目前，沒有比疫情更好的理由來制定業務連續性(BC，Business Continuity) 計劃。對于組織而言， BC 計劃表明該組織致力于保護業務并保持其運營，盡可能避免發生破壞性事件。

從審計的角度來看，BC 計劃對于執行審計控制越來越重要。內部和外部審計師比以往更熟悉BC計劃和DR計劃，因此對于 IT領導者來說，必須認識到重要性。

經驗表明，制定BC和DR計劃會增加組織從破壞性事件中成功恢復并恢復運營的可能性。只需知道在緊急情況下該做什么就可以大大提高組織成功恢復的機會，在應對 IT 基礎架構中斷時尤其如此。

什么是 IT 業務連續性計劃?

業務連續性(BC，Business Continuity)計劃與災難恢復(DR，Disaster Recovery) 計劃的不同之處在于BC側重于保護整個組織，將 IT 作為關鍵的支持資源，而 DR 計劃通常側重于保護整個 IT 基礎架構。

BC 計劃有幾個輸入，可提供有關業務運作方式的數據。其中包括業務影響分析 ( BIA )、風險分析和已確定為關鍵任務的業務元素的恢復策略定義。

BC 計劃中有什么?典型的 BC 計劃包括以下內容：

• 關于 BC 計劃的目的、范圍和目標的聲明;
• 確定組織的關鍵任務業務活動;
• 如果無法履行這些職能，可能會給組織帶來損失;
• 關鍵功能的風險、威脅和脆弱性以及防止其發生的措施;
• 應對破壞性事件和恢復關鍵功能的策略和程序;
• 重要的內部和外部聯系人的聯系人列表，即供應商和政府機構;
• 關鍵記錄的清單，例如客戶記錄、硬拷貝文件和法律文件，以及它們的存儲位置;
• 關鍵業務資源的庫存，包括辦公設備、家具和系統;
• 搬遷到其他空間時典型辦公區域的平面圖;
• 繼任計劃，以確保經過適當培訓的員工能夠接替因健康、假期等原因無法工作的員工的職責;
• 與媒體打交道的預案;
• 與銀行、保險公司和公用事業等關鍵組織互動的程序;
• 響應事件初始階段的預案，也稱為事件響應;
• 從事件響應過渡到業務恢復的程序;
• 將員工從災難模式轉變為商業模式的程序;
• 確保 IT 資源正常運行的程序;
• 恢復正常業務運營的程序;
• 準備總結從事件中吸取的教訓的事后報告的程序。

BC 計劃的衡量指標

IT 基礎架構是大多數業務關鍵功能的基礎，因此在制定 BC 計劃時，IT 應該做的第一件事就是映射技術資源和業務功能之間的關系。BIA 最重要的輸出之一是識別支持關鍵任務功能的 IT 資源，因為它產生了兩個指標：恢復時間目標 ( RTO ) 和恢復點目標 ( RPO )。

• RTO ：定義了在組織遭受損失之前禁用特定業務功能所需的最長時間。對于 IT 而言，這意味著在業務受損之前禁用特定系統和資源的最長時間。RTO 和 RPO的一般經驗法則是：時間框架越短，實現該指標的潛在投資就越大。
• RPO ：對當前數據、數據庫和其他資源的最后備份時間而言也很重要。例如，客戶個人數據可能對組織的業務至關重要。此類數據應比其他資源更頻繁地備份，并確保可以維持低 RPO(即 1 小時或 5 分鐘以下)需要投資于更復雜的數據鏡像或復制技術，以及增加數據存儲容量。

BC相關的標準和規范

下表列出了一些較相關的 ISO 標準。適用的法規將取決于個別公司及其服務的行業。例如，銀行和金融部門都有解決 BC 和彈性問題的法規。這些組織可以決定遵守那些特定的基準來代替全球標準。關鍵目標是實現并證明符合一項或多項相關標準和法規。

下表是由許多組織制定的美國標準、法規和良好實踐的部分列表，其中包括 ASIS International、國家消防協會、聯邦金融機構考試委員會、ISACA、金融業監管局、聯邦緊急事務管理局和 NIST . Disaster Recovery Journal不斷更新其普遍接受的 BC 實踐，而NIST 特別出版物 800 系列標準是 IT 指導的良好來源。

實現符合 BC 和彈性標準的步驟

以下步驟說明了公司如何實現和證明合規性，通過表明組織如何滿足特定標準規定的要求的文件來確認合規性。大多數標準被組織成章、節、小節和其他大綱格式。公司可以通過選擇特定部分然后描述如何實現合規來簡化流程。

1. 獲得管理層的批準以開始標準合規流程，并說明合規將如何使組織受益。

2. 建立一個團隊，包括多個相關部門的代表，例如 BC/彈性、風險管理、IT、行政、財務、內部審計和人力資源。

3. 研究相關標準、法規和良好實踐文件，并確定哪些文件與組織最相關。獲取這些文檔的當前版本。

4. 向團隊成員簡要介紹所選標準，以便他們對要求有基本的了解。如果可能，請在內部審計上投入更多時間，因為實際上它可能是最終評估和證明已實現合規性的單位。

5. 如果內部審計無法參與合規活動，請考慮與外部專業人員簽約。尋找已通過特定 BC/彈性標準(例如ISO 22301:2019 )審核員認證的供應商。提供此類認證的兩個組織是國際災難恢復研究所和國際組織彈性聯盟。或者，檢查 BC 咨詢公司，看看他們是否有獲得標準審核員認證的員工。

6. 將所選標準映射到現有的 BC/彈性計劃，并確定哪些計劃不合規。

7. 制定計劃以更新 BC/彈性計劃以解決不合規問題，并執行該計劃。

8. 安排內部審計或有經驗的第三方評估修訂后的 BC/彈性計劃，并確認不合規問題已得到解決。向高級管理層簡要介紹該評估的結果，并詢問他們是否希望進行正式的合規審計。

9. 如果高級管理層需要，安排正式審計。該審核的結果將正式記錄對相關標準和法規的遵守情況。

一旦認為組織已實現其目標，執行定期評估和/或審計以確保保持合規性。

ISO 22332 標準

2021 年 5 月，ISO 發布了 ISO 22332:2021 安全性和彈性，業務連續性管理系統，制定業務連續性計劃和程序以解決此問題的指南。新標準是 ISO 223XX 系列 BC 標準的一部分。

ISO 22332:2021 標準來自較早的標準，例如ISO 22301:2019安全性和彈性，業務連續性管理系統ISO 22313:2020 安全性和彈性，業務連續性管理系統ISO 使用指南22301，并擴展了 BC 計劃的細節。

ISO/TS 22332為規劃和制定政策、戰略和程序提供指南和框架，以幫助準備和管理受事件影響的人員。包含以下內容：

• 活動前準備：意識、需求分析以及學習和發展。

人員流程的一個關鍵部分是了解您的組織及其人員。這可以與人力資源部合作完成，因為它擁有最詳細的員工信息。ISO/TS 22330:2018 業務連續性標準為上述活動提供了指導，并可用作清單以確保現有的BC/DR 計劃更詳細地解決人員問題。在上述問題中，需求分析可能是最重要的。在這里您可以檢查員工的家庭成員和有特殊健康要求的員工等問題。您提前了解潛在的員工問題越多，您的恢復可能就越好，尤其是從人員的角度來看。

• 響應階段：處理事件的直接影響。

當面臨緊急情況時，人們會以不同的方式做出反應。這就是為什么在選擇應急響應團隊成員時，重要的是要記住，人們在面對真正的緊急情況時可能會以完全不同的方式做出反應，而不是在他們參加培訓演習時。在演習中，人們可能會冷靜地、完全掌控地履行職責。然而，在現場活動中，這些人可能會僵住并沒有反應，或者可能會驚慌失措并盡快逃離現場。在真正的事件發生之前，幾乎不可能知道人們會如何反應。這是定期舉行 BCDR 計劃演練和應急響應計劃演練的一個很好的理由。

• 恢復階段：在活動期間管理人員。

注意到人們應對緊急情況的上述現實，ISO/TS 22332 提供了如何處理各種情況的指南。這些可能包括員工受傷時該怎么做，如何幫助對事件有創傷反應的員工以及如何與家人和其他人溝通。雖然每個破壞性事件都不同，但對人們的影響是一項重大挑戰。

• 修復階段：恢復正常營業后對員工的持續支持。

即使災難已得到解決并已投入資源以幫助加快恢復正常業務，仍可能需要做更多工作來幫助員工。受傷的員工及其護理需要得到解決。情緒不佳的員工可能需要咨詢和專業幫助。這些和其他類型的活動后活動在新標準中得到解決。

ISO 22332 建議組織在三個層面制定 BC 計劃：

• 戰略計劃提供了組織在破壞性事件期間必須采取的步驟的高級視圖。
• 戰術計劃涵蓋 BC 計劃響應活動的整體管理和執行。
• 運營計劃基于部門級別，并圍繞特定業務單位要求設計，如制造設施或實驗室以及各個行政部門。

ISO 22332 標準還涉及 BC 計劃的組成部分：要執行的程序或行動;文件和文件控制指南;計劃維護;意識和培訓;并計劃監測和審查活動。

例如，標準的第 7 節“業務連續性計劃和程序的內容”提供了 BC 計劃的基本大綱，從目的、目標和假設開始。然后，它提供了典型 BC 計劃中涉及的關鍵活動的詳細信息，包括以下內容：

• 激活和組建BC團隊;
• 定義團隊角色;
• 確定活動期間要執行的任務;
• 與其他計劃鏈接，例如技術 DR 計劃;
• 與各種玩家交流;
• 擱置計劃;
• 建立聯系信息;
• 分發計劃。

其他標準涵蓋準備 ISO BC 計劃的基本活動，例如業務影響分析和風險分析。一個相對較新的標準 ISO 22331:2018 安全性和彈性——業務連續性管理系統——業務連續性戰略指南解釋了組織在制定 BC 計劃時必須解決哪些業務戰略。

應用 ISO 22332 標準

ISO 22332 的目的是確定應包含在計劃中的活動，通常按發生的邏輯順序進行。雖然組織可以將這些 BC 活動納入計劃，但計劃的作者必須制定所涉及的具體分步程序。

該標準為 BC 計劃提供了熟悉的結構，并且有時將某些活動(例如管理媒體)分組到其他活動桶中。然后，計劃作者的工作就是決定是否需要將標準中嵌入的活動分解為單獨定義的操作。

兩種特殊情況 ISO 22332

ISO 22332 標準包括對兩種常見災難情景的指導：流行病和網絡攻擊。由于新冠持續影響以及網絡和勒索軟件攻擊的增加，該標準的第 8 節提供了管理這兩種情況的步驟。

下圖中的框架描述了 ISO 22332 標準如何定位于實現組織和運營彈性。

該標準確定了組織為實現響應、恢復、恢復和恢復的 BC 目標而應執行的活動。彈性組織執行這些活動是為了有效地適應和處理可能威脅業務流程、人員、技術和設施的破壞性事件。

如何達到 ISO 22332 的合規性

ISO 22301 標準通常用作審核 BC 計劃時的基準，因為它確定了進入 BC 計劃的許多控制活動。ISO 22332 提供了有關計劃內部內容和結構的附加信息，并且可以在準備 BC 計劃審核時作為補充控制文件。

組織還可以使用 ISO 22332 來評估現有 BC 計劃的內容完整性。當使用這兩個標準作為審核的一部分時，基本審核結構使用 ISO 22301，每個審核類別中的細節使用 ISO 22332。

FFIEC 業務連續性手冊

美國聯邦金融機構審查委員會的 2019 年版業務連續性管理手冊可以作為幫助指導金融和非金融組織的 BC 計劃的工具。在準備業務連續性審計時，本手冊為各種審計活動提供了詳細指南。

2019 年版的聯邦金融機構考試委員會 (FFIEC) 手冊中有四個附錄。這與包含 10 個附錄的 2015 年版業務連續性規劃相比大幅縮減。FFIEC 將其中許多附錄納入了整個手冊文本，但關于考試程序的附錄 A 在 2019 年手冊中完好無損。這些指南與準備業務連續性審計有關。

如果一個組織不在金融市場并且不受 FFIEC 審查，業務連續性管理仍然可以作為一個有用的指南。遵循手冊中的程序可以確保業務連續性活動符合一般標準，并為意外審計做好準備。

業務連續性審計

在進行業務連續性審計之前，組織必須采取一些準備步驟。如果使用業務連續性管理作為指南，手冊的附錄 A 將作為這些審計活動的基礎。

組織可以將附錄 A 中的幾乎每個項目都視為審計要求，因此需要收集信息。基于手冊本節的重要預審核活動包括：

1. 確定要審核的內容。

2. 收集相關文檔，例如計劃、報告、業務影響分析 (BIA)、風險評估、政策和程序以及事后報告。

3. 確定將參與審計以回答審計員問題并提供額外信息的主題專家。

4. 確定沒有證據的領域，或者收集有用的證據，或者準備解釋為什么沒有證據。

5. 準備一個會議室或其他安靜的區域供審核員工作。這可能包括電話、白板、鉛筆、鋼筆和紙片，以及足夠的桌子空間和椅子。

十三個目標包括業務連續性管理附錄 A 中描述的檢查程序。這些目標可以構成業務連續性審計的基礎。非金融行業可能會發現某些程序比其他程序更適用，但仍應能夠在手冊提供的指導下形成可靠的審計計劃。

目標 1：確定考試的適當范圍和目標。本節查找各種文件和報告、在開始審計之前與高級管理層面談的結果，以及新威脅和漏洞的識別。

目標 2：確定董事會和高級管理層是否促進業務連續性的有效治理。這部分需要證明高級管理層和董事會在業務連續性中的作用、其支持水平及其對 BC 計劃的承諾。

目標 3：確定董事會和高級管理層是否使用審計或其他獨立審查職能來檢查和驗證 BC 計劃。

這個目標決定了以前的業務連續性審計活動(如果有的話)以及活動的結果。

目標 4：確定管理層是否制定了適當且可重復的BIA 流程。

該目標尋找業務影響分析發展的證據，以及結果是否用于改進 BC 運營。

目標 5：確定管理層是否進行風險評估。

該目標尋找風險評估的證據，以識別和減輕潛在的風險、威脅和漏洞。

目標 6：確定組織的風險管理策略是否旨在實現彈性。

在這個目標中，審計人員將在組織內尋找彈性和可恢復能力的證據，例如多個數據中心、多個辦公室、基于云的數據備份和各種技術控制，以確保關鍵系統得到保護。

目標 7：確定組織的 BC 計劃是否包括通信協議。

該目標尋找與各種政府和非政府組織(例如監管機構、執法部門、應急響應人員以及州和地方政府機構)進行定期溝通的證據。

目標 8：評估組織的企業范圍 BC 活動的適當性。

該目標詳細介紹了 BC 計劃的各個要素，以確保它們是完整的，并為各種活動提供程序。

目標 9：確定 BC 計劃是否包括培訓和宣傳活動。

審核員將尋找應急小組成員、正式員工和高級管理人員培訓計劃的證據。他們還將尋找計劃的證據，以使員工了解 BC 計劃的重要性及其在計劃中的角色。

目標 10：確定演練和測試計劃足以使管理層對組織能夠實現其 BC 目標感到滿意。

在此目標中，審計師將檢查演習和測試活動的證據、演習后報告以及演習結果已導致整體 BC 計劃改進的證據。

目標 11：確定管理層是否持續衡量 BC 計劃的進展和評估其有效性，并使用這些信息來改進 BC 過程。

該活動檢查管理層是否審查和更新 BC 計劃，以使該計劃與當前的業務運營保持一致。它還尋找有助于維護和改進 BC 計劃的活動的證據。

目標 12：確定董事會已建立對業務連續性管理報告的期望。

該目標驗證高級管理層期望定期報告 BC 計劃活動，例如人員配置的變化、BIA 和 RA 的更新以及最近的演習結果。

目標 13：討論糾正措施并交流調查結果。

作為最終目標，此步驟涉及報告審計發現、實施糾正措施的計劃以及準備工作底稿，包括包含所有審計發現和分析的文件。

FFIEC vs ISO 22332

從根本上說，這兩個文件都提供了業務連續性管理系統 (BCMS) 或計劃組成部分的詳細概述。ISO 標準更高級別，因為它指定了 BCMS 的要求，而聯邦金融機構檢查委員會 (FFIEC) 標準為準備 BC 計劃提供了更多可操作的細節。ISO 標準適用于所有類型的業務，而 FFIEC 標準針對銀行和其他金融機構進行了優化，盡管它也可以有效地用于非金融應用。

參考資料：

·https://www.techtarget.com/searchcio/tip/Everything-CIOs-need-to-know-about-IT-business-continuity-plans

·https://searchcompliance.techtarget.com/tip/Use-ISO-22332-to-improve-business-continuity-plans?

·https://www.techtarget.com/searchdisasterrecovery/tip/Use-disaster-recovery-standards-to-guide-pandemic-planning

·https://searchcompliance.techtarget.com/tip/Understanding-BC-resilience-standards-and-how-to-comply

·https://www.techtarget.com/searchdisasterrecovery/tip/Prepare-for-a-business-continuity-audit-with-the-FFIEC-handbook?