昨天 Day 7 簡短分享2012年颶風珊迪驗證公司Continuity of Operations(COOP)計畫和Business Continuity Planning(BCP)企業永續運作計畫成效,對於之前高度參與COOP計畫的部門,MIS簡直變成超級英雄,原本以為無事可做一切停擺,沒想到在極為克難的情況下,資源有限的備援中心裡,完全恢復所有重要功能,有些員工甚至事後在走廊上遇見還小小抱怨:「你們太厲害了,原本以為能趁機一個星期不用上班,在家休息,誰知道這麼快就通知可以從家裡遠端連回公司系統,害我們沒能放假。」而之前沒有用心參與COOP計畫開會評估的部門,經歷這次慘痛教訓,紛紛主動詢問下次開會時間,提出要更新清單,提供新資料。
Business Continuity Planning (BCP)企業永續運作計畫包含以下五個步驟:
*示意圖來自wikipedia
進行BCP的同時,資訊安全也是需要考量的一環。設計的方案仍舊必須遵守相關法規或公司內部資安政策,執行的時候也必須依據既有流程達到資安要求,不能因為事態緊急造成風險。由於備援場所平時沒有專門MIS人員在場,可能會造成資安上的疏忽,有些值得注意的考量為:
成為資安分析師研究COOP計畫後,我發現有一個機密檔案在網路硬碟上雖然管制重重,資料備份過程中也採用加密傳輸,但在還原的手續裡,其實有可能預覽檔案部分內容,造成資料外洩,所以就提出問題更新COOP計畫,改變資料備份方式。尤其現在雲端方案普及(見以下所附《網管人》專題報導),將資料備份至雲端或採用雲端為備援方案時,皆須將資安納入規畫考量中。
《網管人》專題報導
http://www.netadmin.com.tw/article_content.aspx?sn=1708010007
「桓寬曰:有備則制人,無備則制於人。
備與不備,只看皇上。
在下亦是一個喜歡殘局的人。」--燎原火《火鳳燎原》