連續(xù)性管理流程_第1頁
連續(xù)性管理流程_第2頁
連續(xù)性管理流程_第3頁
連續(xù)性管理流程_第4頁
連續(xù)性管理流程_第5頁
已閱讀5頁,還剩17頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

文件編號(hào):OP-ITSM-012文件名稱:連續(xù)性管理流程版本:1.01.0簡介業(yè)務(wù)目的:確保災(zāi)難或意外事件發(fā)生時(shí),1朋艮務(wù)提供方能在既定的要求時(shí)間內(nèi)恢復(fù)正常運(yùn)作,以減少運(yùn)營風(fēng)險(xiǎn)及降低業(yè)務(wù)損失。亶目的:通過業(yè)務(wù)影響分析,量化亶服務(wù)對(duì)業(yè)務(wù)的影響;通過風(fēng)險(xiǎn)分析,確定對(duì)1朋艮務(wù)連續(xù)性的潛在威脅和威脅成為現(xiàn)實(shí)的可能性,并管理已確定的威脅;制定亶服務(wù)連續(xù)性計(jì)劃,并確保其有效性。2.0適用范圍此流程適用IT管理手冊中定義的服務(wù)范圍。3.0相關(guān)流程IT服務(wù)管理手冊(QM-ITSM-2011)服務(wù)規(guī)劃及管理流程(OP-ITSM-004)服務(wù)級(jí)別管理流程(OP-ITSM-005)服務(wù)報(bào)告管理流程(OP-ITSM-006)事件和服務(wù)請求管理流程(OP-ITSM-007)問題管理流程(OP-ITSM-008)配置管理流程(OP-ITSM-009)變更管理流程(OP-ITSM-010)容量與可用性管理流程(OP-ITSM-014)業(yè)務(wù)關(guān)系管理流程(OP-ITSM-016)服務(wù)策劃管理流程(OP-ITSM-019)一級(jí)事件重大)處理流程(OP-ITSM-021)IT服務(wù)連續(xù)性策略工作流程(OP-ITSM-024)人員撤離應(yīng)急處理操作指引(WI-ITSM-017)4.0定義4.1術(shù)語表

術(shù)語縮略詞/英文定義業(yè)務(wù)影響分析BIA(BusinessImpactAnalysis)重大意外災(zāi)難事件發(fā)生時(shí),所造成耳服務(wù)提供方的運(yùn)維服務(wù)中斷等影響嚴(yán)重性的分析。風(fēng)險(xiǎn)Risk對(duì)目標(biāo)不確定性的影響,事態(tài)發(fā)生可能性及產(chǎn)生后果的組合。風(fēng)險(xiǎn)評(píng)估RA(RiskAssessment)分析資產(chǎn)對(duì)業(yè)務(wù)的價(jià)值,識(shí)別對(duì)這些資產(chǎn)的威脅,評(píng)估每項(xiàng)資產(chǎn)面對(duì)這些威脅的脆弱程度。可接受風(fēng)險(xiǎn)RiskAcceptance對(duì)一個(gè)特定風(fēng)險(xiǎn)不采取措施減少其影響的管理決定。災(zāi)難Disaster災(zāi)難是由于人或自然的原因,造成信息系統(tǒng)運(yùn)行嚴(yán)重故障或癱瘓,使信息系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受、達(dá)到特定的時(shí)間的突發(fā)事件,通常導(dǎo)致信息系統(tǒng)要切換到備用場地運(yùn)行。災(zāi)難恢復(fù)DisasterRecovery將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài),并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài),而設(shè)計(jì)的活動(dòng)和流程。亶服務(wù)連續(xù)性策略ITSCS(ITServiceContinuityStrategy)規(guī)定耳服務(wù)連續(xù)性對(duì)風(fēng)險(xiǎn)的降低及恢復(fù)或連續(xù)性方案的平衡范圍及標(biāo)準(zhǔn)。亶服務(wù)連續(xù)性計(jì)劃ITSCP(IT ServicContinuityPlan)定義恢復(fù)一項(xiàng)或多項(xiàng)耳服務(wù)所需步驟的計(jì)劃,該計(jì)劃還確定如何觸發(fā)調(diào)用、涉及人員、溝通等,耳服務(wù)連續(xù)性計(jì)劃應(yīng)該是業(yè)務(wù)連續(xù)性計(jì)劃的一部分。亶服務(wù)連續(xù)性管理ITSCM(ITServiceContinuityManagement負(fù)責(zé)管理可能嚴(yán)重影響耳服務(wù)的風(fēng)險(xiǎn)的流程。通過將風(fēng)險(xiǎn)降低到可接受的水平,同時(shí)規(guī)劃亶服務(wù)的恢復(fù),ITSCM確保IT服務(wù)提供方能夠始終提供最低約定的服務(wù)級(jí)別。最長可容忍中斷時(shí)間MTPD(MaximumTolerablePeriodofDisruption)如果超過這個(gè)時(shí)間范圍,組織所提供的產(chǎn)品和服務(wù)仍無法恢復(fù),組織的生存能力將可能遭遇無法挽回的破壞。最大可容忍數(shù)MTDL(Maximum組織能接受的信息丟失的最大程度。一定時(shí)間丟失

據(jù)丟失TolerableDataLoss)的數(shù)據(jù)可能導(dǎo)致組織運(yùn)營無法恢復(fù),極具價(jià)值的數(shù)據(jù)丟失,還可能威脅到組織的生存。演練Exercise用于訓(xùn)練人員提高災(zāi)難恢復(fù)能力的活動(dòng)。完整性Integrity確保和維護(hù)資產(chǎn)的準(zhǔn)確和完整,尤其是數(shù)據(jù)記錄的準(zhǔn)確與完整。目標(biāo)恢復(fù)時(shí)間RTO(RecoveryTimeObjective)災(zāi)難發(fā)生后,信息系統(tǒng)或業(yè)務(wù)功能從停頓到必須恢復(fù)的時(shí)間要求。目標(biāo)恢復(fù)點(diǎn)RPO(RecoveryPointObjective)災(zāi)難發(fā)生后,系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求。4.2角色定義表

角色職責(zé)部門主管審核《業(yè)務(wù)影響分析報(bào)告》、《風(fēng)險(xiǎn)評(píng)估報(bào)告》、《緊急統(tǒng)籌中心》、《1朋艮務(wù)連續(xù)性計(jì)劃》、《演練計(jì)劃》、《演練報(bào)告》、《測試記錄和《恢復(fù)報(bào)表》。緊急統(tǒng)籌中心在發(fā)生災(zāi)難的情況下,進(jìn)行統(tǒng)籌及協(xié)調(diào)工作?!毒o急統(tǒng)籌中心》需注明人員在應(yīng)急中的職責(zé)包括A角及B角)。如:總指揮、機(jī)房總指揮、服務(wù)器總指揮、網(wǎng)絡(luò)總指揮、服務(wù)臺(tái)總指揮、應(yīng)用服務(wù)器總指揮、應(yīng)用軟件總指揮、應(yīng)急支持總指揮等。流程經(jīng)理組織編制《緊急統(tǒng)籌中心》;組織編制《業(yè)務(wù)影響分析報(bào)告》及《風(fēng)險(xiǎn)評(píng)估報(bào)告》;組織編制及實(shí)施《1朋艮務(wù)連續(xù)性計(jì)劃》;組織編制《測試記錄》;組織編制《演練計(jì)劃》及《演練報(bào)告》;組織編制《恢復(fù)報(bào)表》。服務(wù)負(fù)責(zé)人參與編制《緊急統(tǒng)籌中心》;參與編制《業(yè)務(wù)影響分析報(bào)告》及《風(fēng)險(xiǎn)評(píng)估報(bào)告》;參與編制及實(shí)施《1朋艮務(wù)連續(xù)性計(jì)劃》;參與編制《測試記錄》;參與編制《演練計(jì)劃》及《演練報(bào)告》;參與編制《恢復(fù)報(bào)表》。5.0內(nèi)容5.1流程政策及要求影響業(yè)務(wù)的災(zāi)難發(fā)生時(shí),本流程能夠提供有效的工作過程指導(dǎo),使業(yè)務(wù)系統(tǒng)能夠在允許的范圍內(nèi)重新恢復(fù),保障業(yè)務(wù)的持續(xù)開展。根據(jù)「1朋艮務(wù)連續(xù)性策略工作流程」及備份相關(guān)流程要求組織編制《1朋艮務(wù)連續(xù)性計(jì)劃》和《演練計(jì)劃》并提交部門主管審批作為災(zāi)難時(shí)執(zhí)行依據(jù)。《1朋艮務(wù)連續(xù)性計(jì)劃》在執(zhí)行若遇到資源沖突時(shí),應(yīng)由部門主管決定優(yōu)先級(jí)次序,如有需要可于《耳服務(wù)連續(xù)性計(jì)劃》中說明。《1朋艮務(wù)連續(xù)性計(jì)劃》包含安裝配置指南。5.2流程輸入及輸出5.2.1流程觸發(fā)條件業(yè)務(wù)損失的程度和潛在啟用的范圍。設(shè)施或服務(wù)中斷及不可用的時(shí)間范圍。由管理者代表(或授權(quán)代表)確定需要啟動(dòng)連續(xù)性管理流程的一級(jí)事件重大)。5.2.2輸入業(yè)務(wù)需求調(diào)整「變更管理流程」觸發(fā)業(yè)務(wù)影響分析報(bào)告風(fēng)險(xiǎn)評(píng)估報(bào)告5.2.3輸出緊急統(tǒng)籌中心 二""業(yè)務(wù)影響分析報(bào)告 .-I"「.工風(fēng)險(xiǎn)評(píng)估報(bào)告1朋艮務(wù)連續(xù)性計(jì)劃測試記錄演練計(jì)劃演練報(bào)告恢復(fù)報(bào)表5.2.4流程關(guān)閉條件持續(xù)確保1朋艮務(wù)連續(xù)性計(jì)劃提供的保護(hù)是最新的,并反映了服務(wù)和服務(wù)級(jí)別的—所有變化。5.3流程綜述5.3.1服務(wù)連續(xù)性管理流程執(zhí)行時(shí)需遵循以下要求:《1朋艮務(wù)連續(xù)性計(jì)劃》應(yīng)由流程經(jīng)理每年組織審查與評(píng)估,以維持其有效性與適應(yīng)性,所有測試及審查均應(yīng)留下記錄。對(duì)流程的運(yùn)行情況進(jìn)行監(jiān)控和改進(jìn),相關(guān)的改進(jìn)措施輸入到《服務(wù)改進(jìn)計(jì)劃》。如果連續(xù)性管理流程應(yīng)用范圍的服務(wù)環(huán)境發(fā)生重大變更時(shí),需要維護(hù)和重新測試《1朋艮務(wù)連續(xù)性計(jì)劃》,以保證其有效。如果由「變更管理流程」觸發(fā)的情況,需要進(jìn)行《亶服務(wù)連續(xù)性計(jì)劃》測試,以確認(rèn)本次變更對(duì)《1朋艮務(wù)連續(xù)性計(jì)劃》的影響,并回復(fù)測試結(jié)果?!?朋艮務(wù)連續(xù)性計(jì)劃》的變更需要通過「變更管理流程」控制,《耳服務(wù)連續(xù)性計(jì)劃》的發(fā)布需要按「文件及記錄管理流程」要求控制。每次測試和《1朋艮務(wù)連續(xù)性計(jì)劃》觸發(fā)后,流程經(jīng)理應(yīng)組織實(shí)施評(píng)審。當(dāng)發(fā)現(xiàn)不足時(shí),流程經(jīng)理應(yīng)組織相關(guān)人士以會(huì)議的方式檢討《1朋艮務(wù)連續(xù)性計(jì)劃》的有效性與適應(yīng)性,并修正不足重新交部門主管審批。5.3.2連續(xù)性管理具體范圍如下:1) 地理位置:香港總部:香港九龍灣一號(hào)九龍41樓信息技術(shù)部中國總部:惠州市江北云山旭日集團(tuán)中國總部大樓9樓信息技術(shù)部2) 人員:位于上述兩個(gè)地理位置內(nèi)辦工區(qū)域的信息技術(shù)部的相關(guān)員工。3) 機(jī)房:于上述地理位置內(nèi)的機(jī)房。4) 網(wǎng)絡(luò):于上述地理位置機(jī)房內(nèi)的網(wǎng)絡(luò)。5) 服務(wù)器:于上述地理位置機(jī)房內(nèi)的服務(wù)器,包括基礎(chǔ)硬件、OS、VM。6) 應(yīng)用服務(wù)器:于上述地理位置機(jī)房內(nèi)運(yùn)作的應(yīng)用服務(wù)器。7) 信息系統(tǒng)運(yùn)維服務(wù):于上述地理位置機(jī)房內(nèi)運(yùn)作中的信息系統(tǒng)運(yùn)維服務(wù)。5.4流程步驟5.4.1業(yè)務(wù)影響分析(BIA)概述業(yè)務(wù)影響分析的目的是量化亶服務(wù)連續(xù)性對(duì)業(yè)務(wù)的影響,并識(shí)別最核心的亶服務(wù);要明確業(yè)務(wù)范圍,以及相關(guān)業(yè)務(wù)服務(wù)活動(dòng)中斷后造成的影響;當(dāng)有全新的或變更的業(yè)務(wù)需要或協(xié)議內(nèi)全新的或變更的目標(biāo)時(shí),流程經(jīng)理依據(jù)客戶需求、內(nèi)部管理重要程度、期望值與恢復(fù)策略、中斷最大可忍受時(shí)限等要素,組織進(jìn)行業(yè)務(wù)影響分析并制定《業(yè)務(wù)影響分析報(bào)告》;協(xié)商一致的需求應(yīng)考慮適用的業(yè)務(wù)計(jì)劃、服務(wù)需求、SLA和風(fēng)險(xiǎn),至少應(yīng)包括:服務(wù)訪問權(quán)限服務(wù)響應(yīng)時(shí)間端到端的服務(wù)可用性《業(yè)務(wù)影響分析報(bào)告》需送交部門主管審核。在1朋艮務(wù)連續(xù)性管理流程中定義的范圍內(nèi),對(duì)所支持的1朋艮務(wù)活動(dòng),應(yīng)該留意:參考SLA要求,進(jìn)行業(yè)務(wù)影響分析;評(píng)估亶服務(wù)中斷后,隨著時(shí)間的推移所造成的影響;為相關(guān)的活動(dòng)定義最長可容忍中斷時(shí)間(MTPD,從中斷開始,活動(dòng)需要被恢復(fù)的最大時(shí)間長度,活動(dòng)恢復(fù)到最低水平,恢復(fù)到正常水平的時(shí)間跨度),由于中斷會(huì)隨著時(shí)間的推移而加重,并對(duì)相關(guān)活動(dòng)造成不同的影響,影響也會(huì)隨日期、月份或業(yè)務(wù)周期點(diǎn)而發(fā)生變化;識(shí)別任何相互連帶依賴的活動(dòng)、資產(chǎn)、用于支持的基礎(chǔ)設(shè)施和資源,這些也需要得到持續(xù)的維護(hù)或隨時(shí)間進(jìn)行的恢復(fù)。要明確亶服務(wù)連續(xù)性的要求,并對(duì)關(guān)鍵服務(wù)恢復(fù)資源進(jìn)行評(píng)估。在評(píng)估影響時(shí),應(yīng)該考慮與業(yè)務(wù)的目的、目標(biāo)和相關(guān)利益方相關(guān)的內(nèi)容,包括:基礎(chǔ)設(shè)施、技術(shù)或信息損害或喪失所造成的影響;違背法律責(zé)任或法律要求的影響;信譽(yù)的損害;財(cái)政的損害;產(chǎn)品或服務(wù)質(zhì)量的降低;其它因素。中斷所帶來的影響的評(píng)估方法、發(fā)現(xiàn)和結(jié)論應(yīng)形成文檔,以上亦是最長可容忍中斷時(shí)間(MTPD)估算時(shí)的考慮因素。要識(shí)別關(guān)鍵活動(dòng):1朋艮務(wù)提供方可根據(jù)恢復(fù)的優(yōu)先級(jí)別將相關(guān)的服務(wù)項(xiàng)進(jìn)行排序;在業(yè)務(wù)影響分析識(shí)別的,哪些活動(dòng)的喪失將在最短的時(shí)間帶來重大影響,并需要快速恢復(fù)的活動(dòng),可被視為'關(guān)鍵活動(dòng)',每一個(gè)關(guān)鍵活動(dòng)支持一個(gè)或多個(gè)產(chǎn)品或服務(wù);應(yīng)關(guān)注'關(guān)鍵活動(dòng)'的計(jì)劃,但也應(yīng)該認(rèn)識(shí)到其它活動(dòng)也需要中斷的最大可容忍中斷時(shí)間(MTPD)內(nèi)恢復(fù),并需要預(yù)先做好安排;根據(jù)活動(dòng)的性質(zhì),最大恢復(fù)時(shí)間期限可能從幾秒鐘到幾個(gè)月不同,時(shí)間的敏感的活動(dòng)會(huì)需要更高精確的詳細(xì)說明,如分鐘或小時(shí),低時(shí)間敏感的活動(dòng)精確的要求會(huì)較低;中斷的最大可容忍中斷時(shí)間(MTPD)將影響每一活動(dòng)的恢復(fù)時(shí)間點(diǎn)目標(biāo)(RTO)。要確定連續(xù)性要求:其目的是提供資源信息,從而確定或推薦一個(gè)適當(dāng)?shù)幕謴?fù)策略,確定內(nèi)部和外部的活動(dòng)依賴關(guān)系所產(chǎn)生的資源需求;其結(jié)果是了解要對(duì)應(yīng)時(shí)間內(nèi)恢復(fù)提供約定水平的服務(wù)所需的資源,從最初的恢復(fù)到全面復(fù)原,可能是一個(gè)簡單的時(shí)間點(diǎn),也可能是一個(gè)復(fù)雜的時(shí)間表,確認(rèn)那些為能夠提供約定服務(wù)水平而進(jìn)行的活動(dòng)(1內(nèi)部的和外部的)之間的相互依賴關(guān)系;應(yīng)該評(píng)估相關(guān)活動(dòng)恢復(fù)時(shí)所需要的資源,包括人、基礎(chǔ)設(shè)施、信息和供給。 二,[n、、-人員即員工資源,包括人、技能和知識(shí);-基礎(chǔ)設(shè)施即必要的工作場所和設(shè)施;-技術(shù)設(shè)施即用于支持的技術(shù)和設(shè)備;技術(shù)設(shè)施與組織相關(guān)的設(shè)備一同使用,包括但不限于:IT軟件和硬件,通訊設(shè)備,或任何制造、生產(chǎn)能力所必要的其它廠房、機(jī)器等;-信息以前工作或當(dāng)前工作進(jìn)展有關(guān)信息的提供,并確保信息的實(shí)時(shí)更新和準(zhǔn)確,以保證活動(dòng)在商定的水平上有效持續(xù)運(yùn)行;如果記錄或工作進(jìn)展等信息無法獲得、不準(zhǔn)確、或沒有實(shí)時(shí)更新,都可能導(dǎo)致妨礙或嚴(yán)重耽擱活動(dòng)的恢復(fù);-供給即外部服務(wù)和供給,也就是說非集團(tuán)內(nèi)的外部資源情況;-最大可容忍數(shù)據(jù)丟失(MTDL)如果數(shù)據(jù)無法進(jìn)行流轉(zhuǎn),組織將不能恢復(fù)其營運(yùn)能力,丟失一定時(shí)間的數(shù)據(jù)可能導(dǎo)致組織運(yùn)營無法恢復(fù),極具價(jià)值的數(shù)據(jù)丟失,還可能威脅到組織的生存,而且有些活動(dòng)在沒有數(shù)據(jù)的情況下,或者使用幾周之前的數(shù)據(jù),都可以正常運(yùn)行,然而有些活動(dòng)無法承受任何數(shù)據(jù)丟失,所以要制定最大可容忍數(shù)據(jù)丟失(MTDL);-數(shù)據(jù)采集數(shù)據(jù)采集是為了一段時(shí)間內(nèi),如果在一個(gè)可接受水平上和在最大可容忍中斷時(shí)間(MTPD)范圍維持業(yè)務(wù)功能,需要多少資源,還應(yīng)該考慮中斷發(fā)生所產(chǎn)生的額外活動(dòng),以及清除積壓工作的需要,還要考慮以上的資源情況;目標(biāo)恢復(fù)點(diǎn)(RPO)的要求也直接影響到清除積壓工作實(shí)施的具體工作情況;在確定資源水平時(shí),應(yīng)考慮相關(guān)利益方的需求。業(yè)務(wù)影響分析中需明確核心系統(tǒng),交部門主管確認(rèn),并進(jìn)行風(fēng)險(xiǎn)評(píng)估分析。*5.4.2風(fēng)險(xiǎn)評(píng)估(RA)風(fēng)險(xiǎn)評(píng)估需考慮重大風(fēng)險(xiǎn)場景,清晰定義風(fēng)險(xiǎn)評(píng)估矩陣,為「亶服務(wù)連續(xù)性策略工作流程」編寫提供依據(jù),部門在評(píng)估風(fēng)險(xiǎn)的接受程度后,通過補(bǔ)充說明文件告知公司高層相關(guān)風(fēng)險(xiǎn)并與SLA中進(jìn)行相應(yīng)的規(guī)避。具體情況如下:可能性等級(jí)標(biāo)識(shí)定義8高出現(xiàn)的頻率較高或^1次徉年);或在大多數(shù)情況下很有可能會(huì)發(fā)生;或可以證實(shí)多次發(fā)生。6中出現(xiàn)的頻率中等或N1次/年);或在某種情況下可能會(huì)發(fā)生;或被證實(shí)曾經(jīng)發(fā)生。4低出現(xiàn)的頻率較??;或一般不太可能發(fā)生;或沒有被證實(shí)發(fā)生。2很低威脅幾乎不可能發(fā)生,僅可能在非常罕見和例外的情況下發(fā)生。破壞性等級(jí)標(biāo)識(shí)定義5很高對(duì)資產(chǎn)造成完全損害。4高對(duì)資產(chǎn)造成重大損害。3中等對(duì)資產(chǎn)造成一般損害。2低對(duì)資產(chǎn)造成較小損害。1很低對(duì)資產(chǎn)造成的損害可以忽略。風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)值2-810-1618-2426-3234-40風(fēng)險(xiǎn)等級(jí)12345等級(jí)標(biāo)識(shí)描述5很高一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會(huì)影響,如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營,經(jīng)濟(jì)損失重大、社會(huì)影響惡劣。4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會(huì)影響,在一定范圍內(nèi)給組織的經(jīng)營和組織信譽(yù)造成損害。3中等一旦發(fā)生會(huì)造成一定的經(jīng)濟(jì)、社會(huì)或生產(chǎn)經(jīng)營影響,但影響面和影響程度不大。2低一旦發(fā)生造成的影響程度較低,一般僅限于組織內(nèi)部,通過一定手段很快能解決。1很低一旦發(fā)生造成的影響幾乎不存在,通過簡單的措施就能彌補(bǔ)。接受風(fēng)險(xiǎn)的準(zhǔn)則降低風(fēng)險(xiǎn)(Treat) 、:;接受風(fēng)險(xiǎn)(Tolerate) '?轉(zhuǎn)移風(fēng)險(xiǎn)(Transfer),規(guī)避風(fēng)險(xiǎn)(Terminate)通過風(fēng)險(xiǎn)評(píng)估,確定對(duì)連續(xù)性的潛在威脅和威脅成為現(xiàn)實(shí)的可能性,并管理已確定的威脅;當(dāng)有全新的或變更的耳基礎(chǔ)架構(gòu)或1朋艮務(wù)時(shí),流程經(jīng)理對(duì)相關(guān)場景進(jìn)行可能性、破壞性、風(fēng)險(xiǎn)等級(jí)、接受風(fēng)險(xiǎn)的準(zhǔn)則進(jìn)行評(píng)估,并輸出《風(fēng)險(xiǎn)評(píng)估報(bào)告》;《風(fēng)險(xiǎn)評(píng)估報(bào)告》需送交部門主管審核。定義威脅:羅列出可能使用業(yè)務(wù)影響分析中判定的最緊急活動(dòng)發(fā)生中斷的內(nèi)外部威脅,具體情況請參考《風(fēng)險(xiǎn)評(píng)估報(bào)告》內(nèi)容;建立風(fēng)險(xiǎn)的概率和影響評(píng)估評(píng)分體系,并得到部門主管批準(zhǔn);依照評(píng)分體系確定每個(gè)威脅發(fā)生的概率和權(quán)重;通過一致的公式,綜合影響和概率的得分,計(jì)算每一種威脅的風(fēng)險(xiǎn)值;評(píng)審風(fēng)險(xiǎn)賦值的結(jié)果;根據(jù)風(fēng)險(xiǎn)等級(jí)對(duì)威脅進(jìn)行優(yōu)先次序排列;識(shí)別不可接受風(fēng)險(xiǎn)或單點(diǎn)故障;推薦行動(dòng)措施,能夠切實(shí)可行減少對(duì)企業(yè)最緊急活動(dòng)發(fā)生中斷的威脅。分析風(fēng)險(xiǎn):威脅通常是指故意的、意外的或環(huán)境的(自然的)的外來損害,在某些條件下,將導(dǎo)致對(duì)資產(chǎn)的影響,如:火災(zāi)、洪水、電力失效、員工短缺、員工曠工和硬件故障等;脆弱性又稱弱點(diǎn)或漏洞,是資產(chǎn)或資產(chǎn)組中存在的可能被威脅利用造成損害的薄弱環(huán)節(jié),脆弱性一旦被威脅成功利用就可能對(duì)資產(chǎn)造成損害??赡鼙憩F(xiàn)為資源漏洞,并要某些條件下被威脅所利用,如:單點(diǎn)失效、不充分的消防防護(hù)、電力健康情況、人員配備水平、11安全和1!健康度等;影響可源自威脅對(duì)脆弱性的利用。定義可接受級(jí)別;不論選擇了哪種風(fēng)險(xiǎn)評(píng)估,都需要定義風(fēng)險(xiǎn)可接受級(jí)別。定義可接受風(fēng)險(xiǎn)的準(zhǔn)則:降低風(fēng)險(xiǎn)(Treat業(yè)務(wù)連續(xù)性)如果業(yè)務(wù)連續(xù)性作為關(guān)鍵產(chǎn)品或服務(wù)的被選策略,應(yīng)建立恢復(fù)時(shí)間目標(biāo)(RTO),并對(duì)照該目標(biāo)的連續(xù)性策略進(jìn)行評(píng)估;業(yè)務(wù)連續(xù)性尋求提高組織對(duì)中斷的健康度,保證關(guān)鍵活動(dòng)按業(yè)務(wù)影響分析所規(guī)定的最低可接受水平和時(shí)間框架持續(xù)運(yùn)行或被恢復(fù);接受風(fēng)險(xiǎn)(Tolerat發(fā)生風(fēng)險(xiǎn)時(shí),可不采取進(jìn)一步的活動(dòng),而被接受;即使是不可接受風(fēng)險(xiǎn),但對(duì)某些風(fēng)險(xiǎn)能夠采取措施的能力有限,或者采取措施的潛在收益與成本不成比例,在風(fēng)險(xiǎn)的偏好內(nèi)如果部門主管認(rèn)為,風(fēng)險(xiǎn)是可能接受的,在這些情況下,影響的措施可能是忍受現(xiàn)有的風(fēng)險(xiǎn)水平,在某些情況下,風(fēng)險(xiǎn)的影響可能超出了風(fēng)險(xiǎn)偏好,但風(fēng)險(xiǎn)發(fā)生的可能性較低或風(fēng)險(xiǎn)控制成本不經(jīng)濟(jì),最高管理層可接受風(fēng)險(xiǎn);對(duì)風(fēng)險(xiǎn)發(fā)生的影響處置計(jì)劃可作為風(fēng)險(xiǎn)接受的補(bǔ)充;轉(zhuǎn)移風(fēng)險(xiǎn)(Transfe可通過常規(guī)的保險(xiǎn)或合同安排實(shí)現(xiàn)風(fēng)險(xiǎn)轉(zhuǎn)移,或通過第三方支付費(fèi)用以其它方式處理風(fēng)險(xiǎn)。該選項(xiàng)對(duì)于降低財(cái)務(wù)風(fēng)險(xiǎn)或資產(chǎn)的風(fēng)險(xiǎn)尤為合適;風(fēng)險(xiǎn)可被轉(zhuǎn)移,以該組織的減少風(fēng)險(xiǎn),或者因?yàn)榱硪粋€(gè)組織是更能夠有效地管理風(fēng)險(xiǎn);某些風(fēng)險(xiǎn)是不能或不能全部)轉(zhuǎn)移,如信譽(yù)風(fēng)險(xiǎn),即使服務(wù)交付是外包的;購買保險(xiǎn)可能構(gòu)成風(fēng)險(xiǎn)處理的一部分,購買保險(xiǎn)可能給部分損失帶來一定的財(cái)務(wù)補(bǔ)償,但是,并非所有的損失者是可能保險(xiǎn)的(例如:不確定的事故、品牌或信譽(yù)的損失、相關(guān)利益的損失、市場份額的降低或人身后果),單獨(dú)的財(cái)務(wù)方法很難如相關(guān)利益方所期望的全面保護(hù)組織;必要的保險(xiǎn)安排通常與一個(gè)或多個(gè)其它策略相配套;規(guī)避風(fēng)險(xiǎn)(Terminate變更、延緩或停止在某些情況下,變更、延緩或停止服務(wù)、產(chǎn)品、活動(dòng)、功能或過程,可能是合適的方法,該方法只有在與組織目標(biāo)、法律法規(guī)符合以及利益相關(guān)方的期望不發(fā)生沖突時(shí)考慮;該方法通常對(duì)具有有限預(yù)期使用期限的服務(wù)、產(chǎn)品、活動(dòng)、功能或過程等時(shí)考慮;風(fēng)險(xiǎn)評(píng)估方法必須對(duì)以上的概念進(jìn)行處理。*5.4.3服務(wù)連續(xù)性策略流程經(jīng)理根據(jù)《業(yè)務(wù)影響分析報(bào)告》及《風(fēng)險(xiǎn)評(píng)估報(bào)告》,制定《緊急統(tǒng)籌中心》并交部門主管審核。《緊急統(tǒng)籌中心》需注明人員在應(yīng)急中的職責(zé)包括A角及B角)。5.4..3.3服務(wù)連續(xù)性策略請參考「1朋艮務(wù)連續(xù)性策略工作流程」,備份策略請參考備份相關(guān)流程。*5.4.4服務(wù)連續(xù)性計(jì)劃流程經(jīng)理根據(jù)fit服務(wù)連續(xù)性策略工作流程」及備份相關(guān)流程要求組織制定《it服務(wù)連續(xù)性計(jì)劃》和《演練計(jì)劃》并交部門主管審核,《1朋艮務(wù)連續(xù)性計(jì)劃》應(yīng)包含《業(yè)務(wù)影響分析報(bào)告》、《風(fēng)險(xiǎn)評(píng)估報(bào)告》、《緊急統(tǒng)籌中心》及資源清單。連續(xù)性計(jì)劃應(yīng)包括但不限于:執(zhí)行計(jì)劃的角色與職責(zé);執(zhí)行的流程、技術(shù)、方法;可用性的需求、目標(biāo);人員及資源的最低要求;服務(wù)連續(xù)性計(jì)劃、聯(lián)系清單及配置數(shù)據(jù)庫應(yīng)該有效;如何恢復(fù)到正常的工作狀態(tài)。服務(wù)連續(xù)性計(jì)劃的保障分為:專業(yè)技術(shù)保障、通信保障和后勤保障等。專業(yè)技術(shù)保障:主要保證系統(tǒng)能正?;謴?fù)運(yùn)作情況,以及使用好后期可用性的運(yùn)作維護(hù);通信保障:主要保證系統(tǒng)的網(wǎng)絡(luò)通訊的正常,以及后期可用性的運(yùn)作維護(hù);后勤保障:對(duì)于恢復(fù)策略中指定需要的設(shè)備、服務(wù)、材料等應(yīng)第一時(shí)間通知相關(guān)機(jī)構(gòu)和廠商人員,組織相關(guān)的人員、服務(wù)和設(shè)備迅速送達(dá)指定地點(diǎn),包括系統(tǒng)恢復(fù)的必要資源(如:場地提供、電源供應(yīng)情況、軟件介質(zhì)、后備設(shè)備、等)、以及人員安排、后勤支持包括食物、水、等)情況。有關(guān)集團(tuán)信息系統(tǒng)運(yùn)維服務(wù)的主要恢復(fù)策略主要有以下幾種,均按《亶服務(wù)連續(xù)性計(jì)劃》對(duì)應(yīng)內(nèi)容進(jìn)行處理:核心系統(tǒng)的恢復(fù)策略;非核心系統(tǒng)的恢復(fù)策略;個(gè)案的恢復(fù)策略。集團(tuán)信息系統(tǒng)運(yùn)維服務(wù)的恢復(fù)流程均按《亶服務(wù)連續(xù)性計(jì)劃》對(duì)應(yīng)內(nèi)容進(jìn)行處理:其中核心系統(tǒng)的《亶服務(wù)連續(xù)性計(jì)劃》包括:標(biāo)準(zhǔn)恢復(fù)流程、緊急恢復(fù)流程、標(biāo)準(zhǔn)重建流程,非核心系統(tǒng)和個(gè)案按標(biāo)準(zhǔn)恢復(fù)流程跟進(jìn)。a)信息系統(tǒng)標(biāo)準(zhǔn)恢復(fù)流程包括如下項(xiàng)目及過程:系統(tǒng)環(huán)境準(zhǔn)備-網(wǎng)絡(luò)環(huán)境-服務(wù)器系統(tǒng)及服務(wù)平臺(tái)-應(yīng)用系統(tǒng)平臺(tái)資料恢復(fù)-備份文檔恢復(fù)-數(shù)據(jù)恢復(fù)網(wǎng)絡(luò)恢復(fù)資料校驗(yàn)應(yīng)用校驗(yàn)正式宣告恢復(fù)完成b) 信息系統(tǒng)緊急恢復(fù)流程包括如下項(xiàng)目及過程:環(huán)境恢復(fù)/準(zhǔn)備系統(tǒng)環(huán)境準(zhǔn)備-網(wǎng)絡(luò)環(huán)境-服務(wù)器系統(tǒng)及服務(wù)平臺(tái)-應(yīng)用系統(tǒng)平臺(tái)資料恢復(fù)-備份文檔恢復(fù)-數(shù)據(jù)恢復(fù)資料校驗(yàn)應(yīng)用恢復(fù)網(wǎng)絡(luò)恢復(fù)應(yīng)用校驗(yàn)正式宣告恢復(fù)完成c) 信息系統(tǒng)標(biāo)準(zhǔn)重建流程包括如下項(xiàng)目及過程:環(huán)境恢復(fù)/準(zhǔn)備系統(tǒng)環(huán)境準(zhǔn)備-網(wǎng)絡(luò)環(huán)境-服務(wù)器系統(tǒng)及服務(wù)平臺(tái)-應(yīng)用系統(tǒng)平臺(tái)資料恢復(fù)-備份文檔恢復(fù)-數(shù)據(jù)恢復(fù)資料的回退切換資料校驗(yàn)網(wǎng)絡(luò)的回退切換網(wǎng)絡(luò)恢復(fù)業(yè)務(wù)功能的切換應(yīng)用校驗(yàn)正式宣告恢復(fù)完成數(shù)據(jù)安全處理應(yīng)對(duì)突發(fā)事件組織人員疏散撤離,請參考「人員撤離應(yīng)急處理操作指引」。*5.4.5服務(wù)連續(xù)性計(jì)劃的實(shí)施流程經(jīng)理需組織編寫已確定的核心系統(tǒng)的《IT服務(wù)連續(xù)性計(jì)劃》。有關(guān)的IT服務(wù)連續(xù)性計(jì)劃為重要文件,該類文件的變更應(yīng)置于變更管理控制之下,并按《文件批簽及閱讀權(quán)限名單》要求進(jìn)行簽署,簽署后的文件在『ISO20000運(yùn)作文件庫』中統(tǒng)一存放,按照『文件及記錄管理流程』之文件要求進(jìn)行管控。在執(zhí)行《IT服務(wù)連續(xù)性計(jì)劃》時(shí),需做好匯報(bào)工作,以便讓用戶及部門主管了解具體工作的進(jìn)展情況。為保證《IT服務(wù)連續(xù)性計(jì)劃》的可行性和有效性,流程經(jīng)理要定期針對(duì)IT服務(wù)連續(xù)性計(jì)劃進(jìn)行培訓(xùn)、評(píng)估和改進(jìn)。5.4.6服務(wù)連續(xù)性計(jì)劃的培訓(xùn)、測試、演練流程經(jīng)理要組織對(duì)《IT服務(wù)連續(xù)性計(jì)劃》進(jìn)行測試及培訓(xùn),所有運(yùn)作需記錄到《測試記錄》及相關(guān)培訓(xùn)記錄中。流程經(jīng)理要組織相關(guān)人員針對(duì)《演練計(jì)劃》進(jìn)行演練,所有演練均應(yīng)紀(jì)錄到《演練報(bào)告》。《IT服務(wù)連續(xù)性計(jì)劃》的培訓(xùn)應(yīng)考慮如下內(nèi)容:按《IT服務(wù)連續(xù)性計(jì)劃》要求,確認(rèn)培訓(xùn)的內(nèi)容、范圍、參加人員是否完整;相關(guān)的培訓(xùn)情況,將記錄到相關(guān)培訓(xùn)記錄中,內(nèi)容包括:-培訓(xùn)人員名單及簽到情況;-培訓(xùn)主題及時(shí)間安排;-培訓(xùn)結(jié)果?!禝T服務(wù)連續(xù)性計(jì)劃》的測試應(yīng)考慮如下內(nèi)容:按《亶服務(wù)連續(xù)性計(jì)劃》要求,確認(rèn)計(jì)劃的內(nèi)容是否完整;按災(zāi)難的情況進(jìn)行測試,試運(yùn)行以確定計(jì)劃是否有效;相關(guān)的測試情況,將記錄到《測試記錄》中,內(nèi)容包括:-測試參與人;-測試主題;-項(xiàng)目內(nèi)容的完整性;-各項(xiàng)目的測試情況是否正常;-測試結(jié)果。測試異常情況處理,將由《服務(wù)改進(jìn)計(jì)劃》進(jìn)行提交,并給予更正。⑴服務(wù)連續(xù)性計(jì)劃》的演練應(yīng)考慮如下內(nèi)容:演練計(jì)劃1) 演練計(jì)劃應(yīng)與《亶服務(wù)連續(xù)性計(jì)劃》的范圍一致,并關(guān)注相關(guān)的法律法規(guī)的要求。2) 演練可能:得到預(yù)期的結(jié)果,如預(yù)先的計(jì)劃和范圍;或使組織開發(fā)創(chuàng)新的解決方案;演練方案應(yīng)在一段時(shí)間后,再次規(guī)劃以確保《1朋艮務(wù)連續(xù)性計(jì)劃》能按預(yù)期工作;3) 方案應(yīng)該:對(duì)《1丁服務(wù)連續(xù)性計(jì)劃》技術(shù)上的、后勤的、行政的、程序的以及其它系統(tǒng)的運(yùn)行進(jìn)行演練;對(duì)《1朋艮務(wù)連續(xù)性計(jì)劃》的安排和基礎(chǔ)設(shè)施進(jìn)行演練包括角色、責(zé)任,以及地點(diǎn)和工作區(qū)域等);對(duì)技術(shù)設(shè)施和通訊的恢復(fù)進(jìn)行驗(yàn)證,包括可用性和員工的重新安置;4) 可通過演練來提高《耳服務(wù)連續(xù)性計(jì)劃》管理能力:-從事故恢復(fù)中鍛煉組織的能力;-驗(yàn)證《1朋艮務(wù)連續(xù)性計(jì)劃》綜合了組織的所有關(guān)鍵-活動(dòng)及其相關(guān)支持,并按優(yōu)先級(jí)排序;-標(biāo)注有疑問的假定;-向演練參與者灌輸信心;-通過演練的宣傳,提高業(yè)務(wù)連續(xù)性意識(shí);-確認(rèn)關(guān)鍵活動(dòng)恢復(fù)的有效性和時(shí)間表;-證實(shí)1朋艮務(wù)團(tuán)隊(duì)的能力;-演練為連續(xù)性管理能力提供可證實(shí)的證據(jù);-通過《1朋艮務(wù)連續(xù)性計(jì)劃》演練時(shí)間和資源的消耗-證明該計(jì)劃滿足預(yù)定目的的能力;-不管《1朋艮務(wù)連續(xù)性計(jì)劃》看起來是怎樣的精心設(shè)計(jì)和慎重考慮,一系列強(qiáng)有力的和現(xiàn)實(shí)的演習(xí)將查明需要修訂的領(lǐng)域。演練的安排1) 演練應(yīng)該是實(shí)際的、經(jīng)過周密的計(jì)劃,并獲得利益相關(guān)方的認(rèn)可,以使演練過程中業(yè)務(wù)中斷的風(fēng)險(xiǎn)最小。2) 每次演練都應(yīng)清晰定義目的和目標(biāo)。演練后的簡報(bào)和分析應(yīng)考慮目的和目標(biāo)的達(dá)成。演練后應(yīng)該形成包含建議及實(shí)施時(shí)間表的報(bào)告;3) 演練的規(guī)模和復(fù)雜程度應(yīng)該與組織的恢復(fù)目標(biāo)相適應(yīng);4) 《亶服務(wù)連續(xù)性計(jì)劃》應(yīng)該進(jìn)行演練,以保證其能夠得以正確執(zhí)行,并包含合適的細(xì)節(jié)和指南;演練所表明的《1朋艮務(wù)連續(xù)性計(jì)劃》中的不足和錯(cuò)誤,在糾正措施完成之后,應(yīng)該重新測試;5) 演練方案應(yīng)該考慮有關(guān)參與方的角色,包括關(guān)鍵設(shè)備廠商供貨商、外包合作伙伴和被期望參與到恢復(fù)活動(dòng)的其它各方;組織可在其演練中包括以上各方。演練計(jì)劃可考慮如下方面:復(fù)雜程度演練過程變更頻次簡單桌面檢查內(nèi)容的評(píng)審和修訂質(zhì)詢亶服務(wù)連續(xù)性計(jì)劃的內(nèi)容更新/確證審計(jì)/僉證至少每年一次中等逐步瀏覽計(jì)劃質(zhì)詢亶服務(wù)連續(xù)性計(jì)劃的內(nèi)容包括互動(dòng)和確認(rèn)參與者的角色模擬使用“虛擬”情形來確認(rèn)亶服務(wù)連續(xù)性計(jì)劃包含成功恢復(fù)所必要的和充分的信息與相關(guān)計(jì)劃整合演練關(guān)鍵活動(dòng)啟動(dòng)一個(gè)可控的、不會(huì)危及業(yè)務(wù)正常運(yùn)作的情形定義一段時(shí)間在內(nèi)備用場所的運(yùn)作全面演練《IT服務(wù)連續(xù)性計(jì)劃》,包括事故管理大樓/園區(qū)/不包括區(qū)域范圍的演練按實(shí)際情況進(jìn)行安排復(fù)雜*5.4.7服務(wù)連續(xù)性計(jì)劃的日常運(yùn)行及維護(hù)流程經(jīng)理組織服務(wù)負(fù)責(zé)人負(fù)責(zé)《IT服務(wù)連續(xù)性計(jì)劃》日常運(yùn)維;災(zāi)難發(fā)生時(shí),流程經(jīng)理組織相關(guān)人員按照既定的流程和步驟,恢復(fù)業(yè)務(wù)系統(tǒng),并填寫《恢復(fù)報(bào)表》?!稑I(yè)務(wù)影響分析報(bào)告》、《風(fēng)險(xiǎn)評(píng)估報(bào)告》、《緊急統(tǒng)籌中心》及《亶服務(wù)連續(xù)性計(jì)劃》文件,至少每年回顧一次,并將情況通知相關(guān)方。5.4.8流程步驟對(duì)應(yīng)簡表

編碼活動(dòng)責(zé)任人說明CN.1業(yè)務(wù)影響分析(BIA)流程經(jīng)理業(yè)務(wù)影響分析的目的是量化亶服務(wù)連續(xù)性對(duì)業(yè)務(wù)的影響,并識(shí)別最核心的IT服務(wù);當(dāng)有全新的或變更的業(yè)務(wù)需要或協(xié)議內(nèi)全新的或變更的目標(biāo)時(shí),流程經(jīng)理依據(jù)客戶需求、內(nèi)部管理重要程度、期望值與恢復(fù)策略、中斷最大可忍受時(shí)限等要素,組織進(jìn)行業(yè)務(wù)影響分析并制定《業(yè)務(wù)影響分析報(bào)告》;《業(yè)務(wù)影響分析報(bào)告》需送交部門主管審核。CN.2風(fēng)險(xiǎn)評(píng)估(RA)流程經(jīng)理通過風(fēng)險(xiǎn)評(píng)估,確定對(duì)連續(xù)性的潛在威脅和威脅成為現(xiàn)實(shí)的可能性,并管理已確定的威脅;當(dāng)有全新的或變更的亶基礎(chǔ)架構(gòu)或IT?務(wù)時(shí),流程經(jīng)理對(duì)災(zāi)難和其它服務(wù)中斷發(fā)生的可能性、威脅等級(jí)和承受風(fēng)險(xiǎn)的程度進(jìn)行評(píng)估,并輸出《風(fēng)險(xiǎn)評(píng)估報(bào)告》;《風(fēng)險(xiǎn)評(píng)估報(bào)告》需送交部門主管

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論