第十二章營運持續計畫

Download Report

Transcript 第十二章營運持續計畫

第十二章 營運持續計畫
本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師
(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量
不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配
旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此
之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相
關著作物移作他用。
1
第十二章 營運持續計畫
 本章介紹營運持續計劃,是企業永續管理的一環,涵蓋營
運持續計劃之建構流程,與營運持續計劃之範圍,逐一介
紹其主要內容,使讀者了解計畫之整體架構及其精神,相
信對於資訊安全管理是有所助益的。其內容包含:
 簡介
 營運持續管理
 營運持續計劃步驟
 風險管理
 風險評估
 營運衝擊分析
 風險轉移策略
 緊急事件準備
 災害復原計畫與營運恢復計畫
 測試、稽核、訓練與維護
2
12.1 簡介
 營運持續管理 (Business Continuity Management;BCM)
的目標,即是要防治企業組織營運活動的中斷,透過實施
營運持續計畫,並結合各項預防及復原的控制措施與程序,
將災害或缺失所造成的營運中斷機會,降低至可被接受的
程度。
 近年來,營運持續管理 (BCM)已經發展成為國際的管理標
準,單獨實施或結合資訊安全管理系統 (ISMS)一併實施,
都可為企業組織提供永續經營之道。
 在企業經營的大環境中,充滿著各種風險,例如:網路詐
騙、員工罷工、設施損壞、惡意攻擊、惡意程式、間諜活
動、社交詐騙等風險。在風險管理中,營運持續計劃就是
要回答『這一事件發生時,我們要如何處理?』。
3
12.1 簡介
 營運持續計畫是營運持續管理之一項計畫,但並不是單獨
存在的一項計畫,它是統合性的計畫,與營運持續計畫相
關的計畫還有:
 營運恢復計畫 ( Business Recovery Plan;BRP )、
 操作連續計畫 ( Continuity of Operations Plan;COOP )、
 支援連續計畫 (Continuity of Support Plan / IT Contingency Plan )、
 危機溝通計畫 ( Crisis Communications Plan;CCP )、
 網域事件回應計畫 ( Cyber Incident Response Plan:CIRP )、
 災害復原計畫 ( Disaster Recovery Plan;DRP )、
 以及操作人員緊急計畫等。
4
12.2 營運持續管理
 英國標準協會 ( British Standards Institution;BSI ) 致力於推動營運
持續管理 ( Business Continuity Management;BCM ) 標準,於2006
年公佈 『營運持續管理作業要點 』,並於2007年公佈『營運持續管
理要求』。
 營運持續管理 (BCM) 整合了流程管理,並依據營運持續管理作業要
點實施,營運持續管理包含了:










風險管理 ( Risk Management )
災害管理 ( Disaster Management )
設備管理 ( Facilities Management )
供應鏈管理 ( Supply Chain Management )
品質管理 ( Quality Management )
健康與安全 ( Heath and Safety )
知識管理 ( Knowledge Management )
緊急事件管理 ( Emergency Management )
安全 ( Security )
危機溝通與公共關係 ( Crisis Communications & PR)
5
12.2 營運持續管理
 營運持續管理也是持續性、週期性的管理工作,如圖12-1
營運持續管理週期,每一週期包含四個步驟:(1)了解組織,
(2) 決定營運持續管理策略,(3) 發展與實行營運持續管理,
以及 (4) 營運持續管理演練、維護與稽核。
了解組織
營運持續管理演練
維護與稽核
營運持續管理
(BCM)
決定營運持續管理策略
發展與實行營運持續管理
圖12-1 營運持續管理週期
6
12.2 營運持續管理
 了解組織有兩項基本的方法,(1) 風險評估 ( Risk
Assessment;RA ) 與 (2) 營運衝擊分析 ( Business
Impact Analysis;BIA )。
 決定營運持續管理策略,在風險管理方面,首先考慮如何
避免風險,使風險不致於發生,再考慮如何降低風險,將
風險的影響程度降至最低,如果風險已經發生,需要轉移
風險,在可接受的風險中訂定對策。
 決定營運持續管理策略,在風險管理方面,首先考慮如何
避免風險,使風險不致於發生,再考慮如何降低風險,將
風險的影響程度降至最低,如果風險已經發生,需要轉移
風險,在可接受的風險中訂定對策。
7
12.2 營運持續管理
 決定營運持續管理策略,在風險管理方面,首先考慮如何
避免風險,使風險不致於發生,再考慮如何降低風險,將
風險的影響程度降至最低,如果風險已經發生,需要轉移
風險,在可接受的風險中訂定對策。
 發展與實行營運持續管理,需要考慮多項因素,例如:計
畫啟動條件,什麼狀況下需要啟動計畫、職責說明,賦予
確定人選特定的工作、緊急處理程序、備援與復原程序、
維護時間等。
 營運持續管理演練、維護與稽核,包含狀況演練、復原測
試、設施測試與服務、完整演練等,並且需要隨著法令修
改、不同場所、資源等因素變更計畫。營運持續管理計畫
需要進行變更管制與稽核,並確保計畫是最新狀態。
8
12.3 營運持續計劃步驟
 在建構營運持續計劃進行
中,概括可以分為六個步
驟 (圖 12-2):
 計畫開始
 營運衝擊分析
 回復策略
 計畫發展
 計劃確認與測試
 計畫維護與訓練
計畫開始
營運衝擊分析
回復策略
計畫發展
計劃確認與測試
計畫維護與訓練
圖12-2 營運持續計劃步驟
9
12.3 營運持續計劃步驟
 『 計畫開始 』階段,需要先確認顧客與商業的需求,以
及確認外部相關機構,如政府單位、督導單位、檢查單位
等機構。確認後,進行風險評估,並做成報告,需要得到
管理單位的支持,以確保整體營運持續計劃流程之控管和
順利進行。
 『 營運衝擊分析 』( Business Impact Analysis;BIA) 階
段,主要的工作要先決定重要的準則,例如:網路服務中
斷多久是可以承受的範圍,若斷線超過可以承受的時間,
將會造成什麼樣的損失?並且要確認重要的流程、機器設
備、資料與應用等;還需確認這些物件的相關性,如某一
伺服器無法運作,將影響到哪些工作流程或是連資料也受
影響,最後需要訂定回復目標。
10
12.3 營運持續計劃步驟
 『 回復策略 』階段,要確認回復機制的使用策略,例如:
若系統失敗則採用備援系統,或使用人工操作,或整體系
統更新等機制。回復策略需要參考最佳方案,完成前需要
與各部門進行協商與修正。
 『 計畫發展 』階段,包含如下各項工作:
 確定災害回復小組之角色、權限、和責任。
 建構告知與計畫活動流程。
 產製緊急反應之流程。
 產製詳細的回復流程。
 計畫書的分派和管理。
 『 計劃確認與測試 』階段,首先發展測試計劃和測試目
標,對測試計劃進行模擬,模擬後進行實際測試,並紀錄
測試結果,檢討測試結果以便進行改進。
11
12.3 營運持續計劃步驟
 『 計畫維護與訓練 』階段,需要發展營運持續計劃的維
護流程,定期更新版本,更新版本的程序與參與人員,更
新版本的範圍等,需要訂定版本控管,更新版本後的告知
程序,並且要發展專門的訓練課程。
 營運持續計畫 ( BCP )並不是單獨存在的一項計畫,它是
統合性計畫,至少與下列計畫有關聯:
 營運恢復計畫 ( Business Recovery Plan;BRP )
 操作連續計畫 ( Continuity of Operations Plan;COOP )
 支援連續計畫 (Continuity of Support Plan / IT Contingency Plan;
CSP/ITCP )
 危機通訊計畫 ( Crisis Communications Plan;CCP )
 網域事件回應計畫 ( Cyber Incident Response Plan;CIRP )
 災害復原計畫 ( Disaster Recovery Plan;DRP )
 操作人員緊急計畫 ( Occupant Emergency Plan;OEP )
12
12.3 營運持續計劃步驟
 這些計畫的相關性,如圖12-3,營運持續計畫必須包含各
計畫之部分要點,從營運持續計畫可以了解其它計畫之大
綱與概要。
操作連續計畫
(COOP)
操作人員緊急計畫
網域事件回應計畫
營運持續計畫 ( BCP )
危機通訊計畫
( CCP )
支援連續計畫
營運恢復計畫
(BRP)
災害回復計畫
(DRP)
圖12-3 營運持續計劃與其相關計畫
13
12.3 營運持續計劃步驟
 營運持續計劃 ( Business Continuity Plan;BCP ),針對
在商業流程中,如何讓組織能夠持續營運,著重在商業流
程,它應該是長期的計畫,應有營運恢復計畫 ( BRP )做
支援。
 營運恢復計畫 ( Business Recovery Plan;BRP ),是在
緊急事件後,營運已經中斷,如何恢復營運之計畫。本計
劃必須與災害回復計畫 ( DRP )、及營運持續計畫 ( BCP )
一致,而營運恢復計畫 ( BRP ) 也可以作為營運持續計畫
的附件。
 災害回復計畫 ( Disaster Recovery Plan;DRP ),適用於
發生重大災害或事件,系統以及設施無法正常使用的一段
時間,通常災害回復計畫著重在以資訊技術 (Information
Technology;IT) 為中心的計畫。在重大災害發生後,甚
至需要將機房轉移至其它地點,要能夠迅速回復資訊設施、
應用系統等,以便持續運作。
14
12.4 風險管理
 風險管理 (圖12-4) 主要的內涵包含:風險評估 ( Risk
Assessment )、風險轉移 ( Risk Mitigation ) 與風險估算
( Risk Evaluation ),它是一項整合性的管理。
風險管理
風險評估
風險轉移
風險估算
圖12-4 風險管理的內涵
15
12.4 風險管理
 風險評估指辨識風險並計算若風險發生將對系統
造成的衝擊,以及建議一些可能的對策。
 風險轉移是依據風險高低安排優先處理次序與並
使用適當的對策使風險降低。
 風險估算則是著重在風險降低後,考慮是否在可
接受的程度,於風險轉移實施前,決定是否還需
要增加控制項目,以降低風險或消除風險。
 在營運持續計畫中的重要部分是處理與評估可能
的風險,了解災害造成後將影響系統營運的程度,
必要考慮到所有可能的事件及其造成的衝擊,並
採取適當對策使影響降到最低。
16
12.5 風險評估
 『 風險 』 ( Risk )是系統反應潛在的或可見的威脅時,可
能引發的損失結果,例如系統產出不正確的結果或系統操
作失誤等。任何環境因素或事件,會引起損害系統而造成
威脅的稱為『威脅源』,威脅源可以是自然的、人為的、
或是環境因素。
 風險評估,首先需要辨識風險的存在,要分辨出哪些威脅
源對於系統不會造成損害,哪些威脅源對系統將會造成損
害,計算其可能損害的程度,並了解其對人員、商業、與
資產等造成的衝擊程度。了解風險的衝擊,在事件發生時
才能明確的下達正確的決策,以降低或免除其對系統之影
響。
17
12.5 風險評估
 一般風險評估包含下列幾個要件:
 辨識影響系統的各項威脅
 估算威脅發生的機率
 確認與排序各項受到風險威脅之資產與作業
 估算事件發生的損失與影響
 確認轉移或降低風險之經費
 製作分析結果文件與發展行動計畫
 可能發生的事件非常多,可分為環境災害、蓄意破壞、設
施功能失效、以及資訊事件等四大類:
 環境災害:颶風、龍捲風、水災、嚴冬、地震、旱災、火災等。
 蓄意破壞:戰爭、間諜、偷竊、縱火等。
 設施失效:失去電力、失去瓦斯、水源、油料供給、通訊失效等。
 資訊事件:網路犯罪、紀錄流失、資訊系統失效等。
18
12.5 風險評估
 事件的發生依照其機率的高低可分為五個等級;同樣地,
事件發生後造成的衝擊,依照其嚴重程度也可分為五個等
級(表 12-1 ):
表12-1 事件發生的機率與造成的衝擊等級表
事件發生的機率
等級
發生機率
事件造成的衝擊
等級
嚴重程度
1
非常高機率
1
無法回復
2
高機率
2
需要重大修護
3
中等機率
3
需要大修護
4
低機率
4
需要修護
5
非常低機率
5
需要輕微調整
19
12.5 風險評估
 在組織環境進行風險評估,要了解風險對資產損害的程度,
首先要將資產做分類,資產可以概括分為以下幾類:
 硬體、軟體和系統介面。
 資料和資訊。
 人員。
 任務與流程。
 重要事務。
 重要事務。
 將資產分類是風險分析的初步,風險分析最終需要做風險
優勢分析 ( Risk Benefit Analysis ),依據風險威脅程度考
慮讓系統持續營運或轉移風險,可以選擇之最佳方案,所
採用的方案必須符合現有假設與限制。
20
12.5 風險評估
 決定風險與衝擊的交互影響,美國國家標準局 (National
Institute of Standard and Technology;NIST) 建議使用風
險位階矩陣 ( Risk Level Matrix ) (表 12-2),將風險發生
的機率分為:高、中、與低等三個等級;並給予分數,高
為 『1.0』,中為 『0.5』 與低為 『0.1』。風險的衝擊
也分為三個等級,高為 『100』、中為 『50』 與低為
『10』。風險位階矩陣列表如下:
表12-2 風險位階矩陣
風險發生可能性
衝擊率
低 (10)
中 (50)
高 (100)
高 ( 1.0 )
10*1.0 = 10
50*1.0 = 50
100*1.0 = 100
中 ( 0.5 )
10 *0.5 = 5
50*0.5 = 25
100*0.5 = 50
低 ( 0.1 )
10*0.1 = 1
50*0.1= 5
100*0.1 = 1021
12.5 風險評估
 根據上述的風險位階矩陣,判斷風險的位階值 V,大於50
(V > 50 )的為高風險位階;在 50 與 10 之間 (50 > V > 10)
為中風險位階;在10 以下 (10> V > 1) 為低風險位階。
 如果可以將風險位階矩陣劃分得更細緻,如為 4X4或 5X5
矩陣,則可以將事件之風險位階值表達得更精確。
 風險評估完成後,需要撰寫風險評估報告,提供給管理階
層作為經營與決策之依據,風險評估報告不需要使用誇飾
的語詞,也不需加註指責之評語,只要依評估數據做忠實
的建議。
22
12.6 營運衝擊分析
 營運衝擊分析則是考慮為符合組織營運的需求,當重要功
能或設施遭受事件後,無法在時間內回復正常營運時,將
遭受多少損失;營運衝擊分析是災害發生後,選擇回復方
法做決策時的重要基礎。
 營運衝擊分析所須的執行要點如下:
 確認重要之營運流程
 建立營運回復之需求
 營運衝擊分析問卷發展
 決定資源之相依性
 決定衝擊的回復方法
 優先化和分類營運功能
23
12.6 營運衝擊分析
 建立營運回復之需求,需要製作問卷,以了解當營運遭受
到破壞或中斷時,回復正常營運所需要之資源與設備。
 決定資源之相依性的目的,是為了使用最少的資源,以回
復系統之正常運轉,需要將所有的資源列表,並填入資源
的相依性。
 例如 PC需求之相依性,如表12-3,將需要工作、PC 規
格、數量、與使用時間,填列在表格中,可以了解PC 與
其它工作之相依性。
 將所有資源統計後,可以依照資源之相依性,依照回復時
間先後,依照每一工作項目作統計表,如下表 12-4:
24
12.6 營運衝擊分析
表12-3. PC 需求相依表
PC 需求相依表
工作
PC 規格
數量
時間
主要功能:
服務的相依性 ( 重要、中等、次要):
供應商、軟硬體需求等:
25
12.6 營運衝擊分析
表12-4 工作項目作統計表
工作項目
Day 1
Day 2-5
Day 5-14
人員
4
6
10
PC 數量
2
5
8
網路數
2
4
4
其他 …
26
12.6 營運衝擊分析
 當系統遭受事件衝擊時,時間拉得越長損害越嚴重,如果
拖得太久,系統將崩潰而無法回復,終至停止運轉。但回
復的時間越短,所需要的經費越高,所以需要取得一個平
橫點 (圖 12-5 )。
崩潰的代價
代
價
回復代價
時間
圖12-5 回復代價平衡圖
27
12.6 營運衝擊分析
 對於造成衝擊之意外事件,要確認其所需要之回復時間,
必須要仔細分析重要資源和其衝擊程度,營運持續計劃
( BCP ) 小組需要作決策,決定出系統最佳之回復點,使
有形與無形之損失降至最低。
 由於經費之考量,回復時間之長短又對營運造成衝擊很大,
所以需要考量實施回復的方法與所需經費,例如:購物網
站,中斷服務1小時以上,將造成財務重大損失。
28
12.7 風險轉移策略
 每一個組織對於緊急事件都有自己的因應與處理方法,實
施風險管理可以降低風險,減少緊急事件的發生,甚至在
發生緊急事件時,能夠減少損失。
 基本上,對於風險的處理,有下列各種策略:
 (1) 風險假定 ( Risk Assumption )
 (2) 風險避免 ( Risk Avoidance )
 (3) 風險限制 ( Risk Limitation )
 (4) 風險計畫 ( Risk Planning )
 在管理策略上,資訊技術之妥善運用可以是轉移風險的好
方法,這些資訊技術包含防火牆、企業虛擬網路與遠端存
取、加密、入侵偵測與防範、反間諜軟體、反垃圾郵件等。
 防火牆是網路安全的第一道防線,防火牆可以過濾非授權
的網路存取,它可以是硬體式或軟體式的設施。所有進出
企業內部的資訊需要經過防火牆,防火牆會攔截不符合防
火牆安全規則的封包。
29
12.7 風險轉移策略
 為防止傳送中的資料被窺視,可以將資料加密以提高安全
性,加密是將資料以加密方法及加密金鑰轉換為『密文』
形式,是有效提高資料安全的方法。
 防火牆之功能是為阻止不符合預設規則之封包與應用,但
對於惡意的入侵行為或惡意軟體,則無法發揮其功能。
 入侵偵測系統 ( Intrusion Detection System; IDS ) 即是
為彌補防火牆之不足。
 入侵偵測系統之功能,即是對系統安全日誌、稽核資料或
其它網路上可以獲得的資訊進行研判,以辨別某些來源是
否對系統具有安全威脅或入侵企圖。
30
12.8 緊急事件準備
 系統遭受緊急事件時可能造成營運上的重大危害,甚至使
得系統完全停擺,所以必須在事先做準備工作,在事件發
生前做好萬全準備,如資料備援與回復流程等必須要列入
營運持續計畫中,這些備援與回復工作包含:
 資訊技術備援與回復
 基本設施備援與回復
 客戶服務備援與回復
 管理操作備援與回復
 重要營運訊息與文件備援與回復
 保險請求流程
31
12.8 緊急事件準備
 急事件準備之相關備援與回復,需要考量適當的商業流程,
也必須將回復速度、完整性與經費等列為考量因素。
 異地備援就是在第二地作資料備份,當原有營運處所的資
料遭受任何原因而毀損或消失時,異地備分可以馬上啟用。
 雖然緊急事件的發生使得系統暫時中斷營運,透過備援與
回復計畫之實施仍能提供客戶相當品質的服務,是營運上
重要的工作。
 事件發生後,在短時間內需要建立與組織基本的管理與操
作流程,因為沒有管理與流程,將使營運崩解,時間越長
越難回復,所以管理與操作流程也需要列為重要的工作。
32
12.9 災害復原計畫與營運恢復計畫
 美國職業安全與衛生管理部 ( The Occupational Safety
and Health Administration;OSHA ) ,規定有超過十個員
工的部門,都需要撰寫緊急計畫書。
 在災害復原計畫 ( Disaster Recovery Plan )中,最優先的
是要確保人員的安全。
 當災害的威脅已經過去,在可確保人員的安全時,組織必
須開始啟動營運恢復計畫。
 營運恢復計畫著重於當系統受到損害或混亂的衝擊時回復
營運機能,混亂的衝擊可能是一小段的時間,但無法立即
提供服務或正常功能,可能需要延誤相當的時間,所以需
要把衝擊降到最低,讓資源作最有效的利用,以便儘速恢
復正常營運。
33
12.10 測試、稽核、訓練與維護
 測試實施、測試劇情都要與營運持續計劃的流程相關,測
試對象包含每一個工作崗位上的員工,測試後需要撰寫測
試報告,並評估測試結果,以提供計畫作為改進。
 測試的第一步是定義測試的目標與範圍,測試必須依照環
境與設施,儘可能設計模擬真實狀況,測試必須要結構化,
並且可以估測,如此所得的測試結果才可以評估。
34
12.10 測試、稽核、訓練與維護
 測試的實施是一項挑戰,有些業務是不能中斷的,如:要
模擬當火災發生時業務中斷,因無法提供服務所造成的狀
況,但此種實際情況是無法模擬的,所以在模擬時,必須
要考量真實狀況的影響。
 另外模擬也需要全面化,必須要面對各種可能的狀況,至
少應包括以下各項:
 環境災害 ( 如水災、火災… )
 組織混亂 ( 如缺少某一單位、無主管人員 …)
 組織混亂 ( 如缺少某一單位、無主管人員 …)
 設備故障 ( 如主機故障、資料庫主機故障…)
 嚴重資訊安全事件 ( 如客戶資料被竊取…)
 在開始階段時,每一次測試只有一個單一事件,漸次地考
慮多項事件混合測試,將有更實際的狀況,然而也可能導
致難以分析與改進的困難。
35
12.10 測試、稽核、訓練與維護
 必須要確認由誰主導測試,由誰監控測試與誰是受測試人
員,測試結果需要包含測試問卷,問卷主要目的是要發現
計畫的缺點,作為日後之改進。
 此外,也需要訓練每一位員工使了解營運持續計劃,訓練
需要設定訓練之目標與對象,以及訓練之內容,然後準備
訓練教材,以便實施訓練。
 今日由於網路發達與各種惡意程式氾濫,甚至在個人的操
作環境,也有安全之疑慮,因此安全稽核更顯得重要。有
關安全稽核,可以遵循並接受安全稽核相關的標準,如
ISO 27001 、CobIT 等認證。
 為監督日常的系統操作,可以使用稽核系統或其它工具來
協助,例如:安全查核表、滲透測試、監視工具、以及檢
視系統紀錄、建構管理等。
36
12.10 測試、稽核、訓練與維護
 在資訊系統的安全還需要考量其它多方面的安全問題,例
如:存取控制、軟體發展與變更控管、系統軟體更新、權
限分割原則等。
 營運持續計劃是一項龐雜的工程,各部門的資料需要有專
責單位,負責自己單位的部分。為使資料達到一致性,每
年至少要定期維護一次,必要時也可不定期維護,並且發
展資料維護的流程,以保計畫能切實實施。
 此外,對於涉及到營運持續計劃的人員,都應告知其內容
與分派相關責任。
37