本文为挪威船级社DNV大中国区ICT技术经理李艳杰在“ 2009北京信息安全与业务连续性管理峰会”的主题演讲——《抵御信息化风险，护航业务连续性》。
　　大家下午好，感谢主办方上海信息化培训中心，很荣幸参加今天的Future S中国管理论坛，由我代表DNV做一个案例分享。我们从信息安全开始讲，我们知道信息安全是在05年引入到我们国内之后，现在叫ISO27001这个标准，现在在国内的客户通过认证现在已经达到了182家，是有91家是通过DNV认证的。分享一下ISO20000，ISO20000从引入到现在的发展，在国内通过拿到证书的有34家，其中有15家是通过DNV的认证。我们看一下现在的信息安全的状况，大家都很明确的知道一个问题，信息安全如果出现问题，管理不善占62%，人才缺乏占20%，技术不过关仅仅占25%。看现在单位采用解决安全问题的手段，技术占第一位，恰恰很在意这15%，而没有注意管理问题，这是我们企业安全现状的很明确的反映。有一些单位实施管理与技术相结合的策略。有57%的单位单纯使用技术手段，先上一个技术或者工具，这样就觉得问题可以解决了。有27%以技术为主有简单策略，有9%什么都不做。有8技术和策略均衡。
　　我们看一下引发安全问题的主要原因，第一知道管理不善，解决安全问题有效手段是什么?技术的方式，但如果把流程，比如策略再加上技术再加上人员管理会比单纯的采取技术好很多。我们介绍实施的状况是技术为主、管理很弱。为什么有这样的状况，和企业的实际状况有很大的关系。我们对外以技术为主，对内以管理为主，为什么?对外我们没有办法管理，我们希望和外界有很明确的接口，外界威胁也没有办法，来源外部的威胁我们没有办法界定，所以我们采用技术的方式。但对内好的多，因为内部人员归我们企业自己管的，我们是希望通过内部的职责权限有一个明显的分工和界限，规避信息风险。这里我不给大家做详细的介绍了。
　　这个例子我们大家都知道，现在想想，我们采取什么方式才能本这个问题规避了，我们看一下答案，第一个，如果我们在项目验收的时候把出事设定的密码改变了，会不会有这样的问题?不会发生。第二我们每天都做日志的检查或者分析日志，如果每天都做这样的事情也不至于，而且由于自己的失误被发现的。信息安全角度来讲，不用想是多少高深的事情，从我们管理制度中，我们只要注意了，这个事件就可以避免。我们看第二个事件，其实在任何一个公司，比如我们有研发人员存在，有机房、系统等等，人员管理主要是测试服务器，这是很正常的状态。我们看看这个公司怎么操作的。服务器管理人员告诉探班人员他就在机房里，你去拿就好了。机房人员就说这个服务器不是要借给我用的么?所以他重新启动，导致了系统被格式化了，整个系统瘫痪。这也是信息安全的案例，我们想想怎么规避这个问题?这里给大家了答案，第一服务器所在的机架号非常明确的话会不会有这个问题?第二个，如果我们服务器有这样的开机口令会不会有这样的问题?第三服务器有光驱或者不允许光盘引导会不会有这样问题?最后己方是不允许其他人进入的或者由管理人员陪同。事实上我们系统的不可用往往由于人员的管理上的疏忽和失误造成的。我们最后看一个案子，就是ERP的系统，ERP系统是工厂、政府部门都在采用ERP系统，我们看一下比如录入数据的时候，这就是实际的案例，输入数据的时候多输入一个零，半个月以后这个问题就体现出来了，直接损失达到了3000万，当然这个企业的声誉也影响。如果ERP系统有一个预警功能会不会有这样的问题?或者我们回头再看一下会不会有这样的问题。信息安全信息安全，讲的就是三新CIA，只要把三信分出来用在管理、日常工作中，会不会有这样的问题?所以我简单的举了这三个例子，不用举多少高深的例子，其实就知道我们有很多工作需要做的。
　　这导致了信息安全体系作用非常明显，在事前起到预防，事中记忆相应，事后要做纠正措施，纠正措施做到什么程度呢?在信息安全事故中学习，这就是自我评判的过程，它和业务相结合，作为我们长期运作的经验去实施。在中国的发展趋势，我们现在在做这个体系，ISO27001、ISO20000、BS25999怎样融合也是我们面临的问题。我们信息安全考量的是两大重点，第一有好的框架我们采取的是BCM业务持续管理，还有一个好方面，基于风险的管理。这是国外的同事给我们传来的新闻，一个系统中断了导致多少电话线中断，这个中断导致了这个公司索赔额达到2500欧元。我们看一下如果作为医院系统油田告诉你数据丢了，你所有数据都没了，你会有什么想法?是不是这个医院太不值得信任了，连我最基础的数据都丢了。确实有这样的状况，而且这只是一个小偷的行为，但报警系统确实失效了，这就是我们日常的检查，报警系统多久检查一次。我们有没有演练、演习，只有发生状况的时候才知道系统失效了。
　　我们看一下导致业务连续性中断的事件，一个是技术 ，比如说毒气泄露，大家知道东京地铁站的毒气泄露。还有地震、爆炸、洪水等等，比如去哪个网站一直连不上去，这也是导致业务连续性的问题，方方面面的，我们想一个企业现在存活很不容易，在这个环境里生存，自然的天灾人祸方方面面的会导致业务连续性中断的问题我们都要注意。如果业务中断，业务连续性管理包括业务持续性管理，这需要我们要做的，我这里给大家画了一下业务连续性管理的核心元素，首先建立一个业务连续性框架，首先做一些业务连续性策略、计划、策略、演练。在这个核心元素里有三方关系非常重要，一个是业务影响分析，一个是业务连续性策略和业务连续性计划。你会考虑到什么情况下会影响我的主业绩的中断，这里我们会有一个策略，我们会反映到业务连续性计划里，在这个计划里有一个组织架构或者逃生的方案或者有一个恢复方案，这个恢复怎么做，由什么情况下才能起动，这都在整个的业务连续性里有描述.
　　这是建议业务连续性管理的步骤，首先确立BCMS务范围，先确定BCM策略，还有做业务连续性大家要知道，针对关键性业务的，而不是所有业务都有，这是确定范围的时候要去做的事情。在影响和分析里面，要确定关键活动中断会影响到哪些业务和客户，还有最大的容忍时间是多少，恢复的目标是多少和风险分析和风险评估，最主要的目的是把风险降低减轻。接下来将要做BCM策略，我们一定要知道业务优先级，最重要的放在最前面，次要放到后面解决。还有实施目标的BC方法，这个文件不仅仅给策略人员看的，而是要给大家看的，所以告诉什么方法、级别、操作步骤，就非常重要。接下来是响应计划，我们刚刚也说有一个响应结构，然后怎么去做，如果计算机中毒了第一件事情是什么?肯定是把网线断了，不要影响其他人，所以这里要有第一步做什么第二步做什么，越详细越好。接下来是业务的计划，津津有响应计划还不足够，为什么?就像前面的医院的消防报警失效了，就是因为可能也会有这样的响应计划但没有做演练，这个计划要去策划、定期演练，有问题的话需要在下阶段改进。还有最重要的一点是要把你的思路、想法告诉所有人，一般我们要做培训，最后还要维护。你保护业务连续性的系统要实时关注它，拿出来做演练、影响分析，每年关键业务可能都不是特别一样，比如今年有一个新的项目出来，这时候就需要把计划重新调整。
　　这里列了一下时间轴，响应时间永远要记住影响最小、反映最快，在这时候也是我们要做的。接下来看是否起动业务连续性计划，什么时候起动要有一个起动点的，起动之后要做哪些工作，一个是要修复遭到破坏的系统、软件，比如我做了保险，可能还要进行索赔，这也是业务连续性管理的一部分。最后我们要去做恢复，不仅仅是关键业务的恢复，刚刚讲了，在业务响应计划一定要有优先级，但把最优先的业务恢复起来一定不是最终目标，最终目标是恢复到正常运营的环境。这是BCM生命周期，有六大原数，第一个最重要的是和组织文化相融合，第二是理解组织的业务、文化等等。接下来要薛定BCM策略，如果定下来之后要去实施，在过程中要做演练、维护、检查、评审，这是业务连续性里实施整个过程中不得不去做的事情。最终达到的目的是业务连续性管理，客户方面考虑的话是我们可以提供持续性服务和产品，我不会出现任何重大安全事件、重大灾难性事件，如果这个城市有地震或者洪水的问题的时候，我的另外一个城市的

灾备

中心可以同时响应

企业

。我们看一下有效的BCM程序结果，可以识别保护关键产品和服务，也可以增强组织自身的管理，能达到股东的满意，当然通过响应事件的培训，会逐渐的让所有员工知道，万一一件事情发生怎么响应，最终符合法律法规要求，保护企业的荣誉。
　　不知道在座各位对DNV有多少了解，我在这里介绍一下DNV，DNV成立于1864年，总部在挪威，是一个基于全面风险管理和专业认证的机构，DNV是第三方的独立基金会组织，所以不是盈利的公司。在中国DNV是第一个获得英国UKAS认证的，可以进行ISO27001的认证，在中国现在是唯一经过CNCS认可的，可以合法在中国从事ISO27000的认证，第一张BS7799证书也是DNV办法的，第一张ISO20000是颁给了

华为

，我们在07年4月组织了一次BS7799的课。上海总部在虹桥办公，这是挪威的总部。非常感谢大家跟我分享。

本文为挪威船级社DNV大中国区ICT技术经理李艳杰在“ 2009北京信息安全与业务连续性管理峰会”的主题演讲——《抵御信息化风险，护航业务连续性》。
　　大家下午好，感谢主办方上海信息化培训中心，很荣幸参加今天的Future S中国管理论坛，由我代表DNV做一个案例分享。我们从信息安全开始讲，我们知道信息安全是在05年引入到我们国内之后，现在叫ISO27001这个标准，现在在国内的客户通过认证现在已经达到了182家，是有91家是通过DNV认证的。分享一下ISO20000，ISO20000从引入到现在的发展，在国内通过拿到证书的有34家，其中有15家是通过DNV的认证。我们看一下现在的信息安全的状况，大家都很明确的知道一个问题，信息安全如果出现问题，管理不善占62%，人才缺乏占20%，技术不过关仅仅占25%。看现在单位采用解决安全问题的手段，技术占第一位，恰恰很在意这15%，而没有注意管理问题，这是我们企业安全现状的很明确的反映。有一些单位实施管理与技术相结合的策略。有57%的单位单纯使用技术手段，先上一个技术或者工具，这样就觉得问题可以解决了。有27%以技术为主有简单策略，有9%什么都不做。有8技术和策略均衡。
　　我们看一下引发安全问题的主要原因，第一知道管理不善，解决安全问题有效手段是什么?技术的方式，但如果把流程，比如策略再加上技术再加上人员管理会比单纯的采取技术好很多。我们介绍实施的状况是技术为主、管理很弱。为什么有这样的状况，和企业的实际状况有很大的关系。我们对外以技术为主，对内以管理为主，为什么?对外我们没有办法管理，我们希望和外界有很明确的接口，外界威胁也没有办法，来源外部的威胁我们没有办法界定，所以我们采用技术的方式。但对内好的多，因为内部人员归我们企业自己管的，我们是希望通过内部的职责权限有一个明显的分工和界限，规避信息风险。这里我不给大家做详细的介绍了。
　　这个例子我们大家都知道，现在想想，我们采取什么方式才能本这个问题规避了，我们看一下答案，第一个，如果我们在项目验收的时候把出事设定的密码改变了，会不会有这样的问题?不会发生。第二我们每天都做日志的检查或者分析日志，如果每天都做这样的事情也不至于，而且由于自己的失误被发现的。信息安全角度来讲，不用想是多少高深的事情，从我们管理制度中，我们只要注意了，这个事件就可以避免。我们看第二个事件，其实在任何一个公司，比如我们有研发人员存在，有机房、系统等等，人员管理主要是测试服务器，这是很正常的状态。我们看看这个公司怎么操作的。服务器管理人员告诉探班人员他就在机房里，你去拿就好了。机房人员就说这个服务器不是要借给我用的么?所以他重新启动，导致了系统被格式化了，整个系统瘫痪。这也是信息安全的案例，我们想想怎么规避这个问题?这里给大家了答案，第一服务器所在的机架号非常明确的话会不会有这个问题?第二个，如果我们服务器有这样的开机口令会不会有这样的问题?第三服务器有光驱或者不允许光盘引导会不会有这样问题?最后己方是不允许其他人进入的或者由管理人员陪同。事实上我们系统的不可用往往由于人员的管理上的疏忽和失误造成的。我们最后看一个案子，就是ERP的系统，ERP系统是工厂、政府部门都在采用ERP系统，我们看一下比如录入数据的时候，这就是实际的案例，输入数据的时候多输入一个零，半个月以后这个问题就体现出来了，直接损失达到了3000万，当然这个企业的声誉也影响。如果ERP系统有一个预警功能会不会有这样的问题?或者我们回头再看一下会不会有这样的问题。信息安全信息安全，讲的就是三新CIA，只要把三信分出来用在管理、日常工作中，会不会有这样的问题?所以我简单的举了这三个例子，不用举多少高深的例子，其实就知道我们有很多工作需要做的。
　　这导致了信息安全体系作用非常明显，在事前起到预防，事中记忆相应，事后要做纠正措施，纠正措施做到什么程度呢?在信息安全事故中学习，这就是自我评判的过程，它和业务相结合，作为我们长期运作的经验去实施。在中国的发展趋势，我们现在在做这个体系，ISO27001、ISO20000、BS25999怎样融合也是我们面临的问题。我们信息安全考量的是两大重点，第一有好的框架我们采取的是BCM业务持续管理，还有一个好方面，基于风险的管理。这是国外的同事给我们传来的新闻，一个系统中断了导致多少电话线中断，这个中断导致了这个公司索赔额达到2500欧元。我们看一下如果作为医院系统油田告诉你数据丢了，你所有数据都没了，你会有什么想法?是不是这个医院太不值得信任了，连我最基础的数据都丢了。确实有这样的状况，而且这只是一个小偷的行为，但报警系统确实失效了，这就是我们日常的检查，报警系统多久检查一次。我们有没有演练、演习，只有发生状况的时候才知道系统失效了。
　　我们看一下导致业务连续性中断的事件，一个是技术 ，比如说毒气泄露，大家知道东京地铁站的毒气泄露。还有地震、爆炸、洪水等等，比如去哪个网站一直连不上去，这也是导致业务连续性的问题，方方面面的，我们想一个企业现在存活很不容易，在这个环境里生存，自然的天灾人祸方方面面的会导致业务连续性中断的问题我们都要注意。如果业务中断，业务连续性管理包括业务持续性管理，这需要我们要做的，我这里给大家画了一下业务连续性管理的核心元素，首先建立一个业务连续性框架，首先做一些业务连续性策略、计划、策略、演练。在这个核心元素里有三方关系非常重要，一个是业务影响分析，一个是业务连续性策略和业务连续性计划。你会考虑到什么情况下会影响我的主业绩的中断，这里我们会有一个策略，我们会反映到业务连续性计划里，在这个计划里有一个组织架构或者逃生的方案或者有一个恢复方案，这个恢复怎么做，由什么情况下才能起动，这都在整个的业务连续性里有描述.
　　这是建议业务连续性管理的步骤，首先确立BCMS务范围，先确定BCM策略，还有做业务连续性大家要知道，针对关键性业务的，而不是所有业务都有，这是确定范围的时候要去做的事情。在影响和分析里面，要确定关键活动中断会影响到哪些业务和客户，还有最大的容忍时间是多少，恢复的目标是多少和风险分析和风险评估，最主要的目的是把风险降低减轻。接下来将要做BCM策略，我们一定要知道业务优先级，最重要的放在最前面，次要放到后面解决。还有实施目标的BC方法，这个文件不仅仅给策略人员看的，而是要给大家看的，所以告诉什么方法、级别、操作步骤，就非常重要。接下来是响应计划，我们刚刚也说有一个响应结构，然后怎么去做，如果计算机中毒了第一件事情是什么?肯定是把网线断了，不要影响其他人，所以这里要有第一步做什么第二步做什么，越详细越好。接下来是业务的计划，津津有响应计划还不足够，为什么?就像前面的医院的消防报警失效了，就是因为可能也会有这样的响应计划但没有做演练，这个计划要去策划、定期演练，有问题的话需要在下阶段改进。还有最重要的一点是要把你的思路、想法告诉所有人，一般我们要做培训，最后还要维护。你保护业务连续性的系统要实时关注它，拿出来做演练、影响分析，每年关键业务可能都不是特别一样，比如今年有一个新的项目出来，这时候就需要把计划重新调整。
　　这里列了一下时间轴，响应时间永远要记住影响最小、反映最快，在这时候也是我们要做的。接下来看是否起动业务连续性计划，什么时候起动要有一个起动点的，起动之后要做哪些工作，一个是要修复遭到破坏的系统、软件，比如我做了保险，可能还要进行索赔，这也是业务连续性管理的一部分。最后我们要去做恢复，不仅仅是关键业务的恢复，刚刚讲了，在业务响应计划一定要有优先级，但把最优先的业务恢复起来一定不是最终目标，最终目标是恢复到正常运营的环境。这是BCM生命周期，有六大原数，第一个最重要的是和组织文化相融合，第二是理解组织的业务、文化等等。接下来要薛定BCM策略，如果定下来之后要去实施，在过程中要做演练、维护、检查、评审，这是业务连续性里实施整个过程中不得不去做的事情。最终达到的目的是业务连续性管理，客户方面考虑的话是我们可以提供持续性服务和产品，我不会出现任何重大安全事件、重大灾难性事件，如果这个城市有地震或者洪水的问题的时候，我的另外一个城市的

灾备

中心可以同时响应

企业

。我们看一下有效的BCM程序结果，可以识别保护关键产品和服务，也可以增强组织自身的管理，能达到股东的满意，当然通过响应事件的培训，会逐渐的让所有员工知道，万一一件事情发生怎么响应，最终符合法律法规要求，保护企业的荣誉。
　　不知道在座各位对DNV有多少了解，我在这里介绍一下DNV，DNV成立于1864年，总部在挪威，是一个基于全面风险管理和专业认证的机构，DNV是第三方的独立基金会组织，所以不是盈利的公司。在中国DNV是第一个获得英国UKAS认证的，可以进行ISO27001的认证，在中国现在是唯一经过CNCS认可的，可以合法在中国从事ISO27000的认证，第一张BS7799证书也是DNV办法的，第一张ISO20000是颁给了

华为

，我们在07年4月组织了一次BS7799的课。上海总部在虹桥办公，这是挪威的总部。非常感谢大家跟我分享。