CISSP-D1-安全与风险管理_脆弱性定义cia

CISSP-D2-资产安全
CISSP-D3-安全架构与工程
CISSP-D4-通讯与网络安全
CISSP-D5-身份与访问控制

D1：安全与风险管理

一、信息安全管理基础：D1-1～3

二、安全风险管理：D1-4～7

三、业务连续性管理：D1-8～10

D1-1 安全基本概念

1、安全的目标

• 防止安全事件，影响我们业务的机密性、完整行和可用性。采取措施保护信息系统、保护了业务的CIA为关键资产提供可用性、完整行和机密性（AIC三元组）保护，这三个目标也被称为CIA

2、安全的核心原则和定义

• 机密性（泄漏）
  对信息实施了必要的安全措施、阻止未授权的访问和泄漏，仅在授权个人和组织之间共享数据。
  在数据存储时、数据传输时以及数据到达目的地之后，保密性都应该发挥作用。
• 完整性（篡改）
  对信息实施了必要的安全措施，阻止为授权的篡改和泄漏，也包括信息的不可否认性和真实性。
  完整性指的是保证信息和系统的准确和可靠，并禁止对数据的非授权更改。（真是、完整、准确、可靠、可信）
• 可用性（破坏）
  对信息实施了必要的安全措施，使信息和系统能够被授权的实体可靠及时的访问到。
  可用性保护确保授权的用户，能够对数据和资源进行及时的和可靠的访问。
  应该采取必要的保护措施来消除来自内部或者外部的威胁，这些威胁会影响所有业务处理元素的可用性极工资效率。

3、安全相关的概念和术语

• 脆弱性
  指系统中允许威胁来破坏其安全性的缺陷。它是一种软件、硬件、过程或者人为缺陷。可能是：服务器上运行的某个服务、未安装补丁的应用程序或操作系统、没有限制的无线访问点、防火墙上的某个开放端口、服务器和工作站上为实施密码管理。
• 威胁
  指威胁主体利用脆弱性而来的任何潜在危险。
• 风险
  指威胁主体利用资产上的脆弱性而产生可能的响应业务影响。
• 暴漏
  指造成损失的实例。
• 控制和对策
  指能够消除或者降低潜在风险。对策的例子包括强密码、防火墙、保安、访问控制机、加密和安全意识培训。

4、安全相关的控制措施

• 三种类型
  • 管理控制：通常是面向管理的，经常被称为“软控制”。安全稳当、风险管理、人员安全和培训都属于管理控制。
  • 技术控制：也称为逻辑控制有软件和硬件组成，如防火墙、入侵检测系统、加密、身份识别和认证机制。
  • 物理控制：用来保护设备、人员和资源，例如：保安、锁、围墙和照明都属于物理控制，
• 七种功能
  • 预防性： 用于避免意外事件的发生。
  • 检测性： 用于帮助识别意外活动和潜在入侵者
  • 纠正性： 用于意外事件发生后修补组件或者系统。
  • 威慑性：用于威慑潜在的攻击者
  • 恢复性：用于使环境恢复到正常的操作状态
  • 补偿性：用于提供可替代的控制方法。
  • 指引性：依据说明进行执行

D1-2 安全治理、安全计划和框架

1、什么是安全治理

• 管理VS治理
  管理：管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动；———> 强调的是一个过程活动。
  治理： 治理是或公或私的个人或者机构进行经营、管理相同事物的诸多方式的总和。是为了达到同一目标，所设计和实施的一套信息安全解决方案，强调是多方面的协调。协调：管理层、安全专家、其他业务人员。
• 三个治理概念
  • 企业治理：是一套程序、惯例、政策、法律及机构，影响着如何带领、管理及控制公司。
  • IT治理：是一种引导和控制企业各种关系和流程的结构。这种结构结构安排旨在通过平衡信息技术及其流程中的风险和收益、增加企业价值，实现企业目标。
  • 安全治理：与企业治理和IT治理密切相关。而且经常交织在一起。安全治理目标是为了保障业务的连续性和向更好的方向发展。

2、企业管理层在安全治理方面关注的内容

• 设定安全策略和安全战略的方向
• 提供安全活动资源
• 指派管理责任
• 设定优先级
• 支持必须的改变
• 定义与风险评估相关的企业文化
• 关注内外部的审计，以此获得保障
• 坚持对安全投资进行度量，并且积极听取安全项目有效性的汇报

3、安全专业人员在安全治理方面管制的内容

• 要认识到：
  1. 组织的愿景、任务和目标
  2. 组织在其生命周期中的安全问题
  3. 企业中相关的安全角色和责任
  4. 企业的信息安全策略
  5. 法律法规和道德
• 开展工作：
  1. 建立完整、有效的安全规划
  2. 开发和执行信息安全策略
  3. 建立业务连续性和灾难恢复计划
  4. 进行人员安全管理
  5. 开展信息安全风险管理

4、如何建立安全管理计划

• 为什么要做：安全管理计划能够确保安全策略的适当创建、实现和实施。安全管理计划必须得到高级管理者的支持和批准。
• 编制元素：
  1. 定义安全角色
  2. 规定如何管理安全性、谁负责安全性极如何测试安全性的效力
  3. 开发安全策略
  4. 执行风险分析
  5. 以及要求对员工进行安全教育
• 如何做：要建立流程
  1. 公司安全的使命和目标
  2. 安全体系总体框架
  3. 安全现状
  4. 关键举措和重点工作
  5. 实施策略选择
  6. 工作计划
  7. 建设实施
  8. 安全运营和持续改进（PDCA）

5、常用的安全框架有哪些

• 企业架构
  • Zachman
    Zachman框架是一个二维模型，6个W和6个角色
  • TOGAF
  • SABSA
• 安全控制架构
  • COBIT5
  • COSO
  • NIST SP 800-53
• 安全管理架构
  • ISO/IEC 27000系列
• 安全流程管理架构
  • ITIL
  • CMMI

D1-3 安全策略体系和安全人员管理

1、理解安全策略基本概念

• 什么是安全策略
  安全策略是高级管理层制定的一个全面声明，它规定安全在组织内所扮演的角色。
  安全策略可以是组织化策略、针对特定问题的策略、陈队系统的策略
• 安全策略有些什么特征
  • 业务目标促进策略的定制、实现和执行。
  • 组织化策略应当是一份易于理解的文档，为管理员和所有员工提供参考。
  • 应当开发和用于讲安全整合到所有业务功能和过程中
  • 应当源于并支持适用于公司的所有法律法规
  • 应当随公司的发展变化进行审核和修订
  • 组织化安全策略的每次更迭都应当注明日期，并在版本控制下进行
  • 受策略监管的部门和个人必须能够产看适用于他们的策略内容
  • 策略表述的专业水平能够强化其重要性以及遵守的必要性
  • 策略中不应包含任何人都无法理解的言语
  • 定期对策略进行审核，并根据自上一次审核和修订以来发生的事故加以改编。
• 常见的安全策略有哪些
  • 风险管理策略
  • 脆弱性管理策略
  • 数据保护策略
  • 访问控制策略
  • 业务连续性策略
  • 日志聚集和审计策略
  • 人员安全策略
  • 物理安全策略
  • 安全应用程序开发策略
  • 变更控制策略
  • 电子邮件策略
  • 时间响应策略

2、掌握安全策略的分层模式和内容

• 战略目标
  安全策略｜安全方针

• 战术目标

  • 标准
    指强制性的活动、动作或者规则，它可以为策略提供方向上的支持和实施。

  • 基线
    指一个用于在将来变更时进行比较的时间点，基线可以产生一致的参考点。

  • 指南
    是在没有应用特定标准时向用户、IT人员、运营人员及其他人员提供建议性动作和指导操作。

  • 详细措施

    为了达到特定目标而应当执行的详细的分步骤的任务

3、了解重要的安全角色及其责任

• 高级管理者
  高层管理者对安全解决方案的总体成败付有责任，并且负责对组织机构建立安全性予以适度关注并尽职尽责

• 安全专家
  保证安全性，包括定制和实现安全策略

• 数据所有者

  是层级较高的、最终负责数据保护的管理者

• 数据管理员

  通过执行所有必要的措施为数据提供适当的CIA三元祖保护，并完成上层管理者委派的要求和责任

• 用户

  具有安全系统访问权限的任何人。最小特权原则，了解组织的安全策略，并遵守规定的操作过程，在已定的安全参数内进行操作，以便维护安全策略。

• 审计人员

  负责测试和认证安全策略是否被正确实现一机衍生的安全解决方案是否合适。

4、理解应尽关注和应尽职责的概念

• 应尽关注：指合适和合格的人在同一情况下采取预防措施。例如忽略安全警告并点击恶意网站的人则会违反应尽注意，关注执行。
• 应尽职责：在某人的力所能及的情况下，来防止安全事件的发生，这方面份例子将是制定适当的策略，研究威胁并将其纳入风险管理计划中，并确保在适当的时候进行审计。

5、掌握人员在入职、在职和离职的相关安全管理

• 入职/转入重要岗位
  • 背景检测
  • 保密协议
• 在职
  • 职责分离
  • 工作轮换
  • 强制度假
  • 须知原则
  • 最小特权原则
  • 保密协议
  • 非竞争协议
  • 监控
• 解雇
  • 必须在一名经理或者保安的监督下离开公司
  • 上交必备物品
  • 禁用网络工具和账号

6、法律、合规和道德

7、GRC：风险和安全治理和合规形成的一定关系

D1-4 安全风险管理概述

1、安全风险管理的内涵

• 信息安全管理的核心就是安全风险管理
  • 安全已成为一个商业问题，但商业运作的目的在于盈利，而不只是确保安全。
  • 虽然今天安全已经非常重视了，但焦点更多是放在应用程序、设备、协议、病毒和黑客行为上。
• 对于以一个信息安全专家来说。理解风险这个概念是非常重要的。大多数安全人员工作的目标最终都要归结到风险管理。然而很多安全人人员不能很好的理解风险管理和相关原则，而片面的去关注于病毒、漏洞和黑客攻击方面。
• 对于安全专家来说。理解风险的本质尤为重要。他们必须了解如何计算风险。并将其转换成公司应对安全风险的推动力。
• 安全专家必须在理解了企业的业务目标和任务，并且采取措施处置风险。保障企业的业务目标和任务的达成。

2、风险的定义

• 在信息安全领域，风险（Risk） 就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。风险=影响*可能性
  我们为风险给出的定义是：威胁主体利用脆弱性对资产造成伤害的可能性以及导致的业务影响。风险=威胁X脆弱性X资产

• 为了缓解风险，我们必须采取措施减低威胁、脆弱性，时风险降低到我们可以接受的水平。

• 我们要理解风险构成的元素（威胁、脆弱性和资产）以及他们之间的关系。

  

3、安全概念和术语

• 资产

• 资产价值

• 威胁

  • 任何肯能发生的、为组织或某种特定资产带来所不希望的或不想要结果的事情都被称为威胁。

• 脆弱性

  • 资产中的弱点或者防护措施/对策的缺乏性被称为脆弱性。

• 暴露

  • 暴露是指由于威胁而容易造成资产损失，†脆弱性会被或将被威胁主体或威胁事件加以利

    用的可能性是存在的。暴露并不意味着实施的威胁（造成损失的事件）实际发生（暴露给己实施的威胁

    称为经历的暴露），而仅仅是指如果存在脆弱性并且威胁可以利用脆弱性，·那么就有可能发生威胁事

    件或出现潜在的暴露。

• 风险

  • 风险是某种威胁利用脆弱性并导致资产损害的可能性，是对可能性、概率或偶然性的评估。

• 防护措施

  • 防护措施或对策是指能消除脆弱性或对付一种或多种特定威胁的任何方法
  • 防护措施可以是通过消除或减少组织内任何位置的威胁或脆弱性来降低风险的任何行为或产品。
  • 防护措施是削弱或消除风险的唯一方法。

• 攻击

  • 攻击指的是威胁主体对脆弱性的利用。

• 破坏

  • 破坏是指发生安全机制被威胁主体绕过或阻挠的事情。

4、风险管理（Rish Management）

• 识别风险
  漏洞扫描=识别漏洞、验证漏洞、漏洞高危级别

• 评估风险
  影响*可能性=风险的大小

• 风险处置：采取措施将风险减少到维持可以接受的水平

  建立防护体系

D1-5 风险评估和处置

1、了解风险评估的目标

• 识别资产和它们对于组织的价值
• 识别脆弱性和威胁
• 量化潜在威胁的可能性及其对业务的影响
• 在威胁的影响和对策的成本之间达到预算的平衡

2、了解风险评估的一般方法

• NIST
  NIST风险管理方法主要关注计算机系统和IT安全问题，它是一个只关注企业运营层面而不是较高战略层面的方法。

• FRAP
  既便利的风险分析过程（Facilitated Risk Analiysis Process）。这种定性方法的核心是只关注那些的确需要评估以降低成本和时间的系统。这种方法强调对活动进行筛选。从而只对最需要进行风险评估的项目进行评估。

• OCTAVE
  操作的关键威胁、资产和脆弱点评估

• AS/NZS 4360
  采取了一种更广泛的方式来进行风险管理。

• ISO/IEC 27005
  国际标准。规定在ISMS框架内如何进行风险管理。侧重IT和较软的安全问题（文档、人员安全和培训等）

• FMEA
  失效模式和影响分析是一种确定功能、标识功能失效并通过结构化过程评估失效原因和失效影响等方法。它常用于产品研发和运营环境中。其目标是标识最容易出故障等环节。之后或者修复故障或者实施控制以将定瓜故障等影响。

• CRAMM
  中央计算和电信机构风险分析与管理方法。英国创建、其自动化工具由西门子公司负责销售。该方法分为3个不同的阶段：定义目标、评估风险和标识对策。

3、理解威胁和脆弱性之间的关系

• 威胁主体利用脆弱性对资产造成伤害的可能性以及导致业务的影响。

4、掌握定量风险评估和定性风险评估的方法

• 定量分析

  • 定量分析使用风险计算来预测经济损失的程度以及每种威胁发生的可能性和影响。
  • 最常用的公式是单一损失期望（single loss expectancy，SLE）和年度损失期望（annual loss expectancy，ALE）。
  • SLE=资产价值*暴露因子（Exposure Factor，EF）
  • 例如，如果某个数据仓库的资产价值为150000美元，发生火灾后，该数据仓库大约有25% 的价值遭到破坏，那么SLE 就是37500 美元。资产价值（150000）* 暴露因子（25%）=37500
  • ALE= SLE*年发生比率
  • 年发生比率（ARO）表示一年时间内发生特定威胁的预计频率。该值的范围可以是从0.0 （不发生）到1.0 （一年一次）乃至大于1 的数字（一年若干次）之间的任何值。例如，如果数据库发生火灾并造成损坏的概率是十年一次，那么ARO值是0.1。因此，如果公司的数据仓库设施发生火灾可能造成37500 美元的损失，发生火灾的频率即ARO值为0.1 （表示10 年发生一次），那么ALE 值就是3750 美元（37500 * 0.1 = 3750）。
  • ALE值告诉该公司，如果想采取控制或防护措施来阻止这种损失的发生，那么每年就应当花费3750 美元或者更少的费用来提供必要的保护级别。了解某个风险的实际发生可能性以及威胁可能造成的损失金额是非常重要的，这样我们就能够知道应该花多少钱首先保护资产不受威胁。如果公司每年花费超过3750 美元来保护自己不受该威胁的影响，那么是没有什么商业价值的。

• 定性分析

  • 定性缝隙将考察各种风险可能发生的场景，并基于不同的观点对各种威胁的严重程度和各种对车的有效性进行等级排列
  • 定性分析技术包括判断、最佳时间、直觉和经验。
  • 收集数据的定性分析的技术实例有Delphi、集体讨论、情节串联、焦点群体、调查、问卷、检查表、单独会谈以及访谈，风险分析团队将决定对需要进行平贵的威胁所使用的技术已经在分析中融入的公司和个人文化元素

• 定量分析和定性分析的对比

  • 定量方法的缺点
    计算更具复杂。管理层能够理解这些值是曾某计算出来的嘛？
    没有可利用的自动化工具。这个过程需要手动完成
    需要做大量基础性工作，以收集与环境相关的详细信息
    没有相应的标准。每个供应商解释其评估过程和结果的方式各不相同
  • 定性方法的缺点
    评估方法及结果相对主管
    无法成为成本/收益分析建立货币价值
    使用主管很亮很难更总风险管理目标
    没有相应的标准。每个供应商解释其评估过程和结果的方式各不相同

5、理解风险处置的基本概念

• 基本方式

  • 转移
    如果公司觉得风险或者剩余风险太大，无法承担，那么可以够买保险，也就是将风险转移给保险公司。
  • 规避
    如果公司决定终止引入风险的活动，那么这种行为成为风险规避。
    例如：即时通信（IM）工具节能带来与这种技术相关的许多风险，停止IM服务就是风险规避的示例
  • 缓解
    就是风险被降地至可接受的级别，从而可以继续开展业务。
    安装防火墙、进行培训以及部署入侵检测保护系统，这些都是电信的风险缓解方式。
  • 接受
    这意味着公司理解自己所面临的风险级别以及风险带来的潜在损失，并且决定在不采取任何措施对策的情况下接受风险。
    在成本/收益率表明采取对策的成本超过千载的损失价值时，许多公司都会接受风险。
  • 威慑
  • 拒绝
    不是一种正常的风险处置方法。是一个伪概念、错误的

• 一个公司实现安全对策的原因是将整体风险降低到一个可接受的级别

• 剩余风险和总风险

  • 威胁 $\times$ 脆弱性 $\times$ 资产价值 = 总风险
    （威胁 $\times$ 脆弱性 $\times$ 资产价值）$\times$ 控制间隙 = 剩余风险
    总风险 - 对策= 剩余风险

  • 剩余风险与总风险不同。总风险指的是公司在不实现任何防护措施的情况下所面临的风险，如果成本/收益分析结果表明最好不采取任何措施，那么组织就可以选择接受总风险。例如。如果公司的web服务器发生问题的可能性很小。而且提供更高级别的保护所需要点成本将会超过该风险造成的潜在随时。那么公司就会选择不实现防护措施，从而承担了总风险。

D1-6 威胁建模和风险管理框架

1、理解威胁建墓的基本概念

• 威胁建模是潜在威胁被识别、分类和分析的安全流程。威胁建模在设计和开发过程中，可以作为一种积极主动的措施执行。而产品一旦被部署。就会被作为一种被动措施，在这两种情况下，流程会识别潜在危害。发生的概率、问题优先级以及消除或减少威胁的手段。

2、为什么要做威胁建模

• 威胁建模的主动方式发生于系统开发的早期阶段，特别是在初始设计和规范建立阶段。这种类型的威胁建模也被称为防御方式。这种方式基于编码和制作流程中，并对威胁和预测和特定防御进行设计。而不是依靠部署之后对更新或者打补丁，大多数情况下集成安全解决方案更符合成本效益，比后面硬塞的方案更成功，遗憾的是并不是所有的文写都可以在设计阶段预测出来 所以仍然需要被动的威胁建模来解决不可预见的问题。
• 威胁建模不仅仅服务与风险评估工作，它还让组织了解潜在的可能领域。

3、威胁建模并不意味着是一个单独的事件

4、掌握识别威胁的方法

5、建模方式

• 使用结构化的方法来识别威胁

  • 关注资产 这种方法使用资产的估值结果，并试图识别对于宝贵资产的威胁
  • 关注攻击 一些组织能够识别潜在的攻击者，并能够基于攻击者的目标识别它们所代表的威胁
  • 关注软件 如果一个组织开发了一个软件，则可能会考虑针对软件的潜在威胁

• 关注软件的方式：微软STRIDE威胁分类方案

  • 电子欺骗（Spoofing）
    通过伪造身份获得对目标系统访问的攻击行为。电子欺骗可以用于IP地址，MAC地址、用户名、系统名称、无线网络名称、电子邮件地址以及许多其他类型的逻辑标识。

  • 篡改（Tampering）
    任何对数据进行未授权的更改或者操纵的行为，不管是传输中的数据还是被存储的数据，使用篡改来伪造通讯或改变静态信息，这种攻击是对完整性和可用性的侵害。

  • 否认（Repudiation）

    用户或攻击者否认执行了一个动作或行为的能力，通常攻击者会否认攻击，以便保持合理的推读，从而不为自己的行为负责，否认攻击也可能会导致无辜的第三方应为安全违规而收到职责。

  • 信息披露（Information disclose）
    将私人、机密或者受控信息接露，传播给外部或未授权的实体的行为。信息披露可以利用系统设计和实现错误，如未能删除调试代码、留下实例应用程序和账户、未对客户端可见内容的编程注释进行净化或将过于详细的错误消息暴露给用户。

  • 拒绝服务（Dos）
    指攻击试图阻止对资源的授权使用。这可以通过缺陷开发、连接重载或者流量泛滥实现。DoS攻击并不一定会导致对资源的完全中断；而是会减少吞吐量或者造成延迟，以阻碍对资源的有效利用。要从永久Dos攻击中恢复过来，将需要进行完整的系统修复和备份恢复。

  • 权限提升（Elevation privilege）
    此攻击是指有限的用户账号被转换成拥有更大特权、权利和访问权的账户，这可能会通过盗窃或者开发高级账号（管理员或者root账号）凭证来实现

• 关注资产的方式：OCTAVE

6、了解用图来确定和标识攻击的方法

• 数据流图表有助于详述商业人物、开发流程或者工作生活中每个元素风功能和目的细节。

7、了解威胁消减分析的方法

• 信任边界
• 数据流路径
• 输入点
• 特权操作
• 安全立场和方法细节

8、了解威胁优先级和响应的概念

• 使用概率$\times$ 潜在损失的排名技术能产生一个代表风险严重性的编号。
• 高/中/低评级。高中低评级流程更加简单
• DREAD系统评级，基于对每种威胁的5个主要问题的回答
  • 潜在披怀
  • 再现性
  • 可利用性
  • 受影响用户
  • 可发现性

9、了解什么是风险管理框架

• 风险管理框架（RMF）将风险管理、风险评估等方面融合成一个可操作的、结构化的流程。
• NIST SP 800-37 RMF概述了六个步骤：
  • 信息系统的分类
  • 安全控制的选择
  • 安全控制的实现
  • 安全控制的评估
  • 信息系统的授权
  • 安全控制的监管

D1-7 法律法规、采购中的风险和安全教育

1、法律分类

• 刑法
• 民法
• 行政法

2、知识产权

• 版权
• 商标
• 专利权
• 商业秘密
• 许可证

3、其他法律和法规

• 计算机出口控制
• 加密产品出口控制
• 隐私法
• 支付卡行业数据安全标准
• ISC2的道德规范

4、采购中的风险

• 规划
• 合同
• 监控和接受
• 后续跟进

5、信息安全培训和教育

• 同雇员交流与安全相关的问题
• 让每名雇员都了解安全对于整个公司和个人的重要性
• 安全培训3中受众：
  • 管理层
  • 职员
  • 技术人员

6、将风险管理应用到供应链：合同、SLA

D1-8 业务连续性计划概述

1、业务连续性管理：业务连续性与灾难恢复的相关概念

• 为什么要做：某种事件迟早会应为蒙混过关二造成负面影响
• 业务联系性计划（BCP）
  • 概念：涉及到对组织各种过程的风险评估。还有在发生风险的情况下为了使风险对组织的影响降至最小程度二制定的各种策略、计划和措施。保障业务持续运行进行的一系列的动作，当灾难出现业务依旧连续运行，管理角度。
  • 预先计划过程：
    • 出现紧急情况时提供即时和适当的应对措施
    • 保护生命和确保安全
    • 减少对业务的影响
    • 恢复关键业务功能
    • 与外部供应商和合作伙伴一起完成系统恢复工作
    • 在灾难时减少混乱
    • 确保企业的生存能力
    • 在灾难发生后迅速“启动并运行”
• 灾难恢复计划（DRP）
  • 如果连续性受到破坏，业务过程就会停止。并且组织进入灾难模式；此时系统将采取灾难恢复计划。技术角度。

2、行业最佳实践和标准

• NIST SP 800-34
• ISO/IEC27031:2011
• ISO 22301:2012
• DRI国际协会的业务连续性规划人员专业实践最佳实践和框架
• （ISC）2定义的业务连续性计划过程

3、BCP和企业安全计划的关系

• BCP应该是企业安全计划和业务决策的一部分
• 是“团队的一部分”，且最终责任术语高级别管理层
• BCP计划需要是一个活跃的实体。应当持续改进
• 建立和维持BCP要由管理层提供支持

D1-9 业务连续性计划组成项目

1、BCP团队

• 业务连续性协调员
• BCP委员会
  • 业务部门
  • 高级管理人员
  • IT部门
  • 安全部门
  • 通信部门
  • 法律部门

2、BCP的初始过程

• 在BCP流程开始之前。应当准备好预算和工作人员
• 给BCP协调员和组织中各个功能模块的代表分配责任和义务
• 高级管理层在组织会议上表现初高度的支持
• 组织宣传活动，让员工都知道BCP计划并建立内部支持
• 为支持BCP工作建立技能培训工作
• 从整个组织开始收集数据，以帮助制定各种连续性选项
• 把工作放到可立竿见影的举措上

3、项目范围

• BCP应该能对高层组织的要求和分配给他们的资源进行评估
• 在BCP开始之前应该了解公司业务的重点和方向
• 将BCP计划按部门分成多个部分
• 把组织中一些难以完成的部分排除到BCP范围之外

4、资源要求

• BCP开发阶段
• BCP测试、培训和维护阶段
• BCP实现阶段

5、BCP连续性计划编制

• 策略开发
• 预备和处理
• 计划和批注
• 计划实现
• 培训和教育

D1-10 业务影响评估

1、业务影响评估（BIA）

• BIA确定了能够决定组织持续发展的资源，以及对这些资源的威胁。并且还评估每种威胁实际出现的可能性以及出现的威胁对业务的影响
• 定量决策
• 定性决策

2、BIA的步骤

• 选择单个的人员进行访谈以完成数据收集
• 创建数据手机技术方法（调查、问卷、定性和定量方法）
• 确定公司的关键业务能力
• 确定这些功能依赖的组员
• 计算没有这些资源可以生存多久
• 确定这些功能的漏洞和所面临的威胁
• 计算每个不同业务功能的风险
• 将发现结果形成文档并报告管理层