Overview Domain 6 : Business Continuity and Disaster Recovery P.20

Summary - Tổng kết hoàn thành kiến thức lĩnh vực Business Continuity and Disaster Recovery của CISSP

Mặc dù Business Continuity Planning thường có độ ưu tiên thấp trong hầu hết các tổ chức ngày nay, nhưng điều đó không có nghĩa là nó không quan trọng và không thiết yếu ! Thật không may, vì lý do chủ quan khiến cho nhiều tổ chức đã phải trải qua thảm họa một cách hết sức đau đớn.

Để phát triển và thực hiện Business Continuity hiệu quả thành công, việc lập kế hoạch, thời gian, và tất cả các nỗ lực phải đi vào nhiều giai đoạn khác nhau. Các mối đe dọa thực sự phải được xác định, các biện pháp đối phó hợp lý cần phải được triển khai, các kế hoạch chi tiết cần phải được vạch ra.

Quick Tips :

•  Business Continuity Plan (BCP) cung cấp các Procedures chi tiết nhằm đảm bảo Critical Business Functions luôn luôn được duy trì và giúp giảm thiểu thiệt hại đến tính mạng, operations và systems.

•  BCP cung cấp procedures cho Emergency Responses, Backup Operations và Post-Disaster Recovery.

•  BCP nên mở rộng phạm vi đến toàn bộ tổ chức (enterprisewide), mỗi đơn vị mỗi bộ phận có Continuity và Contigency Plans chi tiết của riêng mình.

•  BCP cần prioritize - ưu tiên Critical Applications và cung cấp một trình tự (sequence) phục hồi hiệu quả.

•  BCP đòi hỏi sự support của Senior Management để bắt đầu kế hoạch (initiating plan) và nhận phê duyệt cuối cùng (final approval).

•  BCPs có thể nhanh chóng bị out-up-date do việc thay đổi nhân sự, tái cơ cấu tổ chức và undocumented changes - những sự thay đổi không được ghi chép lại.

•  Các nhà lãnh đạo điều hành có thể sẽ phải chịu trách nhiệm nếu như BCP không được phát triển hoặc không được sử dụng.

•  Threats có thể là Natural, Manmade hoặc Technical.

•  Steps of Recovery Planning : Initiating Project - Bắt đầu dự án; tiến hành Business Impact Analyses; Phát triển Recovery Strategy; Phát triển Recovery Plan; Triển khai, testing và maintaining the Plan.

•  Giai đoạn Project Initiation liên quan đến việc : nhận support của Management, phát triển scope cho Plan, đảm bảo kinh phí và nguồn lực.

•  Business Impact Analysis là một trong những Steps đầu tiên quan trọng nhất, trong quy trình phát triển kế hoạch. Qualitative và Quantitative Data cần phải được thu thập, phân tích, được giải thích và được trình bày đến Management.

•  Business Case cần phải được trình bày để nhận được sự hỗ trợ của lãnh đạo. Điều này được thực hiện bằng cách : giải thích Regulatory & Legal Requirements, trình bày Vulnerabilities và cung cấp giải pháp.

•  Plans cần được chuẩn bị bởi những người thực sự sẽ triển khai thực hiện nó.

•  Planning Group - Nhóm lên kế hoạch nên bao gồm đại diện đến từ tất cả các phòng ban trong tổ chức.

•  Đội ngũ BCP cần xác định những người sẽ giao tiếp với các tổ chức bên ngoài như : báo chí, cổ đông, khách hàng. Ứng phó với thảm họa cần phải được thực hiện một cách nhanh chóng và an toàn, cần phải có tính nhất quán.

•  Disaster Recovery & Continuity Planning nên được đưa vào Business Decision Make Procedures.

•  Loss Criteria của Disasters bao gồm rất nhiều thứ chứ không chỉ việc tổn thất tài chính. Chúng có thể bao gồm : tổn thất chi phí vận hành (operation costs), mất uy tín và niềm tin của cộng đồng, tổn thất lợi thế cạnh tranh, vi phạm quy định hoặc các yêu cầu pháp lý, tổn thất năng suất, doanh thu bị trì hoãn (delayed), tổn thất trực tiếp đến doanh thu.

•  Cần phát triển một cuộc khảo sát Survey đến những người có kiến thức bên trong tổ chức, để thu thập được tông tin thực tế liên quan đến rủi ro và recovery procedures của công ty.

•  Phạm vi của Plan có thể được xác định bởi : vị trí địa lý (geographical), cơ cấu tổ chức (organizational), hoặc chức năng (functional).

•  Có nhiều thứ cần phải được hiểu rõ liên quan đến Working Environment, vì nó có thể được "replicated" tại cơ sở thay thế sau khi thảm họa xảy ra, cho nên ta cần phải hiểu rõ về nó.

•  Subscription Services có thể cung cấp : Hot, Warm, Cold Sites.

•  Reciprocal Agreement - Hiệp định hỗ trợ lẫn nhau nghĩa là công ty A hứa hẹn cho công ty B chuyển đến cơ sở của họ để hoạt động tạm thời nếu công ty B gặp phải thảm họa, ngược lại công ty B cũng làm thế với công ty A. Reciprocal Agreement được xem là một giải pháp vô cùng khó khăn và không khả thi. Tuy nhiên, chi phí dành cho nó rất rẻ, đôi khi chúng ta chỉ có duy nhất sự lựa chọn này.

•  Hot Site là một cơ sở được cấu hình Fully với những Hardware, Software và Environment cần thiết. Nó thường có thể Up & Running trong một vài giờ. Đây là lựa chọn đắt tiền nhất trong 3 lựa chọn Hot, Warm, Cold.

•  Warm Site không có máy tính, nó chỉ chứa một số thiết bị ngoại vi như Disk Drives, Controllers và Tape Drives. Đây là lựa chọn ít tốn kém hơn so với Hot Site, nhưng nó cần nhiều thời gian hơn mới có thể vận hành hoạt động.

•  Cold Site chỉ là một cơ sở chứa năng lượng điện, sàn nâng và các tiện ích khác. Không có bất kỳ thiết bị nào đặt trong loại hình này. Đây là loại rẻ nhất trong 3 sự lựa chọn, nhưng có thể mất đến vài tuần mới có thể vận hành hoạt động.

•  Khi chúng ta quay trở về cơ sở chính, Least Critical Organizational sẽ được chuyển đầu tiên. Chú ý LEAST : là ÍT nhé.

•  Một phần quan trọng của DR và BCP chính là truyền đạt requirements và procedures của chúng đến tất cả nhân viên.

•  Testing, Drills & Exercises sẽ chứng minh khả năng phục hồi của tổ chức và có thể verify tính tương thích - compatibility của Backup Facilities.

•  Trước khi thực hiện Tests, cần có một dấu hiệu rõ ràng về những gì sẽ được kiểm tra, như thế nào là cuộc kiểm tra thành công, những mistakes cần phải được dự kiến và xử lý

•  Checklist Test nghĩa là các bản sao (copies) của Plan được phân phối đến từng phòng ban và từng khu vực chức năng khác nhau cho mục đích Review. Điều này được thực hiện nhằm để các trưởng phòng ban có thể xem xét Plan và cho biết liệu có bất cứ điều gì sai sót hoặc bị bỏ qua, cần phải bổ sung, chỉnh sửa hoặc xóa bỏ hay không.

•  Structured Walk-Through Test nghĩa là đại diện của mỗi phòng ban hoặc khu vực chức năng sẽ cùng ngồi lại với nhau để xem xét Plan, nhằm đảm bảo độ chính xác của kế hoạch.

•  Simulation Test nghĩa là thực hành diễn tập kế hoạch. Một kịch bản cụ thể sẽ được thiết lập, việc mô phỏng diễn ra chi tiết đến việc di dời tổ chức sang Alternate Site.

•  Parallel Test được thực hiện để đảm bảo rằng các Systems cụ thể thực sự có thể được vận hành hoạt động ở Offsite Facility. Trong loại hình kiểm tra này, một số Systems sẽ được vận chuyển sang cơ sở thay thế và đưa vào tiến trình xử lý - Processing.

•  Full-Interruption Test là loại kiểm tra phổ biến nhất về sự gián đoạn của các hoạt động thường xuyên và năng suất kinh doanh. Original Site - Cơ sở chính thực sự sẽ phải đóng cửa, Processing sẽ diễn ra tại cơ sở thay thế.

•  Remote Journaling liên quan đến việc truyền tải Journal hoặc Transaction Log sang Backup Facility.