事实上，因为信息系统瘫痪影响业务正常运转我们已经不是第一次听到，比如首都机场就曾因离港系统和行李系统出现故障，影响了多个航班的进出港。如今，信息系统的使用大大提高了组织信息处理和业务运行的效率。然而，由于信息系统的广泛使用，使得这些信息系统一旦不能正常支持组织的业务，给整个组织的业务带来的影响越来越大，有时甚至会造成难以估量的损失。正因为业务连续性管理(Business Continuity Management，BCM)对组织的业务和信息安全如此重要，而一旦发生业务中断所造成的损失又如此巨大，使得对业务连续性的关注已经成为信息安全领域关注的一大焦点。

业务连续性管理的过程

在信息安全管理国际标准ISO 27001（BS7799）中已经建立了信息安全管理体系的模型，其中业务连续性管理（BCM）被作为一个重要部分包括在模型中（参见图1）。去年11月BSI发布了一个新的标准BS25999-1，这是业务连续性管理的最佳实践标准，相应的认证标准BS25999-2也将在今年出台。这对于公共基础设施的提供者，金融电信等信息时代的基础支撑行业来说，不但有了实践的指南还有了检验的标准。

根据这些最佳实践指南，业务连续性管理的实施包括一系列企业管理行为，具体实施过程可以分为以下六个步骤，其中核心是制定并实施业务连续性计划。

下面详细介绍BCM实施过程中各步骤所需要执行的主要任务。

步骤1: 启动项目

项目启动阶段的主要工作是为项目分配必需的资源和进行前期的准备工作。项目启动阶段所包括的工作主要有：

1．得到领导层对项目的支持

组织中信息化或信息安全的领导（如CIO或CSO）应参与项目实施，并通过各种形式（如文件、会议等）向组织内所有成员传达领导层对该项目的重视和支持。最重要的是让管理层知道组织的真正风险在哪里，这些风险造成的后果是什么，每一项风险会造成的潜在损失有多大。没有这种理解，管理层对BCM的支持不能落到实处，也不能保证在实施过程对必要的资源、资金和时间方面的投入，最后可能会导致项目实施的失败。

2．明确项目实施的组织结构和角色责任

项目实施需要合适的人员来完成特定的任务，明确项目实施的组织机构和相关人员的角色责任是项目启动阶段非常重要的一项任务。项目实施的组织机构与组织的规模和涉及的系统有关，一般可以分为项目管理机构和项目实施机构两种。项目管理机构负责项目实施过程中的决策，项目实施机构负责项目的具体实施，可以进一步细分为损害评估小组、服务器恢复小组、网络恢复小组、物理/人员安全小组等等。

3．为项目实施分配资源

包括管理机构和实施机构在内的项目成员通过对项目规模、难度等各方面的估计，确定项目实施所需的资源，包括人员、场地、资金和时间等。引入外部的服务提供商是解决资源不足问题的可行办法。服务提供商可以提供BCM的咨询服务，也可以解决组织在提高业务连续性方面所需的备用设备、场地、设施等方面的需求。

4．安排项目的实施进度与时间

为使项目能够顺利实施，需要将项目实施划成分若干阶段，并安排每个阶段的进度计划和主要任务。由于业务连续性管理可能会涉及到多个部门之间的协调，而且往往复杂度较高，最好在项目实施进度中留出一定的机动时间，保证整个项目最终完成时间不会改变。

在上述几项工作完成后，BCM项目已经明确了项目实施的组织机构，明确了角色和职责，安排了所需的资源，制定了项目的实施时间。接下来，项目就可以进入下一步——业务影响分析阶段。
  步骤2: 业务影响分析

业务连续性管理必须考虑到所有可能发生的安全事故和灾难，并对其潜在的损害做出估计，以制定可行的控制策略，进而预防这些事故的发生，而这正是业务影响分析（Business Impact Analysis，BIA）所要关注的方面，它是实施BCM的关键性的一步。

对业务安全性的威胁一般可以分为以下三类：

● 来自自然的威胁，如飓风、龙卷风、洪水和火灾；

● 来自人类自己的，如操作员错误、破坏、植入有害代码和恐怖袭击；

[1] [2] [3] [4] 下一页