业务连续性服务策略介绍(30MB)-PowerPoint

业务连续性服务策略介绍夏文锦IBM大中华区业务连续及恢复服务产品经理议程安排•业务连续性与风险概述•业务连续性相关的政策、法规状况•业务连续性建设方法简介•业务连续性建设成功案例分享–需求分析–架构设计–项目实施–预案制定和演练–运维管理•IBM业务连续性服务简介Page4我们面临的风险与日俱增...•自然灾难影响巨大–灾难频发，冰雪灾害、汶川大地震、地陷，恐怖袭击，SARS,北美大停电，印度洋海啸，台湾地震海底电缆断裂，Katrina飓风。•业务中断带来的严重影响–直接的财务损失–品牌损失，不良的社会影响–声誉损失–生产力损失•更加严格的法律、法规，行业规范要求–不断变化的行业与合规性要求–政府及监管部门以及上市公司的要求–审计的压力–各个国家对于业务连续性的不同要求曾经布置地井井有条的机房・・・重达1吨的空调设备也・・・Page6...系统中断对于业务的影响是巨大的•不同的行业，每年的停机时间从30---120小时不等•在某些行业，系统中断带来的损失是年收入的16%•32%的组织，仅仅4小时的停机时间就会带来特别严重的后果•20%-30%的企业因为灾难影响导致停机，失去竞争力，在2年之内倒闭•某些企业需要满足法规以及行业规范的要求Page7怎样看待灾难带来的损失?生产力损失生产力损失员工数x影响x小时x恢复额外工作时间=?￥百五立即损失呈指数增长非直接损失会更加严重且不可预测分钟天时间￥影响￥千万直接财务/客户损失直接收入损失:直接损失,补偿金,未来营业额,账单损失和投资损失名誉损失:客户,竞争对手的获益,供应商,资本市场,业务合作伙伴品牌/声誉损失财务业绩损失:营业额的确认,现金流,信用评级,股价,违规罚款财务影响议程安排•业务连续性与风险概述•业务连续性相关的政策、法规状况•业务连续性建设方法简介•业务连续性建设成功案例分享–需求分析–架构设计–项目实施–预案制定和演练–运维管理•IBM业务连续性服务简介我国政策法规状况时间名称2003《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号。北京市下发《关于落实〈国家信息化领导小组关于加强信息安全保障工作的意见〉的通知。2004.9《关于加强国家重要信息系统灾难备份工作的意见》2005.1《重要信息系统灾难恢复指南》2006.4《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》(简称123文件）2006.8《证券公司集中交易安全管理技术指引》（简称技术指引）2007.5《商业银行操作风险管理指引》2008.3《保险业信息系统灾难恢复管理规范》2008.2《银行业信息系统灾难恢复管理规范》2007.11.1《信息系统灾难恢复规范》GB/T20988-2007灾备标准和法规正日趋完善•国际标准–BS15000（IT服务管理）：业务持续计划是企业安全政策的必要组成部分–ISO27001（原BS7799）（信息安全）：涵盖信息系统风险评估、控制、处理、监控、预防等–BS25999（业务持续性管理）：2006年11月发布的权威业务持续性管理标准•国际法规–萨班斯法案（SOX/J-SOX）：上市公司须在100公里外建灾备中心，出现事故后15分钟之内可以恢复。议程安排•业务连续性与风险概述•业务连续性相关的政策、法规状况•业务连续性建设方法简介•业务连续性建设成功案例分享–需求分析–架构设计–项目实施–预案制定和演练–运维管理•IBM业务连续性服务简介He’swellequippedforRisk12Toyotasafetycommercial=zHmZaRUUp_YButisheequippedtowin?13Toyotasafetycommercial=zHmZaRUUp_Y业务连续性建设中常见的挑战和难点必须与未来业务发展协调一致；必须与信息技术总体规划相一致；人员培训和知识转移；企业内部各个业务特点各不相同，对于业务连续性需求和认知不同；重点关注于核心业务的同时，兼顾非核心业务；业务部门远比IT部门分布区域广泛。业务连续性计划与总体规划的协调业务特点和环境人员信息技术环境庞大且复杂；存在过渡性应用；持续性的进行信息化建设；多种技术和产品难以选择；有限的预算和项目实施周期。信息技术特点和环境Page15企业面临的风险灾难事件多样，必须要有全面的方案进行应对每年发生的频率1,0001001011/101/1001/1,0001/10,0001/100,000US$1US$10US$100US$1,000US$10,000US$100,000US$1,000,000US$10,000,000US$100,000,000经常发生I很少发生导致的损失低高病毒蠕虫磁盘失效系统故障流行性疾病自然灾难应用问题数据损坏网络故障火灾、水灾恐怖袭击DatadrivenEventdrivenBusinessdriven合规性要求工作场所无法进入行业标准要求区域性停电公司治理要求Source:IBM流程技术组织基础设施战略应用及数据•登录与授权•高可用性集群方案•基于主机、存储和数据库的数据复制方案•刀片服务器•网格计算用于高性能运算•监控日志•网络体系架构•关键数据镜像•异地备份•电子邮件恢复•信息生命周期管理•应用接管•身份认证管理•关键流程及影响因素•变更管理•危机处理•和外部公司的衔接•ITIL的实施•集成到帮助台/监控•人员分布在不同的地区•呼叫联络流程及通知流程•桌面系统的备份•阐述清楚的角色和责任•指定指挥中心•阐述清楚的安全政策•公司治理模式•公司高管了解公司具备的能力•风险管理•供应商/业务伙伴的整合•IT和业务战略的衔接业务连续性建设需要考虑的六个层面•多路电源•多路/多服务商通讯接入•UPS•柴油发电机•建立备份中心•物理安全•生物辨识Page17IBM业务连续及灾难恢复模型–完整的架构设计风险防范措施业务驱动数据驱动事件驱动Facilities策略与愿景组织架构流程业务应用与数据技术基础设施业务连续性建设的方法论-协助完成分析评估，规划设计以及实施维护的全过程评估风险对业务的影响分析潜在的风险评估现有环境的恢复能力管理业务连续以达到目标业务连续性计划业务连续性计划的制定及演练业务连续策略制定业务连续方案制定业务连续方案实施12345678IBM业务连续性项目实施方式阶段二需求调研阶段三容灾策略和备份方案制定阶段一项目启动阶段四技术实施阶段阶段五灾难恢复计划开发与演练阶段六系统运营T0启动项目T01进行风险分析T02进行当前环境分析T03进行业务影响分析T04备份和恢复策略设计T05容灾备份基础架构设计T06流程和组织架构设计T07容灾备份详细设计T08标准制定T09技术和产品选择T10试点单位或测试实施T12开发业务连续性计划和演练模版T13灾备中心的运营管理T14业务连续性计划的演练和维护T15安全管理T16系统运行期的新项目建设123456T17知识转移、专业培训T18项目管理2=阶段交付成果时间T11技术方案实施议程安排•业务连续性与风险概述•业务连续性相关的政策、法规状况•业务连续性建设方法简介•业务连续性建设成功案例分享–需求分析–架构设计–项目实施–预案制定和演练–运维管理•IBM业务连续性服务简介–现状：–ERP刚刚实施完成；–连续2次机房停电；–由于停电后系统维护人员对于新系统不够熟悉，系统停顿都在10小时以上；–业务部门给IT部门巨大压力。–主要挑战－客户:–IT部门希望实施业务连续性项目，但是需要从业务角度告诉业务部门:»为什么需要实施该项目?»收益在哪里?»建设的路线图？需求分析遇到的挑战建议的容灾备份项目实施方式阶段二需求调研阶段三容灾策略和备份方案制定阶段一项目启动阶段四技术实施阶段阶段五灾难恢复计划开发与演练阶段六系统运营T0启动项目T01进行风险分析T02进行当前环境分析T03进行业务影响分析T04备份和恢复策略设计T05容灾备份基础架构设计T06流程和组织架构设计T07容灾备份详细设计T08标准制定T09技术和产品选择T10试点单位或测试实施T12开发业务连续性计划和演练模版T13灾备中心的运营管理T14业务连续性计划的演练和维护T15安全管理T16系统运行期的新项目建设123456T17知识转移、专业培训T18项目管理2=阶段交付成果时间T11技术方案实施风险分析•风险分析的目标是：•对企业可能面临的主要威胁性风险进行质与量化的评估。•按照各风险的严重性，分别定义其所处的风险层次和级别。•根据各风险发生的可能性，分别定义其所处的风险级别。•提出应对风险的建议（避免风险、转移风险、或接受风险）。基础设施和技术人的因素不可抗力内部员工外部人员气候自然灾害硬件故障技术缺陷电源故障电压波动电源接地不良电缆老化空调损坏消防设施毁坏通讯线路中断…病毒误操作盗窃蓄意破坏粗心/无知辞职情绪波动…病毒黑客攻击误操作入室行窃蓄意破坏间谍活动示威活动消防灌水…严寒冰雪恶劣气候崩塌雷击龙卷风海啸交通中断…水位过高地震火灾塌方飞行器撞击爆炸火山爆发…内部原因外部原因业务影响分析•业务影响分析的目标是：–确定企业的关键业务流程。–定义各关键业务可容许中断的最大时间长度。–确认各关键业务数据丢失的可容许程度信息系统可容忍恢复时间可容忍数据丢失时间重要性CRM系统2小时0数据丢失最重要业务处理系统2小时0数据丢失最重要ERP系统2小时0数据丢失最重要办公自动化8小时0数据丢失最重要邮件系统8小时0数据丢失最重要IT服务管理系统24小时2小时最重要财务系统24小时1周重要预算管理信息系统4小时4小时重要业务连续性策略制定•制定恢复策略的目标是：–消减当前恢复能力与恢复能力目标之间差距的高层次计划（Highlevelplan）。–解决方案的投资估算。–建立短期、中期、长期策略。–提出对组织与运作的建议。时间目标第一阶段ERP系统备用机房的选择与建设第四层（Tier4）的ERP同城容灾系统的实现系统备份功能的优化业务连续性计划的开发第二阶段OA服务器容灾功能的实现报表系统容灾功能的实现建立统一的系统监控平台机房的改造和整理员工的培训第三阶段IT服务管理咨询和实施长远目标第六层（Tier6）或者第七层（Tier7）的ERP同城容灾系统的实现ERP系统的异地容灾系统的实现主要收获－客户•通过风险分析、环境分析、业务冲击分析、恢复策略制定和总体方案设计明确了为什么要做业务连续项目的问题；–业务部门和IT共同确定了需求；–业务部门和IT共同确定了业务连续性策略；–业务部门和IT共同确定了项目实施时间表。–现状：–IT环境非常复杂；»服务器包括IBM主机、UNIX服务器（HP、SUN）、PCServer»存储包括IBM、EMC、SUN、HP»数据库包括DB2、Informix、Oracle、SQLServer–主要挑战－客户：–希望了解在灾难恢复项目中应该包括什么范围、怎么做、技术方案、可以通过一个咨询项目完成招标文件；–明确要在1年内完成灾难恢复项目实施的项目。架构设计遇到的挑战阶段二需求调研阶段三容灾策略和备份方案制定阶段一项目启动阶段四技术实施阶段阶段五灾难恢复计划开发与演练阶段六系统运营T0启动项目T01进行风险分析T02进行当前环境分析T03进行业务影响分析T04备份和恢复策略设计T05容灾备份基础架构设计T06流程和组织架构设计T07容灾备份详细设计T08标准制定T09技术和产品选择T10试点单位或测试实施T12开发业务连续性计划和演练模版T13灾备中心的运营管理T14业务连续性计划的演练和维护T15安全管理T16系统运行期的新项目建设123456T17知识转移、专业培训T18项目管理2=阶段交付成果时间T11技术方案实施架构设计的过程确认并文档化目前的架构：应用、数据、基础确认设计的原则、方