信息技術(shù)在業(yè)務(wù)連續(xù)性中扮演著重要角色,宜專(zhuān)門(mén)設(shè)計(jì)相關(guān)的信息技術(shù)程序,以確保業(yè)務(wù)連續(xù)性運(yùn)行的及時(shí)性和有效性。組織的業(yè)務(wù)連續(xù)性開(kāi)發(fā)團(tuán)隊(duì)中不可缺少負(fù)責(zé)信息技術(shù)的成員。
信息技術(shù)部門(mén)必須提供可將信息妥善有效存儲(chǔ)的保護(hù)措施,并對(duì)各種災(zāi)害進(jìn)行管理、防范并提供安全保護(hù)措施??刹捎玫姆椒òㄐ畔⒌亩ㄆ趶?fù)制,并將備份信息存儲(chǔ)于安全的另外一個(gè)地點(diǎn)。并且,宜對(duì)存放在該地點(diǎn)的數(shù)據(jù)進(jìn)行定期測(cè)試,以確保其正確無(wú)誤。
ISO/IEC27001 標(biāo)準(zhǔn)提供了業(yè)務(wù)連續(xù)性的管理控制措施, 以下是業(yè)務(wù)連續(xù)性計(jì)劃(BCP)的相關(guān)因素:
業(yè)務(wù)風(fēng)險(xiǎn)及影響分析;
災(zāi)害事件初始反應(yīng)活動(dòng);
緊急事件和業(yè)務(wù)恢復(fù)過(guò)程管理程序;
各層級(jí)培訓(xùn)計(jì)劃;
保持業(yè)務(wù)連續(xù)性計(jì)劃及時(shí)更新的程序。
業(yè)務(wù)連續(xù)性計(jì)劃宜定期演練,組織可以用以下問(wèn)題進(jìn)行BCP 的自查:
是否已制定確保信息連續(xù)性的書(shū)面計(jì)劃?
上述計(jì)劃是否每年進(jìn)行更新和檢驗(yàn)?
何時(shí)對(duì)計(jì)算機(jī)硬件、軟件或應(yīng)用系統(tǒng)進(jìn)行過(guò)重要的調(diào)整 或改變?
是否對(duì)用以備份的介質(zhì)進(jìn)行了定期測(cè)試?
是否對(duì)應(yīng)用程序、應(yīng)用數(shù)據(jù)和運(yùn)行系統(tǒng)軟件進(jìn)行了定期備份?
是否將該計(jì)劃和信息進(jìn)行了異地備份?
一個(gè)組織在風(fēng)險(xiǎn)分析方面最先要做的事情就是明確組織能夠承擔(dān)哪種類(lèi)型的風(fēng)險(xiǎn)(風(fēng)險(xiǎn)偏好) 以及風(fēng)險(xiǎn)的承受能 力,使組織的所有成員了解組織的“風(fēng)觀(guān)”。這一點(diǎn)確定后,可采用一些工具或方法以確定風(fēng)險(xiǎn)等級(jí)并對(duì)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行管理。關(guān)鍵工具之一就是組織的控制措施。對(duì)于與薩班斯-奧克斯利法案相關(guān)的內(nèi)容來(lái)說(shuō),組織的控制措施尤其重要。不僅在組織層面的財(cái)務(wù)控制要合規(guī),活動(dòng)層面的財(cái)務(wù)控制也要合規(guī)。