?定义角色和 职责
?开发策略
?识别所有涉 及计算的资
产
?开发标准
?开发过程
?意识教育和 培训规划
1
2
3
4
5
6
1.系统配置开发和维护
2.访问控制和身份管理
3.员工意识和培训计划
包括全职角 色和职责， 以及虚拟团 队
这是任何安
全计划的基
础。 政策需要反 映公司遵守 的法律法规 和法定环境， 即SOX， GLBA， FERPA，
范文件对哪些组织将寻求认证。
? 该标准将取代BS25999-2。 ? 2012年中期公布
? 业务连续性协会的最佳实践指南（GPG） ? DRI国际研究所的业务连续性规划师专业实务
使BCM成为企业安全计划的一部分
（Making BCM Part of the Enterprise Security Program）
? 业务连续性和灾难恢复（Business Continuity and Disaster Recovery ）
? BCP项目组成（BCP Project Components ） ? 预防措施（Preventive Measures ）
?恢复策略（Recovery Strategies ）
? 保险（Insurance） ? 恢复和重建（Recovery and Restoration ） ? 测试和评审计划（Testing and Revising the Plan ）
? 供应系统（Supply Systems ），通讯中断、配电系统（ Power Distribution）中断、管道破裂（ Burst Pipes）；
? 人为的（Man-Made ），爆炸（Explosions）、火灾（ Fires）、 故意破坏（Purposeful Destruction ）、航空器坠毁（ Aircraft Crashes）、有害物质泄漏（ Hazardous Spills）、化学污染 （Chemical Contamination ）、有害代码（ Malicious Code ）
标准和最佳实践（ Standards and Best Practices ）
? BS25999的英国标准协会（BSI）的标准业务连续性管 理（BCM）。此BS标准有两个部分：
? BS25999-1：2006业务连续性管理规则实践 。 ? BS25999-2：2007业务连续性管理规范 。
? ISO/ IEC27031：2011 ? ISO22301待定国际标准的业务连续性管理体系。该规
? 中断事件是否被机构视为灾难，与中断所影响的业务功 能对机构的关键程度，以及中断的时间长短有关。
灾难恢复计划和业务连续性计划
?业务连续性规划（BC
高管
?IT灾难恢复计划 业务线
应用可用性 数据机密性和完整性
电信和网络 资产管理
?要
解决
的?解问 决题方
?案目 标 ?重 点 ?焦 点
业务连续性管理
? 自然的（Natural），如地震（ Earthquakes ）、洪水（Floods）、 强对流天气（ Storms）、火山爆发（ Volcanic Eruptions ）、自然 火灾（National Fires）；
? 系统/技术的（System/Technical ）,如硬件、软件中断 （Outages）、系统/编程错误（ Errors）；
? 政治的（Political），如恐怖袭击（ Terrorist Attacks）、骚乱 （Riots）、罢工（ Strikes）。
机构的灾难
? 对于机构来说，任何导致机构关键业务功能在一定时间 内无法进行的事件都被视为灾难，其特点表现为：
? 计划之外的服务中断； ? 长时间的服务中断； ? 中断无法通过正常的问题管理规程得到解决； ? 中断造成重大损失。
业务连续性和灾难恢复
? 标准和最佳实践（Standards and Best Practices ） ? 使BCM成为企业安全计划的一部分（Making BCM Part
of the Enterprise Security Program）
灾难的定义
? 灾难（Disaster）是突发的、导致重大损失的不幸事件，包 括：
?业务连续性管理
?可用性
可靠性
?企业高可用可恢复服性务水平管理
业务连续性计划
?实现和维护已选择的企 业IT基础架构的可用性
级别
?有效地管理和控制IT基 础设施，以提高整体运 行可靠性
?提供有效的计划以最大限 度地减少关键过程在重大 中断事件停机时间
?技术
过程
?积极人的员预防
响应和恢st Practices ）
CISS业P务第连六续版性培和训灾难PP恢T复之九
Business Continuity and Disaster Recovery
关键知识领域
? A. 理解业务持续性要求
? A.1 起草并记录项目范围与规划
? B. 进行业务影响分析
? B.1 识别关键业务功能并进行优先排序 ? B.2 判断可接受的最长停工时间以及其他标准 ? B.3 评估运行中断的威胁（如本地范围、区域范围、全球范围） ? B.4 定义恢复目标
? C. 制定恢复策略
? C.1 实施备份存储策略（如异地存储、电子仓储、磁带轮换） ? C.2 站点恢复策略
? D. 理解灾难恢复过程
? D.1 应对 ? D.2 人员 ? D.3 通讯 ? D.4 评估 ? D.5 修复 ? D.6 提供培训
? E. 执行、评估与维护计划（如版本控制、发行）
目录
?审核和监控 规划
7
14.安全操作 15.法律和法规遵从
BCP项目组成
? 项目范围Scope of the Project ? BCP策略BCP Policy ? 项目管理Project Management ? 业务连续性计划要求Business Continuity Planning
SBI386
包括关键网 络和其他资 产，高价值 系统以及在 运输途中 和敏感数据 的其余所有 地点
HIPPA，PCI
等。
4.物理环境安全 5.应用安全，开发和变更控制 6.应急计划（BCP和DR） 7.风险评估和管理程序
8.漏洞管理 9.资产识别，控制和维护程序 10.入侵检测，事件识别和处理程序 11.文档保留和法规遵从策略 12.人员安全 13.数据分类和保护