1、连续性管理流程版本记录版本号日 期修 改 者说 明文 件 名V1.02011-11-15孙小明初稿连续性管理流程V1.12011-12-14范剑、孙小明正式稿同上目录1 介绍11.1 目标11.2 适用范围11.3 参考材料12 流程详细说明22.1 输入22.2 输出22.3 流程执行33 流程质量控制73.1 关键绩效指标 KPI73.2 流程报告74 流程角色和职责85 附录105.1 术语表105.2 表单11连续性管理流程1 介绍1.1 目标连续性管理是当发生 IT 重大服务中断或者灾害性事件时,用于及时响应并且恢复业务运行的管理流程,其目标确保业务运作所需的 IT 系统和 IT 服
2、务在灾难发生后的限定时间内能够得到恢复。良好的连续性管理将为远东租赁的业务稳健运行提供保驾护航。1.2 适用范围本文描述的连续性管理流程指的是 IT 服务连续性管理,它是负责预防灾难、增强IT 系统的恢复能力和容错能力的流程,它需要确保组织在发生灾难后有足够的技术、财务和管理资源来确保 IT 服务的连续性运作。IT 服务连续性管理是全面的业务连续性管理的一个组成部分。管理范围包括:1. 风险及灾难规避评估2. 业务影响分析3. 灾难恢复策略的维护4. 维护和实施灾难恢复技术方案5. 灾难恢复计划维护6. 容灾团队的管理和流程制度的维护7. 灾难恢复培训8. 灾难恢复演练9. 灾备环境的运行维护
3、10. 应急响应和灾难恢复执行11. 连续性管理的持续改进以及测试1.3 参考材料第 10 页,共 10页内部访问严禁修改连续性管理流程2 流程详细说明2.1 输入编号输入项来源周期1.服务级别定义服务级别管理每年2.业务恢复需求和服务改进计划业务关系管理每年3.风险评估报告信息安全管理由来源流程确定4.安全规范信息安全管理由来源流程确定5.服务级别和业务恢复需求的变更工单变更管理条件触发时6.容量计划容量管理由来源流程确定7.可用性计划可用性管理每半年8.生产环境配置信息配置管理条件触发时9.项目立项和各阶段检查点审批报告项目管理条件触发时10.灾备上线申请发布上线管理条件触发时11.灾难恢
4、复管理指引监管机构条件触发时12.应用分级标准IT 应用管理部日常运维13.信息系统应急预案IT 应用管理部每年2.2 输出编号输出项去向周期1.IT 风险评估报告信息安全管理每年2.业务影响分析报告业务关系管理、可用性管理每年或触发时3.灾难恢复策略可用性管理、容量管理每年或条件触发时4.灾难恢复计划服务级别管理每年或条件触发时5.演练报告服务报告管理每年连续性管理流程2.3 流程执行连续性管理流程要求和战略实施运营管理1进行风险IT系统风险管评估理小组IT容灾管理DRP管理员2进行业务影响分析7容灾培训3制定灾难恢复策略5灾难恢复计划的开IT容灾管理技术架构师4制定和实施灾难恢复技术方案发
5、和维护9灾难恢复计划更新维护制定恢复操作手册IT容灾运维团队1011运维管理灾难恢复流程执行负责人6容灾团队的管理和流程制度的维护8容灾演练信息安全管理服务级别管理配置管理容量管理其它流程业务关系管理可用性管理发布上线管理变更管理图 1、连续性管理流程图管理活动输入/触发描述输出/完成标准角色根据现状和业务特点,全面,IT 基础设施风险评估报告识别 IT 系统的各种风险因素分析风险发生的可能性。根1.进行风险评估灾难风险评估问卷据风险的来源和可控程度对风险因素进行分类分析,识别信息系统面临的自然和人IT 系统风险管理小组成员为的威胁,识别信息系统的脆弱性。根据风险范围和影响的严重程度以及风险发
6、生管理活动输入/触发描述输出/完成标准角色概率,评估风险可接受的程度。结合风险分析结果和中断损失影响程度,确定各业务功2.进行业务影响分析IT基础设施风险评估报告、业务影响分析调研问卷、服务级别协议能对恢复时间的敏感程度要 求。根据业务恢复需求和业 务功能的相互依赖关系程度,确定关键业务范围,关联关业务影响分析报告IT 容灾管理DRP 管理员系,RTO、RPO、容量需求等技术指标。根据业务影响分析报告,确定灾难恢复的目标,确定信息系统的灾难恢复范围;信IT 容灾管理3.制定灾难恢复策略业务影响分析报告息系统的灾难恢复顺序;信息系统的灾难恢复能力等级。灾难恢复策略DRP 管理员IT 容灾管理确定
7、灾难恢复资源要素的具技术架构师体要求和获取方式以及灾难恢复建设计划。4.制定和实施灾难恢复技术方案灾难恢复策略根据整体恢复策略,制定和实施灾难恢复技术方案。建设数据备份系统、备用数据处理系统、备用网络系统、备用基础设施。灾难恢复技术方案IT 容灾管理DRP 管理员IT 容灾管理技术架构师IT 容灾运维团队成员管理活动输入/触发描述输出/完成标准角色5.灾难恢复计划的开发和维护灾难恢复策略、灾难恢复技术方案根据灾难恢复技术方案,设 计开发出关键系统的灾难恢 复计划,以及恢复操作手册。灾难恢复计划IT 容灾管理DRP 管理员IT 容灾管理技术架构师6容灾团队的管理和流程制度的维护灾难恢复策略、灾难
8、恢复计划确定灾备团队具有“专业技术支持能力”和“运行维护管理能力”。维护容灾管理组织的结构、功能、角色和责任、成员与流程制度,从而确保容灾日常管理的有效进行,以及当灾难发生时,针对不同的情况定义对各团队与人员角色的职责,能够迅速召集相关人员有条不紊地按照既定步骤恢复业务及系统。灾备中心团队和运行管理办法IT 容灾运维团队成员 流程执行负责人7.容灾培训灾难恢复策略、灾难恢复计划定期或者按需对相关人员进行培训,培训的内容包含容灾相关知识、容灾技术、灾难恢复流程等,培训可以采取的形式有:主题讲座、教学录像、沙盘演练、容灾意识培养等多种形式,其中以主题讲座和意识培养为主。其主要活动包括:培训计划培训
9、报告、IT 容灾管理DRP 管理员管理活动输入/触发描述输出/完成标准角色- 培训内容准备- 进行培训8.容灾演练灾难恢复计划、信息系统应急预案根据开发的关键系统灾难恢复计划,组织进行相应的应急演练,使相关人员熟悉连续性管理的流程与环节,并检测灾难恢复计划的可行性和有效性。演练计划演练报告、流程执行负责人9.灾难恢复计划更新维护演练报告定期对灾难恢复计划进行内部检查,发现问题或所涉及的内容发生变化后需要立即更新。此外,每次演练后发现灾难恢复计划中存在与实际情况不符的情况,需要在演练结束后立即更新。灾难恢复计划修订IT 容灾管理DRP 管理员IT 容灾管理技术架构师10.运维管理可用性计划容量计
10、划、灾备上线申请根据容量管理流程,发布上线管理流程,配置管理流程和可用性管理流程管理灾备中心的日常运维工作。灾备中心团队和运行管理办法修订IT 容灾运维团队成员 流程执行负责人11.灾难恢复灾难恢复计划、信息系统应急预案当发生灾难时,根据灾难恢 复计划进行IT应用系统恢复。灾难恢复报告IT 容灾运维团队成员 流程执行负责人一般情况下不同触发条件可能导致的不同流程活动如下:回顾动作演习总结重大系统变更年度定期回顾新灾备系统建设需求常规变更进行风险评估进行业务影响分析制定灾难恢复策略制定和实施灾难恢复技术方案灾难恢复计划的开发和维护制定恢复操作手册容灾团队的管理和流程制度的维护容灾培训容灾演练:有
11、很大可能需要进行该回顾动作并发生相关文档的更新:非必须项目,需要时进行相应的动作。3 流程质量控制3.1 关键绩效指标 KPI指标设计说明:1. 考核指标可以用来反映流程的执行进度,即做了多少工作2. 考核指标可以用来反映流程的执行质量,即所完成工作的效果KPI目标值衡量方式周期负责人备注恢复能力达标率90%RTO、RPO 与实际要求 RTO、RPO 比率每年流程执行负责人年度演练成功率100%依据灾难恢复计划制定的演练目标, 测评本次演练成功率每年流程执行负责人技术恢复测试成功率90%测试报告每季度流程执行负责人3.2 流程报告编号名称说明周期负责人去向编号名称说明周期负责人去向IT 系统风根据现状和业务特点, 全面识别 IT 系统的各流程执行信息安全1. 险评估报告种风险因素,分析风险发生的可能性和影响结合风险分析结果和中每年负责人管理业务影响2. 分析报告断损失影响程度,确定各业务功能对恢复时间的敏感程度要求等每年或触发时流程执行负责人业务关系管理、可用性管理灾难恢复根据业务影响分析报告, 每年或条件流程