本文目录导读:

- 方针与策略
- 业务影响分析 (BIA,Business Impact Analysis)
- 风险评估与处置
- 业务连续性策略与方案设计
- 计划编制与演练
- 培训、意识与审计
- 总结:CISP-BCM框架的 PDCA 闭环
- 在实际工作中,你需要注意的3个关键点:
CISP-BCM(Certified Information Security Professional - Business Continuity Management)是中国信息安全测评中心(CNITSEC)推出的注册信息安全专业人员-业务连续性管理方向的专业认证,其对应的业务连续性管理框架通常基于国际标准(如ISO 22301)和国内最佳实践(如GB/T 30146《公共安全 业务连续性管理体系 要求》)进行构建。
虽然CISP-BCM认证体系的具体教材内容可能随版本更新,但其核心管理框架一般包含以下六个核心模块(从战略到执行):
方针与策略
- 目标:明确BCM的治理方向,获得高层支持。
- :
- 制定业务连续性方针(Policy)。
- 界定BCM范围(如覆盖哪些部门、地区)。
- 分配角色与职责(如BCM委员会、业务连续性经理)。
- 资源保障承诺。
业务影响分析 (BIA,Business Impact Analysis)
- 目标:识别关键业务功能,量化中断影响。
- :
- 识别关键业务(KBF,Key Business Functions)。
- 确定关键指标:
- RTO(Recovery Time Objective,恢复时间目标):中断后恢复业务可接受的最长时间。
- RPO(Recovery Point Objective,恢复点目标):可容忍的数据丢失量(时间维度)。
- MBCO(Minimum Business Continuity Objective,最低业务连续性目标):中断期间必须维持的最低服务水平。
- 分析财务与非财务影响(如声誉、合规)。
风险评估与处置
- 目标:识别可能引发中断的威胁与脆弱性。
- :
- 威胁识别:自然灾害、网络攻击、人为失误、供应链断裂等。
- 风险评估:可能性 vs. 影响程度。
- 风险处置策略:
- 规避(如不开展高风险业务)。
- 转移(如购买保险、外包)。
- 缓解(如实施冗余、灾备)。
- 接受(低风险可容忍)。
业务连续性策略与方案设计
- 目标:选择成本效益最优的恢复方案。
- :
- 缓解措施(Prevention):建设双活数据中心、UPS(Uninterruptible Power Supply,不间断电源)等。
- 恢复策略(Recovery):
- IT灾备:热站、温站、冷站;云灾备。
- 业务运营:备用办公点、远程办公、手动替代流程。
- 人员:关键岗位AB角、备用团队。
- 供应链:双源供应、安全库存。
计划编制与演练
- 目标:形成可执行的文档体系,并验证其有效性。
- :
- 计划文档:
- BC Plan(业务连续性计划):详细步骤(含指挥链、通讯录、恢复流程)。
- DRP(Disaster Recovery Plan,灾难恢复计划):技术层面的IT恢复步骤。
- BCP(Business Continuity Plan,业务连续性计划):业务层面的操作恢复步骤。
- 演练类型:桌面推演、模拟演练、实战演练。
- 演练频率:至少每年一次,或根据风险变化调整。
- 计划文档:
培训、意识与审计
- 目标:确保人员具备应对能力,并推动持续改进。
- :
- 培训:针对不同角色(员工、管理层、应急小组)的专业培训。
- 意识宣贯:全员级别的突发事件反应流程(如撤离、汇报)。
- 审计与审核:内部审计(自检)、管理评审(高层审查)、外部认证审核。
- 持续改进:基于演练复盘、审计发现、事件总结,更新框架与计划。
CISP-BCM框架的 PDCA 闭环
CISP-BCM框架本质上遵循 PDCA(Plan-Do-Check-Act) 循环:
- P(Plan):方针、BIA、风险评估、策略。
- D(Do):编制计划、部署资源、实施培训。
- C(Check):演练、测试、审计、管理评审。
- A(Act):纠正措施、预防措施、更新计划。
在实际工作中,你需要注意的3个关键点:
- 与应急管理区分:BCM比应急管理更广,它包含灾难恢复、业务重续和业务复原。
- 成本与风险平衡:框架强调“业务连续性”不是追求“100%无中断”,而是找到可接受的中断时间与成本之间的平衡点。
- 供应链延伸:现代BCM必须考虑关键供应商、外包商的业务连续性能力。
如果你需要参加CISP-BCM考试,建议以中国信息安全测评中心官方教材的最新版本(通常包含GB/T 30146-2013 等同采用ISO 22301:2012)为准进行复习。