11 业务连续性管理

11.1业务连续性管理的几个方面
目标：抵消业务活动受到干扰的影响，并防止关键业务处理受大的故障或者灾难的影响

应当执行业务连续性管理程序，通过预防性和恢复性措施的结合，把灾难或者安全事故（例如可能由于自然

灾害、突发事件、设备故障和故意的行为）所导致的破坏减少到一个可以接受的水平。
应当对灾难事故、安全故障和服务损失所造成的结果进行分析。应当制订并实施紧急事件处理计划以确保商

务处理能够在要求的时间范围内得到恢复。应当保持这种计划并在实践中将其变成所有其它管理程序所构成

整体的一部分。
业务连续性管理应当包括相关的管理测试来识别并减少风险、限制毁灭性事故的后果、确保能够及时恢复基

本运行。

11.1.1业务连续性管理程序
为了在整个组织内部发展和保持业务连续性，应当有适当的管理程序。它应当把以下业务连续性管理的关键

要素集合在一起。
a) 理解组织正在面临的风险，它们发生的可能性和影响，包括识别关键商务处理程序并区分其优先次序

；
b) 理解干扰可能对业务产生的影响（不但要有处理小事故的解决方案还要找到处理那些能够威胁组织运

转的严重事故的方法，这一点非常重要），确立信息处理设备的经营目标；
c) 考虑购买适当的保险，这可以作为业务连续性程序的一部分；
d) 阐明并记录一个与已经确立的经营目标和经营优势相符的业务连续性计划；
e) 阐明并记录符合协商一致的策略的业务连续性计划；
f) 对所用计划和处理程序进行定期测试和更新；
g) 确保业务连续性计划的管理成为组织的处理程序和结构的一部分。应当在适当的层次上把协调业务连

续性管理程序的责任在组织内部进行分派，例如在信息安全论坛上（见4.1.1）。

11.1.2 业务连续性和影响分析
业务连续性始于辨别那些能够扰乱商务处理进程的事件，例如设备故障、水灾和火灾。接下来进行风险评估

以确定这些干扰的影响（就破坏的规模和恢复周期而言）。这些活动应当有商务资源和处理程序的所有者的

充分参与。评估考虑的是所有的商务处理程序，并不只是限于信息处理设备。

根据风险评估的结果，应当制订一个战略计划以全面应对业务连续性问题。 一旦该计划制订完毕，应当由管

理层签字。

11.1.3编写和执行连续性计划
应当制订计划，以便关键商务处理程序的受干扰或者发生故障后，能够在要求的时间范围内维持或者恢复经

营活动。该业务连续性计划处理程序应当考虑以下方面：
a） 确认并同意所有的责任分配和紧急事故处理程序；
b） 执行紧急事故处理程序，在要求的时间范围内进行恢复和更新。应当特别注意对外部业务活动的依赖

性和所签合同所做的评估。
c） 将同意的程序和过程记录在案；
d） 对批准的紧急事故处理程序中的人员包括危急管理人员进行适当教育。
e） 测试并更新计划。

该计划处理程序应当专注于要求的经营目标，例如在可接受的时间长度内恢复对客户的特殊服务。应当注意

可能发生这种情况的服务和资源，包括人员提供、非信息处理资源等，还有信息处理设备的撤退安排。

11.1.4 业务连续性计划框架
应当保持单一的业务连续性计划框架，确保所有的计划相一致并且便于在测试和维护时识别优先级。每个业

务连续性计划都清楚地指定了激活条件（启动条件），以及执行计划的各个部分时每个人所应承担的责任。

确定了新要求时，应当适当地对已经建立的解决事件处理程序例如清空计划或者任何现有的回撤安排做修改

。

一个业务连续性计划框架应当考虑以下几个方面：
a） 计划启动之前该计划要求的激活条件。它描述了后续程序（如何评估形势，确定要涉及到谁等等）；
b） 紧急事件处理程序。它描述了一个危及业务运营和/或者人员生命的事故发生后所要采取的步骤。它

应当安排公共关系管理措施并设法与权威公共机构比如警察局、消防局和当地政府建立有效联络；
c） 撤退程序。它描述了把基本经营活动或者配套服务转移到临时替代地点的相关行动，并在要求的时间

范围内恢复商务处理。
d） 恢复程序。它描述了恢复正常业务运行所要做的行动。
e） 维修计划。它规定了何时以何种方式对业务连续性计划进行测试，以及该连续性计划的维护方法。
f） 知情和教育活动。它们用于加深对业务连续性处理程序的理解，确保该处理持续有效；
g） 个人的责任。描述了谁负责执行该连续性计划的哪个部分。应当按照要求指定替代人员。
每个计划都要有专门的所有人。紧急事故处理程序、人工撤退计划和恢复计划应当由所涉及的适当业务资源

或者处理方法的所有权人承担责任。替代技术服务例如信息处理和通信设备的撤退安排通常由服务提供商负

责。

11.1.5 测试、维护和重新评估业务连续性计划

11.1.5.1 测试此项计划
被测试的业务连续性计划可能出现故障，这常常是因为不正确的假设条件、粗心大意或者设备或人员的变更

。因此要定期对其进行测试，以确保它们是最新的和有效的。这种测试还应当确保计划恢复队伍的所有成员

和其它相关职工知道此项计划。

业务连续性计划的测试安排应当指出在何时以怎样的方式检测该计划的各个元素。建议经常测试计划中的独

立成分。为确保该计划能够在实际生活中运作，应当采用多种多样的技术措施。它们包括：
a） 对各种脚本的桌面测试 (使用干扰例子来讨论业务恢复安排)；
b） 模拟（特别用于训练负责事故/危急事后管理的人员）；
c） 技术恢复测试(确保信息系统能够有效恢复)；
d） 在不同地点测试恢复效果（在远离主基地的地方执行恢复作业的同时，运行商务处理程序）；
e） 对供应商设备和服务的测试（确保外部提供的服务和产品满足合同约定的要求）；
f） 完全排演（全面测试组织、员工、设备、方便措施以及应对干扰的程序）；

所有的组织都可以使用这些方法，而它们应当反映特殊恢复计划的性质。

11.1.5.2维护并重新评估此项计划
应当通过定期检查和定期更新来维护该业务连续性计划，以确保它们的有效性（见11.1.5.1到11.1.5.3）。

这些手续应当包括在组织的变更管理程序中，以确保业务连续性问题得到正确的解决。

应当为每个业务连续性计划的定期检查分配责任；尚未反映在业务连续性计划中的营运安排的鉴定应当接续

有对该计划的适当更新。这个正式的变更管理程序应当确保通过对整个计划的复查来分发和加强更新后的计

划。

可能需要更新计划的情况包括有了新设备、操作系统升级了或者下述因素发生改变：
a） 人员；
b） 地址和电话号码；
c） 运营战略；
d） 地点、设备和资源；
e） 立法；
f） 签约方、供货商和主要客户；
g） 处理程序，或者加入了新程序/撤销了旧程序；
h） 风险（运行风险和金融风险）。

12 符合性

12.1 符合法律要求
目标：避免违犯任何刑法和民法、法定的或者合同约定的义务，避免破坏如何安全要求。

信息系统的设计、运行、使用和管理可能要置于法律规定的和合同约定的安全要求的约束之下。
应当从组织的法律顾问或者合适的权威法律执业人士那里寻求有关特殊法律规定的建议。各个国家对从一个

国家产生又被传送到另一个国家的信息（例如过境的数据流）有不同的法律要求不同。

12.1.1适用法律的辨别
对每个信息系统，都应当清楚地定义所有相关的法律规定和合同约定的要求并将其记录在案。应当类似地定

义专门管理措施和个人的责任以满足这些要求，并且把它们记录在案。

12.1.2 知识产权(IPR)
12.1.2.1 著作权（版权）
应当采用适当的程序确保使用可能有知识产权例如著作权、设计权、商标等的材料时符合法律规定的要求。

侵害著作权可能导致法律诉讼从而卷入犯罪调查中。

法律规定和合同约定的要求可能限制复制享有著作权的资料。尤其是，它们要求只有由该组织开发的或者由

开发者授权或提供的资料才能够使用。

12.1.2.2软件版权
私有的软件产品通常在一份授权协议的准许下提供。该协议把对此产品的使用限制在特定的机器上并且可能

把复制权仅仅限制在制作备份上。应当考虑以下的措施：
a） 公布一个软件版权符合策略，其中定义了对软件和信息产品的法定使用。
b） 发布获得软件产品的程序的标准。
c） 对软件版权和获得策略的保持清醒认识，并注意用规章制度防止职员的破坏它们的企图。
d） 保留适当的资产注册人员；
e） 保留所有权证书、母盘、手册等的证明文件和资料。
f） 执行管理措施以确保不超过允许使用的最大用户人数；
g） 检查是否只安装了授权的软件和得到许可的产品；
h） 提供一种保持合适授权条件的策略；
i） 提供一种处理或者向他人传送软件的策略方法；
j） 使用适当的审查工具；
k） 遵守从公众网获得的软件和信息的条款规定（见8.7.6）。

12.1.3 保护组织记录
应当防止一个组织的重要记录被丢失、损坏和篡改。有的记录可能需要安全存放，以满足法律法规的要求、

支撑基本的商业活动、确保有足够的防范潜在民事和刑事破坏行为的能力或者向股东、合伙人和审计人员确

认组织的财务状况。信息保留的时间长短和数据内容可能有国家的法律规定。

应当把记录分类，例如会计记录、数据库记录、交易日志（备忘录）、审查备忘录和运行程序手册。 每种类

型的记录都详细记载着保存期限和存储介质种类，例如纸张、缩微胶片、磁性介质、光学介质。 应当安全地

保存所有与加密的档案或者数字签名（见10.3.2和10.3.3）相关的密码关键字，并使其得到授权的人在需要

时可以使用。

应当考虑存储记录的介质退化变质的可能性。存储和处理方法应当按照制造商的建议进行。

如果选择的是电子存储介质，应当包括确保在整个保存期内访问数据（存储介质和格式的可读性）能力的程

序，以防止由于未来技术改变造成的信息丢失。

数据储存系统的选择应当使得所需的数据能够以一种法律可以接受的形式恢复过来，例如需要的所有记录能

够在可接受的时间尺度内以一种可以接受的形式得到恢复。

信息存储和处理系统应当确保记录的清晰识别，并能够清楚认定它们的法律或者规定确定的保留期限。 如果

在这个保留期限之后组织不再需要这些记录了，应当允许记录有适度的损坏。

为了满足这些要求，应当在组织内部采取以下步骤：
a） 应当发布有关记录和信息保留、储存和处理的规定。
b） 应当制订保留计划，确认基本的记录类型和它们应当保留的时期。
c） 应当保有一份关键信息资源的财产清单。
d） 应当执行适当的管理措施以防止基础性的记录和信息被丢失、毁坏和篡改。

12.1.4 数据保护和个人信息的保密
有些国家已经引入立法对个人信息（能够将活着的个体区分开的信息）的处理和传送进行管理。这些管理措

施可能使得那些收集、处理和散发个人信息的人承担了责任并且可能限制把这些数据向其它国家传送的能力

。

符合数据保护法律的要求需要适当的管理结构和控制措施。这一点常常可以通过任命一个数据保护官员得到

最好的解决，该官员应当向经理、客户和服务提供商就他们个人的责任和应当遵守的特殊程序来提供指导性

意见。应当以一种结构化的文件形式保护个人信息并确保清楚相关法律中规定的数据保护原则，向数据保护

官员提供任何关于这些的建议应当是数据所有权人的责任。

12.1.5 防止信息处理设备的误用
组织的信息处理设备是用于商业目的的。管理层应当对它们的使用进行授权。任何将这些设备用于非业务目

的或者未经授权即没有管理层同意的目的的做法应当看作是对设备使用不当。如果这样的行为通过检测或者

其它方式得到确认，应当引起该独立经理的注意，需要考虑给以适当的训诫。

监测设备使用情况的合法性在各个国家不同，而且可能需要建议雇员采用这种监测或者得到他们的同意。在

执行检测措施之前应当听取法律建议。

很多国家已经有或者正在引进法律来防止滥用计算机。把计算机用于未经授权的目的可能构成犯罪。因此所

有用户要清楚允许他们访问的准确范围，这一点是非常基本的。例如，通过给予用户书面授权，可以实行这

一点。其中书面授权要由用户签字并由组织安全的加以保管。 应当警告组织的雇员和第三方用户不要进行授

权范围以外的访问。

在登录时，应当在计算机屏幕上显示一条警告信息，指出所进入的系统是私有的（秘密的）并且不允许进行

未经授权的访问。用户必须承认屏幕上的信息并适当地做出回复以继续其登录过程。

12.1.6 密码管理的规定
有的国家已经实施了一些协定、法律、规定或者其它文书以控制对密码管理措施的访问和使用。这些措施可

能包括：
a） 执行加密功能的计算机硬件和软件的进口和/或者出口；
b） 附带有密码功能的计算机硬件和软件的进口和/或者出口；
c） 国家访问由带有加密功能的硬件或者软件加密的信息时使用的强制或者自愿方法。

应当征求法律建议，确保符合国家法律。在把加密信息转移到境外之前，也要征求法律建议。

12.1.7 证据的搜集

12.1.7.1 证据的规定
要支持一项针对某个人或者组织的诉讼，有充足的证据是非常重要的。只要该诉讼是内部违纪事件，就需要

由内部程序提供必要的证据。

如果该诉讼涉及法律，无论是民法还是刑法，所出示的证据都应当符合相关法律或者将要审理该案件的特殊

法庭对证据的规定和要求。一般说来，这些规定包括：
a） 证据的可采纳性：该证据是否能够用于法庭；
b） 证据的分量：证据的质量和完备性；
c） 有足够的证据表明，在所要恢复的证据被此系统保存和处理的整个时期内，该证据管理措施的执行都

是正确的和持续的。

12.1.7.2 证据的可采纳性
为了使证据能够被采纳，组织应当确保它们的信息系统遵循所有发布的有关取得可采纳证据的标准或者规定

。

12.1.7.3 证据的质量和完备性
为了提供证据质量并确保其完备性，需要强有力的证据追踪。 一般说来，可以在下述条件下建立起这种证据

追踪。
a) 对纸形文件：安全地保存原件，并记录下是谁发现的、在哪里发现的、什么时候发现的和谁见证了这

一发现。所有的调查取证都要确保不毁坏原件；
b) 对计算机存储的信息：应当确保任何可移动存储介质的备份、在硬盘或者内存中的信息是可以使用的

。应当保存对复制过程中所有操作的记录，而且应当对该过程进行公证。该存储媒介和相应记录的一个备份

应当得到安全的保存。

在首次发现事故的时候，可能并不清楚它有导致法律诉讼的可能性。因此，危险在于意识到事故的严重性之

前必要的证据就被意外地毁掉了。在准备采取的任何法律行动中让律师和警察早些介入并听取他们对所需证

据的建议，这是非常明智的。

12.2 安全策略和技术符合性的检查
目标：确保信息符合组织安全策略和标准。

应当定期检查信息系统的安全。
这种检查应当针对适当的安全策略，并且应当审查技术平台和信息系统是否符合安全运行标准。

12.2.1 符合安全策略
管理人员应当确保在他们责任范围内的所有安全程序都得到了正确的执行。另外，应当考虑在组织的所有范

围内都进行定期检查，确保符合安全策略和标准。这些范围应当包括：
a） 信息系统；
b） 系统提供商；
c） 信息和信息资产的所有人；
d） 用户；
e） 管理层；
信息系统的所有权人（见5.1）应当支持对他们系统进行定期检查，看是否符合适当的安全策略、标准和任何

其它安全要求。系统使用的运行监测参见9.7。

12.2.2技术符合性检测
应当定期检查信息系统是否符合安全运行标准。技术符合性检测涉及对操作系统的测试，以确保正确地执行

了硬件和软件管理措施。这种符合性检测要求专家的技术支持。应当由一位有经验的系统工程师亲手（如果

需要的话，可用适当的软件工具帮助）做这种检测，或者自动软件包执行检测，它可以产生技术报告供技术

专家做后续分析。

符合性检测还包括，比如，贯入试验，它可由为此而专门签约邀请的独立专家来做。 对于发现系统弱点和检

测管理措施在防范由于这些弱点而造成的未经授权的访问时的有效性，这种试验是有用的。应加倍小心，防

止贯入试验的成功可能导致系统安全性受损并在无意中制造了其它弱点。

任何技术符合性检测都只能由能够胜任的权威人士亲自完成，或者受到他们的监督。

12.3系统审查相关事项
目的：将系统审查程序的有效性最大化并把对该程序的干扰降到最低限度。

在系统审查期间，应当有管理措施来保护操作系统和审查工具。
还需要保护审查工具的完整性并防止滥用审查工具。

12.3.1 系统审查管理程序
涉及检测操作系统的审查要求和活动应当仔细地策划并得到同意，以把打断商务处理程序的风险降到最低。

应当遵循以下几点：
a） 审查要求应当得到适当管理层的同意；
b） 审查的范围获得批准并得到控制；
c） 审查应当被限制在对软件和数据的只读访问的层次；
d） 只允许对独立的系统文件备份做只读以外的访问。在审查结束之后应当把备份文件删除。
e） 应当明确地确定执行审查的IT资源，并使其可以利用。
f） 应当辨别并同意特殊或者附加处理的要求。
g） 所有的访问都要受到监视并被记录下来以做一份参考跟踪文件。
h） 所有的程序、要求和责任都应当记录在案。

12.3.2系统审查工具的保护
应当保护对系统审查工具例如软件或者数据文件的访问途径，防止任何可能的误用或者损坏。这种工具应当

从开发系统和操作系统中分离出来，并且不应当放在录音资料馆或者用户活动区，除非有适当等级的附加保

护措施。

索引