DevSecOps 成熟度模型 2024

业务连续性和灾难恢复（BCDR）是一个计划和流程，帮助企业在灾难发生时恢复正常运营。风险：如果灾难恢复措施不明确，可能会导致反应迟缓和修复延误。这不仅适用于网络攻击，也适用于自然紧急情况，例如停电。定义保护需求。一个应用程序的保护要求应考虑以下因素：处理数据的关键性、应用程序的可访问性（内部 vs. 外部）、法规合规性、其他相关因素。 风险：未定义应用程序的保护要求可能导致错误的优先级排序、关键安全问题的修复延迟，从而增加被利用的风险及对组织的潜在损害。在每个源代码或基础设施组件的新版本（例如：拉取请求）中，会对更改进行安全同行评审（双人审核原则），并由审查者批准。风险：某个人可能会忘记实施安全措施来保护源代码或基础设施组件。系统的每次更改都会被自动记录并适当登录。风险：由于这些未被记录或存档，导致变更的影响无法控制。标准：通过理解并记录业务连续性和灾难恢复（BCDR）计划，系统和应用程序的整体可用性将得到提高。成功因素如职责、服务级别协议、恢复点目标、恢复时间目标或故障切换必须完全记录并被理解。

业务连续性和灾难恢复（BCDR）是帮助企业在灾难发生时恢复正常运营的计划和流程。风险：如果灾难恢复的操作不明确，则可能面临反应迟缓和恢复延误。这同样适用于网络攻击以及自然紧急情况，例如停电。定义保护需求。一个应用程序的保护要求应考虑以下因素：处理数据的关键性、应用程序的可访问性（内部与外部）、法规合规性以及其他相关因素。风险：未明确应用程序的保护要求可能导致错误的优先级排序、关键安全问题的修复延迟，从而增加被利用的风险以及对组织的潜在损害。在每个源代码或基础设施组件的新版本（例如：拉取请求）中，会对更改进行安全同行评审（双人审核原则），并由审查者批准。风险：某个人可能会忘记实施安全措施来保护源代码或基础设施组件。系统的每次更改都会被自动记录并适当登录。风险：由于未记录或文档化，变更的影响无法得到控制。标准：定义保护要求。应用程序的保护要求应考虑：- 处理数据的重要性 - 应用程序的可访问性（内部与外部） - 法规合规性 - 其他相关因素

业务连续性和灾难恢复（BCDR）是帮助企业在灾难发生时恢复正常运营的计划和流程。风险：如果灾难恢复措施不明确，可能会导致反应迟缓和修复延误。这同样适用于网络攻击以及自然紧急情况，例如停电。定义保护需求。应用程序的保护要求应考虑以下方面：处理数据的重要性、应用程序的可访问性（内部与外部）、法规遵从性以及其他相关因素。风险：未定义应用程序的保护要求可能导致优先级错误、关键安全问题的修复延迟，从而增加被利用的风险，并可能对组织造成潜在损害。在每个源代码或基础设施组件的新版本（例如：拉取请求）中，会对更改进行安全同行评审（双人审核原则），并由审查者批准。风险：某个人可能会忘记实施安全措施来保护源代码或基础设施组件。系统的每次更改都会被自动记录并适当登录。风险：由于这些更改未被记录或文档化，其影响无法得到控制。标准：对于每个源代码或基础设施组件的新版本（例如拉取请求），需要对更改进行安全同侪审查（双人原则），并由审查员给予批准。

业务连续性和灾难恢复（BCDR）是一个计划和流程，帮助企业在灾难发生时恢复正常运营。风险：如果灾难恢复操作不明确，则可能面临反应缓慢和修复延迟的风险。这既适用于网络攻击，也适用于自然紧急情况，例如停电。定义保护需求。应用程序的保护要求应考虑以下方面：处理数据的重要性、应用程序的可访问性（内部与外部）、法规遵从性以及其他相关因素。风险：未定义应用程序的保护要求可能导致优先级错误、关键安全问题的修复延迟，从而增加被利用的风险，并可能对组织造成潜在损害。在每个源代码或基础设施组件的新版本（例如：拉取请求）中，会对更改进行安全同行评审（双人审核原则），并由审查者批准。风险：某个人可能会忘记实施安全措施来保护源代码或基础设施组件。系统的每次更改都会被自动记录并适当登录。风险：由于未进行记录或文档化，变更的影响无法得到控制。标准：系统的每一次变更都应自动记录并妥善登记。