ISMS深度解析之业务连续性管理类

ContinuousControlsMonitoringISO27002:2007ISO27002:2007深度解析之十深度解析之十业务连续性管理业务连续性管理ContinuousControlsMonitoring概述„业务连续性管理是一个组织层面的管理过程，BSI针对业务连续性管理推出了BS25999BS25999标准，提供实施指南和认证„27002中的“业务连续性”管理类中，并非关注业务连续性管理的所有方面，那是BS25999的事情，27002在此关注的是在BCM过程中与信息安全有关的方面，并为此建立了1个控制目标“业务连续性管理的信息安全方面业务连续性管理的信息安全方面”„27002有一句话“信息安全应当是整体业务连续性过程和组织信息安全应当是整体业务连续性过程和组织内其他管理过程的一个有机组成部分内其他管理过程的一个有机组成部分”，这句话说明，只有当信息安全管理要素真正渗透和落实到其他的管理过程中去，信息安全管理才真正实现了落地，才真正体现出其价值ContinuousControlsMonitoring概述„那么，业务连续性管理和信息安全管理之间到底是什么样的关系呢？„首先，27002的业务连续性管理类要求，需要完整的业务连续性管理过程做支撑，如果没有完整的业务连续性管理，那27002的要求也就成了无的放矢（个人理解，未必正确个人理解，未必正确）„由信息安全事件或灾难导致的信息资产可用性受损，会导致关键业务过程的中断，这是业务连续性管理所关注的范畴„个人感觉，因为可用性是信息安全关注的基本属性，因此保证信息资产可用性必然是信息安全的责任，27002里面专门有安全事件处置的内容，然而破坏可用性的事件是有级别差异的，当那些大规模大范围的严重灾难事件发生时，所影响的就不仅仅是信息安全的问题了，还会危及所有的人员和业务过程，这就超出了信息安全管理的范畴，这应当是业务连续性管理的职责ContinuousControlsMonitoring控制目标和控制措施„27002在“业务连续性”管理类中，提供了11个个控制目标和55项项控制措施„„业务连续性管理的信息安全方面业务连续性管理的信息安全方面（目标1）ContinuousControlsMonitoring补俩图【关于PCM/ERM/DRM/BCM】ContinuousControlsMonitoring14.114.1业务连续性管理的信息安全方面业务连续性管理的信息安全方面InformationSecurityAspectsofInformationSecurityAspectsofBusinessContinuityManagementBusinessContinuityManagementContinuousControlsMonitoring14.1控制目标及措施－－业务连续性管理的信息安全方面ContinuousControlsMonitoring14.1控制目标及措施－－业务连续性管理的信息安全方面ContinuousControlsMonitoring14.1控制目标及措施－－业务连续性管理的信息安全方面ContinuousControlsMonitoring控制措施分析之14.1.114.1.1„控制措施14.1.1为，在业务连续性管理过程中包括信息安全在业务连续性管理过程中包括信息安全„本控制措施其实就是把业务连续性管理的过程步骤做了概括性的阐述，其中突出指出了几处与信息安全有关之处ContinuousControlsMonitoring控制措施分析之14.1.114.1.1„上页PPT的业务连续性管理流程图，明确说明了业务连续性管理过程也是Risk-Oriented的本质„我认为上图中，与信息安全有关的包括：Æ3，与27002的资产管理有关Æ4、与27002的信息安全事件管理有关Æ7、与具体的安全技术和管理措施有关Æ10、与27002的访问控制管理有关Æ其它的则是业务连续性管理范畴，或者通用的管理过程要素Æ另外1风险分析和评估，多少其实也有瓜葛ContinuousControlsMonitoring控制措施分析之14.1.114.1.1„我们也能够看到，14.1.1其实是为后续的14.1.2到14.1.5提前做了一个概括性陈述，后续的几个控制措施都是这个管理过程中的特定具体步骤ContinuousControlsMonitoring控制措施分析之14.1.214.1.2„控制措施14.1.2为，业务连续性和风险评估业务连续性和风险评估„从27002的阐述可以看出，业务连续性本身是组织业务层面的，而非信息系统（或信息处理设施）层面的管理过程，27002反复强调业务人员参与风险评估的重要性，以及全面完整的风险评估（而非仅信息安全风险评估）的必要性„对应BS25999，这部分应当是RA和BIA的过程，既然业务连续性管理是基于风险的，而业务连续性管理策略、乃至业务连续性计划的制订都要依赖于RA和BIA的结果，因此这个风险评估过程是至关重要的，而且由于其涉及面较广，因此过程也会较为复杂„个人认为，RA和BIA是整个BCM的关键所在，仅仅27002里面这两段十几行不过提纲挈领，蜻蜓点水而已ContinuousControlsMonitoring控制措施分析之14.1.314.1.3－－－－14.1.514.1.5„控制措施14.1.3为，制订和实施包含信息安全的连续性计划制订和实施包含信息安全的连续性计划，里面提到了危机管理和业务连续性管理的区别，总结起来就是有危机未必影响业务连续性，但是业务连续性受损通常必定意味着危机„控制措施14.1.4为，业务连续性计划框架业务连续性计划框架，说明了一个业务连续性计划应当包括哪些内容，即为不同的业务过程制订一个统一的连续性计划框架模板„控制措施14.1.5为，测试、维护和再评估业务连续性计划测试、维护和再评估业务连续性计划„14.1.3至14.1.5这3个控制措施，均与业务连续性计划的管理有关ContinuousControlsMonitoring响应设计„按照业务连续性管理的要求，响应设计应当包括；Æ《业务连续性管理办法》（2）Æ《业务连续性管理指南》（3）包括业务连续性计划框架模板Æ《各关键业务的RA和BIA文档》（4）Æ《各关键业务的连续性计划》（4）Æ《维护、培训、测试、执行业务连续性计划的过程记录》（4）ContinuousControlsMonitoringTHEENDTHEENDTHANKSTHANKS