GRC周二:业务连续性是一项单独的活动吗?

在几个月前的一次早餐活动中(那时还可以这样做)，我和两位负责各自组织业务连续性的安全经理一起喝咖啡:一位来自it部门，另一位是业务运营经理。

我们辩论的问题围绕着谁应该是业务连续性活动的最重要贡献者以及连续性管理是否应该是一项单独的活动?

有趣的是，我们都一致认为，我们看到越来越多的业务连续性管理从历史上专注于IT灾难恢复计划和信息安全的IT领域扩展到更面向业务流程的方法。确定公司的关键价值资产和流程，并明确定义和测试连续性计划，以确保这些资产和流程始终处于运行状态，即使处于降级状态。最终的目的是让公司继续运作，提供服务和产品。

不幸的是，重新开始的演讲让我们无法继续讨论，但今天我想和大家分享一些我的想法。如果这些先生正在阅读，当然，我邀请他们回复这个博客!

对我来说，业务连续性并不是一项独立的活动。事实上，这是一个综合方法的真实例子，它是许多功能的交叉路口，包括以下功能:

• 风险管理由于业务连续性利用了已查明的可能妨碍实现公司目标的关键风险，连续性计划可作为真正的缓解措施——不是防止风险发生，而是在事件发生时及时减少风险的影响和造成的损害;
• 内部控制:因为业务影响分析的部分将源自过程图及其相关的控制级别;
• 审计(内部和外部):因为审核员将是审查业务连续性计划的关键，有时甚至是测试它们，并可能发布一些改进建议。

我个人认为，优秀的业务连续性经理具有一种罕见的才能——能够理解业务环境及其必要性，并能够评估为确保业务连续性而需要实施的恢复措施(技术和非技术)。

此外，在我们不断变化的环境中，他们也有能力定期退一步问自己:今天这足够了吗?明天就够了吗?

在这方面，他们当然不是唯一的，我的信念是，他们应该得到我前面提到的不同功能的支持，比如设施、通信等等，因为我认为如果保持在一个竖井中，他们无法有效地运行。

我希望我能继续与两位先生开始的讨论，我也非常希望在这个博客或推特上听到你们对这个话题的看法@TFrenehard

原载于SAP分析博客