代码改变世界

信息安全管理28_灾备与业务连续性管理checklist

2021-03-05 13:40  微言晓意  阅读(559)  评论(0编辑  收藏  举报

灾备与业务连续性管理checklist包括业务连续性管理过程、业务影响分析、业务连续性计划、业务连续性实施、业务连续性测试与演练五部分内容。

一、业务连续性管理过程

▼▼业务连续性管理职责

1.1是否指定专人或部门全面负责业务连续性计划或管理流程及其测试方案的的开发、实施及维护?

1.2是否有必要的团队或单位参与业务连续性计划或管理流程?如:IT部门、业务部门、风险管理部门等。

▼▼业务连续性管理制度

1.3是否制定相应的制度、流程来确保当前业务连续性计划的维护及发布?包括:

  • 指定业务连续性计划变更维护责任人

  • 与业务连续性计划相关的变更包括流程、人员及环境

  • 将修订后的计划及时分发给员工

1.4业务连续性计划方法流程是否包括以下内容?

  • 业务影响分析(BIA)

  • 风险评估

  • 确定风险处置策略

  • 制定业务连续性计划或方案

  • 落实或部署管理及技术措施

  • 测试与演练

▼▼业务连续性管理审计

1.5针对业务连续性计划是否有有效的审计?包括:

  • 审计覆盖范围足够(如:业务、部门)

  • 对业务连续性准备情况(预案)的评估

  • 业务连续性计划测试包括对测试计划和结果的审查,以及对测试过程的观测

  • 审计发现文档化

1.6董事会或高管是否至少每年审查、批准业务影响分析、风险评估、业务连续性计划撰写、测试计划及测试的结果?1.7是否根据审查或测试过程中发现的问题,以及业务操作的变更及时修订业务连续性计划和相关测试方案?

二、业务影响分析(BIA)和风险评估

▼▼业务影响分析(BIA)2.1是否识别所有业务流程(活动)、业务功能(或组件)?

2.2是否识别所有业务功能(或组件)之间的依赖及需求关系?需求包括:

  • 人员

  • 场所

  • 设施/设备/工具

  • 信息服务

  • 信息

  • 供应商及第三方服务等

2.3针对识别出的所有业务功能,是否识别或分析该业务功能的?

  • 最大允许中断时间

  • 可接受的数据损失和积压交易程度

  • 恢复时间目标(RTO)

  • 恢复点目标(RPO)

  • 中断成本或影响等

2.4是否对识别出的业务功能进行业务优先级排序,排序是否合适?是否识别关键路径(具有最高优先级的业务流程或系统)?

▼▼业务连续性风险评估

2.5针对识别出的所有(或关键)业务功能(或组件),是否识别造成业务功能(或组件)中断或不可用的威胁?包括:

  • 自然灾害,如:火灾,洪水,恶劣天气,空气污染,危险品泄露等

  • 技术问题,如:通讯中断,电力中断,设备和软件故障,运输中断,断水等

  • 恶意行为,如:欺诈,偷窃或敲诈;破坏;抢劫;恐怖行为等

  • 流行病

2.6是否分析上述威胁造成业务功能(或组件)中断的可能性及影响?

2.7是否通过成本效益分析确定的上述各项风险的处置策略(接受、规避、转移、控制)?

 三、业务连续性方案或计划

▼▼业务连续性措施

3.1是否根据确定的风险处置策略,针对各项风险或每一项重大风险制定业务连续性解决方案或计划,明确业务连续性需求(人员、场所、技术、信息、供应商、利益相关方)?

3.2是否明确业务连续性管理的技术措施?包括:

  • 备用站点

  • 备用线路

  • 备用系统

  • 备用电源

  • 备用人员

  • 本地或远程存储备份设施

  • 其它技术措施等

▼▼业务连续性计划

3.3业务连续性计划是否包括:

  • 应急响应计划

  • 业务连续计划(关键业务)

  • 业务连续性计划(重要业务)

  • 业务复原计划(完全复原)

  • 危机沟通计划(内部、外部)。

3.4每个业务连续性计划中是否包括人员/技术/设施需求与安排?包括:

  • 人员安排

  • 站点/设施

  • 硬件/软件

  • 数据处理设备

  • 通讯线路

  • 远程计算

  • 生存记录

  • 实用程序等

3.5每个业务连续性计划中是否包括[业务单元/部门/功能/应用]的恢复过程及程序?并确保:

  • 业务恢复顺序应该与BIA及风险评估的优先级一致;

  • 业务恢复要考虑系统之间的依赖关系;

  • 要考虑长期恢复安排。

3.6每个业务连续性计划中是否包括供应商和外包服务商的恢复过程?

3.7每个业务连续性计划中是否包括应急预案和危机管理计划?包括:

  • 包括一个准确的呼叫树及相关联系信息,用于联系员工、服务商、供应商、监管者、政府部门及应急响应人员

  • 为相关小组及员工指定职责和负责人

  • 说明特定事件中采取的活动

  • 定义备用站点的启动条件

  • 备用站点通知程序

  • 识别需要离站处理的当前事项

  • 指定一个具有相关能力的公共关系发言人

  • 识别办公场所及设备来源,制定一份关键供应商列表(硬件/软件/通讯线路等)

3.8每个业务连续性计划中是否包括安全控制?

3.9每个业务连续性计划中是否包括财务支出?(在灾难期间,相关人员的购买权限及费用)

四、业务持续性管理实施

4.1是否按照业务持续性计划或方案落实各有关部门和业务单位的职责分工,认真组织计划或方案实施,确保各项技术及管理措施落实到位?

4.2是否按照方案部署适当的备用处理设施及备份系统?包括:

  • 备用站点

  • 备用线路

  • 备用系统

  • 备用电源

  • 本地或远程存储备份设施

4.3是否建立与技术服务提供商(TSP)的沟通与连接渠道?

4.4是否制定中断发生时TSP、代理机构、会员或别的服务提供商从主站或恢复站点访问、下载、上载信息的文档化的程序?

4.5在业务持续性管理过程中是否采取适当的安全控制措施?

4.6是否按照各类BCP中设定的责任,定期培训员工?

五、业务持续性测试与演练

5.1是否制定业务持续性测试策略?测试策略包括:

  • 是否识别参与测试计划的关键角色及职责?

  • 是否遵循循序渐进的策略(不断提高测试复杂性及范围,直至全面测试BCP)?

▼▼业务持续性测试策划

5.2是否包括制定文档化的测试计划,测试场景,测试方法,测试日程安排,以及对关键业务和支持功能的期望?包括:

  • 测试的范围及详尽程度
  • 涉及的员工、技术和设施

  • 对内部或外部依赖性测试的期望

  • 对测试假定条件合理性的评价

5.3是否在测试策划中明确说明假定条件(如:可用资源和服务,中断时间,测试方法,能力和规模问题,数据完整性等),这些假定基于成本效益分析及恢复目标做出的,是合理的?5.4是否注意整个企业范围内的测试以及与重要第三方一起进行的测试?5.5是否包含测试频率指导方针,测试频率应该与在BIA和风险评估阶段,以及相关策略/监管指南中定义的关键业务功能,RTO,RPO以及关键路径恢复用时相适应?5.6是否规定了持续性测试的文档需求,包括测试场景,计划,脚本,结果记录及报告?

5.7是否包含机构针对紧急事件的危机管理程序的有效性测试?包括:

  • 危机管理小组成员的角色及职责定义

  • 风险假定

  • 危机管理决策程序

  • 与业务、IT、内部审计以及设施管理部门的协调

  • 通过使用各种方法及设施(如:呼叫树、免费电话[800]、及时通讯、网站等)与内部及外部相关方的沟通

  • 对内部和外部联络人的通知程序

  • 是否考虑设施、生存记录与数据、通讯线路以及人员的物理和逻辑安全?

▼▼业务持续性测试实施

5.8是否协调测试计划确保对业务持续性计划进行完全的演练,测试结果是否表明为确保业务接续及恢复目标(如:完全生产恢复,及时数据恢复等)的实现,相关员工已经准备就绪?

5.9是否分析测试结果,并将其与预定目标相比较;对于测试发现的问题,指定责任人;并按照一定的机制对这些问题进行优先级排序;跟踪问题直到问题被解决;撰写针对未来测试的建议?

5.10测试过程和结果是否通过有资格的第三方的观测与评估(如:内部或外部审计员)

5.11针对测试失败或测试问题是否及时组织进行重新测试?