信息技術在業(yè)務連續(xù)性中扮演著重要角色,宜專門設計相關的信息技術程序,以確保業(yè)務連續(xù)性運行的及時性和有效性。組織的業(yè)務連續(xù)性開發(fā)團隊中不可缺少負責信息技術的成員。
信息技術部門必須提供可將信息妥善有效存儲的保護措施,并對各種災害進行管理、防范并提供安全保護措施??刹捎玫姆椒òㄐ畔⒌亩ㄆ趶椭?,并將備份信息存儲于安全的另外一個地點。并且,宜對存放在該地點的數(shù)據(jù)進行定期測試,以確保其正確無誤。
ISO/IEC27001 標準提供了業(yè)務連續(xù)性的管理控制措施, 以下是業(yè)務連續(xù)性計劃(BCP)的相關因素:
業(yè)務風險及影響分析;
災害事件初始反應活動;
緊急事件和業(yè)務恢復過程管理程序;
各層級培訓計劃;
保持業(yè)務連續(xù)性計劃及時更新的程序。
業(yè)務連續(xù)性計劃宜定期演練,組織可以用以下問題進行BCP 的自查:
是否已制定確保信息連續(xù)性的書面計劃?
上述計劃是否每年進行更新和檢驗?
何時對計算機硬件、軟件或應用系統(tǒng)進行過重要的調整 或改變?
是否對用以備份的介質進行了定期測試?
是否對應用程序、應用數(shù)據(jù)和運行系統(tǒng)軟件進行了定期備份?
是否將該計劃和信息進行了異地備份?
一個組織在風險分析方面最先要做的事情就是明確組織能夠承擔哪種類型的風險(風險偏好) 以及風險的承受能 力,使組織的所有成員了解組織的“風觀”。這一點確定后,可采用一些工具或方法以確定風險等級并對識別出的風險進行管理。關鍵工具之一就是組織的控制措施。對于與薩班斯-奧克斯利法案相關的內容來說,組織的控制措施尤其重要。不僅在組織層面的財務控制要合規(guī),活動層面的財務控制也要合規(guī)。