业务连续性+·业务连续性问与答·Q12(下)业务连续性能力参考框架示例
问题:如何描述业务连续性能力?它由哪些要素组成?如何规划、确定目标能力? 回答:某企业业务连续性能力参考框架示例(8个使命领域,30项能力)
……续上期
3.某企业业务连续性能力参考框架 (示例,Beta版)
每个组织的业务连续性能力都会因业务特点、空间(地理位置)和时间(风险态势)的不同而有所不同,下面给出的业务连续性能力参考框架仅供示意,包括8个使命领域的67项能力,其中规划能力、综合协调能力、风险评估与业务影响分析能力、沟通/报告与信息共享能力、自救与互救能力、关键资产管理/使用能力、舆情监测能力、应急通信能力、态势研判能力、指挥与控制能力、人员紧急替代能力在多个使命领域中出现,XXX危险先期处置能力和XXX业务恢复能力需要根据组织的风险与业务情况扩充,将其简单整合后共计30项能力,如下表所示:
以上图表仅供示意参考,每个组织需要根据自己的情况,采用基于能力的规划过程,从“情景-任务-能力”分析得出自己的业务连续性能力清单。
附1:美国应急管理署核心能力清单(FEMA Core Capabilities list)
美国国土安全部应急管理署在2015年发布的国家准备目标(National Preparedness Goals)给出了5个使命领域和32项核心能力,如下图和下表所示:
核心能力清单 预防 规划(Planning) 公共信息和预警(Public information and Warning) 行动协调(Operational coordination) 情报和信息共享(Intelligence and Information Sharing) 封锁和破坏(Interdiction and disruption) 筛查、搜索和检测(Screening, Search and Detection) 取证和归因(Forensics and Attribution) 保护(Protection) 规划(Planning) 公共信息和预警(Public information and Warning) 行动协调(Operational coordination) 情报和信息共享(Intelligence and Information Sharing) 封锁和破坏(Interdiction and disruption) 筛查、搜索和检测(Screening, Search and Detection) 访问控制和身份验证(Access Control and Identity Verificati on) 网络安全(Cybersecurity) 物理保护措施(Physical Protective Measures) 保护性项目和活动的风险管理(Risk Management for Protection Program and Activities) 供应链完整性和安全(Supply Chain Integrity and Security) 减灾(Mitigation) 规划(Planning) 公共信息和预警(Public information and Warning) 行动协调(Operational coordination) 社区韧性(Community Resilience) 长期脆弱性缩减(Long-Term Vulnerability Reduction) 风险和灾难韧性评估(Risk and Disaster Resilience Assessment) 威胁和危害识别(Threats and Hazards Identification) 响应(Response) 规划(Planning) 公 共信息和预警(Public information and Warning) 行动协调(Operational coordination) 基础设施系统(Infrastructure Systems) 关键运输(Critical Transportation) 环境响应/健康和安全(Environmental Response/Health and Safety) 死亡事故管理服务(Fatality Management Services) 消防管理和灭火(Fire Management and Suppression) 物流管理和供应链(Logistics and Supply Chain Management) 大众保健服务(Mass Care Services) 大规模搜索和救援行动(Mass Search and Rescue Operations) 现场安保和执法(On-Scene Security, Protection, and Law Enforcement) 行动沟通(Operational Communications) 公共健康、卫生和急救医疗服务(Public Health, Healthcare and Emergency Medical Services) 态势评估(Situational Assessment) 恢复(Recovery) 规划(Planning) 公共信息和预警(Public information and Warning) 行动协调(Operational coordination) 基础设施系统(Infrastructure Systems) 经济恢复(Economic Recovery) 健康和社会服务(Health and Social Services) 住房(Housing) 自然和文化资源(Natural and Cultural Resou rces)
附2:突发事件应对能力框架
李湖生在《应急准备体系规划建设理论与方法》第170、171页中提出,将希望形成的应急能力按照准备、减灾、预防、监测预警、应急响应、恢复重建等六个方面分门别类地列出,形成一个清单,就是“应急能力清单”。应急能力框架按照使命领域、战略目标、能力进行组织,包括57项能力,如下图所示:
其中有8项能力可在2个或以上的使命领域应用。为避免重复,将它们只保留在一个使命领域中进行描述,最后得到49项不同的能力,如下表:
应急能力清单 减灾能力 基础设施保护能力 网络安全保护能力 反恐怖袭击或人为破坏能力 自然与文资源保护能力 环境保护与污染治理能力 生命安全与健康保护能力 社区减灾能力 准备能力 应急科技支撑有力 规划能力 组织协调能力 沟通与信息共享能力 项目管理能力 资源配置与管理能力 人员培训与资质认证能力 应急演练能力 应急评估能力 预防能力 危险源和威胁识别能力 风险评估能力 危险源物理控制能力 不安全行为控制能力 政府监管能力 安全规划与设计能力 动机消解能力 物理隔离与防护能力 公共安全素质提升能力 监测预警能力 监测与预警能力 信息融合与综合预警能力 应急响应能力 搜索与救护能力 紧急医疗救护能力 公众疏散和就地避难能力 公众照料服务能力 紧急交通运输保障能力 应急资源与服务能力 遇难者管理服务能力 现场安全保卫与控制能力 火灾事故应急处置能力 爆炸装置应急处置能力 危险品泄露处置和清除能力 生物疫情应急处置能力 人群聚集性事件应急处置能力 事件现场管理能力 应急响应行动协调能力 应急响应通信保障能力 恢复重建能力 受灾人员生活救助能力 基础设施修复和重建能力 垃圾和危险废物管理能力 政府服务恢复能力 经济恢复能力 社区恢复能力
附3:企业网络安全能力(Enterprise Cybersecurity)
Scott E.Donaldson, Stanley G.Sigel, Chris K.Williams和Abdul Aslam在《Enterprise Cybersecurity: How to Build a Successful Cyberdefense Program Against Advanced Threats》一书中给出了企业网络安全项目应涵盖的11个功能领域(functional area)的113种网络安全能力(cybersecurity capabilities),如下表所示: 功能领域(Functional Area) 能力(Capabilities) 系统管理 (System Administration, SA) • 堡垒主机(Bastion hosts) • 带外管理(Out-of-Band(OOB) management) • 网络隔离(Network isolation) • 集成远程管理工具,KVM,电源控制 (Integrated Lights-Out(ILO), Keyboard Video Mouse(KVM), and power controls) • 虚拟化和存储区域网管理 Virtualization and Storage Area Network (SAN) management • 管理和服务分离(Separation of administration from services) • 系统管理的多因素认证(Multi-factor authentication for system Administration(SAs)) • 管理员审计信息(Administrator audit trail(s)) • 命令记录和分析(Command logging and analytics) 网络安全 (Network Security,NS) • 交换和路由(Switches and routers) • 软件定义网络(Software Defined Networking(SDN)) • 域名系统和动态主机协议(Domain Name System(DNS) and Dynamic Host Configuration Protocol(DHCP)) • 网络时间协议(Network Time Protocol(NTP)) • 网络服务管理(Network service management) • 防火墙和虚拟机防火墙(Firewall and virtual machine firewall) • 网络入侵检测/网络入侵防护系统(IDS/IPS) • 无线联网(Wireless networking(Wi-Fi)) • 包截获(Packet intercept and capture) • SSL窃听(Secure Sockets Layer(SSL) intercept) • 网络访问控制(Network Access Control(NAC)) • VPN和IPSec(Virtual Private Networking(VPN) and Internet Protocol Security(IPSec)) • 网络流量分析(Network Traffic Analysis(NTA)) • 网络数据分析(Network Data Analytics(NDA)) 应用安全 (Application Security, AS) • 电子邮件安全(E-mail security) • Webshell检测(Webshell detection) • 应用防火墙(Application firewalls) • 数据库防火墙(Database firewalls) • 正向代理和web过滤(forward proxy and web filters) • 反向代理(reverse proxy) • 数据泄露保护(Data Leakage Protection(DLP)) • 安全应用和数据库软件开发(Secure application and database software development) • 软件代码漏洞分析(Software code vulnerability analysis) 端点、服务器和设备安全 (Endpoint、Server and device security(ESDS)) • 本地管理员权限限制(Local administrator privilege restrictions) • 计算机安全和记录政策(Computer security and logging policies) • 端点和介质加密(Endpoint and media encryption) • 调查取证映像支持(Forensic imaging support for investigation) • 虚拟桌面/瘦客户机(Virtual desktop/thin clients) • 移动设备管理(Mobile Device Management(MDM)) • 防病毒/防恶意软件(anti-virus/anit-malware) • 应用白名单(Application whitelisting) • 内存中的恶意软件检测(In-memory malware detection) • 主机防火墙和入侵检测(Host firewall and intrusion detection) • Gold序列软件映像(“Gold code” software images) • 安全技术实施指南(Security Technical Implementation Guides(STIGs)) • 始终启用VPN联网(Always-on Virtual Private Networking(VPN)) • 文件完整性和变更监控(Fire integrity and change monitoring) 身份、认证和访问管理 (Identity, Authentication, and Access Management,IAAM) • 身份生命周期管理(Identity life cycle management) • 企业目录(Enterprise directory) • 多因素认证(Multi-factor authentication) • 特权管理和访问控制(Privilege management and access control) • 身份与访问审计信息和报告(Identify and access audit trail and reporting) • 轻量级目录访问协议(Lightweight Directory Access Protocol(LDAP)) • Kerberos, Radius, 802.1x • 联合认证(Federated authentication) • 安全断言标记语言(Security Assertion Markup Language(SAML)) 数据保护和密码学 (Data Protection and Cryptography, DPC) • SSL和TLS(Secure Socket Layer and Transport Layer Security) • 数字证书-公钥基础设施(Digital Certificate-Public Key Infrastructure) • 密钥硬件保护(智能卡、可信平台模块和硬件安全模块) Key hardware protection(Smart cards, Trusted Platform Modules(TPMs) and Hard Security Modules(HSMs)) • 一次口令和带外认证(One-Time Password(OTP) and Out-of-Band(OOB) authentication) • 密钥生命周期管理(Key life cycle management) • 数字签名(Digital signature) • 复杂口令(Complex passwords) • 数据加密和令牌化(Data encryption and tokenization) • 强力攻击检测(Brute force attack detection) • 数字权限管理(Digital Rights Management(DRM)) 监控、漏洞和补丁管理 (Monitoring, Vulnerabilities, and Patch Management(MVPM)) • 运行性能监控(Operational performance monitoring) • 系统和网络监控(System and network monitoring) • 系统配置变更检测(System configuration change detection ) • 特权与访问变更检测(Privilege and access change detection) • 日志聚合(Log aggregation) • 数据分析(Data analytics) • 安全信息和事件管理(Security Information and Event Management, SIEM) • 网络和计算机漏洞扫描(Network and computer vulnerability scanning) • 渗透测试(Penetration testing) • 补丁管理和部署(Patch management and deployment) • 非法网络设备检测(Rogue network device detection) • 非法无线接入点检测(Rogue wireless access point detection) • 蜜罐、蜜网和蜜标(Honeypots/honeynets/honeytokens) • 安全运行中心(Security Operation Center(SOC)) 高可用性、灾难恢复和物理保护 (High availability, Disaster Recovery, and Physical Protection(HADRPP)) • 集群(Clustering) • 负载均衡,全局负载均衡(Load balancing, Global Server Load Balancing(GSLB)) • 网络故障切换,子网跨越(Network failover, subnet spanning) • 虚拟机快照和克隆(Virtual machine snapshots and cloning) • 数据镜像和复制(Data mirroring and replication) • 备份和备份管理(Backups and backup management) • 异地存储(Off-site storage) • 设备保护(Facilities protection) • 物理访问控制(Physical access control) • 物理安全监控(Physical security monitoring) 事件响应 (Incident Response,IR) • 威胁信息(Threat Information) • 事件跟踪(Incident tracking) • 取证工具(Forensic tools) • 计算机映像(Computer imaging) • 入侵指标(Indicators of Compromise(IOCs)) • 黑洞服务器(Black hole server) • 监管/法规协调(Regulatory/legal coordination) 资产管理和供应链 (Asset Management and Supply Chain,AMSC) • 资产管理数据库(Asset management databases) • 配置管理数据库(Configuration management databases, CMDB) • 变更管理数据库(Change management databases) • 软件库和许可证管理(Software inventory and license management) • 供应商认证过程(Supplier certification processes) • 安全处置、回收和数据破坏(Secure disposal, recycling and data destruction) 政策、审计、电子披露和培训 (Policy, Audit, E-Discovery, and Training, PAET) • 治理、风险和合规,报告(Governance,Risk and Compliance(GRC), with reporting) • 合规和控制框架(SOX,PCI等)(Compliance and control frameworks(SOX, PCI, others)) • 审计框架(Audit framework) • 客户认证和认可(C&A)(Customer certification and accreditation) • 政策和政策例外管理(Policy and policy exception management) • 风险和威胁管理(Risk and threat management) • 隐私合规(Privacy compliance) • 电子披露工具(E-Discovery tools) • 人员安全和背景调查(People security and background checks) • 安全意识和培训(Security awareness and training)
=============== 精采回顾 ==============
0 . 业务连 续性问与答Q 0: 大纲 Ver2.0 业务连续性问与答(大纲 ) Ver1.0,已废弃
第一部分业务连续性是什么? 1. 业务连续性问与答Q 1 :不是有应急管理了,怎么又出来个业务连续性管理?它们是一回事吗? 2. 业务连续性问与答Q 2: 对企业(组织)而言,我们已有信息安全管理、IT灾备、IT服务管理、HSE、企业应急管理以及舆情危机管理、全面风险管理等诸多的安全与风险管理手段,它们和BCM是什么关系? 3. 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(上 ) 业务连续性问与答Q 3 :业务连续性管理从哪儿来,又将到哪儿去?(下 )
第二部分业务连续性为什么? 4. 业务连续性问与答Q 4:业务连续性管理有什么价值? 我们 为什么要 做BCM,为什么有人不愿意做BCM?
第三部分业务连续性怎么管? 一般性讨论 5. 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(上 ) 业务连续性问与答Q 5 :有哪些主要的业务连续性管理知识体系?(下 ) 6. 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? (上) 业务连续性问与答Q 6: 业务连续性是什么?业务连续性管理和业务连续性管理体系又是什么? ( 下 ) 7. 业务连续性问与答Q 7: 当我们谈安全时,我们谈些什么?当我们 谈风险 时,我们谈些什么?当我们谈韧性时,我们谈些什么? 8. 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?(上 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 中 ) 业务连续性问与 答Q 9: 对业务连续性的管理涉及哪些关键活动?如何对其进行组织?( 下 )
项目集管理和领导力 9. 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(上 ) 业务连续性问与答Q 8 :怎么才能说服领导支持业务连续性管理?(下 ) 10. 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 上 ) 业务连 续性问与答Q 10:领导已决定 启动/ 加强 / 改进业务连续性工作了,我该怎么着手推动呢? (组织结构与人事篇 )( 下 ) 11. 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 上 ) 业务连续性问与答Q 11 :领导已决定启动/加强/改进业务连续性工作了,我该怎么着手推动呢?(项目集管理活动篇 )( 下 ) 业务连续性问与答Q 11 : 领导 让我负责单位的业务连续性工作,我想认真了解一下业务连续性经理的工作?(附 )
能力规划 12. 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 上 ) 业务连续性问与答Q 1 2 : 如何描述业务连续性能力?它由哪些构成要素?如何规划、确定目标能力? ( 中 )
“ 一个好问题,胜过一百个好答案! ”欢迎你带着问题来,当然,也欢迎你给出更好的答案!(如果你发来的问与答入选均有小礼品赠送)。 由于本公众号注册时正处于腾讯政策调整,公众号未能开通留言功能,希望参与“业务连续性问与答”讨论的朋友,可用微信扫描以下二维码加入知识星球进行留言或讨论。
原文发表于公众号”业务连续性+” | 原文链接