关联词:网络攻击
业务连续性管理(BCM)是用来识别企业所面临的业务风险、内外部威胁的风险分析框架和管理过程。业务连续性管理包含一整套的风险管理流程,通过这一流程可以识别那些威胁企业和机构等组织的潜在风险,提供指导性框架来帮助组织有效应对从自然灾害、信息技术故障到人为事件的威胁,建立必备的恢复能力,从而保护组织和其利益相关者的业务活动可持续,减轻其资产和信誉受到的损害。
企业在业务经营中会遇到从自然灾害到政策等多种风险事件的影响。业务连续性管理将这些风险事件分为3类:自然灾害、信息技术故障和人为事件。风险事件对企业经营的影响是多方面且严重的,特别是对金融科技公司,由于IT系统的脆弱性,其破坏性可能是致命的。
典型的风险事件包括供电失效、IDC(互联网数据中心)空调失效、专线中断、网络服务及设备失效、虚拟机集群严重故障、安全设备故障,数据库集群故障、组件容量和处理能力失效,应用软件漏洞、报文错误、流程管理漏洞,计算机病毒、自然灾害、人为破坏(恶意行为、恐怖活动、战争)等。
BCM正是为帮助组织建立一整套风险管理工具,提高其内部控制水平而设计的管理方案,包括灾难恢复(Disaster Recovery,DR)、业务恢复(Business Recovery,BR)、危机管理(Crisis Management,CM)、应急响应与计划(Incident Response & Plan)等内容。
从管理文件的结构上看,BCM包括3个层次的内容,如图8.2所示。(www.xing528.com)
图8.2 BCM示意图
BCM最核心的组成部分是危机管理计划(Crisis Management Plan,CMP)。当组织发生危机时,危机管理计划提供了组织必要的沟通机制以确保员工的安全、组织内部的信息交流以及危机应对。组织内部的沟通机制包括资产评估、危机管理机制的设计和应用集成等3个过程。
在危机管理计划之上,组织应制定IT灾难恢复计划。该计划用于重新构建组织的关键信息系统和业务流程。当IT灾难恢复计划完成后,组织执行业务恢复计划(Business Recovery Plan,BRP),针对核心业务制定有针对性的业务恢复程序。
从生命周期来看,BCM包括业务评估(Business Assessment)、战略设计(Strategy Design)、实施(Implementation)和质量保证(Quality Assurance)等阶段。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
