灾备与业务连续性审计—第3205号内部审计实务指南第五章第2节

2021-01-25

内部审计 IT审计 3205号文

灾备与业务连续性是组织通过预防和恢复控制的结合,将意外事故的影响降低到最低水平,并将损失恢复到可接受程度的整个过程。其主要目标是防止业务活动中断,保护关键业务流程不会受信息系统失效或自然灾害的影响,并确保其及时恢复。

业务连续性管理应包括识别和降低风险、有效的业务及风险评估、限制有害事故的影响范围以及确保业务及时恢复等步骤。典型的信息业务连续性管理应包括应急管理、灾难备份和业务连续性计划三个方面的内容,灾难备份(以下简称灾备)是指为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业支持能力和运行管理能力进行备份的过程;业务连续性计划是机构通过制定计划,通过预防和恢复控制的结合,将意外事故的影响降低到最低水平,并将损失恢复到可接受程度的整个过程。

本节只涉及灾难备份与业务连续性的审计,有关应急管理的审计可参考第三章第四节中的内容。

一、灾难备份管理审计

(一)业务概述

灾难备份管理,是指组织为了更好应对灾难发生确保业务连续性而从组织与人员,制度与策略、工具与技术等三方面所建立的灾难备份管理体系。

(二)审计目标和内容

该项审计的目标旨在通过对灾难管理涉及的人员与组织、制度与策略,以及工具与技术的检查,以判断:

1、组织是否根据其经营规模和业务发展的具体情况建立相应的负责灾难备份、恢复的组织架构,明确灾备组织中各类小组及人员的职责。

2、组织是否根据其经营规模和业务发展的具体情况建立完备、正式的灾备系统规划,制定适宜的灾难备份与灾难恢复策略。其中,灾难恢复策略的制定应根据系统风险分析和业务影响性分析的结果进行灾难恢复等级划分,并根据成本风险平衡的原则确定每项关键业务功能的灾难恢复策略。

3、组织是否依据灾难恢复策略制定恢复预案,重点检查预案的完整性、兼容性、指导性和及时性,并确保恢复预案得到定期的评审与周期性的演练。

(三)常见问题和风险

1、组织未根据国家、行业的合规监管要求以及自身的经营规模和业务需求,建立健全灾难恢复管理体系,如未建立跨部门的灾难恢复组织、未明确组织中各类小组及人员职责、未制定健全的灾难恢复管理制度与操作规范、未部署灾难备份和恢复系统,进而导致灾难发生时无法及时、有序地进行处置和恢复。

2、在制定灾难恢复策略前,未进行系统风险分析和业务影响性分析,无法确定重要信息系统的恢复时间目标、恢复点目标和恢复优先级策略。

3、灾难恢复预案未经正式的审批与发布,导致预案程序未得到有效的认同。发生灾难事件时,无法通过预案协调各部门进行有效的配合、应对、处置与恢复。

4、灾难恢复预案未开展定期演练,无法有效验证灾难恢复流程的合理性和适用性,一旦发生灾难事件,无法按照灾难恢复预案所规定的处置流程进行快速处置和恢复。

(四)审计的主要方法和程序

1、调阅相关文件和资料,了解组织是否建立灾备恢复机构,明确机构内各类小组(灾备领导小组、灾备规划小组、灾备运行小组)和人员职责,并判断人员构成及其职责设置的合理性,其中,组织机构人员组成应包括管理、业务、技术和后勤方面的人员;检查是否指定同职责的备份人员。

2、灾备总体规划与系统工作范围定义

(1)通过访谈或现场查阅方式,了解是否建立灾难备份、恢复机制及其总体控制目标;是否明确定义为减少灾难造成的损失以及确保信息系统所支持的关键业务在灾难后迅速恢复和继续运行的总体安排和计划。

(2)访谈信息系统主管人员并审阅相关资料,检查灾备系统工作范围定义的完整性,即灾备系统规划和灾难备份中心的日常运行、关键业务功能在灾难备份中心的恢复和重新运行,主系统灾后重建和回退工作,突发事件的响应等。

3、审阅灾难恢复策略制定过程相关文档:

(1)检查其是否包括覆盖所有关键业务的信息系统风险分析文档,以及是否根据风险分析结果确定风险防范和风险接受的程度,并以此作为灾备系统开发的重要依据,且经过管理层的正式审批。

(2)检查其是否包括:经营管理层正式审批的所有关键业务系统的业务影响性分析,明确相关信息的保密性、完整性和可用性要求;中断影响评估,包括评估的方法(定性或定量),业务功能中断可能给组织带来的损失及由此带来的风险。

(3)检查是否明确定义了关键业务功能及恢复的优先顺序,且该顺序的制定过程中由业务部门发起,并经高级管理层的审批;RTO/RPO时间定义是否符合企业业务连续性的要求。

(4)检查每项关键业务的灾难恢复策略是否基于经过全面分析灾难恢复资源成本与风险可能造成损失之间的平衡基础之上;灾难恢复策略内容是否完整地包括了灾难恢复资源的获取方式和灾难恢复能力等级。

(5)检查灾难恢复、备份策略中是否与所涉及的电信、电力、设备及技术支持供应商之间签署服务水平协议(SLA),确保灾难发生时可以得到及时的服务。

4、外部资源的获取访谈信息系统主管人员,询问是否存在委托外部机构的灾备系统建设,若存在,检查外部机构的资质及是否与其签署服务水平协议(SLA),查看并评判安全保密措施要求的适当性。

5、灾难恢复预案制定及演练

(1)审阅灾难恢复预案制定过程产生的文档记录,确认其是否经过起草、评审、测试、完善、审核和批准的全过程,判断其过程的完整性和合规性。

(2)查阅灾难恢复预案,检查其内容是否涵盖灾难恢复的整个过程,以及所需的尽可能全面、及时的数据和资料,明确定义灾难恢复的各流程及其工作内容、工作步骤、涉及人员及其职责,判断预案的完整性、可读性、明确性和易用性;访谈负责应急系统管理和灾备系统管理的主管人员,了解灾难恢复预案与其他应急体系的结合程度,确保其兼容性。

(3)检查灾难恢复预案是否记录了涉及的关键岗位的详细通讯方式以及灾难发生时可用的备份联系方式;根据灾难恢复预案中的记录,确认关键岗位通讯方式的有效性;访谈灾难恢复预案中涉及的人员,确认所有人都已得到该通讯记录,并在异地进行了备份存储,且可以及时取得。

(4)访谈灾难恢复预案的管理人员并调阅相关管理制度,了解预案的保存和分发的流程,并检查流程是否合规,并落实专人负责,统一多份拷贝,异地保存,且分发给所有参与灾难恢复工作的人员;定期修订更新,旧版本仅留存一套备查,其余统一销毁。

(5)访谈灾备系统相关人员,了解组织是否将灾备系统观念或相关知识纳入安全意识培训体系并持续开展教育;访谈灾备相关的技术支持人员,确认组织持续提供关于灾备、应急、专业技术、业务系统方面的培训;检查已经实施的灾难恢复演练计划所形成的报告,根据演练的类型(桌面演练、模拟演练、真实演练、混合演练)和结果,确认其演练过程的有效性,及每年存在至少一次的、有最终用户参与的完整演练。

6、评估、维护与更新

(1)访谈组织及业务和信息系统相关负责人,了解组织是否随着自身业务发展,定期进行系统风险分析和业务影响性分析,并根据其结果对灾难恢复、备份策略进行补充和修订;审阅相关制度和会议记录,明确灾备策略评估、维护、更新经过了管理层及所有业务部门的参与和审批。

(2)审阅相关制度和会议记录,明确灾难恢复预案的评估和修订经过管理层及相关部门的参与和审批。所有的修订都应经过起草、评审、测试、完善、审核和批准等程序;检查灾难恢复预案的维护和变更记录及审核文档,确保业务流程的变化、信息系统的变更、人员的变更都在灾难恢复预案中及时反映;审阅测试、演练和执行的效果评估结果,以及预案相应的修订记录,确保灾难恢复预案进行了相应的修订;审阅针对灾难恢复预案进行的评审或内部信息系统审计的相关报告,确认灾难恢复预案进行了相应的修订。

二、业务连续性计划审计

(一)业务概述

组织建立实施业务连续性计划的责任架构和日常管理制度,可提高自身的风险防范能力,降低突发灾难的破坏并降低不良影响。

信息系统业务连续性管理主要包括:制定、管理、执行的组织架构及实施工作人员管理;制定完备的信息业务连续性计划并对其进行测试、更新;对相关业务人员的培训;对信息业务连续性计划的审计以及管理工作的合规管理。

(二)审计目标和内容

该项的审计目标旨在:

1、检查组织的高管层是否为满足组织自身业务连续性管理的要求,履行管理职责,组建由高级管理层和业务连续性管理相关部门负责人组成的业务连续性管理机构,明确其职责,配置足够资源以及经过充分培训的员工,并对其工作开展进行审查、监督和评价。

2、检查业务连续性管理组织是否履行其职责,制定并开展业务连续性计划,协调业务条线部门,汇总、确定重要业务的恢复目标和恢复策略。

3、检查组织是否在统一的业务连续性计划框架下制定信息业务连续性计划,从而明确总体目标及风险底线,确保计划涵盖所有业务部门的重要应用系统及不同网络与信息安全事件,充分体现计划的完整性、合理性和合规性。

4、检查组织是否针对信息业务连续性计划进行业务影响分析,并以此为基础明确业务运行恢复的优先顺序,制定合理的业务恢复策略,确保恢复策略的可操作性、规范性。

5、检查组织是否将外部信息技术服务商纳入到信息业务连续性恢复框架内,并对关键服务供应商、外包商在突发状况发生时的应对能力进行评估;制定组织在使用海外机构支持的情况下应对法律和合规问题的方案。

(三)常见问题和风险

1、未建立由组织高层领导的、跨部门的业务连续性管理机构并将业务连续性管理纳入企业文化建设中,未明确业务连续性管理组织和人员的职责,造成业务连续性管理缺失,无法有

效履行管理职责。

2、未制定业务连续性计划,或业务连续性计划未覆盖组织重要业务和系统,导致业务连续性计划无法有效执行。

3、未针对业务连续性计划制定演练计划及定期开展演练,不利于检验业务连续性计划的合理性和适用性,不利于业务连续性计划的持续改进。

(四)审计的主要方法和程序

1、业务连续性管理的组织

(1)(组织的高级管理层)访谈组织管理层,了解其是否知悉自己在组织内部业务连续性管理中的定位与职责;是否参与相关政策的审批并对组织的审批提供了资源支持;是否通过相关管理层会议推进业务连续性计划的建立、实施及更新,以符合业务发展的需要。

(2)(业务连续性管理委员会)调阅组织业务连续性管理相关规章制度、文件以及人员名单,检查其是否设定了跨部门的业务连续性管理委员会并明确了其职责;与委员会的负责人进行座谈,询问委员会推动协调本单位业务连续性计划实施情况,对相关规章制度规范、计划制定与实施、计划持续改进等情况进行证实。

(3)(业务连续性主管部门或岗位)调阅组织业务连续性管理相关规章制度、文件,检查是否对业务连续性主管部门或岗位的职责做出明确规定,分析其职责界定是否合理、完整;调阅业务连续性主管部门的有关业务连续性的相关工作计划、实施方案、评估报告、会议纪要、工作记录等,检查其是否主导开展业务连续性管理工作。

(4)(业务连续性计划执行部门和保障部门)访谈业务条线部门及信息技术部门负责人,了解业务条线部门是否实施了风险评估、业务影响分析,确定重要业务恢复目标和恢复策略,负责业务条线重要业务应急响应与恢复等工作;了解信息科技部门是否负责了信息技术应急响应与恢复工作;访谈保障部门,了解其是否为本单位的业务连续性计划提供了人力、物力、财力以及安全保障和法律咨询服务。

2、业务连续性计划的实施

(1)(计划的完备性)调阅企业的总体业务连续性计划,检查其是否包括信息系统业务连续性计划,如果包括,则判断其内容、要点是否具备以上相关基本要求;调阅信息业务连续性计划业务影响分析报告,检查其分析是否全面、合理,符合要求;调阅突发事件应急管理预案和灾难恢复策略,检查其制定是否合理、完善;与信息业务连续性计划负责人、相关工作人员进行座谈。询问是否制定不同事件的信息业务连续性计划,是否定期对信息业务连续性计划进行测试,测试周期多长,是否对信息业务连续性计划定期进行审查并更新,目前的预案文档为第几版,了解其对信息业务连续性计划的掌握程度;与信息业务连续性计划负责人、相关工作人员进行座谈,询问是否具备应急设备并能正常工作,信息业务连续性计划执行所需资金是否做过预算并能够落实。

(2)(业务影响分析)调阅业务影响分析报告,确定其是否对本机构所有部门和功能进行了分析,确定其对业务优先级的制定是否合适,是否明确了本机构关键业务系统所允许的最大非正常停止时间、数据丢失数量以及日志损失,是否明确定义了时间恢复目标;调阅机构风险评估报告,验证其是否包括了信息服务、技术、人员、设施以及服务提供商可能出现问题的场景;调阅相关记录,验证业务影响分析和风险评估报告是否经过了高级管理层和董事会的审核。

(3)(业务连续性计划的编制)调阅企业信息业务连续性计划编制、维护相关规章制度以及人员名单,检查其建立健全情况;与信息业务连续性计划编制、维护相关人员进行座谈,询问业务连续性计划编制、维护情况,对相关规章制度、文件的内容进行证实,检查其对自身职责是否明确了解。

(4)(业务连续性计划的执行)调阅企业与信息业务连续性计划执行相关的规章制度、文件以及人员名单,检查其是否制定了业务连续性计划执行组织及明确其职责,检查其建立健全情况;调阅信息业务连续性计划组织相关会议纪要等资料,检查其工作开展情况;与业务连续性计划执行组织相关人员进行座谈,包括信息业务连续性计划执行领导小组、专家小组、执行小组、支持保障小组等人员,对相关规章制度、文件的内容进行证实,检查其对自身职责是否明确了解。

(5)(业务连续性计划的保障)调阅组织的所有业务连续性计划,核实其是否至少包括以下内容:关键岗位人员缺失的处理方式;关键建筑、设施不可用的处理方式;设备故障的处理方式(硬件、统信或者操作设备);软件或数据不可用或被破坏的处理方式;外包商或服务提供商不可用的处理方式;外部设施不可用的处理方式(电力、统信等);关键文档或记录不可用的处理方式。

(6)(业务连续性计划的测试)调阅信息业务连续性计划测试记录和更新记录,检查与相关支持部门的联系方式和记录,测试联系渠道是否保持畅通;检查业务流程、信息系统、人员变更是否在信息业务连续性计划中及时反映和修订;调阅信息业务连续性计划测试、更新记录,检查其在测试、演练和灾难发生后实际执行时,其过程是否均有详细的记录,是否对测试、演练和执行的效果进行评估,是否对信息业务连续性计划进行相应的修订;调阅信息业务连续性计划测试记录,检查对该计划是否定期测试、评审和修订;检查计划的修订和年度测试结果是否经过董事会和高级管理层、信息系统风险管理部门、内审部门、信息管理委员会的审核签字。