1 概述
业务连续性管理是信息安全很重要的一部分,在金融行业中尤为明显。本质而言,业务连续性管理是区别于信息安全的一个领域,但在实践中,又经常将业务连续性作为信息安全的一个控制域处理,如GB/T 22080—2016/ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系要求》中A.17所指出的那样,“业务连续性管理的信息安全方面”。这一点在国际标准化组织(ISO)的标准开发分类中也能看出来。例如,业务连续性的两个基础标准,都是ISO/TC 292(Security and Resilience)所发布的,如表1所示。
2 框架
图1 业务影响分析
恢复点目标(recovery point objective,RPO)是指为使活动能够恢复进行,而必须将该活动所用的信息恢复到某时间点。恢复时间目标(recovery time objective,RTO)事件发生后下列活动完成之间的时间段:产品或服务必须恢复,或资源必须恢复,或资源必须复原。RPO 和RTO 示意图,如图2所示。
图2 RPO和RTO示意图
图3 业务连续性管理的框架
3 标准
JR/T 0044—2008发布于2008年2月13日,自2008年2月13日起实施。目前仍为现行标准。灾难恢复能力等级分为1~6级,6级最高,这是在GB/T 20988—2007《信息安全技术 信息系统灾难恢复规范》中已经确定的。在JR/T 0044—2008中给出了更具体的RTO和RPO等参数要求。其架构大致如图4所示。
图4 JR/T 0044—2008的框架
JR/T 0207—2021发布于2021年2月7日,自2021年2月7日起实施。在JR/T 0207—2021中,“多活”和“多地理节点并行工作能力”是同义词,指的是信息系统利用两个及以上多地理节点部署的信息系统协同工作,实现业务并行多点接入、业务并行多点处理、数据并行多点存储的能力。当部分地理节点的信息系统发生灾难或故障时,只有部分业务受到影响,并且部署于其他地理节点的信息系统可以及时完成业务接管。JR/T 0208—2021发布于2021年2月7日,自2021年2月7日起实施。金融信息系统多活技术属于灾难备份的范畴,而灾难备份本身是网络安全/信息安全的控制域。JR/T 0209—2021发布于2021年2月7日,自2021年2月7日起实施。
JR/T 0209—2021结合多活技术的特性和金融信息系统的功能,将信息系统的应用场景分为流水型系统、账户型系统、计算型系统和查询型系统。对于不同应用场景多活技术的应用效果和应用策略存在差异,据此,JR/T 0209—2021中分别进行了描述。JR/T 0207—2021、JR/T 0208—2021和JR/T 0209—2021是系列标准。
4 小结
业务连续性管理与信息安全联系紧密,信息系统的业务连续性往往是业务连续性的前提,就框架而言,两者也基本是一致的。例如,无论是ISO/IEC 27001:2013还是ISO 22301:2019,都以PDCA为框架,因此存在良好的整合基础。组织在部署过程中,应该尽量将诸多管理系统整合在一起。
声明:文字来源于网络,仅以传递信息为目的,侵权请联系删除,谢谢!