风险管理和恢复能力管理的方法有许多，但很难决定采用哪种方法或策略。本文将带您了解如何选用一种合适的恢复能力管理模型(RMM)，如CERT RMM帮助您建立一个更强大的业务连续性计划，该计划由最佳实践的弹性操作组成。

计算机紧急情况就绪组（CERT）是卡内基梅隆大学建立的软件工程研究所（SEI）的创新。在早些年，SEI制定了一个国际部署框架，能力成熟度模型，来说明软件系统开发中的流程改进。最近的版本，能力成熟度整合模型在2006年推出，取代了原先的CMM，同时说明了硬件产品开发中的改进、各种服务的交付和产品与服务的获取。CERT采用相似的办法，为成熟的安全和恢复工程提供了一个恢复能力管理模型。

什么是恢复能力管理(RMM)模型？

与CMM和CMMI框架相似，CERT的RMM是操作弹性能力管理的流程改进模型。它主要包含两个对象。第一个对象是建立一个操作风险和恢复管理活动的集合，将安全、商业连续以及其他IT操作管理整合到一个模型中。第二个对象通过定义和应用一种能力层次等级来描述在不同等级间的流程改进，进一步采用一种途径来实现操作恢复能力管理。

商业连续专家能从RMM的流程改进等级中获益。RMM的指导手册能帮助实践者通过应用RMM中的元素到全局的BCM程序、计划和过程中，能够制定出更加鲁棒的商业连续计划。

CERT RMM可以被应用到风险管理、商业连续和其它一下关于企业资产管理和操作的方案中。例如，它可以被应用到：

 利用跨安全、商业连续和IT操作活动的集合来设置一个开始点

 理解管理操作恢复性的参考模型

 方便内部和外部交流的术语词典

 实践守则、标准、法规以及遵循框架的构建

 过程改进模型以激励改进工作

 评审一个组织当前能力的基线

 改进组织现有能力与其理想状态不符合的指南

CERT RMM 特性

CERT RMM的特性包括：

•提供跨四类的流程等级定义：企业管理、工程、操作管理和流程管理

•扩展四类到26个能力领域（见下面表1“RMM能力领域”）

•关注四类基本的经营性资产：人员、信息、技术和设施

•为每一个能力领域建立5个能力等级：不完整的、执行、管理、指导和不断完善

•作为一个元模型，涵盖了常见实践做法的应用，包括ISO9000、ISO 27000、ITIL的版本2和版本3、Cobit、COSO以及其他如BS25999、FFIEC、NFPA1600和ISO24762

•包括过程度量和测量，可确保业务操作恢复流程如预定方式执行

•对于业务连续专家，当规范化一个BCM程序，业务连续管理体系，以及输出这些活动时，上述项目就十分有价值。具体来说，列表中的每一个条目对应与BCM专家改善他们计划内容、结构和质量的一个方面。上面项目对于审计一个计划和程序同样十分有用，因为他们包含了主要的BCM标准，例如：BS25999的第一和第二部分，NFPA 1600:2010和新的国际标准ISO22301。

表1：RMM能力领域

CERT RMM的好处

为恢复工程制定一个框架的好处在于，基线过程的描述是作为比较、分析和改进的路线图。但是，框架也提供一个推进过程改进的起始点。过程改进的一个重要方面是能够通过过程成熟度来改进识别和考虑能力，

CERT RMM记录的基本目标和实践定位在恢复工程其活动水平的功能和实践层面。换句话说，他们关注于跨越广泛组织能力的恢复工程的知识和实践内容，如事件管理、组织培训和意识。组织可以使用这方面的知识体作为提高他们整体恢复管理能力的基线，来识别和考虑过程中的差距。

为什么使用CERT RMM？

CERT RMM为26个独立且又相互联系的恢复相关过程提供详细的过程规范，意在提供过程发展的具体指导，改进和成熟基准。采用这种模型确保业务恢复流程的建立从头到尾提供一个过程改进和可恢复性的真正基础。更重要的是，CERT RMM已经得到大部分国际标准认证。而且，也许最重要的是，这个模型是由美国政府基金支持（这意味着它是非公有，且不受版权限制），并且与金融服务技术协会（FSTC）有合作关系，FSTC已经资助项目以促进这个模型的成熟，并符合先进的金融服务行业要求。这些需求可以用在非金融行业。

正如我们所指出的，业务连续性专家可以使用RMM元素为他们的方案和计划增值。使用RMM将不会简化计划和程序的发展，但它将提供相关指导意见和结构，可以使计划符合业务恢复的最佳时间，这是业务连续性的一个关键因素。在必要时，实行业务连续性计划是确保计划工作尽可能有效的最好方式。