營運持續計畫(BCP)與災難復原(DR)

不同層級要考量的方向不同

高階經營階層 (BCP)
各Business Unit主管 (BCP)
應用系統可用性 (DR)
資料機密與完整性 (DR)
通訊與網路 (DR)
資產管理 (DR)

BCP與BIA要連動

• 一定會先做業務影響分析Business Impact Analysis，挑出重要的業務(老闆決定哪個比較重要)

• 與 Incident(風險事件) 相關
  要看風險評鑑，如果發生的Incident都沒有在風險情境，那就代表控制不夠，風險評鑑就無效

• 重要業務BCP一定有相應的DR，沒有DR的一定不重要

• 演練要能在RTO RPO的要求之內

• 記錄過程以鑑別改善機會

• 沒即時依企業現況或IT架構更新是最嚴重的問題

BCP演練

• 火災演練
• 最重要的業務

營運持續管理
處理議題 可用性 可靠性 回復能力
重點 科技 流程 人
聚焦於 主動/事先預防/

BCP步驟

獲得高層授權才能談

進行營運衝擊分析 > 進行風險評估 > 決定回復策略 > 測試/訓練/維護與更新

BCP基礎概念

RTO 停多久還不會虧錢 (or 看有沒有跟別人簽合約，寫到不可以中斷多久)
RPO 掉了多久的資料還可以接受 (ex 合約寫超過2個月的資料消失就解約，然後發現資料就)
MTD-/MPTD/MPTOD 東西壞了可以忍多久
SDO (Service Delivery Objective)服務傳遞目的 -> 在RTO時間內必須要達到的最低服務水準