实施业务连续性计划的最主要的原因是为了确保你的组织在发生故障时仍能保持生产力。
客户必须仍然能够使用你的服务,员工必须能够继续工作,并且随着延误的继续,你不能让自己面对大量积压的工作。
但是业务连续性不仅与短期目标有关。近年来,网络安全形势变得越来越动荡,网络犯罪持续上升,企业对技术的依赖导致大量意外和核心的数据泄露。
结果,组织需要向客户和利益相关者证明他们为任何事情做好了准备。
对于OES(基本服务的运营商)和DSPs(数字服务提供商)而言,业务连续性尤其重要,因为延迟可能会广泛传播或引起严重的麻烦。
为了确保此类组织为风险做好充分的准备,欧盟采用了欧盟网络和信息系统安全指令,该指令已被转换为英国法律,成为2018年网络和信息系统法规。明确要求该法规范围内的DSP采取业务连续性措施。尽管OES不需如此,但他们仍应考虑实施业务连续性计划,以提供更可靠的服务。
ISO22301业务连续性认证中业务连续性计划的好处
创建业务连续性计划将使你的组织更容易应对危机,并最大程度地减少对你和你的客户的干扰。
如果受到干扰,业务连续性计划还可以减少甚至避免收入损失的风险。像往常一样恢复正常运作可以最大程度地减少组织无法运营并因此无法产生收入的时间。
但是,除了这些原因之外,你还应该考虑业务连续性计划的能力:
保护你组织的声誉
在展示对中断的快速有效响应时,你的操作方式将给公众留下深刻的印象。这样可以减轻因生产力下降而带来的负面情绪,甚至可以提高你的声誉。
提高员工士气
没有人愿意在混乱的环境中工作,因此你的员工将很高兴知道管理层有计划以防万一。
如果计划写得好(我将在短期内向你展示如何做),则将组织中的负责人,可以向员工证明管理层已考虑了他们的需求。
与第三方和子公司建立关系
有效的业务连续性计划证明组织上下运作良好,这将鼓舞与你一起工作的任何人。
它表明你是一个可靠的合作伙伴,已充分考虑了其对客户、员工和第三方的责任。
谁应该制定业务连续性计划?
根据ICAS的2019年英国网络安全违规调查,仅在过去的一年中,英国就有32%的组织受到违反。在过去几年中,该百分比一直在稳定增长,而数据泄露的相关成本也在不断增加。2019年,各机构平均花费4180英镑应对安全事故,而2018年为3160英镑。
组织规模越大,这些成本就会越高。报告中提到,中型企业在数据泄露恢复上花费了9270英镑,大型企业花费了22700英镑。
所有组织,无论规模大小,都应创建业务连续性计划。这是一笔很小的投资,却可以在遭受数据泄露或网络破坏时为你节省很多钱。所以,我认为这是一个什么时候开始做的问题,而不是是否要做的问题。
ISO22301业务认证中有效的业务连续性计划关键特征
1、目的和范围
你的首要任务是定义计划的目的和范围。如果你的组织包含多个子公司或位于不同位置,就需要考虑每个子公司自己的要求。
在这种情况下,由你决定是创建一个单独覆盖每个子公司的计划还是只专注于业务的一部分。
2、责任
下一步是确定哪些人员将负责制定计划。你可以选择由一个人负责该计划,或将责任委托给你组织中的所有人。
小型组织可能只需要一位领导就可以解决此类问题,因为单个负责人很有可能会监督每个部门及其需求。但如果不是这样,则一组员工将需要分担责任。
你还需要确定谁有权在正常部门预算范围之外批准财务费用。这可以是负责制定计划的同一个人,也可以是指派给其他人的特定职责。
3、计划调用
此步骤定义了计划何时以及如何生效。毕竟并不总是清楚是否发生了严重的(可能是计划中的)中断。譬如,办公室的灯突然熄灭,员工隔着房间面面相觑地问:“怎么了?”
只有当有人负责时,你才能确定是什么原因导致了问题以及如何做出反应。
你不需要在这里讨论细节(这是第五步所涉及的),但是你需要记录谁将开始这个过程,如何调动响应团队,以及负责制定计划的人应该在哪里开会。
4、开发业务连续性计划
这是你计划的核心,包括你将采取的行动,以及恢复各种事件。它将是风险评估和业务影响评估两个流程的结果,在这两个流程中,你将识别你所面临的威胁以及你的组织将如何受到这些威胁的影响。
一旦你已经收集了这些信息,你应该考虑每个业务中断的可能性,并概述在业务中断期间必须采取的保护个人(员工、客户和第三方)的步骤,并应采取措施遏制该业务中断并防止进一步的损失、干扰或不可用。
你还应该利用这个机会来制定有关事件发生期间和之后的记录保持要求的指导方针(例如,需要记录的内容和位置),记录优先恢复目标、实现这些目标所需的行动和资源,以及内部和外部(内部)依赖关系,以及这些因素在破坏性事件中如何相互影响。
5、通讯
这一阶段的重点是内部和外部的沟通。内部沟通指的是让员工了解公司业务状况的方式,如果你通常的沟通方式因业务中断而无法进行,那么内部沟通就显得尤为重要。
外部沟通指的是你与事件有关的媒体处理方式。如果影响足够严重,你应该发布一份声明,解释事件的性质、受到了什么影响,以及你如何应对。
在极端情况下,你可能还不得不接受采访。在这种情况下,你应该决定谁将代表你的组织,以及你的战略是什么。
6、利益相关者
在业务中断后,你需要尽快与利益相关者联系,因此你的业务连续性计划应包含他们的联系方式,以方便参考。
7、文件所有者、批准人和变更历史记录
业务连续性负责人是业务连续性计划的所有者,负责确保定期检查和测试该流程。
8、变更管理
计划定稿后,应以纸质副本和电子文档形式内部发布,并应向所有员工开放。
每次对业务连续性计划进行更改时,都必须确保更新了电子文档和纸质副本。
业务连续性认证中测试业务连续性计划的重要性
确保计划有效的唯一方法是测试(或“验证”)计划。测试计划的频率由你决定,我个人建议至少每半年一次或在组织发生重大变化的时候进行测试计划。
你可以进行以下三种类型的测试:
沙盘推演。这实质上是对计划的通读。安全人员和承担业务连续性计划职责的人员应共同研究计划,寻找差距并确保所有业务部门都有代表。
结构化演练。这就像个预演,每个团队成员根据指定的业务中断方式来演习自己的职责。这样做的目的是让员工熟悉他们的职责,并确保可以按计划进行。
你可能会选择在整个组织中模拟流程,但是很难同时使每个相关人员都上班,特别是鉴于演练可能必须在办公时间之外进行。因此,你可以选择将演练划分为一周,而一个或两个部门会同时处理一次灾难。
灾难模拟测试。这实际上是一场彩排,你可以创建一个测试环境,模拟整个组织中的实际灾难,然后将计划付诸实施。
其他类型的测试不同,你不需要在测试过程中寻找漏洞。相反,你应该把计划进行到底,这样你就能确切地知道你的行动(或缺乏行动)的后果是什么。只有你把计划从头到尾执行一次,你才可以发现自己的无效操作并寻找改进的方法。
ISO22301认证热线:021-64196861 64191739 余韵老师。