如何更新灾难恢复/业务连续性计划策略？

[color=Navy]专家答疑[/color]
[b]问：我们企业的“灾难恢复/业务连续性”计划已经过时了：假如发生了自然灾害或者重大流行疾病，我们甚至没有足够的虚拟专用网络（VPN）许可以供全部的员工进行远程办公。在我们考虑修改这些计划时，您的建议至关重要。如果修改这些计划需要技术方面的更新，我们又该如何说服管理层对这些技术更新进行投资呢？[/b]
答：对任何公司的安全管理人员来说，为未来可能发生的灾难做好准备是值得的。你有这种意识，这一点值得赞扬。下面，我将介绍一些引起主管注意的方法，讨论灾难恢复应急计划，然后回答你关于VPN许可的问题。
　　贵公司上一次进行企业级灾难演习是什么时候？当然，我说的演习并不一定指的是一个全面而成熟的演习，即便只是一次图上作业演习（Tabletop Exercise），也会是一个不错的开始。我的怀疑是，你们最近可能根本没有进行一次灾难演习，所以现在就请进行一次更新现有文件、提升准备级别（preparedness level）的演习吧！
　　也许，你可以把关键的IT、业务和财务管理人员召集在一起，针对一次简单但却极具灾难性的事件，进行一次为期半天的图上作业演习。在一次图上作业演习中，我假设（仅是作为示例场景）一场大火彻底烧毁了我们的总部大楼；而在另一次图上作业演习中，假设的场景是一场疾病大流行导致人们生病或不能工作。在两次演习的开始阶段，我们都会向各个关键部门的经理提出一系列的问题，关于灾难发生时他们会如何行动、如何进行应急处理，以及如何确保本职工作得以完成。
　　在火灾演习中我们发现，除非我们在备用办公地点的账单打印机处备有另外一台打印机，否则我们将无法在总部大楼的火灾事件中打印账单。在流行疾病演习中我们发现，虽然拥有了足够的VPN许可，但我们没有足够的具有全硬盘加密的笔记本电脑可供远程访问，尤其是涉及敏感信息的时候，问题更加突出。
　　因此，要找出值得考虑的最重要的事情，我建议按照以下的步骤进行：
　　[hide][url=http://www.searchsecurity.com.cn/showcontent_38118.htm]http://www.searchsecurity.com.cn/showcontent_38118.htm[/url][/hide]

同类  发表于: 2010-08-11