时间：2023年3月14日 星期二

作者：小王

• 如何去做BCP呢？
  • 一、项目范围和计划
    • 1.组织审查
    • 2.BCP团队选择
    • 3.资源需求
    • 4.法律法规要求
  • 二、业务影响分析
    • 1.确定优先级
    • 2.风险识别
    • 3.可能性评估
    • 4.影响评估
    • 5.资源优先级排序
  • 三、连续性规划
  • 四、计划批准和实施
    • 1.计划批准
    • 2.计划实施
    • 3.培训和教育
    • 4.BCP文档化

本节必考

业务连续性计划（Business Continuity Plan, BCP）涉及评估组织流程的风险，并创建策略、计划和程序，以最大限度地降低这些风险发生时对组织产生的不良影响，即该计划尽最大可能保障组织业务持续开展，一旦失败则转入灾难恢复计划（Disaster Recovery, DRP）。

BCP和DRP的区别：

​ 如果考试没有题目问区别，两者是一个计划；如果问两者的区别，业务在运转过程中BCP计划在起作用，一旦业务中断则切换到第二价段DRP（具体的事）

如何去做BCP呢？

一、项目范围和计划

非常重要

1.组织审查

识别组织架构的所有部门和人员，这些信息与组织业务息息相关，为后续过程的顺利开展打下基础。既然叫业务连续性计划，那么就先识别出组织里有哪些业务流程，由哪些部门和人员负责，方便后续组建BCP团队。

2.BCP团队选择

计划的制定和实施离不开人员的支持，因此组建一个多元化的BCP团队至关重要，团队成员应来自不同的部门以弥补团队的知识欠缺（术业有专攻），并有高级管层（他们拥有资源和权利）的加入和支持，以保障BCP计划的顺利制定和实施。

3.资源需求

不管干什么事，都需要组织投入资源，如人力、财力、硬件、软件等，因此就需要对BCP的制定和实施所需要的资源进行评估，并向高级管理层说明BCP的必要性，以争取更多的资源，根据资源的多少，决定BCP的覆盖范围（有多少钱，干多少事）。

4.法律法规要求

制定的BCP应满足合规性要求（法律法规是底线，必须遵循），并在法律法规和行业标准发生变化后及时更新（安全总是是临时性的）。

二、业务影响分析

BIA，最重要部分

业务影响分析（BIA）对组织的业务进行评估，确定业务可能面临的风险，以及风险发生的可能性和影响，使用定量影响评估和定性影响评估（与风险评估过程基本一致），对业务连续性资源的投入进行优先级排序。

1.确定优先级

根据业务重要性进行优先级确定，度量指标包括资产价值（AV）、最大允许中断时间（Maximum Tolerable Downtime, MTD或Maximum Tolerable Outage, MTO）和恢复时间目标（Recovery Time Objective, RTO），BCP的目标就是确保RTO小于MTD，即业务系统如OA允许中断服务3天，3天以后就开始造成组织经济损失，那么OA的恢复时间必须是3天以内，才能保障组织不受损失。恢复点目标（recovery point objective，RPO）定义了事件发生前的时间点，在该时间点上，组织应该能够从关键业务流程中恢复数据，数据必须被恢复以便继续进行处理的点。所允许的最大数据损失量。工作复原时间（Work Recovery Time，WRT）从系统正常运转，恢复业务的时间，即数据恢复。

2.风险识别

识别组织面临的风险，自然风险和人为风险两大类。

3.可能性评估

对识别到的每种风险发生的可能性进行评估，得到ARO，像一个倒霉蛋一年被雷劈1次，那么雷劈这个风险的可能性就是100%。

4.影响评估

在定量评估中，计算EF、SLE和ALE；在定性评估中，关注组织信誉、员工流失、社会责任等。要综合定量和定性评估的结果，这样计算的风险对组织的影响更加精准。

5.资源优先级排序

根据评估结果对资源投入进行优先级排序，紧着重要业务投入资源，资源没有了其他业务就先不纳入BCP。

三、连续性规划

这个阶段就是把前期做的各种分析和结果，落地形成可展示的文档。其中，设计缓解方案的具体机制，需保护的三类资产分别是：

• 人员：业务流程肯定有人参与，在所有资产中人员安全优先级最高，人命关天。

• 建筑物和设施：业务流程必须依赖的物理设施，如数据中心、厂房、仓库等，需要关注加固预备措施（风险发生前的措施，如刮大风前要加固屋顶）和替代站点（风险发生后的措施，主设施可能会彻底损坏，要提前考虑备用设施）。

• 基础设施：业务流程依赖的基础实施，如通信线路、信息系统等，需要关注物理性加固系统（如灭火措施）和替代系统（双机热备），与建筑物和设施一样。

四、计划批准和实施

1.计划批准

高级管理者（CIO/CISO-使计划有效）的批准说明BCP得到认可，使计划在其他相关方处能够得到重视，保障计划的顺利实施。大多数情况下，组织颁布的制度如果不是特别的重要、未及时对制度进行宣传，组织内的员工其实并不会重视，想想大家对自己公司制度的遵守程度。

2.计划实施

得到批准就按部就班干就完了，完成计划实施后，BCP团队应持续监控计划执行情况、并不断优化。安全是临时的、计划也是临时的，因此需要定期更新和完善。

3.培训和教育

全员接受BCP的整体培训（培养意识），以保证员工重视BCP，对BCP中担任职责的员工接受专项培训，以保证风险发生时能够完成BCP任务。计划都是由员工执行的，那么适当的培训是必须的，不然计划内的要求可能员工的能力无法覆盖。

4.BCP文档化

BCP文档化非常的重要,也是甩锅神器，试想一下：分析出一个重大风险，老板因为投入资源过大而选择接受风险，但未使其文档化并签字确认，那么风险一旦真正发生，你必然要背锅，为什么当时你没有好好劝我？巴拉巴拉~虽然文档化并不能彻底解决老板BB你的必然，但可以从一定程度上让你的老板背一点锅。BCP应该包含以下部分：

• 连续性计划的目标：制定的计划得说明目标是啥，最简单的目标就是保障业务不间断运行。

• 重要性声明：用以说明BCP的重要性，让所有人对该计划上心。

• 优先级声明：哪些业务系统重要、哪些不重要，用1~10分或A-Z进行说明。

• 组织职责声明：说明组织在BCP中的责任，让所有人都支持该计划。

• 紧急程度和时限声明：说明BCP的紧急程度，以及BPC实施的时间安排。

• 风险评估：业务影响评估BIA的决策过程。

• 风险处置：说明每种风险的处置方式。

• 重要记录计划：重要记录（涉及业务的相关信息）需识别、查找、存储。

• 应急响应指南：如何响应紧急事件的步骤，应包含响应程序（怎么干）、通知名单（叫人）。（不在DRP中）

• 维护：环境变化需及时更新BCP，涉及版本控制。

• 测试和演练：BCP再好，还得真刀真枪试一试才能发现计划的缺点。