可持续性管理
11. 3. 4

活动和过程

从规划、策略、分析、识别、状态记录、监控、警告、升级、检验和审计、持续改进等角度阐述。

1.进行风险和灾难规避评估

根据现状和业务特点，全面识别和分析风险因素，分析风险发生的可能性。根据风险的来源和可控程度对风险因素进行分类分析，识别信息系统面临的自然和人为的威胁，识别信息系统的脆弱性。根据风险范围和影响的严重程度以及风险发生概率，评估风险可接受的程度。

风险因素分析所要考虑的因素有：

安全管理与服务
场地及设备环境
工作环境

资产安全
人力资源

紧急事件管理

历史事件情况分析

风险评估实施工作可分为：评估准备、资产识别、威胁识别、脆弱性识别、风险测评和风险控制策略建议。

(1)评估准备

在评估准备阶段需要完成确定目标范围、组建团队、系统调研、确定依据、获得支持等工作，为评估准备基本的环境和工具。

(2)资产识别/流程识别

在资产识别/流程识别阶段，需要完成资产/流程的分类和赋值，资产/流程的分类必须符合日常管理习惯，同时又不会造成遗漏和重叠。良好的分类既能够保证达到风险评估的管理目标，又不会增加分析的难度和工作量。需要强调的是，资产! 流程的赋值并不完全依赖于资产本身的货币价值或者流程体系管理的资产价值，更多的是要考虑在整个信息安全体系中它的重要度和敏感度，考虑该流程中断/资产缺失对关键目标的实现的影响。

(3)威胁识别

在威胁识别阶段，需要针对分析范围内可能影响信息安全的威胁因素进行调查，并对调查结果进行分析。通过调研、问卷、访谈等方法利用经验体系和模型体系找出可能影响信息资产安全的威胁因素，根据威胁因素的影响范围、概率和危害性大小对调查出的威胁进行分类和分级，以更好的理解威胁的来源和影响。

(4)脆弱性识别

在脆弱性识别阶段，需要针对分析范围内的资产进行分析，根据资产的特点和建设维护过程、手段，发现可能被威胁利用的弱点和漏洞，并根据弱点和漏洞的大小和被利用的可能进行分类、分级。发现、暴露资产本身固有的和管理维护过程的弱点、漏洞，以便将来进行改进和提高。

(5)风险测评
在风险测评阶段，根据前期的调研结果针对管理范围内的资产、威胁和脆弱性弱点)对可能面临的风险进行打分和分级，以助于发现风险并了解风险的重要程度，为风险的防范、改进和提高提供相对科学、客观、准确的依据。根据风险的根源、大小和可能的应对策略将暴露的风险分为可接受风险和不可接受风险。

风险值很低的风险可以归入可接受风险，意味着这些风险得到了很好的控制或者可能造成的危害结果属于可接受。对不可接受的风险应根据导致该风险的脆弱性制定风险处置策略和建议措施。某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，或明显没有可行的防范控制措施，应考虑是否接受此风险或进一步增加相应的措施降低其对关键业务目标的影响。

(6)风险控制和策略建议

在风险评估完成后，需要会根据风险评估的结果，依据风险的大小和风险的类型提出改进的策略建议，根据策略建议制定风险处理计划。风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。在实施改进措施后应对改进后的结果进行重新评估，根据再评估的结果确定风险是否被消除、被降低到可接受程度还是需要进一步改进。

2.进行业务影响度分析

结合风险分析结果和中断损失影响程度，确定各业务功能对恢复时间的敏感程
度要求。根据业务恢复需求和业务功能的相互依赖关系和程度，确定系统的恢复顺序。

业务影响度分析的目标包括：

确定组织各功能部门的业务功能

弓形

评估组织内各业务部门和业务功能停顿后的损失确定各业务功能的恢复优先级

确定关键业务恢复渠道、业务处理机构确定各业务功能最大可忍受停顿时间确定业务恢复资源

(1)确定整体恢复策略

根据关键系统、业务中断损失和恢复优先级，确定信息系统应急恢复的
RPO姑-*些士，并确定整体恢复策略。

RTO.

(2)确定和建设业务持续性计划

根据整体恢复策略，确定和建设整体业务持续性计划。
(3)设计开发持续性及灾难恢复预案

持续性和灾难恢复小组根据业务持续性计划，设计开发出关键系统的灾难恢复预案。持续性经理应该保证：

重视服务和系统组件之间的相互依赖关系；

弓形虫弓服务连续性应在有关文档中记录和维护；巻喾穆巻

清晰地描述连续性计划相关人员的职责，包括启动人、执行人等；
所有服务连续性文档的副本应该在安全地点存储和维护；

在调用或执行计划时每个员工应该明白他们自己的角色，而且能够存取服务连续性文档。

(4)_根据持续性和灾难恢复预案进行演练

根据开发的关键系统灾难恢复预案，组织进行应急演练，使相关人员熟悉持续性管理的流程与环节，并检测预案的可行性和有效性。

演练工作应明确制定演练对象。演练对象可以是应急预案、项目实施方案、技术方案、业务方案，也可以是日常惯例流程和操作、组织管理应变能力等。在组织实施每次演练工作时，建议遵循以下演练管理流程：

1)设计演练项目

确定演练的对象和范围循序渐进、有针对性地制定本次演练目标。
确定演练参与部门和人员范围确定演练时间确定组织机构职责

确定演练的类型(如桌面/模拟/预案/场景/实战/局部，预先通知川江预先通知等等)

定义演练的目标和评测标准制定演练风险控制方案，包括紧急终止/退出的流程和可能风险的应急防范办法

 · 编写包含以上内容的《演练手册》
2)制定场景计划

根据演练目标制定演练场景的背景和过程

制定场景计划检查要点制定逐步展开的进度表设定实现的时间尺度编写包含以上内容的《演练场景控制计划》

3)建立演练评估标准和记录表格

制定与演练目标和范围一致的标准和记录表格准备《演练记录评估表》安排人员，按照所确定的标准记录结果

4)动员和推进演练开展

确定和准备执行演练所需的资源确定所有参与者的角色和责任

向相关部门人员发布通知和具体要求(不预先通知演练不需此步骤)
通过培训保证参与者事先掌握必要的技能和知识提供演练所需的项目清单和演练环境的规格说明

圆春校园暴提供演练计划并将其分发给所有的参与人员(不预先通知演练不需此步骤)

5)执行演练

各相关部门人员按照如上计划执行演练维护和管理场景计划记录、跟踪演练活动，并提供报告管理演练流程的执行质量监控演练过程的风险，必要时执行演练紧急终止/退出的流程和可能风险的应急防范措施

6)演练总结

召开总结会检查演练的结果，审核演练目标和结果与策略目标是否达成一致确定预案和方案是否满足恢复(项目目标)的考虑

检查各操作流程的完成情况，检查行动的时间进度评估演练的操作和业务规程的适当性对所存在的薄弱环节提出改进建议编写包含以上内容的《演练总结报告》

7)预案和方案的改进和发布

演练资料归档

执行预案和方案的修订流程，完成预案和方案的修订工作 · 发布新版本的《应急管理预案》和相应的《技术手册》并进行版本控制，回收原发布的预案

(5)持续性和灾难恢复预案维护

定期对预案进行内部检查，发现问题或所涉及的内容发生变化后需要立即更新。此外，每次演练后发现预案中存在与实际情况不符的情况，需要在演练结束后立即更新。