CISP共有共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規五個知識類，希賽網CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

第四章：知識域：業務連續性

4.1知識子域：業務連續性管理

4.1.2業務連續性計劃

業務連續性計劃（Business Continuity Planning，BCP）是一套基于業務運行規律的管理要求和規章流程，能夠使一個組織在突發事件面前迅速做出反應，以確保關鍵業務功能可以持續，不造成業務中斷或業務流程本質的改變

如果連續性受到破壞，組織的業務過程停止，那么組織將執行災難恢復計劃（Disaster Recovery Planning，DRP）

BCP過程包括BCP的組織管理、業務影響分析、BCP的制訂及批準實施和BCP的評估及維護4個主要步驟

1.組織管理

BCP的組織管理應考慮理解業務組織、建立BCP團隊、評估BCP資源、BCP的合規性要求4個因素

（1）理解業務組織

（2）建立BCP團隊

（3）評估BCP資源

（4）BCP的合規性要求

服務級別協議（SLA）

2.業務影響分析

業務影響分析（Business Impact Assessment，BIA）

（1）確定業務優先級

為每項業務建立最大允許中斷時間（Maximum Tolerable Downtime，MTD）

自中斷開始，業務需要被恢復的最大期限

業務需要恢復到的最低水平

恢復到正常水平的時間跨度

MTD指的是某個業務功能出現故障但是不會對業務產生無法彌補的損害所允許的最大時間長度

在進行BCP制定時，MTD是需要重點考慮的

與之有關的還有另外一個度量標準，即恢復時間目標（Recovery Time Objective，RTO），它指的是當中斷事件發生時，可以實際恢復功能的時間量

BCP過程的目標是確保RTO小于MTD，即要求一個業務功能必須在最大容忍中斷事件內恢復

（2）風險分析

風險要素識別

可能性分析

考慮到計算的一致性，可能性評估通常采用年發生比率（ARO）表示，ARO反映了業務預期每年遭受特定災難的可能性

影響分析

（3）資產優先級劃分

3.BCP的制訂及批準實施

（1）BCP的制訂

信息安全風險的處置方式有4種，分別是風險降低、風險轉移、風險規避和風險接受

風險降低

在BCP中，需要重點保護的3個對象是人力資源、IT基礎設施和輔助性設施/場所

平均故障隔離時間（Mean Time Between Failure，MTBF）

平均修復時間（Mean Time To Repair，MTTR）

風險轉移

通過常規的保險或合同安排來實現風險轉移，或通過向第三方支付費用以其他方式處理風險

風險規避

風險接受

風險自留

（2）BCP文檔化

文檔化是BCP過程中的關鍵步驟，其文檔中應包含如下內容

BCP的目標

BCP團隊和高級管理層提出的BCP的目標

這些目標應當在第一次BCP團隊會議上或會議之前決定

職責聲明

每個參與BCP的人都應當將他們的職責以書面形式列出

優先級聲明

了解哪些是關鍵業務，哪些是次要業務極為重要

風險評估

BCP策略

關鍵業務記錄計劃

應急響應的指導原則

測試與演習

BCP文檔還應當闡述一個正式的測試計劃，以確保計劃是最新的，并且所有人員都接受了充分的培訓

（3）BCP的批準與實施

4.BCP的評估及維護

在更新BCP時，需要進行版本控制，所有舊的BCP版本都應該進行物理銷毀

注：以上內容來源于網絡，如有侵權，可聯系客服刪除