CiSSP 第3章：业务连续性计划

1. 了解BCP过程的四个步骤。BCP包括四个不同阶段：项目范围和计划，业务影响评估，连续性计划，计划批准和实施。每项任务都有助于确保实现在紧急情况下业务连续性运营的总体目标。
2. 描述如何执行业务组织分析。在业务组织分析中，负责领导BCP过程的人员确定哪些部门和个人参与业务连续性计划。该分析是选择BCP团队的基础，经BCP团队确认后，用于指导BCP开发的后续阶段。
3. 列出BCP团队的必要成员。BCP团队至少应包括：来自每个运营和支持部门的代表，IT部门的技术专家，具备BCP技术的物理和IT安全人员，熟悉公司法律、监管和合同责任的法律代表，以及高级管理层的代表。其他团队成员取决于组织的结构和性质。
4. 了解BCP人员面临的法律和监管要求。企业领导必须实施尽职审查，以确保在灾难发生时保护股东的利益。某些行业还受制于联邦、州和地方法规对BCP程序的特定要求。许多企业在灾难发生前后都有履行客户合约的义务。
5. 解释业务影响评估过程的步骤。业务影响评估过程的五个步骤是：确定优先级、风险识别、可能性评估、影响评估和资源优先级排序。RTO
6. 描述连续性策略的开发过程。在策略开发阶段，BCP团队确定要减轻哪些风险。在预备和处理阶段，设计可降低风险的机制和程序。然后，该计划必须得到高级管理层的批准并予以实施。人员还必须接受与他们在BCP过程中角色相关的培训。
7. 策略开发阶段在业务影响评估与BCP开发的连续性计划阶段之间架起了桥梁。
8. 连续性计划包括：策略开发、预备和处理、计划批准、计划实施、培训和教育。
9. 解释对组织业务连续性计划进行全面文档化的重要性。将计划记录下来，可在灾难发生时给组织提供一个可遵守的书面程序。这可确保在紧急情况下有序实施计划。
10. BCP文档化包括：连续性计划的目标、重要性声明、优先级声明、组织职责声明、紧急程度和时限声明、风险评估、风险接受或风险缓解、重要记录计划、应急响应指南、维护、测试和演练。