,這樣你就能確切地知道你的行動(或缺乏行動)的后果是什么。只有你把計劃從頭到尾執行一次,你才可以發現自己的無效操作并尋找改進的方法。

      希望以上內容對你有所幫助,如需更專業、完整的安全咨詢,請與我們聯系。



分享
微信
新浪微博
QQ
QQ空間
豆瓣網
百度貼吧
熱點