iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 10
0
Security

什麼都會一點的住海邊資安證照 cissp系列 第 10

營運持續計畫(BCP)與災難復原(DR)

營運持續計畫(BCP)與災難復原(DR)

不同層級要考量的方向不同

高階經營階層 (BCP)
各Business Unit主管 (BCP)
應用系統可用性 (DR)
資料機密與完整性 (DR)
通訊與網路 (DR)
資產管理 (DR)

BCP與BIA要連動

  • 一定會先做業務影響分析Business Impact Analysis,挑出重要的業務(老闆決定哪個比較重要)

  • 與 Incident(風險事件) 相關
    要看風險評鑑,如果發生的Incident都沒有在風險情境,那就代表控制不夠,風險評鑑就無效

  • 重要業務BCP一定有相應的DR,沒有DR的一定不重要

  • 演練要能在RTO RPO的要求之內

  • 記錄過程以鑑別改善機會

  • 沒即時依企業現況或IT架構更新是最嚴重的問題

BCP演練

  • 火災演練
  • 最重要的業務

營運持續管理
處理議題 可用性 可靠性 回復能力
重點 科技 流程 人
聚焦於 主動/事先預防/

BCP步驟

獲得高層授權才能談

進行營運衝擊分析 > 進行風險評估 > 決定回復策略 > 測試/訓練/維護與更新

BCP基礎概念

RTO 停多久還不會虧錢 (or 看有沒有跟別人簽合約,寫到不可以中斷多久)
RPO 掉了多久的資料還可以接受 (ex 合約寫超過2個月的資料消失就解約,然後發現資料就)
MTD-/MPTD/MPTOD 東西壞了可以忍多久
SDO (Service Delivery Objective)服務傳遞目的 -> 在RTO時間內必須要達到的最低服務水準


上一篇
個資保護相關法令
下一篇
人員安全管理
系列文
什麼都會一點的住海邊資安證照 cissp11

尚未有邦友留言

立即登入留言