CISSP备考系列之业务连续性计划[10-33]

CISSP是小众，与MCSE，CCNA一类的不同，资料很少。本人在准备CISSP考试。总结一些考点，供大家参考（内容主要是《CISSP认证考试权威指南（第4版）》的读书笔记，感谢作者和译者，替他们宣传一下。）

业务连续性计划（business continuity planning-BCP）包括对组织中各种过程的风险评估，还有在发生风险的情况下为了使风险对组织机构的影响降至最小程度而制定的各种策略，计划和措施。

灾难恢复计划（disaster recovery planning-DRP）

BCP和DRP首先考虑的是人。先保证人不受到伤害，然后再解决IT恢复和还原问题。

BCP的四个步骤：
项目范围和计划编制
业务影响评估
连续性计划
批准和实现

BCP与DRP的关系：BCP首先被应用，如果BCP努力失败，就应用DRP的步骤。

第一步应该是Business organization analysis，即业务组织分析，通过分析，可以确定BCP Team的人员构成。

BCP人员构成：运营部门，支持服务部门（包括支持部门，技术专家，安全代表和法律代表），管理人员。

BCP团队人员确定后，第一份工作就是确认先头部队确立的业务组织分析是正确的。

尽职=due diligence，管理人员在BCP相关工作方面要做到due diligence。

BCP的三个阶段：
* 开发
* 测试、培训和维护
* 实现

BCP过程中消耗最多的资源是人力资源(Personnel)

BCP实现的驱动力可能来自于政府的法律法规，也可能来自于对客户的服务承诺（SLA）

业务影响评估（business impact assessment,BIA）
确定机构持续发展所需的资源以及这些资源所面对的威胁。
分为定量(quantitative)决策和定性(qualitative)决策（高，中，低）

Monetary（货币的，金钱的）

定性决策主要考虑间接损失：
* 客户信誉
* 停工导致员工流失
* 社会/道德责任
* 不良公共影响

评估步骤：
1，确定优先级 建立资产清单，统计资产价值（asset value），还要考虑最大允许中断时间（MTD）和恢复时间目标（RTO）
2，风险识别（Risk）包括自然风险与人为风险
3，可能性评估 年度发生率（Annualized rate of occurrence,ARO）
4，影响评估 计算暴露因子（Exposure Factor-EF）指风险对资产造成损失的程度，以资产价值的百分比来表示。单一损失期望（single loss expectancy=SLE）=EF*AV，年度损失期望（annualized loss expectancy=ALE）=SLE*ARO
5，资源优先级划分 按照年度损失期望降序排序，就确定了解决风险的优先级列表。

* 上面的简称和计算公式是重点。

计划的制定与实现：
1，策略开发（Stragegy development） 是业务影响评估和计划制定阶段之间的桥梁。
2，预备和处理（Provisions and Processes）
3，计划批准 批准计划的人，级别越高越好。
4，计划实现
5，培训和教育

【本单元结束】