1、2022-12-4第11讲第六章灾难恢复与业务连续性第第11讲第六章灾难恢复讲第六章灾难恢复与业务连续性与业务连续性第11讲第六章灾难恢复与业务连续性 BCM概述 BCM规划 业务影响分析 确定BCM策略 BCM开发和实施 BCM演练和维护本讲提纲第11讲第六章灾难恢复与业务连续性案例案例图为世贸大厦北楼倒塌的连续镜头。世贸大厦世贸大厦 世界上最大、最快的电梯 南楼共有99座电梯 每个电梯最多容纳55人 45秒内由78层到地面 大楼备用电源,应急灯 3个楼梯 楼梯扶手、天花板、楼道门上涂荧光漆,指示疏散线路 安装扬声器、疏散指挥系统 大楼设救火指挥所,每楼层有火警监督员,定期演练第11讲第六章
2、灾难恢复与业务连续性飞利浦芯片厂火灾飞利浦芯片厂火灾危机是你改进的机遇!我们根本没有所谓的危机处理方案!uEricssonuNokia第11讲第六章灾难恢复与业务连续性灾难灾难灾难的定义灾难的定义 灾难(Disaster)是导致重大损失的突发的不幸事件灾难灾难自然的Natural人为的Man-Made系统/技术的System/Technical支持系统Supply Systems第11讲第六章灾难恢复与业务连续性机构的灾难机构的灾难n 对于机构来说,任何导致机构关键业务功能(Critical Business Functions)在一定时间内无法进行的事件都被视为灾难,其特点表现为:计划之外的
3、服务中断 超期的服务中断 中断无法通过平常的事件管理程 序得到解决 中断造成重大损失第11讲第六章灾难恢复与业务连续性灾难的危害灾难的危害l Gartner分析报告:2/5公司经历大灾难后再也不能恢复运作 1/3公司经历大灾难后在2年内倒闭l 明尼苏达大学研究:两周内不能恢复运作,75%企业完全停顿 两周内不能恢复运作,43%企业再无法恢复第11讲第六章灾难恢复与业务连续性什么是业务连续性管理?什么是业务连续性管理?业务连续性管理(Business Continuity Management,缩写为BCM)是一个全面、持续的过程,包括:识别威胁组织的潜在影响;提供一个框架用于指导组织提升应对灾
4、难和持续运营的能力。用于保障组织的主要股东利益,以及公司的声誉、品牌和其他创造价值的活动。BCM 目标是提升组织的持续运营能力。通过事先发现组织中由各种突发业务中断所造成的潜在影响,协助组织排定各种业务恢复先后顺序,最终实现各业领域的业务持续运营。第11讲第六章灾难恢复与业务连续性BCM对组织带来什么好处?对组织带来什么好处?u确保组织对生死攸关的灾难性事件,做出及时响应。u合理的BCM计划既满足规范和应对特殊风险的要求,同时提升了组织风险意识。u组织可以通过BCM来提升自身竞争力,争取新的客户、提高利润,并且能增加客户关怀度。u能最大限度发现低效的业务和平时无法揭露的隐患。u提前采取BCM
5、预防措施要比临时采取措施所花费的成本低。第11讲第六章灾难恢复与业务连续性BCM过程过程 BS7799所描述的BCM主要有以下要点:u业务持续计划首先是组织高层管理人员的首要职责,因为他们被委任保护公司的资产及公司的生存;u制定和实施一个完整的业务持续计划应从理解自身业务开始,进行业务影响分析和风险评估;u由组织高层管理者形成本企业的业务持续性战略方针,然后规划业务持续性计划;u进行计划的测试与实施;u进行计划的维护与更新,通过审计保证计划不断改进和完善。BCM生命周期第11讲第六章灾难恢复与业务连续性BCP VS DRPuBCP业务持续计划uDRP灾难恢复计划 天己经塌了,我们如何照常运转
6、业务 持续(Continuity)天要塌了,我们如何恢复原貌 IT 恢复(Recovery)第11讲第六章灾难恢复与业务连续性 BCM概述 BCM规划 业务影响分析 确定BCM策略 BCM开发和实施 BCM演练和维护本讲提纲第11讲第六章灾难恢复与业务连续性BCM规划规划 角色和职责 项目准备第11讲第六章灾难恢复与业务连续性关键活动关键活动234561组建团队组建团队BCM需求需求制定项目制定项目计划书计划书确定数据确定数据收集方法收集方法工作汇报工作汇报推销推销BCPBCM第11讲第六章灾难恢复与业务连续性BCM策略要求策略要求BCM策略要求范围基本原则 职责关键环节的原则要求目的需求指导
7、方针责任得到高级管理层的正式批准返回第11讲第六章灾难恢复与业务连续性项目计划项目计划项目计划里程碑 预算目标与任务(Objective-to-task mapping)任务与资源(Resource-to-task mapping)成功因素关键环节的原则要求返回第11讲第六章灾难恢复与业务连续性BCM规划规划 角色和职责 项目准备第11讲第六章灾难恢复与业务连续性BCM项目负责人项目负责人 业务连续性协调人做为BCM项目负责人全面负责项目的规划、准备、培训等各项工作:接触高级管理层 影响高级管理层的决策 与管理层的沟通和联络 组建和领导BCM委员会 与计划相关所有人员进行直接接触和沟通 了解机
8、构业务使命和高级管理层的意图 充分了解中断对机构业务的影响 熟悉机构的需求和运作,有能力平衡相关部门的不同需求第11讲第六章灾难恢复与业务连续性其他重要角色其他重要角色BCM委员会委员会高级管理层高级管理层业务部门代表业务部门代表用户用户危机管理团队危机管理团队恢复团队恢复团队系统和网络专家系统和网络专家信息安全部门信息安全部门法律代表法律代表第11讲第六章灾难恢复与业务连续性 BCM概述 BCM规划 业务影响分析 确定BCM策略 BCM开发和实施 BCM演练和维护本讲提纲第11讲第六章灾难恢复与业务连续性业务影响分析业务影响分析 BIA过程 BIA概述第11讲第六章灾难恢复与业务连续性 业务
9、影响分析(Business Impact Analysis,BIA)实质上是对关键性的企业功能,以及当这些功能一旦失去作用时可能造成的损失和影响的分析。BIA是整个BCM流程的工作基础。第11讲第六章灾难恢复与业务连续性BIA的作用的作用 BIA识别关键的业务功能及其支持方面的不足 BIA分析中断事件造成的影响 BIA分析业务功能的中断忍受程度和恢复的优先顺序 定量(Quantitative)分析 定性(Qualitative)分析 确定业务功能的最大允许中断时间(MTD)确定业务功能之间的依赖关系 确定恢复点目标(RPO)第11讲第六章灾难恢复与业务连续性中断的影响中断的影响 收入的损失 延
10、迟收入的损失 生产力的损失 营运成本的增加 声誉和公众信任的损失 竞争力的损失 违约责任 违背法律法规第11讲第六章灾难恢复与业务连续性业务影响分析业务影响分析 BIA过程 BIA概述第11讲第六章灾难恢复与业务连续性 确定信息收集技术 BIA过程过程 讨论(Discussion))调查问卷(questionnaires)访谈(Interview)存在的问题 应对建议 选择受访者 识别关键业务功能及其支持资源 确定最大允许中断时间(MTD)识别弱点和威胁 分析风险 向管理层汇报BIA结果第11讲第六章灾难恢复与业务连续性信息收集技术信息收集技术讨论调查问卷访谈开会讨论能够加速得出分析结论,同时
11、要和各个部门进行激烈的争论,最终达成一致的BIA结论。调查问卷能提供大量的BIA分析数据。如果问卷填写不完整,会降低调查信息的质量。访谈能提供很好的信息,但是比较费时间,得到的信息的格式和详细程度变化较大。第11讲第六章灾难恢复与业务连续性调查问卷设计调查问卷设计u根据企业文化、管理风格、自身特点设计适合于受访者的BIA问卷,问卷内容可包括:基本信息(受访者姓名、部门、职位、联络方式、受访时间等)业务功能概况(名称、规模、运行时间、员工数量、客户数量、重要的时间段、高峰业务量、法规要求、与其它业务或支持系统的关系等)业务中断对业务成本或收入的影响(增加开支租用额外设备或人员等)业务中断可能承担
12、的法律责任(合同违约、违反相关规定等)业务中断对业务运作的影响(无法提供服务等)业务中断对声誉的影响(失去客户信任、客户流失等)依赖于哪些技术系统(如硬件、软件、数据、网络等)存在哪些弱点和威胁(火灾、地震、罢工等)现有的应对措施(应急预案等)返回第11讲第六章灾难恢复与业务连续性支持资源的确定支持资源的确定 人力资源人力资源(Human resources)处理能力处理能力(Processing capability)物理基础设施物理基础设施(Physical infrastructure)基于计算机的服务基于计算机的服务(Computer-based services)应用和数据应用和数据
13、(Application and Data)文档和票据文档和票据(Documents and papers)如操作员、专家、系统用户等 如数据中心、备用数据中心、网络、小型机、工作站、个人计算机等 如办公室、办公家具、环境控制系统、电力、上下水、物流服务等 如语音和数据通信服务、数据库服务、公告服务等 计算机设备上运行的各种程序和存储的数据 如合同、票据、操作程序等文件、文档和资料返回第11讲第六章灾难恢复与业务连续性确定确定MTD 中断时间超过最大允许中断时间(Maximum Tolerable Downtime)将造成业务难以恢复,越是关键的功能或资源,MTD应该越短:根据MTDs排定关键
14、业务功能及其支持资源的恢复顺序 关键:1 小时之内 紧急:24小时 重要:72 小时 一般:7天 非必要:30天返回第11讲第六章灾难恢复与业务连续性风险分析风险分析 电力中断 火灾、洪水、风暴、地震 系统设备故障和软件故障 丧失基础设施功能(如电信等)测试和变更造成的中断 关键人员缺席 恐怖袭击、爆炸、罢工传染病返回第11讲第六章灾难恢复与业务连续性 BCM概述 BCM规划 业务影响分析 确定BCM策略 BCM开发和实施 BCM演练和维护本讲提纲第11讲第六章灾难恢复与业务连续性确定确定BCM策略过程策略过程预防预防应急响应应急响应业务持续业务持续业务恢复业务恢复业务复原业务复原第11讲第六
15、章灾难恢复与业务连续性 BCM原则 预防为先 恢复为后 通过遏制、探测或降低对系统影响的防御性措施予以消减或清除风险 达不到灾难级别的风险,采取预防措施规避或降低风险 灾难级别的风险,采取预防措施降低风险 对于不可忍受的灾难,采取恢复措施第11讲第六章灾难恢复与业务连续性预防目的预防目的减少灾难发生的可能性预防策略预防策略制止控制预防控制 保护企业的弱点区域,以防御危险的发生并降低其影响。减少威胁的可能性。第11讲第六章灾难恢复与业务连续性预防措施预防措施 设施采取加固材料(建筑、设备等)冗余服务器和通讯线路 多方多路供电、配置UPS和发电机 消防系统(火警发现、灭火)防水措施 冗余供应商 购
16、买保险 数据备份 介质保护 备用关键设备 人员培训第11讲第六章灾难恢复与业务连续性确定确定BCM策略过程策略过程预防预防应急响应应急响应业务持续业务持续业务恢复业务恢复业务复原业务复原第11讲第六章灾难恢复与业务连续性 应急响应:应急响应:指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生初期所采取的措施。目的:目的:避免、降低危害和损失,以及从危害和损失中恢复。第11讲第六章灾难恢复与业务连续性 应急响应的必要性:网络安全保护的困难;大量的安全漏洞;攻击系统和网络的程序的存在;实际的和潜在的财务损失;不利的媒体曝光的威胁;对效率的需求;当前入侵检测能力的局限性。第11讲第六章灾难
17、恢复与业务连续性准备准备检测检测抑制抑制恢复恢复跟踪跟踪PDCERA应急响应方法学应急响应方法学根除根除第11讲第六章灾难恢复与业务连续性准备准备(Preparation)即在安全事件发生前为应急响应做好准备。这一阶段极为重要,因为安全事件多数都比较复杂,事先准备是必须的。这一阶段的准备工作包括:基于威胁建立一组合理的防御控制措施。建立一组尽可能高效的安全事件处理程序。获得处理问题必须的资源和人员。建立一个支持应急响应活动的基础设施。返回第11讲第六章灾难恢复与业务连续性检测检测(Detection)(Detection)检测意味着弄清是否出现了恶意代码、文件和目录是否被篡改或者出现其他的特征
18、;如果是的话,问题在哪里,影响范围有多大。检测包括软件检测软件检测和人人工检测工检测。软件检测软件检测 面对今天如此种类繁多复杂的攻击,检测软件(如杀毒软件、入侵检测软件、完整性校验软件等)对应急响应工作的成功是非常必要的。许多厂商的软件可以迅速地检测桌面系统和邮件服务器的病毒。这些软件通常还可以检测出Windows系统上是否秘密安装了后门木马程序。人工检测人工检测用不活跃或系统缺省账号登录。在非工作时间有系统活动。出现了不是由系统管理员创建的账号。出现了不熟悉的文件或程序。用户权限的提升或超级用户权限的使用,但对此无法解释。Web服务器主页或其他页面被修改。系统日志出现一段时间的空白或擦除。
19、DNS表、路由器或防火墙规则中的无法说明的变化。系统性能变慢。返回第11讲第六章灾难恢复与业务连续性抑制抑制(Containment)(Containment)抑制的目的是限制攻击的范围,同时也就限制了潜在的损失和破坏。其只有在第2阶段观察到事件的确已经发生的基础上才能进行可能的抑制措施:可能的抑制措施:关闭所有系统。断开网络。修改所有防火墙和路由器的过滤规则,拒绝来自看起来是发起攻击的主机的所有的流量。封锁或删除被攻破的登录账号。提高系统或网络行为的监控级别。设置诱饵服务器作为陷阱,如“蜜罐”等。关闭存在漏洞的服务。反击攻击者的系统。返回第11讲第六章灾难恢复与业务连续性根除根除(Eradi
20、cation)(Eradication)在事件被抑制以后,应该找出事件根源并彻底根除。根除手段:根除手段:工具软件。比如,防病毒软件可以消灭大多数感染小系统的(甚至大系统的)病毒以及特洛伊木马程序。对于单机上的事件,主要可以根据各种操作系统平台的具体的检查和根除程序进行操作。大规模爆发的带有蠕虫性质的恶意程序的根除相对复杂。返回第11讲第六章灾难恢复与业务连续性恢复恢复(Recovery)(Recovery)在事件的根源根除以后,恢复阶段定义下一阶段的行动。恢复的目标是把所有被攻破的系统和网络设备彻底地还原到它们正常的任务状态。返回第11讲第六章灾难恢复与业务连续性跟踪跟踪(Follow-up
21、)跟踪是最后一个阶段。其整体目标是回顾并整合发生事件的相关信息。跟踪的重要性:跟踪的重要性:有助于事件处理人员吸取经验教训,提高他们的技能,以应付将来发生的同样的事件。有助于评判和管理一个组织机构的应急响应能力。所吸取的任何教训都可以当作应急响应工作组新成员的培训教材。可以当作应急响应工作组建设的基础。能够产生在法律行为中有用的信息。返回第11讲第六章灾难恢复与业务连续性应急响应预案应急响应预案 是被设计用于在信息安全突发事件中维持或恢复包括计算机运行在内的业务运行的策略和规程。应该有系统完整的设计、标准化的文本文件、行之有效的操作程序和持续改进的运行机制。基本原则基本原则集中管理、统一指挥、
22、规范运行、标准操作、反应迅速和响应高效。控制紧急事件的发展并尽可能消除,将事故对人、财产和环境的损失和影响减小到最低限度。目标目标第11讲第六章灾难恢复与业务连续性 应急响应制定过程:初稿的制订:初稿的制订:参照应急响应预案框架,按照IT系统风险分析和业务影响分析所确定的应急内容,根据应急响应等级的要求,结合组织其它相关的应急计划,撰写出应急响应预案的初稿。初稿的评审:初稿的评审:组织应对应急响应预案初稿的全面性、易用性、明确性、有效性和兼容性进行严格的评审。评审应有相应的流程保证。初稿的修订:初稿的修订:根据评审结果,对预案进行修订,纠正在初稿评审过程中发现的问题和缺陷,形成预案的修订稿。预
23、案的测试:预案的测试:应预先制订测试计划,在计划中说明测试的案例。测试应包含基本单元测试、关联测试和整体测试。测试的整个过程应有详细的记录,并形成测试报告。预案的审核和批准:预案的审核和批准:根据测试的记录和报告,对预案的修订稿进一步完善,形成预案的报批稿,并由应急响应领导小组审核和批准,确定为预案的执行稿。第11讲第六章灾难恢复与业务连续性应急响应预案实例应急响应预案实例XXX事件应急预案总则(简述本预案编制所依据的法律法规以及相关行业管理规定、技术规范和标准等)组织机构及职责(对实施应急响应的机构、人员及其职责范围都进行具体说明与规划)预防与预警4.1预防(明确对本类型事件危险源监测的方式
24、方法,以及采取的预防措施)4.2预警(明确本类型事件预警的条件、方式、方法和信息发布程序)4.3预警解除应急响应4.1事件分类分级(对本类型信息安全事件进行定义和分类、分级)4.2应急事件通告(按照有关规定,明确本类型事件信息报告程序和内容)4.3应急准备与启动(明确相关部门或人员分工和职责,相关应急资源准备等)4.4应急处理(应急上报的渠道、程序、内容;应急行动、现场救援实施方案的实施原则等)4.5应急结束(明确应急终止条件,事件调查及总结事项等)后期处置(对事件处理结果的情况汇报、经验总结、奖惩评定及表彰等后续工作)保障措施6.1通信保障6.2物资保障6.3人员保障6.4资金保障6.5技术
25、保障6.6其它保障工作(交通运输保障、电力保障等)6.7宣传、培训和学习附则(本条以上条款未尽事宜及所涉及的相关术语解释)第11讲第六章灾难恢复与业务连续性应急响应组应急响应组应急响应组由管理、业务、技术和行政后勤等人员组成,一般可设为应急响应领导小组应急响应领导小组、应急响应实施小应急响应实施小组组和应急响应日常运行小组应急响应日常运行小组等。应急响应领导小组应急响应领导小组是信息安全应急响应工作的组织领导机构,组长应由组织最高管理层成员担任。领导小组的职责是领导和决策信息安全应急响应的重大事宜,主要如下:a)审核并批准经费预算;b)审核并批准恢复策略;c)审核并批准应急响应预案;d)批准应
26、急响应预案的执行。应急响应实施小组应急响应实施小组的主要职责是负责:a)应急响应的需求分析;b)确定应急策略和等级;c)应急策略的实现;d)编制应急响应预案文档;e)组织应急响应预案的测试和演练。应急响应日常运行小组应急响应日常运行小组的主要职责是负责:a)协助灾难恢复系统实施;b)备份中心日常管理;c)备份系统的运行和维护;d)灾难恢复的专业技术支持;e)参与和协助应急响应预案的教育、培训和演练;f)维护和管理应急响应预案文档;g)信息安全突发事件发生时的损失控制和损害评估;h)信息安全事件发生后信息系统和业务功能的恢复;第11讲第六章灾难恢复与业务连续性确定确定BCM策略过程策略过程预防预
27、防应急响应应急响应业务持续业务持续业务恢复业务恢复业务复原业务复原第11讲第六章灾难恢复与业务连续性业务持续业务持续业务持续只涉及那些时间敏感的业务流程,要么是在中断后立即持续,要么是在可允许的一段时间后持续,但不是对所有业务的恢复。业务持续预案主要关注业务的损坏、中断和丧失等突发事件,从初始应急响应开始到恢复至正常业务水平。第11讲第六章灾难恢复与业务连续性一旦BCP被激活,需要做出的第一个决策是:关键性业务的运营能否在日常的工作场所或者一个备选场所很快运营。备选场所可分为以下几类:热站点(Hot Site)温站点(Warm Site)冷站点(Code Site)镜像站点(Mirrored
28、Site)移动站点(Mobile Site)第11讲第六章灾难恢复与业务连续性 热站点(Hot Site)冷站点(Cold Site)温站点(Warm Site)配置了所需的基础设施、服务、系统硬件、软件、实时数据和支持人员,通常24小时有人值守 接到应急计划启动通知时只需要进行适当的路由转换和通知就可以提供主站点的关键应用服务 通常具有充足空间和支持IT系统的基础设施和服务(电源、电信连接和环境控制)不包含IT设备并且通常也不包含办公自动化设备如电话、传真机或复印机 介于热站点和冷站点之间 配置部分IT资源,不包含实时数据 启用时需要安装部分设备和软件,还需要上载数据第11讲第六章灾难恢复与
29、业务连续性 镜像站点(Mirrored Site)移动站点(Mobile Site)具有完整和实时信息镜像的完全的冗余设施 镜像站点与主站点在所有的技术层面上都是一致的 内部配置适当电信装备和IT设备的可移动拖车 可以被机动拖放和安置在所需的备用场所第11讲第六章灾难恢复与业务连续性确定确定BCM策略过程策略过程预防预防应急响应应急响应业务持续业务持续业务恢复业务恢复业务复原业务复原第11讲第六章灾难恢复与业务连续性业务恢复业务恢复是事件发生后为了继续支持关键功能所采取的行动。是启动时间敏感度稍低一些的业务流程。业务恢复的开始时间要取决于接续时间敏感的业务流程所需要的时间。业务恢复策略的技术指
30、标:业务恢复策略的技术指标:恢复时间目标(Recovery Time Objectives.RTO)恢复点目标(Recovery Point Objectives.RPO)第11讲第六章灾难恢复与业务连续性不同层次的恢复策略不同层次的恢复策略业务恢复业务恢复Business Recovery设施恢复设施恢复Facility Recovery支持和技术恢复支持和技术恢复Supply and Technical Recovery用户环境恢复用户环境恢复User Environment Recovery数据恢复数据恢复Date Recovery第11讲第六章灾难恢复与业务连续性 基础设施的恢复考虑:
31、电力的恢复考虑:基础设施和电力的恢复考虑基础设施和电力的恢复考虑 备用站点和离站存储设施 主站点到备用站点的设备和人员运输问题 不间断电源(UPS)双电源(DPS)双回路供电系统 备用发电机第11讲第六章灾难恢复与业务连续性 支持服务的恢复考虑支持服务的恢复考虑:应用程序和数据的恢复考虑应用程序和数据的恢复考虑:文档和票据的恢复考虑文档和票据的恢复考虑:服务、程序、数据和文档的恢复考虑服务、程序、数据和文档的恢复考虑 服务水平协议(Service Level Agreement.SLA),与服务提供商签订的服务协议中应考虑到在紧急情况下提供服务的问题 通信恢复的问题 常规备份和离站(off-s
32、ite)存储 备份频率和备份介质的运输 备份方式:全备份(Full Backup)、差异备份(Differential)、增备份(Incremental)重要的文件、资料包括应急计划本身应该有离站存储第11讲第六章灾难恢复与业务连续性 供应商协议(Vendor Agreements)设备存货(Equipment Inventory)现有的兼容设备(Existing Compatible Equipment)设备更换的考虑设备更换的考虑 与硬件、软件和支持供应商签订紧急维护服务的服务水平协议 预先采购所需的设备并将其存储到安全的离站地点 现在库存的设备、租用的热站点中使用的设备以及部门中其它机构
33、使用的设备第11讲第六章灾难恢复与业务连续性 双电缆布线和预留额外的数据插口 关键网络设备的冗余或容错 冗余的远程通信链路 冗余网络服务提供商(Network Service Providor,NSP)由NSP或互联网服务提供商(Internet Service Provider,ISP)提供冗余 与NSP或ISP签订的服务水平协议网络的恢复考虑网络的恢复考虑第11讲第六章灾难恢复与业务连续性 在灾难发生后,保护人的生命是第一要务 员工培训和应急指引 人员备份和轮岗 雇佣额外或临时工作人员人力资源的考虑人力资源的考虑第11讲第六章灾难恢复与业务连续性确定确定BCM策略过程策略过程预防预防应急响
34、应应急响应业务持续业务持续业务恢复业务恢复业务复原业务复原第11讲第六章灾难恢复与业务连续性业务复原业务复原是事件发生后为了恢复到正常运行状态所采取的行动。主要是修复并恢复主要的运营场所。其最终目的是要在原有的场所或者一个全新的场所完全恢复所有的业务流程。进行复原时,必须确保该复原场所配备必要的基础设施、设备、硬件、软件和通信设备。而且要对该场所能否处理全部的业务流程进行测试。第11讲第六章灾难恢复与业务连续性 BCM概述 BCM规划 业务影响分析 确定BCM策略 BCM开发和实施 BCM演练和维护本讲提纲第11讲第六章灾难恢复与业务连续性BCM建设思路建设思路业务战略基础设施组织业务和IT流
35、程应用和数据IT技术n 制定BCM建设战略n 增加人员BCM意识n 建立BCM组织n 确定角色和职责n 确定业务和IT流程n 建立恢复流程和恢复计划n 实时或定期备份数据和程序n 定期检查备份数据的有效性n 构建灾难备份系统n 应用高效存储设备n 建立灾备中心n 营建灾备IT基础环境第11讲第六章灾难恢复与业务连续性BCM计划制定计划制定BCM计划重建阶段恢复阶段计划的附录通知/启动阶段第11讲第六章灾难恢复与业务连续性 损害评估 启动标准 启动通知通知通知/启动阶段启动阶段 紧急情况的原因、损失情况、影响范围、需更换的项目、预计恢复所需的时间等 预警级别 触发条件 工作时间和非工作时间的通知
36、方法 呼叫树 通知可能受影响的外部机构或互联的伙伴系统 通知中所传递的信息类型应该在计划中载明返回第11讲第六章灾难恢复与业务连续性 恢复顺序 恢复规程恢复阶段恢复阶段 系统允许的中断时间(Allowable Outage Time)系统之间的依赖关系 按照直接和逐步的风格书写 不能假定规程的步骤 不能忽略规程的步骤 准备检查列表返回第11讲第六章灾难恢复与业务连续性 恢复原站点 测试系统 终止操作重建阶段重建阶段 确保充足的基础设施支持,如电源、供水、电信、安全、环境控制、办公设备和用品 安装系统硬件、软件和固件 准备和使用恢复阶段类似的详细恢复规程 对系统进行测试 备份和上载应急系统中的运
37、行数据 关闭应急系统、终止应急操作 保护、清除或重新配置应急站点 恢复人员回到原设施返回第11讲第六章灾难恢复与业务连续性 BCM 团队成员的联络信息 供应商联络信息,包括离站存储(Off-site Storage)和备用站点(Alternate Site)的联络点(Point Of Contact.POC)系统恢复的标准操作规程和检查列表 支持系统所需的硬件、软件、固件和其它资源的设备和系统需求清单。每个条目应该包含详细内容,包括型号或版本号、规格说明和数量 供应商SLA、与其它机构的互惠协议 备用站点的描述和说明 BIA报告,包含系统各部分相互关系、风险、优先级别和影响的有价值的信息计划的
38、附录计划的附录返回第11讲第六章灾难恢复与业务连续性BCM团队团队损害评估小组损害评估小组恢复小组恢复小组BCM负责人负责人重建小组重建小组 服务器恢复小组 L AN/WAN恢复小组 数据库恢复小组 网络运行恢复小组 应用程序恢复小组 电信恢复小组 硬件拯军救小组 测试小组 行政支持小组 运输布置小组 媒体公关小组 法律事务小组 物理/人员安全小组 采购小组第11讲第六章灾难恢复与业务连续性 团队成员选择 团队建设BCM 团队要求团队要求 技能(Skills)知识(Knowledge)充分的培训,至少一年一次 新员工上岗之前应该接受BCM培训 能够随时开展工作 小组应该具有足够规模,不存在人员
39、单点 继任序列(Line of Succession Planning)第11讲第六章灾难恢复与业务连续性 BCM概述 BCM规划 业务影响分析 确定BCM策略 BCM开发和实施 BCM演练、维护和评估本讲提纲第11讲第六章灾难恢复与业务连续性通过演练、维护和评估,确保组织的 BCM 策略、预案和契约安排的高效性,并保持更新到最新状态。第11讲第六章灾难恢复与业务连续性演练演练l只有经过演练验证后,才能确认 BCM 的水平及能力。l演练有多种形式,包括技术测试、桌面演练和实战演练等。l演练所需的时间和资源是演练工作的重要组成部分。维护维护l大部分的组织都处于变化的环境之中,为了保证组织的 BC
40、M 能力适应自身的特性,必须满足及时性、正确性、完整性等要求。l须制定业务持续性管理制度,以保障所有利益相关方都能得到与其相关的 BCP 内容。评估评估l内部审计。l外部审计。l自我评估。第11讲第六章灾难恢复与业务连续性演练演练 制定演练计划 演练总结演练要求演练要求 明确的演练目标(Test Objectives)成功标准(Standard for Success)演练结果和学习到的经验应该记录到文档 在演练中和演练后收集到的有助于提高计划效率的信息应该修订BCP计划第11讲第六章灾难恢复与业务连续性演练规划演练规划演练规划流程演练规划流程第11讲第六章灾难恢复与业务连续性演练规划(续)演
41、练规划(续)时间要求时间要求在在RTO时限恢复时限恢复技术技术确保设备工作正常确保设备工作正常管理管理确保流程可控确保流程可控人员人员确保合适人员参练确保合适人员参练后勤后勤确保流程正常展开确保流程正常展开流程流程确保流程正确确保流程正确主要包括主要包括演练计划应该包括 BCM 策略规定的所有方面第11讲第六章灾难恢复与业务连续性演练规划(续)演练规划(续)测试类型测试类型流程流程参与者参与者演练周期演练周期复杂程度复杂程度桌面检查检察预案,确保完整预案制定者、部门主管高低过程演练确保交互、协调能力预案制定者、主要参与者模拟演练综合各项预案场地预案应急通讯预案主要参与者观察员协调员模拟、实战演
42、练将工作转移到备用场地,重建业务功能业务部门员工场地服务商观察员 协调员实战演练完全关闭主场地,重新部署、恢复业务所有员工场地服务商观察员 协调员低高下表是各种演练的分级和类型:第11讲第六章灾难恢复与业务连续性演练演练BCM预案预案评估组织当前的BCM能力。发现BCM 的不足,持续改进。检查预案场景假设的不足之处。为演练参与者提供信息,增强信心。提高团队工作能力。全面提升组织的BCM意识水平。最后,测试恢复流程的有效性、所花费时间等。预案演练的目的预案演练的目的:第11讲第六章灾难恢复与业务连续性演练演练BCM预案(续)预案(续)应该尽一切可能开展演练,并且尽可能采用与现实环域中相同的流程和
43、方法。严谨周密严谨周密如果场景假设不合理,那么测试的效果也会大打折扣。结合实际结合实际将造成业务中断的风险控制到最小程度。业务部门需要理解、同意接受测试的潜在风险。最小破坏最小破坏为实现测试的有效性,必须满足以下标准第11讲第六章灾难恢复与业务连续性演练演练BCM预案(续)预案(续)l测试:测试:主要针对技术流程/业务流程的检验活动,经常用目标时间来衡量测试水平。在这种情况下,结果或者是通过 或者是失败(结果是针对BCP流程而不是人员)。举例:基于备份磁带,重新配置服务器。l排演:排演:是指包含一系列特殊的流程,通过剧本/手册等传达相关的知识和技能。举例:火灾排演。l演练:演练:通常是基于场景
44、的,用于检验决策能力。举例:针对某个重大事故举行桌面演练。演练方式演练方式第11讲第六章灾难恢复与业务连续性演练演练BCM预案(续)预案(续)技术测试流程技术测试流程确定技术测试的目标和范围。确定技术测试的费用预算。指定专人负责技术测试。为技术测试假设一个基本场景。对技术测试开展风险评估,将测试对实际生产造成的影响降到最低。开展测试并记录测试结果。评估和汇报测试结果。解决在测试中发现的任何问题。第11讲第六章灾难恢复与业务连续性测演练演练BCM预案(续)预案(续)场景演练流程场景演练流程高层管理确认并同意场景演练的目的和范围。确定场景测试的费用预算。与相关部门达成一致。准备真实、恰当和详细的模
45、拟场景。调查相关信息。确保可以调用演练参与者。通知有关演练活动的信息和简报。开展演练。立刻举行简短的演练总结。举行正式、详细的演练总结。制定演练报告和整改建议。报告在演练中发现的不足。发布演练报告。制定演练整改计划,指导演练报告中的整改措施第11讲第六章灾难恢复与业务连续性演练演练BCM预案(续)预案(续)BCM 演练流程的输出包括:u验证业务持续性策略的有效性;u应急团队成员、普通员工在应对突发事件中熟悉各自的职责、义务和权力,提高人员BCM 的意识及技能;u测试业务持续预案中技术、后勤和管理等;u测试恢复设施中应急指挥中心、工作场地、技术和通信等的资源恢复情 况;u演练人员的可用性、人员调
46、配;u在事后演练报告中记录演练结果,供高层管理、审计者、保险公司、监管机构及其他组织参考和使用;u记录和处理在演练中暴露的不足;u提升人员关于应急流程的意识;u提升人员关干BCM重要性的意识;u发现组织的不足,提高业务持续性能力。返回第11讲第六章灾难恢复与业务连续性维护维护BCM预案预案BCM 维护程序,能确保组织在激烈的变化环境中,仍然保持应对各种突发事件的能力。要使BCM维护程持续有效,应该将其融入到组织的日常管理流程中,而不是单独设置而遭遗忘。确保组织在自身和外部环境变化的情况下,仍挫保持有效的BCM 能力。第11讲第六章灾难恢复与业务连续性有效的变更管理是BCM 维护的前提,因此,应
47、定期检查组织的内部变更,其包括以下三个部分:第11讲第六章灾难恢复与业务连续性如果变更流程发生重大变化,或者在演练总结报告和审计报告中有重大发现事项,需要立即进行以下几个方面的检查:检查BIA报告中的假设内容,分析业务的时间敏感度是否发生变化。检查组织在不同时期所需的外部服务是否充分、可用。检查与关键业务相关的供应商的安排事宜。评估是否需要变更和改善培训、意识和沟通。供适当的培训、意识和沟通培训。依据正式文档变更(版本)控制流程,向各利益相关方发布更新、修订和变更的BCM政策、策略、解决方案、流程和计划。第11讲第六章灾难恢复与业务连续性BCM 维护流程的成果包括以下:lBCM监控和维护工作的
48、文档;l内容清晰的BC文档维护报告(包括整改建议),并且由相应的高级管理层确认和批准;l内容清晰的BCM维护报告的行动计划,并且由相应的高级管理层确认和审批;l维护业务持续预案(BCP)、策略和解决方案的有效,保持最新版本。返回第11讲第六章灾难恢复与业务连续性评估评估BCM演练演练外部审计外部审计内部审计内部审计自我评估自我评估l检验组织 BCM 的竞争力和能力。l将组织 BCM 现状和审计标准对比,提出正式、规范的审计报告。l另外,BCM 的审计周期会影响到组织的 BCM 能力水平。目的目的第11讲第六章灾难恢复与业务连续性BCM的保证流程包括:l定义BCM工作的岗位职责、权力和义务。l定
49、义BCM工作的KPI(关键性能指标)目标、衡量的尺度和标准。l定义BCM工作的成功要素。l将KPI(关键性能指标)纳入内部、外部合同和年度考核工作中。l根据事先预定的KPI(关键性能指标),评估和检查实际的执行效果。l提供后续整改计划。BCM审计过程类似于BCM的规划、实施和维护,涉及复杂的流程,需要与业务、技术领域的管理和操作岗位人员进行广泛的交流沟通。第11讲第六章灾难恢复与业务连续性BCM 审计流程:lBCM审计计划。l定义审计范围。l确定需要审计涉及到组织的区域/部门/场地。l通过BCM审计活动,检查和收集信息。l整理、汇总相关的文挡。l分析收集到的信息的内容和水平。l收集和比较相关文
50、档。l参考其他信息。l恨据审计目的要求,出具审计结论。l提供审计草案l提供一个双方协商一致的审计意见报告。l提供一个双方协商一致的后续整改计划。l提供一个BCM审计的监控流程。第11讲第六章灾难恢复与业务连续性其方法由执行BCM 审计的人员决定。定量定量评估评估定性定性评估评估评估方法评估方法VS第11讲第六章灾难恢复与业务连续性定量的评估方法包括:u从最近一次演练到现在的间隔时间(月份);u从最近一次演练到现在,还未解决所发现问题的数量;uBC计划文档的完整程度;u从最近一次业务影响分析到现在的间隔时间(月份);u从最近一次业务影响分析到现在,还未解决所发现问题的数量;u在BC管理/计划中包
