资产分析 资产是具有价值的信息或资源,是企业风险分析所要保护的对象。它能够以多种形式存在: 无形的、有形的,有硬件、软件,有文档、代码,也有服务、人员等等。机密性、完整性和可用性是评价资产的三个安全属性。
经过分析,得到企业相关的资产清单后,有必要对资产进行分类以区分不同资产的重要性,为下面制定灾难备份策略提供依据。
威胁识别 造成威胁的因素可分为人为因素和环境因素。识别信息资产面临的威胁后,还应该评估威胁发生的可能性。风险分析团队应该根据经验或者相关的统计数据来判断威胁发生的频率或概率。
脆弱性识别 脆弱性识别也称为弱点识别,脆弱性识别主要以企业资产为核心,从技术和管理两个方面进行,所采用的方法主要有: 问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
风险计算 经过前面的风险分析步骤,分析团队己经对企业的资产、威胁、脆弱性进行了识别和赋值,下面考虑如何计算风险。对于如何计算风险,不同的标准制定了不同的计算方法,可以参照《信息安全分析评估指南》的风险计算原理来计算风险值。根据风险计算得到的风险值,企业应制定相应级别的防范措施以有效削减或降低风险。
风险分析是业务影响分析和制定灾难恢复策略和预案的前期准备条件,以便在策略制订和预案制订时更具有针对性,考虑因素更为全面,规划的实施成本会更合理,从而有效地保护投资,获得更大的投资回报率。
如何计算风险造成的业务影响
风险分析完成后,会得到企业一系列存在风险的业务系统范围,业务影响分析则是对这些存在风险的业务系统的功能,以及当这些功能一旦失去作用时可能造成的损失和影响进行分析,以确定企业关键业务功能及其相关性,确定支持各种业务功能的资源,明确相关信息的保密性、完整性和可用性要求,确定这些业务系统的恢复需求,并为下一阶段制定灾难恢复策略提供基础和依据。
分析系统的业务影响,一般采用和风险分析相似的方法,即主要采用问卷调查、人员访谈、会议讨论等方法,而能否制定适合企业情况的调查问卷和实施流程是业务影响分析能否成功的关键,业务影响分析需要从两个方面来收集相关的信息: 业务系统情况; 业务中断影响/损失。
分析人员根据这些信息,凭借自身的专业经验进行以下分析:
业务功能 通过分析企业各业务系统的基本情况、职能、流程等相关信息,根据用户主要的服务职能目标,确定支持业务开展的信息系统功能,为后期制定灾难恢复预案时各业务系统恢复顺序的排列和不同恢复等级下所需恢复业务系统的分类提供依据。
业务影响分析指标设置 针对业务系统不同的方面,需要制定不同的业务影响分析指标。业务中断的损失分析主要从财务影响和非财务影响来进行分类。对于财务影响,我们可以根据企业所处行业的类型和规模来分级,以判定其业务中断和时间的关系; 而对于非财务影响,则只能采用定性的方法。
业务系统的恢复优先级 为了能够成功完成信息系统灾难恢复需求的分析,使制定的灾难恢复策略和灾难恢复预案更具操作性,在业务影响分析时必须明确各业务系统优先级和业务系统灾难恢复顺序。
通过业务影响分析,可以根据业务恢复需求和业务功能的相互依赖关系及程度, 把各相应业务系统进行排列,得到一个恢复系统优先级,以决定如何制定灾难恢复预案并实施。
确定灾难恢复目标
根据风险分析和业务影响分析,企业已基本了解了自己所存在的各种风险及其程度,以及灾难恢复系统建设的需求、业务系统的应急需求和恢复的先后顺序,最后完成系统灾难恢复的各项指标,并根据这些结论确定自己的需求和灾难恢复目标,这应该包括:
灾难恢复范围 根据业务影响分析确定的业务恢复范围,确定信息系统的恢复范围;
灾难恢复时间范围 根据业务影响分析的结果,确定各系统的灾难恢复时间目标(RTO)要求和恢复点目标;
灾难恢复顺序要求 根据业务影响分析中业务恢复的优先级要求,结合各系统间的资源依赖关系,制定信息系统的恢复顺序和优先级关系;
灾难恢复系统建设规划 根据灾难恢复范围、恢复时间目标和灾难恢复处理能力的要求,结合企业未来发展规划,制定灾难恢复系统建设的项目目标和时间进度目标。并按照进度要求合理规划预算投入。
企业根据上述灾难恢复需求分析的结果和灾难恢复目标,再制定最近给自身的灾难恢复策略。 在此基础上,再进行有的放矢的灾难恢复方案的设计与实施,以达到业务连续性运营的目的。(作者系GDS万国数据服务公司副总裁) |
