中培偉業IT常青樹專家組認為，應急響應管理與業務連續性管理是企業信息安全管控體系中的兩大領域，兩者既有區別又相互關聯。許多信息安全人員在認識上還存在一些誤區，容易混淆概念；同時，由于重點行業在監管方面對兩者都有相關要求，安全人員往往會感覺重復建設，疲于應對。本篇文章，中培偉業相關專家從應急響應和業務連續性管理的各自目標和工作內容談起，著重分析一下兩者的主要差異，并結合實踐對各自的關鍵管控點進行了說明。

信息安全應急響應

由于信息系統的復雜性和各種已知及未知威脅的不確定性，沒有任何一種信息安全策略及防護體系能確保企業的信息資源、信息系統及相關服務絕對不受損害，因此企業必須針對隨時可能發生的信息安全事件或疑似事件制定一套嚴謹周詳的應對策略和具體行動方案，最大程度的降低企業在安全事件中的損失。這也是中培偉業倡導的信息安全人員的核心工作內容之一。

管理目標：

及時發現可能對企業信息安全造成威脅的安全事態，確定是否需要將事態歸類為信息安全事件；

對已確定的信息安全事件進行評估，并以最恰當和最有效的方式做出響應，將信息安全事件對組織及其業務運行的負面影響降至最小；

及時總結信息安全事件及其管理的經驗教訓。

主要內容：

信息安全事件響應的工作可分為事前、事中、事后三階段：

事前：建立企業信息安全應急響應的總體策略并得到高級管理層的確認；構建信息安全應急響應組織并定義各自崗位職責；制定具體應急響應處置預案；組織相關人員定期對各預案進行演練；

事中：監控信息安全事態；對發生的安全事態進行分析，判斷是否可定性為信息安全事件；對安全事件進行分類、分級評估，啟用相應處置預案；隨時對安全事件的進展進行匯報；

事后：對安全事件進行總結，包括原因分析、處置過程評估、事件損失評估；對所發現企業信息安全防護體系中的漏洞和不足進行整改；安全事件若涉及非法犯罪行為應配合相關部門展開進一步司法調查。

業務連續性管理體系

業務連續性管理體系是一個涵蓋非常廣泛的概念，由業務連續性管理（BCM）、業務連續性規劃（BCP）、災備管理（DRP）等內容構成。其根本目的是使企業充分認識到自身業務面臨的各種風險，在突發情況特別是災難性事件發生時能防止或減少業務的中斷，確保企業關鍵的核心業務在可承受的范圍內維持最低限度的持續運行，盡一切手段縮短恢復時間，降低業務損失，減小企業內外部的負面影響。由于IT在企業中的重要性與日俱增，如何保證IT在災難性事件發生后繼續為業務提供持續的服務能力成為企業整體業務連續性管理中的核心內容之一，這需要IT人員和企業中其他人員緊密配合。對于IT人員及信息安全人員而言工作重心是業務連續性規劃和災備管理。

1 業務連續性管理體系總體架構

管理目標：

明確業務連續性管理范圍，識別企業關鍵性業務；

制定業務連續性計劃，在災難性事件發生后按計劃執行；

搭建恢復保障機制，包括建立、健全業務連續性管理機構、軟硬件設備冗余建設、災難恢復運行場所建設，并始終維持這些恢復機制的運行能力以保障其在需要時能夠及時啟用。

主要內容：

配合業務人員執行連續性規劃，包括制定業務連續性管理方針、明確業務連續性管理目標及范圍、搭建企業業務連續性管理組織架構，明確關鍵崗位職責；

針對企業業務內外部工作環境按場景預設進行風險分析，評估風險對業務的影響及發生的可能性

執行業務影響分析（BIA），識別企業關鍵業務、各業務的執行流程及所需的各類支撐資源，梳理各業務間的依存關系，明確災難發生后對各業務的恢復要求（RTO、RPO）；

明確開發業務連續性策略，重點是明確各業務的連續性保證優先級和恢復順序；

根據個業務RTO、RPO進行相關IT服務支撐建設并保持其有效運行；

制定詳盡的業務連續性計劃，對相關人員進行培訓，定期組織進行演練并對演練結果進行評估和分析；

災難性事件發生后按既定計劃執行，保證企業核心業務持續運行，待災難平息后進行恢復切換。

“應急響應管理與業務連續性管理”兩者的主要差異

通過上述簡析，大家可以看出“信息安全應急響應管理與業務連續性管理”都是企業解決突發信息安全事件的重要手段，兩者之間存在一定的聯系，這里重點討論兩者之間的差異如下：

首先，是針對突發場景不同。應急響應管理針對的常見事件場景，如：有害程序事件、網絡攻擊事件、設備故障事件、信息破壞事件等；業務連續性管理針對的災難性事件場景，如：特大型自然災害（地震、洪水、火山爆發……）、政治動亂、恐怖襲擊等。

其次，是事件造成的影響不同。災難性事件一旦發生后往往會對企業業務和IT運行環境造成大面積影響，甚至會直接導致正常業務的全面癱瘓，相對而言應急響應針對的事件所造成的影響多為局部的，直接受損對象是信息系統，業務雖也受影響但尚可運行。

再次，是恢復所需的資源不同。突發事件發生后直接受損的是企業的信息系統，應急處置以IT服務能力的恢復為主，IT人員、信息安全人員是處置恢復的絕對主力，一些較輕級別的應急響應處置甚至無需業務人員的參與配合，所需資源以各類IT資源為主；災難性事件對企業的影響是全方面的，恢復工作需要各部門通力配合，除IT資源外企業正常業務運行所需的其他各類資源在業務持續保障及災后重建過程中也必不可少。

最后，是處置手段及流程的不同。應急響應針對的事件場景特征明確，故制定的處置預案針對性很強，如主機系統應急預案、網絡應急預案。處置流程可詳細到軟硬件設備操作的具體執行步驟；業務連續性計劃面對的局面極其復雜，在災難場景下企業的運行環境往往需要進行遠距離的整體遷移，故業務連續性計劃常由一系列的子計劃，如IT應急計劃、危機溝通計劃、運輸保障計劃、場所應急計劃等構成，其著眼點在于各計劃間的整體性和一致性。

企業信息安全體系關鍵控制點

應急響應管理由來已久，各方面標準非常多，實際工作中也經常會遇到此類情況，信息安全人員對此一般都不陌生。而業務連續性管理是近十年來才在國內重點行業陸續提出，相關標準較少，由于其復雜性和影響范圍，實際啟用，可供參考的真實案例少之又少。另一方面重點行業對業務連續性管理的監管力度又在逐年加大，許多企業的信息安全人員對二者的區別和聯系深感困惑， 疲于應對。作為信息安全人員對應急響應和業務連續性管理，IT常青樹提示CIO應重點控制好以下幾點：

做好應急響應的事件分類、分級工作，可根據信息安全事件的來源和成因對事件進行分類，根據信息系統的重要程度、系統損失和社會影響對事件進行分級。

在安全事件分類、分級的基礎上針對不同的事件場景做好應急處置預案，預案必須在企業現有IT運行環境下制定，必須足夠詳盡，達到操作手冊的程度。

做好BIA分析，這是業務連續性管理的最顯著特征。業務連續性管理是針對企業業務層面的，BIA分析的重要產出就是識別各業務的重要性，明確各業務間的依存關系和所需資源，從而確定業務持續運行保障的優先級。BIA分析的另一產出物是各業務恢復的RTO、RPO，可作為應急預案處置目標的重要依據。

業務連續性管理一定要強調各部門的配合。無論在BIA分析過程中還是在實際業務連續性計劃啟用過程中，業務部門、各職能部門、IT部門一定要緊密聯動、通力協作才能保證業務連續性計劃的合理制定和順利執行。如果計劃中只有IT部門的參與，那一定不是業務連續性計劃。

如恢復場景條件相同，恢復的RTO、RPO目標相同，應急響應的各場景處置預案可作為具體的執行流程在業務連續性計劃執行部分被直接引用，無需充分開發。