云和安全管理服务专家新钛云服 肖力

本文包含以下内容：

· 什么是IT业务连续性计划

· BC相关的规范和标准

· ISO 22332 标准

· FFIEC 业务连续性手册

目前，没有比疫情更好的理由来制定业务连续性（BC，Business Continuity） 计划。对于组织而言， BC 计划表明该组织致力于保护业务并保持其运营，尽可能避免发生破坏性事件。

从审计的角度来看，BC 计划对于执行审计控制越来越重要。内部和外部审计师比以往更熟悉BC计划和DR计划，因此对于 IT领导者来说，必须认识到重要性。

经验表明，制定BC和DR计划会增加组织从破坏性事件中成功恢复并恢复运营的可能性。只需知道在紧急情况下该做什么就可以大大提高组织成功恢复的机会，在应对 IT 基础架构中断时尤其如此。

什么是 IT 业务连续性计划？

业务连续性（BC，Business Continuity）计划与灾难恢复（DR，Disaster Recovery） 计划的不同之处在于BC侧重于保护整个组织，将 IT 作为关键的支持资源，而 DR 计划通常侧重于保护整个 IT 基础架构。

BC 计划有几个输入，可提供有关业务运作方式的数据。其中包括业务影响分析 ( BIA )、风险分析和已确定为关键任务的业务元素的恢复策略定义。

BC 计划中有什么？典型的 BC 计划包括以下内容：

· 关于 BC 计划的目的、范围和目标的声明；

· 确定组织的关键任务业务活动；

· 如果无法履行这些职能，可能会给组织带来损失；

· 关键功能的风险、威胁和脆弱性以及防止其发生的措施；

· 应对破坏性事件和恢复关键功能的策略和程序；

· 重要的内部和外部联系人的联系人列表，即供应商和政府机构；

· 关键记录的清单，例如客户记录、硬拷贝文件和法律文件，以及它们的存储位置；

· 关键业务资源的库存，包括办公设备、家具和系统；

· 搬迁到其他空间时典型办公区域的平面图；

· 继任计划，以确保经过适当培训的员工能够接替因健康、假期等原因无法工作的员工的职责；

· 与媒体打交道的预案；

· 与银行、保险公司和公用事业等关键组织互动的程序；

· 响应事件初始阶段的预案，也称为事件响应；

· 从事件响应过渡到业务恢复的程序；

· 将员工从灾难模式转变为商业模式的程序；

· 确保 IT 资源正常运行的程序；

· 恢复正常业务运营的程序；

· 准备总结从事件中吸取的教训的事后报告的程序。

BC 计划的衡量指标

IT 基础架构是大多数业务关键功能的基础，因此在制定 BC 计划时，IT 应该做的第一件事就是映射技术资源和业务功能之间的关系。BIA 最重要的输出之一是识别支持关键任务功能的 IT 资源，因为它产生了两个指标：恢复时间目标 ( RTO ) 和恢复点目标 ( RPO )。

· RTO ：定义了在组织遭受损失之前禁用特定业务功能所需的最长时间。对于 IT 而言，这意味着在业务受损之前禁用特定系统和资源的最长时间。RTO 和 RPO的一般经验法则是：时间框架越短，实现该指标的潜在投资就越大。

· RPO ：对当前数据、数据库和其他资源的最后备份时间而言也很重要。例如，客户个人数据可能对组织的业务至关重要。此类数据应比其他资源更频繁地备份，并确保可以维持低 RPO（即 1 小时或 5 分钟以下）需要投资于更复杂的数据镜像或复制技术，以及增加数据存储容量。

BC相关的标准和规范

下表列出了一些较相关的 ISO 标准。适用的法规将取决于个别公司及其服务的行业。例如，银行和金融部门都有解决 BC 和弹性问题的法规。这些组织可以决定遵守那些特定的基准来代替全球标准。关键目标是实现并证明符合一项或多项相关标准和法规。

下表是由许多组织制定的美国标准、法规和良好实践的部分列表，其中包括 ASIS International、国家消防协会、联邦金融机构考试委员会、ISACA、金融业监管局、联邦紧急事务管理局和 NIST . Disaster Recovery Journal不断更新其普遍接受的 BC 实践，而NIST 特别出版物 800 系列标准是 IT 指导的良好来源。

实现符合 BC 和弹性标准的步骤

以下步骤说明了公司如何实现和证明合规性，通过表明组织如何满足特定标准规定的要求的文件来确认合规性。大多数标准被组织成章、节、小节和其他大纲格式。公司可以通过选择特定部分然后描述如何实现合规来简化流程。

1. 获得管理层的批准以开始标准合规流程，并说明合规将如何使组织受益。

2. 建立一个团队，包括多个相关部门的代表，例如 BC/弹性、风险管理、IT、行政、财务、内部审计和人力资源。

3. 研究相关标准、法规和良好实践文件，并确定哪些文件与组织最相关。获取这些文档的当前版本。

4. 向团队成员简要介绍所选标准，以便他们对要求有基本的了解。如果可能，请在内部审计上投入更多时间，因为实际上它可能是最终评估和证明已实现合规性的单位。

5. 如果内部审计无法参与合规活动，请考虑与外部专业人员签约。寻找已通过特定 BC/弹性标准（例如ISO 22301:2019 ）审核员认证的供应商。提供此类认证的两个组织是国际灾难恢复研究所和国际组织弹性联盟。或者，检查 BC 咨询公司，看看他们是否有获得标准审核员认证的员工。

6. 将所选标准映射到现有的 BC/弹性计划，并确定哪些计划不合规。

7. 制定计划以更新 BC/弹性计划以解决不合规问题，并执行该计划。

8. 安排内部审计或有经验的第三方评估修订后的 BC/弹性计划，并确认不合规问题已得到解决。向高级管理层简要介绍该评估的结果，并询问他们是否希望进行正式的合规审计。

9. 如果高级管理层需要，安排正式审计。该审核的结果将正式记录对相关标准和法规的遵守情况。

一旦认为组织已实现其目标，执行定期评估和/或审计以确保保持合规性。

ISO 22332 标准

2021 年 5 月，ISO 发布了 ISO 22332:2021 安全性和弹性，业务连续性管理系统，制定业务连续性计划和程序以解决此问题的指南。新标准是 ISO 223XX 系列 BC 标准的一部分。

ISO 22332:2021 标准来自较早的标准，例如ISO 22301:2019安全性和弹性，业务连续性管理系统ISO 22313:2020 安全性和弹性，业务连续性管理系统ISO 使用指南22301，并扩展了 BC 计划的细节。

ISO/TS 22332为规划和制定政策、战略和程序提供指南和框架，以帮助准备和管理受事件影响的人员。包含以下内容：

· 活动前准备：意识、需求分析以及学习和发展。

人员流程的一个关键部分是了解您的组织及其人员。这可以与人力资源部合作完成，因为它拥有最详细的员工信息。ISO/TS 22330:2018 业务连续性标准为上述活动提供了指导，并可用作清单以确保现有的BC/DR 计划更详细地解决人员问题。在上述问题中，需求分析可能是最重要的。在这里您可以检查员工的家庭成员和有特殊健康要求的员工等问题。您提前了解潜在的员工问题越多，您的恢复可能就越好，尤其是从人员的角度来看。

· 响应阶段：处理事件的直接影响。

当面临紧急情况时，人们会以不同的方式做出反应。这就是为什么在选择应急响应团队成员时，重要的是要记住，人们在面对真正的紧急情况时可能会以完全不同的方式做出反应，而不是在他们参加培训演习时。在演习中，人们可能会冷静地、完全掌控地履行职责。然而，在现场活动中，这些人可能会僵住并没有反应，或者可能会惊慌失措并尽快逃离现场。在真正的事件发生之前，几乎不可能知道人们会如何反应。这是定期举行 BCDR 计划演练和应急响应计划演练的一个很好的理由。

· 恢复阶段：在活动期间管理人员。

注意到人们应对紧急情况的上述现实，ISO/TS 22332 提供了如何处理各种情况的指南。这些可能包括员工受伤时该怎么做，如何帮助对事件有创伤反应的员工以及如何与家人和其他人沟通。虽然每个破坏性事件都不同，但对人们的影响是一项重大挑战。

· 修复阶段：恢复正常营业后对员工的持续支持。

即使灾难已得到解决并已投入资源以帮助加快恢复正常业务，仍可能需要做更多工作来帮助员工。受伤的员工及其护理需要得到解决。情绪不佳的员工可能需要咨询和专业帮助。这些和其他类型的活动后活动在新标准中得到解决。

ISO 22332 建议组织在三个层面制定 BC 计划：

· 战略计划提供了组织在破坏性事件期间必须采取的步骤的高级视图。

· 战术计划涵盖 BC 计划响应活动的整体管理和执行。

· 运营计划基于部门级别，并围绕特定业务单位要求设计，如制造设施或实验室以及各个行政部门。

ISO 22332 标准还涉及 BC 计划的组成部分：要执行的程序或行动；文件和文件控制指南；计划维护；意识和培训；并计划监测和审查活动。

例如，标准的第 7 节“业务连续性计划和程序的内容”提供了 BC 计划的基本大纲，从目的、目标和假设开始。然后，它提供了典型 BC 计划中涉及的关键活动的详细信息，包括以下内容：

· 激活和组建BC团队；

· 定义团队角色；

· 确定活动期间要执行的任务；

· 与其他计划链接，例如技术 DR 计划；

· 与各种玩家交流；

· 搁置计划；

· 建立联系信息；

· 分发计划。

其他标准涵盖准备 ISO BC 计划的基本活动，例如业务影响分析和风险分析。一个相对较新的标准 ISO 22331:2018 安全性和弹性——业务连续性管理系统——业务连续性战略指南解释了组织在制定 BC 计划时必须解决哪些业务战略。

应用 ISO 22332 标准

ISO 22332 的目的是确定应包含在计划中的活动，通常按发生的逻辑顺序进行。虽然组织可以将这些 BC 活动纳入计划，但计划的作者必须制定所涉及的具体分步程序。

该标准为 BC 计划提供了熟悉的结构，并且有时将某些活动（例如管理媒体）分组到其他活动桶中。然后，计划作者的工作就是决定是否需要将标准中嵌入的活动分解为单独定义的操作。

两种特殊情况 ISO 22332

ISO 22332 标准包括对两种常见灾难情景的指导：流行病和网络攻击。由于新冠持续影响以及网络和勒索软件攻击的增加，该标准的第 8 节提供了管理这两种情况的步骤。

下图中的框架描述了 ISO 22332 标准如何定位于实现组织和运营弹性。

该标准确定了组织为实现响应、恢复、恢复和恢复的 BC 目标而应执行的活动。弹性组织执行这些活动是为了有效地适应和处理可能威胁业务流程、人员、技术和设施的破坏性事件。

如何达到 ISO 22332 的合规性

ISO 22301 标准通常用作审核 BC 计划时的基准，因为它确定了进入 BC 计划的许多控制活动。ISO 22332 提供了有关计划内部内容和结构的附加信息，并且可以在准备 BC 计划审核时作为补充控制文件。

组织还可以使用 ISO 22332 来评估现有 BC 计划的内容完整性。当使用这两个标准作为审核的一部分时，基本审核结构使用 ISO 22301，每个审核类别中的细节使用 ISO 22332。

FFIEC 业务连续性手册

美国联邦金融机构审查委员会的 2019 年版业务连续性管理手册可以作为帮助指导金融和非金融组织的 BC 计划的工具。在准备业务连续性审计时，本手册为各种审计活动提供了详细指南。

2019 年版的联邦金融机构考试委员会 (FFIEC) 手册中有四个附录。这与包含 10 个附录的 2015 年版业务连续性规划相比大幅缩减。FFIEC 将其中许多附录纳入了整个手册文本，但关于考试程序的附录 A 在 2019 年手册中完好无损。这些指南与准备业务连续性审计有关。

如果一个组织不在金融市场并且不受 FFIEC 审查，业务连续性管理仍然可以作为一个有用的指南。遵循手册中的程序可以确保业务连续性活动符合一般标准，并为意外审计做好准备。

业务连续性审计

在进行业务连续性审计之前，组织必须采取一些准备步骤。如果使用业务连续性管理作为指南，手册的附录 A 将作为这些审计活动的基础。

组织可以将附录 A 中的几乎每个项目都视为审计要求，因此需要收集信息。基于手册本节的重要预审核活动包括：

1. 确定要审核的内容。

2. 收集相关文档，例如计划、报告、业务影响分析 (BIA)、风险评估、政策和程序以及事后报告。

3. 确定将参与审计以回答审计员问题并提供额外信息的主题专家。

4. 确定没有证据的领域，或者收集有用的证据，或者准备解释为什么没有证据。

5. 准备一个会议室或其他安静的区域供审核员工作。这可能包括电话、白板、铅笔、钢笔和纸片，以及足够的桌子空间和椅子。

十三个目标包括业务连续性管理附录 A 中描述的检查程序。这些目标可以构成业务连续性审计的基础。非金融行业可能会发现某些程序比其他程序更适用，但仍应能够在手册提供的指导下形成可靠的审计计划。

目标 1：确定考试的适当范围和目标。本节查找各种文件和报告、在开始审计之前与高级管理层面谈的结果，以及新威胁和漏洞的识别。

目标 2：确定董事会和高级管理层是否促进业务连续性的有效治理。这部分需要证明高级管理层和董事会在业务连续性中的作用、其支持水平及其对 BC 计划的承诺。

目标 3：确定董事会和高级管理层是否使用审计或其他独立审查职能来检查和验证 BC 计划。

这个目标决定了以前的业务连续性审计活动（如果有的话）以及活动的结果。

目标 4：确定管理层是否制定了适当且可重复的BIA 流程。

该目标寻找业务影响分析发展的证据，以及结果是否用于改进 BC 运营。

目标 5：确定管理层是否进行风险评估。

该目标寻找风险评估的证据，以识别和减轻潜在的风险、威胁和漏洞。

目标 6：确定组织的风险管理策略是否旨在实现弹性。

在这个目标中，审计人员将在组织内寻找弹性和可恢复能力的证据，例如多个数据中心、多个办公室、基于云的数据备份和各种技术控制，以确保关键系统得到保护。

目标 7：确定组织的 BC 计划是否包括通信协议。

该目标寻找与各种政府和非政府组织（例如监管机构、执法部门、应急响应人员以及州和地方政府机构）进行定期沟通的证据。

目标 8：评估组织的企业范围 BC 活动的适当性。

该目标详细介绍了 BC 计划的各个要素，以确保它们是完整的，并为各种活动提供程序。

目标 9：确定 BC 计划是否包括培训和宣传活动。

审核员将寻找应急小组成员、正式员工和高级管理人员培训计划的证据。他们还将寻找计划的证据，以使员工了解 BC 计划的重要性及其在计划中的角色。

目标 10：确定演练和测试计划足以使管理层对组织能够实现其 BC 目标感到满意。

在此目标中，审计师将检查演习和测试活动的证据、演习后报告以及演习结果已导致整体 BC 计划改进的证据。

目标 11：确定管理层是否持续衡量 BC 计划的进展和评估其有效性，并使用这些信息来改进 BC 过程。

该活动检查管理层是否审查和更新 BC 计划，以使该计划与当前的业务运营保持一致。它还寻找有助于维护和改进 BC 计划的活动的证据。

目标 12：确定董事会已建立对业务连续性管理报告的期望。

该目标验证高级管理层期望定期报告 BC 计划活动，例如人员配置的变化、BIA 和 RA 的更新以及最近的演习结果。

目标 13：讨论纠正措施并交流调查结果。

作为最终目标，此步骤涉及报告审计发现、实施纠正措施的计划以及准备工作底稿，包括包含所有审计发现和分析的文件。

FFIEC vs ISO 22332

从根本上说，这两个文件都提供了业务连续性管理系统 (BCMS) 或计划组成部分的详细概述。ISO 标准更高级别，因为它指定了 BCMS 的要求，而联邦金融机构检查委员会 (FFIEC) 标准为准备 BC 计划提供了更多可操作的细节。ISO 标准适用于所有类型的业务，而 FFIEC 标准针对银行和其他金融机构进行了优化，尽管它也可以有效地用于非金融应用。

参考资料：

·https://www.techtarget.com/searchcio/tip/Everything-CIOs-need-to-know-about-IT-business-continuity-plans

·https://searchcompliance.techtarget.com/tip/Use-ISO-22332-to-improve-business-continuity-plans?

·https://www.techtarget.com/searchdisasterrecovery/tip/Use-disaster-recovery-standards-to-guide-pandemic-planning

·https://searchcompliance.techtarget.com/tip/Understanding-BC-resilience-standards-and-how-to-comply

·https://www.techtarget.com/searchdisasterrecovery/tip/Prepare-for-a-business-continuity-audit-with-the-FFIEC-handbook?