风险管理和恢复能力管理的方法有许多,但很难决定采用哪种方法或策略。本文将带您了解如何选用一种合适的恢复能力管理模型(RMM),如CERT RMM帮助您建立一个更强大的业务连续性计划,该计划由最佳实践的弹性操作组成。 计算机紧急情况就绪组(CERT)是卡内基梅隆大学建立的软件工程研究所(SEI)的创新。在早些年,SEI制定了一个国际部署框架,能力成熟度模型,来说明软件系统开发中的流程改进。
最近的版本,能力成熟度整合模型在2006年推出,取代了原先的CMM,同时说明了硬件产品开发中的改进、各种服务的交付和产品与服务的获取。CERT采用相似的办法,为成熟的安全和恢复工程提供了一个恢复能力管理模型。 ……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
风险管理和恢复能力管理的方法有许多,但很难决定采用哪种方法或策略。本文将带您了解如何选用一种合适的恢复能力管理模型(RMM),如CERT RMM帮助您建立一个更强大的业务连续性计划,该计划由最佳实践的弹性操作组成。
计算机紧急情况就绪组(CERT)是卡内基梅隆大学建立的软件工程研究所(SEI)的创新。在早些年,SEI制定了一个国际部署框架,能力成熟度模型,来说明软件系统开发中的流程改进。最近的版本,能力成熟度整合模型在2006年推出,取代了原先的CMM,同时说明了硬件产品开发中的改进、各种服务的交付和产品与服务的获取。CERT采用相似的办法,为成熟的安全和恢复工程提供了一个恢复能力管理模型。
什么是恢复能力管理(RMM)模型?
与CMM和CMMI框架相似,CERT的RMM是操作弹性能力管理的流程改进模型。它主要包含两个对象。第一个对象是建立一个操作风险和恢复管理活动的集合,将安全、商业连续以及其他IT操作管理整合到一个模型中。第二个对象通过定义和应用一种能力层次等级来描述在不同等级间的流程改进,进一步采用一种途径来实现操作恢复能力管理。
商业连续专家能从RMM的流程改进等级中获益。RMM的指导手册能帮助实践者通过应用RMM中的元素到全局的BCM程序、计划和过程中,能够制定出更加鲁棒的商业连续计划。
CERT RMM可以被应用到风险管理、商业连续和其它一下关于企业资产管理和操作的方案中。例如,它可以被应用到:
利用跨安全、商业连续和IT操作活动的集合来设置一个开始点
理解管理操作恢复性的参考模型
方便内部和外部交流的术语词典
实践守则、标准、法规以及遵循框架的构建
过程改进模型以激励改进工作
评审一个组织当前能力的基线
改进组织现有能力与其理想状态不符合的指南
CERT RMM 特性
CERT RMM的特性包括:
•提供跨四类的流程等级定义:企业管理、工程、操作管理和流程管理
•扩展四类到26个能力领域(见下面表1“RMM能力领域”)
•关注四类基本的经营性资产:人员、信息、技术和设施
•为每一个能力领域建立5个能力等级:不完整的、执行、管理、指导和不断完善
•作为一个元模型,涵盖了常见实践做法的应用,包括ISO9000、ISO 27000、ITIL的版本2和版本3、Cobit、COSO以及其他如BS25999、FFIEC、NFPA1600和ISO24762
•包括过程度量和测量,可确保业务操作恢复流程如预定方式执行
•对于业务连续专家,当规范化一个BCM程序,业务连续管理体系,以及输出这些活动时,上述项目就十分有价值。具体来说,列表中的每一个条目对应与BCM专家改善他们计划内容、结构和质量的一个方面。上面项目对于审计一个计划和程序同样十分有用,因为他们包含了主要的BCM标准,例如:BS25999的第一和第二部分,NFPA 1600:2010和新的国际标准ISO22301。
表1:RMM能力领域
工程管理 | 操作管理 |
需求管理 RRD - 弹性需求发展 RRM - 弹性需求管理 | 资产弹性管理 EC - 环境控制 KIM - 知识和信息管理 PM – 人员管理 TM – 技术管理 |
资产管理 ADM – 资产定义和管理 | 采购 EXC – 外部相关性 |
建立弹性 SC – 服务持续性 CTRL – 控制管理 RTSE – 弹性技术解决方案工程 | 威胁,事件和访问管理 AM – 访问管理 ID – 身份管理 IMC – 事件管理和控制 VAR – 脆弱性分析和解决 |
企业管理 | 过程管理 |
管理,风险和意见遵从 COMP – 意见遵从 EF – 企业焦点 RISK – 风险管理 | 数据收集和日志 MON – 监控 |
支持弹性 COMM – 交流 FRM – 金融资源管理 HRM – 人力资源管理 OTA – 组织培训与意识 | 过程管理 MA – 测量与分析 OPD – 组织过程定义 OPF – 组织过程焦点 |
CERT RMM的好处
为恢复工程制定一个框架的好处在于,基线过程的描述是作为比较、分析和改进的路线图。但是,框架也提供一个推进过程改进的起始点。过程改进的一个重要方面是能够通过过程成熟度来改进识别和考虑能力,
CERT RMM记录的基本目标和实践定位在恢复工程其活动水平的功能和实践层面。换句话说,他们关注于跨越广泛组织能力的恢复工程的知识和实践内容,如事件管理、组织培训和意识。组织可以使用这方面的知识体作为提高他们整体恢复管理能力的基线,来识别和考虑过程中的差距。
为什么使用CERT RMM?
CERT RMM为26个独立且又相互联系的恢复相关过程提供详细的过程规范,意在提供过程发展的具体指导,改进和成熟基准。采用这种模型确保业务恢复流程的建立从头到尾提供一个过程改进和可恢复性的真正基础。更重要的是,CERT RMM已经得到大部分国际标准认证。而且,也许最重要的是,这个模型是由美国政府基金支持(这意味着它是非公有,且不受版权限制),并且与金融服务技术协会(FSTC)有合作关系,FSTC已经资助项目以促进这个模型的成熟,并符合先进的金融服务行业要求。这些需求可以用在非金融行业。
正如我们所指出的,业务连续性专家可以使用RMM元素为他们的方案和计划增值。使用RMM将不会简化计划和程序的发展,但它将提供相关指导意见和结构,可以使计划符合业务恢复的最佳时间,这是业务连续性的一个关键因素。在必要时,实行业务连续性计划是确保计划工作尽可能有效的最好方式。
作者
相关推荐
-
数据中心灾难恢复规划模板与指南
阅读本篇有关数据中心灾难恢复规划指南,然后免费下载我们提供的模板,评估数据中心设施及其基础架构在灾难期间的表现。
-
不能错过的业务连续性计划步骤【详细】
通过该项目清单处理业务连续性计划过程,该清单详细说明了文件中包含的内容,涉及规划内容和紧急情况。
-
企业业务连续性工作要点(上)
业务连续性计划(BCP)是一个关于流程的策略和计划,层次在单纯的IT技术之上,因此在实施的过程中有很多要点值得探讨,本文将就其中的几个要点进行分析和介绍。