业务持续性及灾难恢复计划

业务持续性及灾难恢复计划BUSINESSCONTINUITY&DISASTERRECOVERYPLANNING概述•业务持续性及灾难恢复计划论述当业务运行陷入重大混乱时，如何保持正常的业务活动。BCP和DRP包含对具体措施的准备、测试与更新，以此保护关键业务流程不受重大系统与网络故障的影响。•业务持续性计划（BCP）有助于识别机构承受的内部与外部的威胁；协调硬资产与软资产以向机构提供有效的预防和恢复途径，并保持其竞争优势与价值系统完整性。BCP抵御商务活动受到的干扰，应用于保护关键业务流程不受重大故障与灾难的影响。BCP应对自然与人为事件，并处理未能及时有效地应对所带来的后果。•业务影响分析（BIA）断定在计算服务或通信服务严重中断后，各个业务单位所承受的影响程度。这些影响可能是财政方面的，体现为金钱损失；或是运行方面的，体现为无法履行业务。•灾难恢复计划（DRP）在电脑设备遭受部分或全部电脑资源与物理设施损失时，提供应急响应、延长备份运行以及灾后恢复的程序。DRP的首要目标是让必需任务程序得以在降级模式下运行，并在合理时间内恢复回正常的运行模式。概述•考生应了解业务持续性计划与灾难恢复计划之间的区别；了解业务持续性计划的项目范围与规划、业务影响分析、恢复策略、恢复计划发展与实施。此外，考生还应掌握灾难恢复计划的开发、实施与修复。关键知识领域•A.理解业务持续性要求–A.1起草并记录项目范围与规划•B.进行业务影响分析–B.1识别关键业务功能并进行优先排序–B.2判断可接受的最长停工时间以及其他标准–B.3评估运行中断的威胁（如本地范围、区域范围、全球范围）–B.4定义恢复目标•C.制定恢复策略–C.1实施备份存储策略（如异地存储、电子仓储、磁带轮换）–C.2站点恢复策略•D.理解灾难恢复过程–D.1应对–D.2人员–D.3通讯–D.4评估–D.5修复–D.6提供培训•E.执行、评估与维护计划（如版本控制、发行）主要内容•项目起始步骤•恢复与连续性规划要求•业务影响分析•选择、开发和实现灾难和连续性计划•备份与离线设备•演习和测试类型灾难（Disaster）是突发的、导致重大损失的不幸事件，包括：自然的（Natural），如地震（Earthquakes）、洪水（Floods）、强对流天气（Storms）、火山爆发（VolcanicEruptions）、自然火灾（NationalFires）；系统/技术的（System/Technical）,如硬件、软件中断（Outages）、系统/编程错误（Errors）；供应系统（SupplySystems），通讯中断、配电系统（PowerDistribution）中断、管道破裂（BurstPipes）；人为的（Man-Made），爆炸（Explosions）、火灾（Fires）、故意破坏（PurposefulDestruction）、航空器坠毁（AircraftCrashes）、有害物质泄漏（HazardousSpills）、化学污染（ChemicalContamination）、有害代码（MaliciousCode）政治的（Political），如恐怖袭击（TerroristAttacks）、骚乱（Riots）、罢工（Strikes）。灾难的定义对于机构来说，任何导致机构关键业务功能在一定时间内无法进行的事件都被视为灾难，其特点表现为：计划之外的服务中断；长时间的服务中断；中断无法通过正常的问题管理规程得到解决；中断造成重大损失。中断事件是否被机构视为灾难，与中断所影响的业务功能对机构的关键程度，以及中断的时间长短有关。机构的灾难业务连续性计划（BusinessContinuityPlan，BCP）关注在中断期间和之后维持机构的业务功能，提供重大中断恢复期间维持重要业务运行的规程，和IT相关的仅限于其对业务处理的支持，灾难恢复计划、业务恢复/复原计划和场所紧急计划可以附加在BCP之后。业务恢复/复原计划（BusinessRecovery/ResumptionPlan，BRP）涉及到在紧急事件后对业务处理的恢复，提供灾难后立即恢复业务运行的规程，但和BCP不同，它在整个紧急事件或中断过程中缺乏确保关键处理连续性的规程。BRP的制定应该与灾难恢复计划和BCP进行协调。BRP应该附加在BCP之后。BCP相关计划之间的关系操作连续性计划（ContinuityofOperationsPlan，COOP）关注位于机构（通常是总部单位）备用站点的关键功能，以及这些功能在回到正常操作状态之前最多30天的运行。由于COOP涉及到总部级的问题，它和BCP是互相独立制定和执行的。COOP强调机构在备用站点恢复运行能力，所以计划不一定需要包括IT运行。另外，它不涉及到无需重新配置到备用站点的小型危害。COOP可以将BCP、BRP和灾难恢复计划做为附录。支持连续性计划／IT应急计划（ContinuityofSupportPlan/ITContingencyPlan）支持连续性计划和IT应急计划是同义词，每一个重要的应用和通用支持系统都要制定IT应急计划，在机构的BCP中可能会维护多个应急计划。BCP相关计划之间的关系（续）危机通信计划（CrisisCommunicationsPlan）机构应该在灾难之前做好其内部和外部通信规程的准备工作。危机通信计划通常由负责公共联络的机构制定。危机通信计划规程应该和所有其它计划协调以确保只有受到批准的内容公之于众。计划规程应该做为附录包含在BCP中。通信计划通常指定特定人员做为在灾难反应中回答公众问题的唯一发言人。它还可以包括向个人和公众散发状态报告的规程。计划中包括记者招待会的模板。计算机事件响应计划（CyberIncidentResponsePlan）建立处理针对机构IT系统攻击的规程。这些规程被设计用来协助安全人员对有害的计算机事件进行识别、消减并进行恢复，这些事件的例子包括对系统或数据的非法访问、拒绝服务攻击、或对硬件、软件、数据的非法更改（如有害逻辑：病毒、蠕虫或木马等）。本计划可以包含在BCP的附录中。BCP相关计划之间的关系（续）灾难恢复计划（DisasterRecoveryPlan，DRP）应用于重大的、通常是灾难性的、造成长时间无法访问正常设施的事件。通常，DRP指用于紧急事件后在备用站点恢复目标系统、应用或计算机设施运行的IT计划。DRP的范围可能和IT应急计划重叠，但是DRP的范围比较狭窄，它不涉及到无需重新配置的小型危害。根据机构的需要，可能会有多个DRP附加在BCP之后。场所紧急计划（OccupantEmergencyPlan，OEP）在发生有可能对人员的安全健康、环境或财产构成威胁的事件时，为设施中的人员提供反应规程。OEP在设施级制定，与特定的地理位置和建筑结构有关。根据美国总务管理局（GSA）的OEP模板维护GSA所属设施的OEP计划。设施OEP可以附加在BCP之后，但是独立执行。BCP相关计划之间的关系（续）BCP步骤BCP项目规划阶段的活动包括：确定BCP需求，可以包括有针对性的风险分析以识别关键系统可能的中断；向管理层推销BCP理念，获得管理层的支持；了解相关法律、法规、行业规范以及机构的业务和技术规划的要求，以确保BCP与其相一致；任命BCP项目负责人，建立BCP团队，包括业务和技术部门的代表；制定项目管理计划书（WorkPlan），其中应明确项目范围、目标、方法、责任、任务及其进度；确定收集数据所需的自动化工具；向管理层提交项目规划和状态报告；确定项目进度。BCP项目规划业务连续性协调人做为BCP项目负责人全面负责项目的规划、准备、培训等各项工作：计划的开发团队与管理层的沟通和联络；有权与计划相关的所有人员进行直接接触和沟通；充分了解中断对机构业务的影响；全面了解机构的需求和运作，有能力平衡机构中相关部门的不同需求；比较容易接触到高级管理层；了解机构的业务方向和高级管理层的意图；有能力影响高级管理层的决策。BCP项目负责人对BCP项目的规划最终应该形成业务连续性策略条款，该条款记录BCP的：目的、范围和需求；基本原则和指导方针；职责和责任；关键环节的基本要求；策略条款应得到高级管理层的正式批准，并公布成为机构的政策，指导机构业务连续性相关工作。BCP策略条款业务连续性规划要求关键的业务流程（1）薪金处理（2）时间和考勤报告（3）时间和考勤核对（4）时间和考勤批准··业务流程（2）：时间和考勤报告关键的资源LAN服务器WAN访问电子邮件大型机访问电子邮件服务器资源恢复优先顺序LAN服务器高WAN访问中电子邮件低大型机访问高电子邮件服务器高关键资源LAN服务器WAN访问电子邮件大型机访问电子邮件服务器确认关键的IT资源来自用户、业务流程、所有者、应用程序所有者和其他相关组的输入确认中断的影响和允许的最长停工时间确定恢复优先次序允许的最长时间：8小时影响考勤卡处理延迟无法执行薪金操作薪金处理延时BIA分析协助机构管理者了解潜在中断对机构的影响；识别机构的关键功能以及支持这些功能的IT资源；协助管理人员识别机构功能支持方面的不足；排定IT资源的恢复顺序；分析中断的影响，包括损失的利润、增加的运行费用、收入的延期以及对竞争能力和公众信心的打击；确定每一项业务功能的恢复窗口（RecoveryWindows），如确定机构可以使用手工作业或其它替代方式执行关键功能的时间长度。BIA的目的确定信息收集技术；选择受访者（Interviewees）；定制收集经济和运作影响信息的问卷；分析信息；确定时间关键（Time-Critical）的业务功能；确定最大允许中断时间（MaximumTolerableDowntime，MTD）；基于MTDs排定关键业务功能的恢复顺序；准备和提交BIA报告。BIA的过程支持资源的种类•支持关键功能的资源包括：–人力资源（Humanresources），如操作员、专家、系统用户等。–处理能力（Processingcapability），如数据中心、备用数据中心、网络、小型机、工作站、个人计算机等。–基于计算机的服务（Computer-basedservices），如语音和数据通信服务、数据库服务、公告服务等。–自动化应用和数据（Automatedapplicationsanddata），计算机设备上运行的各种程序和存储的数据。–物理基础设施（Physicalinfrastructure），如办公室、办公家具、环境控制系统、电力、上下水、邮件服务等。–文档和票据（Documentsandpapers），如合同、票据、计划、规程等文件、文档和资料。预期各种可能出现的紧急情况时需要考虑类似下面这些问题：人力资源，人们还能否工作？在罢工事件中关键人员能否工作？是否有人能够替代这些人员？人们能否便捷地抵达备用站点？处理能力，计算机是否损坏？如果部分计算机无法使用应该怎么办？基于计算机的服务，能否进行计算机通信？人们之间如何通信？信息服务是否中断？会中断多长时间？自动化应用和数据，数据的完整性是否遭到损坏？应用程序是否被破坏？应用程序能够在其它平台下运行？物理基础设施，人们是否有地方办公？人们是否有完成工作所需的设备？文档和票据，所需的文件能否找到？找到后还能否使用？预期潜在紧急情况确定防御性控制•BIA中确定的一些中断影响可以通过遏制、探测和／或降低对系统影响的防御性措施予以消减或清除。一些常用措施如下所列：–UPS和/或备用发电机–空调系统预留富余容量–火灾、烟感探测器和消防系统–水害探测器和防水措施–紧急断路器–备份和离站存储–最小特权紧急响应（Emergencyresponse）阶段，事件发生初期为保护生命和减少损失所采取的行动。恢复（Recovery）阶段，事件发生后为了继续关键功能所采取的行动。复原（Resumption）阶段，事