信息安全管理体系中的业务连续性管理信息系统的使用提高了***信息处理和业务运行的效率，正是由于信息系统的广泛使用，人们可以得到方便快捷的服务。这些信息系统一旦因为安全问题不能正常支持***的业务，整个***的业务必然会因此受到影响，从而造成利益的损失。由于企业对信息系统依赖度的逐步上升，特别是在***、电力、交通等行业中，信息系统的使用已经到了关系企业存亡的程度，这些信息系统一旦发生故障使得业务中断，其所造成的损失是难以估量的。根据市场调研公司StrategicResearchCorp的研究报告显示，证券业的业务每停顿1小时，平均损失将达到650万美元；ATM系统中断1小时，平均损失为1.45万美元；而行业的信息系统中断，平均每小时则高达8.4万美元。正因为业务连续性管理对***的业务和信息安全如此重要，而一旦发生业务中断所造成的损失又如此巨大，使得对业务连续性的关注已经成为信息安全领域关注的一大焦点。但如何来实施业务连续性管理方案，如何保证业务连续性管理方案的成功实施，成为客户所面临的挑战。一.建立包含业务连续性管理的信息安全管理体系***标准的***者BSI在信息安全管理标准BS7799中，建立了信息安全管理体系的模型，其中业务连续性管理（BCM）被作为一个重要部分包括在模型中。对于那些需要不间断地提供各种公共服务的企业来说，业务连续性管理已经成为信息安全管理体系中一个极为关键的内容。2006年，BSI又发布了一个新的标准BS25999-1—业务连续性管理***佳实践的征求意见稿，并且相应的认证标准也将出台。这对于公共基础设施的提供者，***、电信等信息时代的基础支撑行业来说，不但有了实践的指南还有了检验的标准。二.BCM的实施过程根据BSI的业务连续性标准，BCM的实施包括一系列企业管理行为，核心是制定并实施业务连续性计划。BCM的实施过程可以分为以下的六个步骤：启动项目、业务影响分析、确定***策略、编制业务连续性计划、测试与演练计划、维护与更新计划。其中，项目启动阶段的主要工作是为项目分配必需的资源和进行前期的准备工作。项目启动阶段所包括的主要工作有得到***层对项目的支持、明确项目实施的***结构和角色责任、为项目实施分***源、安排项目的实施进度与时间。在上述几个工作完成后，项目就可以进入下一个阶段——业务影响分析（BIA）。业务影响分析（BusinessImpactAnalysis，BIA）是实施BCM的关键性的***步。业务连续性管理必须努力考虑到所有可能发生的安全事故和灾难并对其潜在的损害做出估计，才能制定可行的控制策略以防备这些事故的发生，而这正是BIA所关注的方面。BIA阶段一般包括以下这些任务：确定关键业务功能和损失标准、确定***大容忍时间、确定***的优先顺序。确定***策略指的是确定和指导备用业务***运行策略的选择，以便在***时间目标范围内***业务和信息技术，并维持机构的关键业务。根据业界的实践，业务中断所造成的损失是随着中断时间的增大而大幅上升的，而***业务的费用则随着***时间的缩短而大幅上升。对于***来说，确定***策略的一个关键任务就是在业务中断时间和业务***费用间取得适当的平衡。业务连续性计划（BCP）样式有多种，但一般都包括以下内容：支持信息、通知/启动、业务***，以及业务复原。其中，支持信息部分提供了重要的背景或相关信息，使得BCP更容易被理解、实施和维护。通知/启动，一般也称为应急响应，定义了在探测到系统中断或紧急情况发生或即将到来时采取的初步行动。业务***集中于建立临时IT处理能力、修复原系统损害、在原系统或新设施中***运行能力的应急措施。在***阶段完成时，系统将可以运行并执行计划中指定的功能。业务***计划一般也被称为灾难***计划（DRP）。业务复原为业务运营复原原有场所或新建场所应采取的步骤在此加以说明。)