【正文】 備用場所首先創(chuàng)建。 BCP 是完全由一個(gè)機(jī)構(gòu)的 CEO 來管理 。 ? 如果設(shè)施完好無損，災(zāi)難恢復(fù)團(tuán)隊(duì)就應(yīng)該開始恢復(fù)系統(tǒng)和數(shù)據(jù)，以使其盡量達(dá)到完全正常的運(yùn)作能力。 ? 啟動(dòng)執(zhí)勤名單：執(zhí)勤名單和普通員工電話表用于通知需要的輔助人員，或者只是告訴職員不用上班，直到災(zāi)難結(jié)束為止。災(zāi)難恢復(fù)團(tuán)隊(duì)?wèi)?yīng)當(dāng)和危機(jī)管理團(tuán)隊(duì)緊密聯(lián)系以確保災(zāi)難期間可以進(jìn)行完整及時(shí)的交流。 ? 第一張卡上有個(gè)人緊急信息 ——— 緊急情況下應(yīng)該通知的人、健康狀況和識(shí)別表單； ? 第二張卡上有一套指令，該指令指導(dǎo)緊急情況下該如何做。 ? 如果首要方案無法使用，總結(jié)出針對不同系統(tǒng)組件的可選實(shí)施方案：這些組件包括預(yù)備設(shè)備，它們是購買的或租用的，或者是與災(zāi)難恢復(fù)服務(wù)機(jī)構(gòu)的合同中規(guī)定的。 ? 明確優(yōu)先級別：災(zāi)難響應(yīng)中，總是首先考慮保護(hù)人身安全。 災(zāi)難計(jì)劃 根據(jù)把每種潛在災(zāi)難分為各級威脅的方法，應(yīng)急計(jì)劃團(tuán)隊(duì)進(jìn)行災(zāi)難計(jì)劃制定。 ? 人為災(zāi)難 ? 恐怖主義事件，包括網(wǎng)絡(luò)恐怖主義或者黑客集攻擊事件 ? 戰(zhàn)爭行為，以及有些人類行為 ? 自然災(zāi)害 ? 火災(zāi) 龍卷風(fēng)或風(fēng)暴 ? 水災(zāi) 颶風(fēng)或臺(tái)風(fēng) ? 地震 海嘯 ? 閃電 靜電釋放 ? 塌方或泥石流 灰塵污染 災(zāi)難分類 另一種方式是根據(jù)災(zāi)難發(fā)展的速度來給它們分類： ? 迅速出現(xiàn)的災(zāi)難 突然發(fā)生，少有警告，奪取人們的生命并且破壞生產(chǎn)方式。 災(zāi)難恢復(fù) 應(yīng)急計(jì)劃（ CP） 團(tuán)隊(duì)創(chuàng)建 災(zāi)難恢復(fù)計(jì)劃（ DRP）。（黑客自夸） ? 恢復(fù)機(jī)構(gòu)內(nèi)利益共同團(tuán)成員之間的信任。必須檢查受到威脅的服務(wù)和進(jìn)程，然后整理并恢復(fù)它們。 ? 評估監(jiān)控能力（如果提出）。 IR團(tuán)隊(duì)利用這些信息來評估信息和信息系統(tǒng)的當(dāng)前狀態(tài)，并且把它和已知的狀態(tài)相比較。這些標(biāo)準(zhǔn)必須包含在事故響應(yīng)計(jì)劃當(dāng)中。 ? 動(dòng)態(tài)的使用過濾規(guī)則對某些類型的網(wǎng)絡(luò)訪問進(jìn)行限制。 ? 在以后的培訓(xùn)期間，事故文檔也可用來模擬 IRP 的未來形式。 事故響應(yīng) ? 事故的文檔記錄 一旦事故被確定且開始通知進(jìn)程以后，團(tuán)隊(duì)?wèi)?yīng)該開始記錄事故文檔。執(zhí)勤名單是一種文檔記錄，它包含在事故發(fā)生時(shí)需要通知人員的聯(lián)系信息。 事故響應(yīng) 真正的事故一旦被確定和正確分類，事故響應(yīng)（ IR）團(tuán)隊(duì)的工作就要從檢測階段轉(zhuǎn)移到響應(yīng)階段。 ? 完整性喪失：用戶報(bào)告說出現(xiàn)了被破壞的數(shù)據(jù)文件、垃圾數(shù)據(jù)或看似錯(cuò)誤的數(shù)據(jù) 。 ? 助手或伙伴的通知：如果一個(gè)商業(yè)伙伴或另一個(gè)有關(guān)機(jī)構(gòu)報(bào)告說有一個(gè)來自你的計(jì)算機(jī)系統(tǒng)的攻擊，那么，事故就已經(jīng)發(fā)生了 。如果被更改，而系統(tǒng)管理員又不能完全確定這是一個(gè)授權(quán)人員的作為，那么事故就已經(jīng)發(fā)生了 。 ? 隱匿賬號的使用：許多網(wǎng)絡(luò)服務(wù)器都保留有默認(rèn)賬號、屬于前任員工的、不享有遠(yuǎn)程訪問權(quán)限的休假員工的，或是用于系統(tǒng)測試的虛擬賬號。 ? 出現(xiàn)新賬號：定期檢查用戶賬號能發(fā)現(xiàn)管理員并不曾創(chuàng)建或并未記錄的賬號，一個(gè)具有超級權(quán)限但未記錄的新賬號極有可能是一個(gè)真正的事故。 ? 異常的計(jì)算機(jī)資源消耗：例如，內(nèi)存或硬盤使用空間的猛然增加或下降。 在報(bào)告候選事故方面的悉心訓(xùn)練可以使最終用戶、平臺(tái)技術(shù)支持人員以及所有安全人員能夠?qū)㈥P(guān)鍵信息傳遞給 IR 團(tuán)隊(duì)。 IR 團(tuán)隊(duì)由專業(yè)人員組成，他們能夠處理使信息系統(tǒng)和功能區(qū)受到影響的事故。 IRP 被激活的時(shí)候通常是在一個(gè)事故導(dǎo)致最小損害 ——— 這個(gè)最小值由機(jī)構(gòu)預(yù)先設(shè)置的標(biāo)準(zhǔn)決定，此時(shí)業(yè)務(wù)操作受到很小或沒有受到毀壞。 CP應(yīng)該確保接口系統(tǒng)得到確認(rèn)以及應(yīng)急 /災(zāi)難計(jì)劃的協(xié)調(diào)一致。 3 個(gè)團(tuán)隊(duì)在 CP 團(tuán)隊(duì)中都有作為代表的成員，在大型機(jī)構(gòu)中，這些團(tuán)隊(duì)是截然不同的實(shí)體，有著互不重疊的成員；在小型機(jī)構(gòu)中，這 4 個(gè)團(tuán)隊(duì)則可能會(huì)包括重疊的人員。因?yàn)槁┒纯赡軙?huì)突然出現(xiàn)在計(jì)劃及其實(shí)施過程中。確定每個(gè)潛在災(zāi)難場面的應(yīng)付方法，并且擬出一個(gè)計(jì)劃以準(zhǔn)備對災(zāi)難做出響應(yīng)。這些資源可能包括人員、計(jì)算能力、應(yīng)用程序、數(shù)據(jù)、服務(wù)、物理基礎(chǔ)設(shè)施以及文檔（表格，報(bào)告等）。 什么是應(yīng)急計(jì)劃 ? 創(chuàng)建應(yīng)急計(jì)劃的 6 個(gè)步驟 ? 確定任務(wù)或業(yè)務(wù)的關(guān)鍵功能。如果主要場所的操作不能被迅速恢復(fù)，例如，當(dāng)損失非常嚴(yán)重的時(shí)候，或者會(huì)在長時(shí)間內(nèi)影響機(jī)構(gòu)的正常活動(dòng)的時(shí)候， BCP 就會(huì)和 DRP 同時(shí)出現(xiàn)，使業(yè)務(wù)能夠在一個(gè)可供選擇的位置上繼續(xù)下去，直到機(jī)構(gòu)可以重新使用其主要場所或者選擇一個(gè)新的主要場所。 CP 的主要目標(biāo)：意外事件發(fā)生后，要在普通業(yè)務(wù)活動(dòng)遭受最小損失和破壞的條件下，恢復(fù)到普通操作模式 ——— 換句話說，是確保事情回到原來的狀態(tài)。 CP 的內(nèi)容包括：探測事件的發(fā)生、對事件做出響應(yīng)以及從事件中恢復(fù)。 DRP則把焦點(diǎn)放在恢復(fù)主要場所（ primary site）的操作上。小型機(jī)構(gòu)則趨向于采用單一計(jì)劃方法，由一組直截了當(dāng)?shù)幕謴?fù)策略組成。 ? 確定支持關(guān)鍵功能的資源。 ? 選擇應(yīng)急計(jì)劃策略。 ? 測試和修訂應(yīng)急計(jì)劃。 ? 業(yè)務(wù)連續(xù)團(tuán)隊(duì)：在突發(fā)性或?yàn)?zāi)難性事故發(fā)生時(shí)，通過建立和立即實(shí)施事故現(xiàn)場之外的操作來管理和執(zhí)行業(yè)務(wù)持續(xù)性計(jì)劃。 美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)（ NIST）中的計(jì)算機(jī)安全資源中心（ CSRC， Computersecurity Resource Center）這樣描述了 CP的必要性： CP應(yīng)該同任何通用支持系統(tǒng)，包括應(yīng)用程序使用的網(wǎng)絡(luò)備份、應(yīng)急及恢復(fù)計(jì)劃相并列。 事故響應(yīng)計(jì)劃（ IRP）由一組詳細(xì)的步驟和程序組成 ，這些步驟和程序負(fù)責(zé)預(yù)測、探測以及減輕可能危及信息資源和資產(chǎn)的意外事件的影響。對事故響應(yīng)措施的預(yù)先設(shè)定使得機(jī)構(gòu)能夠?qū)μ綔y到的事故做出迅速而有效的響應(yīng)，而不會(huì)出現(xiàn)一片混亂的情況或者浪費(fèi)時(shí)間和工夫 。最終用戶的初始報(bào)告、入侵檢測系統(tǒng)、基于主機(jī)和網(wǎng)絡(luò)的病毒探測軟件以及系統(tǒng)管理員，都是追蹤和探測候選事故的方法 。 ? 未知程序、進(jìn)程的出現(xiàn)或執(zhí)行：例如，用戶或管理員也許會(huì)在辦公室計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)器上發(fā)現(xiàn)陌生程序在運(yùn)行或