网络安全和业务连续性管理·业务连续性问与答·Q3(下)
接上期:业务连续性问与答Q 3 (上 ) :业务连续性管理从哪儿来,又将到哪儿去?
我国业务连续性管理的发展
我国的业务连续性管理工作也是从信息安全和灾难恢复领域起步的。20世纪90年代末期,随着国家改革开放的深化,信息化也在各行业迎来了飞跃式发展。2000年的“千年虫”事件引发了人们对于信息系统灾难的大范围关注。随着数据大集中的建设和国家对灾难恢复工作的高度重视,越来越多的行业和部门认识到灾难恢复的重要性和必要性,开始建设灾难备份中心。2002年前后,部分国有商业银行以及全国性股份制商业银行率先建立了同城或异地灾备中心。2002年,中国人民银行出台并下发了《中国人民银行关于加强银行数据集中安全工作的指导意见》(银发[2002]260号文件),明确提出商业银行要加强信息系统灾备建设。
2003年9月,中共中央办公厅、国务院办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文),明确指出国家和社会各行业基础网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定和不断完善信息安全应急处置方案,同时要求:要高度重视灾难备份工作;灾备建设要从实际出发,提倡资源共享、鼓励社会力量参与灾难备份设建设和提供技术服务;明确了“谁主管,谁负责;谁运行,谁负责”的建设及管理方针。
2004年1月,国务院信息化领导小组办公室下发了《关于做好重要信息系统灾难恢复备份工作的通知》,明确指出国家重要信息系统容灾备份工作的主要目标是提高抵御灾难和重大事故的能力,减少灾难打击和重大事故造成的损失,确保重要信息系统的数据安全和作业连续性,避免引起社会重要服务功能的严重中断,保障社会经济的稳定。
为贯彻落实中办发27号文和中央领导的指示,国务院信息化工作办公室于2004年9月下发了《关于加强国家重要信息系统灾难备份工作的意见》(信安通[2004]11号),强调了“统筹规划、资源共享、平战结合”的灾备工作原则;国家为此圈定了银行、保险、证券、税务、海关、民航、铁路、电力为必须建立灾难备份的8个重点行业。并再次指出,灾难备份建设要从实际出发,提倡资源共享,可以采用自建、共建和利用社会化服务等模式,鼓励社会力量参与灾难备份设施建设,提倡使用社会化灾难备份服务,走专业化服务道路。
随着对灾难恢复工作的重视,一批从事信息化的行业用户和专家开始从国外引入业务连续性管理的概念。经过一段时间的准备,2004年7月15日,中国信息化推进联盟成立了业务持续管理专业委员会。
2005年4月,国务院信息工作办公室下发了《关于印发“重要信息系统灾难恢复指南”的通知》。指南指明了灾难恢复工作的流程、灾备中心的等级划分(6个等级)及灾难恢复预案的制订框架。这使得国内灾备建设迈上了一个新台阶。
2006年3月,中共中央办公厅、国务院办公厅发布《2006-2020年国家信息化发展战略》,在“建设国家信息安全保障体系”中要求信息系统建设要从实际出发,促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。
2006年5月,信息产业部发布《信息产业科技发展“十一五”规划和2020年中长期规划(纲要)》,明确将“应急响应和灾难恢复技术”作为今后的发展重点。
2007年11月,国家标准《信息安全技术信息系统灾难恢复规范》(GB/T 20988-2007)正式发布。该标准作为我国第一部信息系统灾难恢复工作的行动指南和标准,明确定义了灾备行业的规范用语;规范了整个灾难恢复的工作流程;引入了灾难恢复的分级机制(6个级别);并提供了灾难恢复预案的模板在资源性附录中。
2008年,我国南方的雨雪冰冻灾害、汶川、玉树、雅安和芦山地震,奥运期间IT运行保障以及对信息安全的重视等因素让越来越多的行业开始认识到业务连续性管理的重要性,业务连续性管理因此开始被广泛关注。如,为保证奥运会的顺利举办,国家以及行业监管部门也纷纷对外包括银行在内的金融、交通、能源等重要国家保障行业提出要求,加强奥运期间的保障工作,开展奥运应急演练工作。
2008年人民银行及银监会出台了一系列旨在针对信息系统安全稳健运行的监管指引:《银行业重要信息系统突发事件应急管理规范》、《商业银行数据中心管理规范》、《商业银行操作风险管理指引》、《商业银行信息科技风险管理指引》等,信息系统灾备的国家规范和行业规范逐渐完善,企业所面临的风险也越来越大,保证企业持续运营不仅仅是信息系统,还包括企业的人员稳定、信息沟通顺畅、公司治理完善等方方面面的问题。因此,为了应对灾难事件对金融行业、尤其是银行造成的重大影响,2011年12月,银监会发布了《商业银行业务连续性监管指引》(即104号文),该《指引》是我国第一个行业业务连续性规范性文件,对商业银行实施业务连续性管理提出了详尽的要求,并提供了一定的实施指导。
2013年12月,国家标准《GB/T 30146-2013 公共安全业务连续性管理体系要求》发布,该标准等同采用ISO 22301:2012,作为国内第一部业务连续性管理国家标准,具有标志性的意义。该标准为策划、建立、实施、运行、监视、评审、保持和持续改进一个文件化的业务连续性管理体系规定了要求,可作为组织实施业务连续性工作的指导规范和评估标准,以减少中断事件发生的可能性,并有效应对中断事件。
2013年12月,国家标准《GB/T 30285-2013 信息安全技术灾难恢复中心建设和运维管理规范》发布。该标准作为《GB/T 20988-2007 信息安全技术信息系统灾难恢复规范》规范簇成员,聚集于灾难恢复中心的建设与管理方面,细化了与灾难恢复等级相对应的灾备中心建设指标,明确了灾难恢复中心在规划、设计、建设、运维过程中的管理。
2015年6月,国家标准《GB/T 31595-2015 公共安全业务连续性管理体系指南》发布,该标准等同采用ISO 22313:2012标准,为ISO 22301:2012的要求提供指南,并提供与要求相关的推荐和建议。
业务连续性管理的未来
近年来,传随着巨大自然灾害事件、人为事故的频繁发生、国家社会政治经济冲突及法律法规的调整变化,营业中断风险已成为企业所面临的三大风险之一。在保险发达国家越来越多的企业开始制订业务连续性计划,采用包括营业中断保险在内的多种风险应对措施。
风险应对策略主要包括:风险承担、风险缓释、风险规避和风险转移共四种。风险承担策略也称为风险自留,是指企业理性地主动承担风险,即指一个企业以其内部的资源,如风险准备金、自有资本来弥补损失。风险缓释策略是指通过风险控制措施来降低风险的损失频率或影响程度,抑或直接降低风险敞口。风险规避策略是指通过计划的变更来消除风险或风险发生的条件,保护目标免受风险的影响。风险转移策略又称风险转嫁策略,是指企业将自身面临的风险转嫁给交易对手而保证自身的利益,主要手段如保险、外包等。
从业务连续性管理发展的过程来看,在古典业务连续性管理时期,人们还只是用保险这种风险转移策略来主动管理运营中断风险;随着人们对各种导致运营中断的危险认识的加深、管理方法和工具的完善,在现代业务连续性管理时期,人们开始采用技术控制措施、管理过程、管理体系方法等综合应用不同的风险应对策略。 这些不同的方法、策略和管理措施(如保险、IT DR、BCP、BCM及BCMS等),并无高低优劣之分,只是解决的问题与适用范围不同。
业务连续性管理从来不是理论推导的产物,它是由业务驱动的企业客观需求起步,在发展过程中不断吸收相关学科的方法、技术,事实上,它不单从风险管理、灾难恢复、应急管理和危机管理中吸收营养,在实践中还涉及到设施管理(facilities management)、供应链管理(supply chain management)、质量管理(quality management)、环境管理(environment management)、健康与安全(health & safety)、知识管理(knowledge management)、人力资源(human resource)、安保(security)、危机沟通和公共关系(crisis communication & PR)等更加广泛的内容,其概念也从最初的IT灾难恢复发展到业务连续性计划(BCP)、业务连续性管理(BCM),再到今天的业务连续性管理体系(BCMS),最后逐步形成了自己独特的方法,下面简要介绍与其关联紧密的相关学科:
灾难恢复,即IT DR,侧重于当发生诸如自然灾害、恐怖袭击、设施损坏、人为失误等引起的灾难性事件造成IT运行中断后,如何进行IT恢复和重建,主要用于数据和信息系统的保护。
应急管理,即突发事件应急管理,侧重于面对影响社会或企业业务发展和运营的突发事件和危机时,如何进行应急响应和处理的策略、方法和流程,大众语境下的应急管理主要是公共安全应急管理。
危机管理,危机沟通和公共关系侧重于当发生灾难或突发事件时,如何保持企业内外沟通联络畅通,以及和诸如政府、媒体等公共关系的协调,学术领域的“危机管理”近似于实务中的应急管理接近,而实务领域的危机管理侧重于舆情危机管理和沟通。
风险管理:风险管理侧重于识别企业所面临的潜在的威胁,这些威胁所造成的影响和损失,以有相应的在可接受范围内的预防控制措施,主要用于风险的预防。
从20世纪90年代开始,随着业务连续性管理从IT灾难恢复中独立出来,二者联系紧密相伴发展,一是因为两者采用几乎相同的方法论,只是面向的对象一为信息系统,一为组织的业务活动;二是,业务连续性管理也需要以IT DR为基础来实现。但到了今天,二者又由于相同的原因面临不同的变局,对IT DR而言,由于互联网新兴技术的快速发展,IT DR所面向的计算技术环境快速变化,传统的多中心冗余设计方法昂贵而又难以解决问题,面临挑战;侧重于依据业务重要程度确定业务连续性策略,建立业务恢复预案的“补丁式”业务连续性管理方式已不能适应组织运营/经营环境的持续变化。
IT DR不必再和BCM纠缠,而是将向ICT连续性(ICT Continuity)进化 ,在传统的IT DR方法之外,更多强调IT系统架构解耦/服务原子化、全过程监测和统一的分级事件管理等。
在IT DR和业务连续性管理已各自独立发展近30年后,仍有大量的IT DR产品和服务商标榜自己是BCM产品和服务提供商,采用这种方式误导用户一是因为两者之间的方法论基本相同(面向对象不同),二是再次证明了“业务”在IT中的神圣地位(提到“业务”更易申请预算,;-))。
金融业是较早进行IT灾备建设的行业之一,严格的监管和巨大资金的投入(两地三中心)从整体上提升了金融业IT服务的可用性水平,但距离最初的预期仍有不少差距。因此就有行业专家开始质疑巨资投入的效果不佳,“为什么花这么多钱搞灾备,大小IT中断事件仍层出不穷?”。这从另一个角度说明了IT DR需要进化,即传统的IT DR方法是从大型机、小型机和微机时代发展而来,与当前互联网的分布式计算环境已不是很适配,需要新的方法。
互联网公司在超大用户访问量的基础上保持了相当高的服务水平,背后是大量的技术创新,这些已被证明的实践应该被吸收到ICT连续性中来,主要涉及到以下方面(此处仅提供初步思路,需进一步深入总结): • 关于预防(Prevention),在设计IT系统的架构时,注意系统之间的松耦合和微服务的原子化,即尽可能设计成高韧性的网络和系统架构; • 关于准备(Preparation),人员的能力和意识(培训、演练),统一的分级响应的事件管理(保持实时更新的预案),全面的监控和预警; • 关于响应(Response)和恢复(Recovery),传统的IT DR思想和方法在这方面仍大有用武之地;
我不止一次听到互联网行业的朋友给我讲,“我们没法做BCM,你们做一次完整的RA和BIA,再确定策略和编制预案,等这一轮工作做完,半年已过去了。我们这边两个月后业务可能就被领导砍掉或者转变方向了。”国外也有专家有类似的说法:做RA和BIA时业务是“苹果”,等编制完预案业务已变化成“桔子”了。在这方面,互联网企业采用的开发运维一体化(DevOps)可以提供一些新的思路。事实上,由于互联网企业的IT和业务融合度很高,不少相关实践不仅可以帮助IT DR向ICT连续性进化,还可以给业务连续性管理提供新的思路。
业务连续性管理正在向组织韧性(Organizational Resilience)演进 ,更强调将韧性作为一种内生的组织能力。
有不少专家认为业务连续性管理只是处理“影响大且发生概率小”(即低频高损)的事件,但目前更为普遍的认识是业务连续性管理作为“日常运营”的一部分,能帮助改善组织韧性。
一般来说,韧性的定义是一个组织吸收和应对变化的能力,包括从中断中恢复的能力。业务连续性管理有助于理解价值是如何在组织内创造出并加以维护的,以及在这些价值和交付价值过程中存在的依赖性或脆弱性之间如何建立直接关系提供了独特的框架。组织韧性这个概念包含了多种管理职能,比业务连续性管理的范围更广,未来会从全面风险管理(enterprise risk management)吸收营养并支持其真正落地。业务连续性管理是达成组织韧性的桥梁,成功应用业务连续性管理可增强组织韧性,从而带来更好的公司业绩。
一个高韧性的组织具有前瞻性,能够适应变化的形势,即使在面临市场、竞争、法规、技术等变化,包括干扰组织交付产品和服务的能力的事件时也能幸免。
业务连续性管理向组织韧性的演化方向已获得业界共识(但关于组织韧性的框架、方法和技术仍有待进一步成熟)。我们前面已经提过,业务连续性管理在发展的过程中,与IT DR、应急管理、危机管理和风险管理联系紧密并从中吸收了不少营养,目前,这几个学科也在往前发展,如风险管理领域新兴的反脆弱(Antifragile),引用了尼采的名言:“杀不死我的,使我更强大”,强调 反脆弱 类事物不只受益于混沌,也需要适时出现的压力与危机,如此才能维持生存与实现繁荣( 是不是和混沌工程ChaosEngineering的原则一致? ),组织韧性在成长和成熟的过程中,仍会吸引这些不同领域的领先实践并相互促进。
===================== 精采回顾 ====================
业务连续性问与答(大纲 ) 业务连续性问与答Q 1 : 不是有应急管理了,怎么又出来个 业务连续性管理 ?它们是一回事吗? 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手 段,它们和BCM是什么关系? 业务连续性问与答Q 3 :业务连续性管理从哪儿 来 ,又将到哪儿去?(上 )
“一个好问题,胜过一百个好答案!”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(入选均有小礼品赠送) 由于本公众号注册时正处于腾讯政策调整,本公众号未能开通留言功能,希望参与“业务连续性问与答”专辑讨论的朋友,可用微信扫描以下二维码加入知识星球进行深入讨论。
本公众号专注于网络安全和业务连续性管理领域的研究和实践,可长按以下二维码进行关注。
原文发表于公众号”业务连续性+” | 原文链接