iso22301业务连续性认证主要是通过实现高可用性的目的在于确保组织能够在业务流程中断期间继续提供重要/重要服务,并使企业可以从毁灭性中断中修复,维护重要相关者利益、信誉、品牌与价值增值。要全面规划此类管理的过程,需要进行全面的规划和资源投资,创建科学、专业、高效的高可用性整体规划,确保在产生威协时快速提升组织业务流程的弹性。
1、业务连续性管理的定义
根据国家推荐标准GB/T30146《公安业务连续性管理体系要求》,高可用性的定义如下:
业务连续性管理是指识别组织所面临的潜在威胁以及这些威协发生时对业务经营的潜在影响全部管理的过程。这一过程为组织创建高效的应对威胁的能力提供一个框架,以保障重要相关者利益、信誉、品牌与价值增值活动。
简单地说,在组织中创建业务连续性管理的目的在于根据控制方法的实施和运行来管理其应对组织中断事件的整体能力,以确保当组织的核心业务中断时,核心业务在规定时间内从中断事件中修复,根据控制方法,组织能够在业务修复期间和之后与媒体沟通。
组织员工之间的良好沟通和交流。例如,中国银行业监督管理联合会规定,重要业务恢复期不能超过4小时。分支机构和其它分支机构因服务器宕机无法办理业务的,银行务必采取有力措施,在4小时内修复相关业务。
2.本文通翔将简单介绍高可用性的各个生命周期阶段:
1.确定政策和业务范围的估计和分析
准备或更新业务连续性管理的第一步是确定对长期业务增长和实现业务目标都有重要战略地位的业务流程。该阶段涉及组织的高可用性政策法规,该文件应该得到高级管理层的批准。
它主要描述了组织的总体修复目标,定义了组织内高可用性工作的范围,并授权参与业务连续性计划的开发、测试和维护的人员。
2.风险评价与分析
基于这些特殊过程,很有必要识别可能对组织及其设施信誉的灾害、具有负责任影响的事件、周边环境因素,以及事件可能导致的潜在损失。应提供预防或者减少潜在损失影响控制方法,同时提供成本效益分析,以调整控制方法的投资,从而实现风险降低。
同时,随着风险随着系统的发展而改变,风险管理过程也必须是动态的。风险评价得到的结果包括以下几点:
支持重要流程的人力资源、数据、基础设施建设要素和各种资源
潜在/固有漏洞列表
组织所面临的威协及其产生的可能性
现有风险缓解和控制方法的有效性
3.业务流程影响因素分析
如果一个组织想调查中断事故带来的损失程度,那么进行项目影响因素分析以评估重要流程和相关it组件,以及定好时间框架、优先、资源与关联性是十分重要的。即使在进行项目影响因素分析之前已经完成了风险评估,也建议重新检查评价结果。
业务流程影响因素分析可以帮助组织确定特定业务流程允许的最大关机时间和潜在的内容丢失。确定中断和预期灾害对组织的潜在影响,以及用于定量或定性分析这些影响技术性。确定重要功能、修复优先和依赖关系,以确定恢复期。
需要澄清的是,高可用性强调在非正常时期将组织的服务能力恢复正常可以接受的水平,而不是强调修复所有业务流程的必要性,而是确保关键业务在指定的时间范围内恢复正常最低的可接纳水平。
也正因如此,如果没有业务流程影响分析过程,业务连续性管理就变得像一只无头苍蝇,无法为正确评估业务管理系统的恢复期目标(RTO)和恢复点目标(RPO)提供依据。
4.企业连续性战略制定
在完成风险评价和业务影响因素分析工作后,将结果添加到高可用性战略中,以确定和指导业务流程修复战略的选择,从而在恢复期目标范围内修复业务流程,维护组织的关键功能。高可用性战略描述了支持业务流程恢复的主要技术性遵循原则,以及一连串基本流程。
并非所有系统都需要高可用性战略。根据风险评价和业务影响因素分析工作得到的结果,在确定业务流程修复时要考虑的一个主要因素是成本费永远不得超过收益。根据不同的业务流程重要性和功能特征,业务流程修复目标通常包括两个重要指标:RTO和RPO。
RTO:指系统灾难导致业务流程中断后,业务流程可以承受的中断时间,代表系统的恢复力。通常,RTO越短,带来的损失就越少,修复成本费也就越高。
RPO:指在产生系统灾难时,业务流程能够容忍的内容丢失量,代表系统内容丢失的承受度。通常,RPO越小,带来的损失就越少,修复成本费也就越高。