【105缺失TOP10系列文章】業務永續運作與管理--陳偉嵩老師分享
在稽核的實務上,業務永續運作與管理(BCP),放在末端章節,意味著這一章將是作為單位對於ISMS 的維運成果,其中相關文件包含了業務永續運作與管理程序書、業務衝擊分析表(BIA)、演練計畫、演練紀錄等等,接著就來簡單由這幾份文件來說明業務永續作與管理這一章常看到的問題。
業務永續運作與管理程序書
程序書當然是一切ISMS的維運依據,但是通常程序書多半來自於輔導顧問的提供、其他單位的範本等等,但這畢竟只是個開始,面對程序書的內文,執行單位應逐條逐項的審視,評估條文內容與真實的操作層面是否有窒礙難行之處,方能透過討論,在控制項的要求下進行條文的修正,才能達到程序書與實務吻合的作業模式,而上述對於程序書內容的說明,建議維運ISMS 的單位都面對所有程序書都能透過以上的原則來修定程序書。
關於關鍵業務衝擊分析(BIA)
對於BCP的相關表單,首先登場的是BIA ,BIA 是整個BCP的核心內容,但經常看到單位對於BIA 的內容卻定義的相當簡單,關於BIA 內容的定義建議應完整涵蓋驗證範圍中可能產生影響單位業務正常運作的各個面向去定義,然後依照業務用續運作管理程序書內容之定義,將BIA 的各項業務依不同指標定義出高、中、低的重要性,而BIA 中常看到的三個重要指標有:復原時間目標(RTO)、復原時點目標(RPO)、最大可容忍中斷時間(MTPD),這三個時間值決定關鍵業務的重要性,以及單位將為此關鍵業務流程投入多少的成本。RPO的值代表當流程中斷時,資料回復的時間點,這個數值與該服務之資料備份原則相關。RTO是指該業務流程啟動災害復原計畫到回復必要運作所需之時間,MTPD則是指該業務流程可以中斷多久而不致影響企業整體運作。而上述三個時間指標經常是單位在不慎了解其定義的情況下,憑感覺定出了一個時間數字。一般來說RPO的值則應該與該業務流程的資料備份原則與備份設備相關, RTO應該是小於或等於MTPD的,而在教育單位的特性及有限資源下個人認為RTO幾乎等於MTPD,故在BIA列表中,僅取其一定義亦可接受。
以下以簡單的範例資料說明:
業務名稱
|
RTO(MTPD)
|
RPO
|
重要性
|
備註
|
網際網路服務
|
4
|
4
|
高
| |
校園網路服務
|
8
|
8
|
高
| |
主機群網路服務
|
8
|
8
|
高
| |
學籍系統服務
|
4
|
4
|
高
|
由上表資料可看出下面問題:
所有業務重要性都是高,似乎與RTO及RPO 數值無關,重要性如何定義?是由業務人員憑感覺定義?程序書應有明確定義。
學籍系統之RTO為4小時,但主機群網路服務RTO 為8小時,兩者之間的可用性似乎是有關連的,如此定義應有矛盾之處。
學籍系統的RPO定義為4小時,詢問備份原則為每日完整備份一次,每8小時進行一次差異備份,以目前的備份原則可能無法滿足定義內容。
網際網路的可用性要求居然高於校園網路,是偶會看到的定義結果,定義是否符合現況需求,則需進一步確認。
演練計畫及記錄
資訊服務面臨不同災害狀況所導致的服務中斷問題應該也不盡相同,故受稽單位於演練計畫撰寫時可將曾經發生過的服務中斷經驗納入,或是以不同的切入點來思考系統中斷的狀況,再透過實際演練內容,讓系統管理人員能親自參與故障排除的過程,如此才能達到演練的目的。演練的方式可透過紙本演練、模擬演練、實地演練三種模式進行,建議至少可透過模擬演練較能達到演練目的。多數大學每年均會於寒暑假期間進行全校性大規模的高壓電力保養其實是個人認為相當好的災害復原演練日,畢竟當天確定不需要對外提供資訊服務,不論模擬演練或實地演練都不會有過大的壓力,亦可於主要電力中斷供應的狀態下確認資訊機房內的各項環境支援系統之可用性與可靠度,例如:發電機多久會自行啟動、UPS電力供應時間,空調系統如何運作等等,若電力供應穩定,則可延續其他資訊服務的演練內容,均能規劃出不少內容精采之演練腳本。在查檢的過程中經常看到受稽單位的演練計畫出現每年只有時間及日期不同其餘內容相同的腳本、或是深度不足的腳本,如核心交換器之異常演練,多數單位有兩部核心交換器做備援,內容即敘述將一部路由器斷電而未影響網路,隨即再復電,即完成演練內容,都是應該盡量避免的演練腳本。演練後的檢討通常是單位所忽略的,當然演練內容規劃的越接近真實,所演練出來的結果才有參考依據,對於演練結果是否符合當初規劃的要求,是否應該為緊急狀況投入更多備用資源,是否應該修改程序書之定義,這些都可以在演練完成後進行討論與分析,有助於未來真實災害發生時的緊急應變,才能將災害對單位的持續營運影響降到最低。
總結
BIA的明確定義為整個BCP的關鍵因素,經常看到受稽單位最後定出的BIA只有僅僅三項或四項,試想整個學校資訊單位的關鍵業務豈止四項業務,完整的列處所有業務內容,才能協助單位做好業務永續運作與管理的相關工作,最後個人經常對受稽方提到一個重點,關於業務永續運作,業務負責人員在透過BIA評估、BPC演練、演練結果之檢討後,能夠更對此系統的安全維運與災害復原更充滿信心,而相關主管在看完演練報告後對單位資訊系統的持續營運能力能夠感到安心,如此整個業務永續運作與管理才算是成功。
亞洲大學 資訊發展處 陳偉嵩