12CTG-MBOSSCRM20业务连续性规范_V10

CTG-MBOSSCRM2.0业务连续性规范CTG-MBOSSCRM2.0业务连续性规范中国电信集团公司2010年3月CTG-MBOSSCRM2.0业务连续性规范版权所有，注意保密i目录1文档说明.....................................................11.1编制说明.....................................................11.2适用范围.....................................................11.3参考文档.....................................................21.4起草单位.....................................................21.5解释权.......................................................21.6版权.........................................................22总体说明.....................................................32.1背景说明.....................................................32.2方法说明.....................................................32.3术语说明.....................................................43业务连续性需求...............................................73.1风险分析.....................................................73.1.1风险分析方法.............................................73.1.2风险分析结果.............................................83.2业务影响分析.................................................93.2.1业务影响分析方法........................................103.2.2CRM功能域业务影响分析结果...............................104业务连续性策略制定..........................................144.1本地安全策略................................................144.1.1数据安全................................................144.1.2应用安全................................................164.2灾难恢复策略................................................164.2.1数据复制................................................174.2.2应用保障................................................17版权所有，注意保密ii4.3CRM业务连续性的策略要求....................................185业务连续性的实现............................................205.1业务连续性技术..............................................205.1.1数据备份技术............................................205.1.2服务器集群技术..........................................225.1.3数据复制技术............................................235.1.4应用保障技术............................................265.1.5技术选择的基本原则......................................295.2业务连续性方案建议..........................................305.2.1方案架构................................................305.2.2应急系统的实现..........................................325.2.3风险应对及RTO/RPO.......................................355.2.4灾备中心复用建议........................................366业务连续性组织保障..........................................376.1组织结构与职责..............................................376.2风险响应....................................................376.2.1预警阶段................................................396.2.2决策阶段................................................396.2.3处理阶段................................................406.2.4总结阶段................................................426.3业务连续性预案..............................................426.3.1制定原则................................................426.3.2预案内容................................................436.3.3预案培训................................................436.3.4预案演练................................................447附录一规范编制人员名单....................................47CTG-MBOSSCRM2.0业务连续性规范版权所有，注意保密11文档说明1.1编制说明本文档根据电信CRM域对业务连续性的需求，制定业务连续性策略，并给出对应的技术方案和相关要求。本规范是CTG-MBOSSCRM2.0规范集中的一个分册，通过风险分析和业务影响分析确定CRM业务连续性需求，制定本期CRM业务连续性策略并提供建议方案。它在CTG-MBOSSCRM2.0规范集中的位置如下所示（图中红圈处）：1.2适用范围本文档适用于指导各省CRM域各系统的业务连续性规划和建设。版权所有，注意保密21.3参考文档《GB20988-2007-T信息安全技术信息系统灾难恢复规范》《CTG-MBOSSCRM2.0总体规范》1.4起草单位本规范起草单位为中国电信集团公司。1.5解释权本规范的解释权属于中国电信集团公司。1.6版权本规范的版权属于中国电信集团公司。版权所有，注意保密32总体说明2.1背景说明日益激烈的市场竞争和不断提高的客户服务质量要求需要中国电信提供不间断的服务，尤其是发生灾难时，也要保证客户满意度、客户服务质量、企业信誉等不受影响，并且避免企业财务损失，增强企业竞争力。这对业务支撑系统提出了更高的数据保护和稳定运行要求。自2004年以来，中国电信各省的业务支撑系统逐步从地市级的建设转变为省集中建设，在市场拓展、客户服务等工作中发挥着越来越重要的作用；与此同时，省级业务支撑系统集中化在带来业务快速响应等众多优势的同时，也存在着系统故障点集中、风险集中的危险，如：系统故障、人为误操作、火灾、水灾、传输中断、电网停电等风险。CRM域系统是直接与客户交互的重要业务支撑系统，更加需要加强抗风险和灾难的能力，保证在灾难中仍然正常工作。因此，合理地规划和建设CRM域系统的业务连续性能力是非常有必要的。2.2方法说明业务连续性计划起源于上个世纪70年代的灾难恢复计划，国际上一些相关机构也颁布了标准，如美国的SHARE78、国际灾难恢复协会（DRII）标准和美国国家标准与技术学会（NIST）标准；到了上个世纪90年代，灾难恢复计划已发展为业务连续性计划，一些业内著名厂商都形成了自己的业务连续性计划方法论和最佳实践；另外，2007年我国颁布的国家标准GB/T20988-2007《信息系统灾难恢复规范》中对灾难恢复每一个环节需要开展的各项工作进行了描述，这也为本文业务连续性计划的制定提供了方法论依据。经过对上述的方法论、最佳实践和GB/T20988-2007等标准的综合分析，本文将中国电信CRM业务连续性计划过程分为三个大的阶段，分别用三章进行描述：业务连续性需求分析：通过风险分析和业务影响分析确定CRM域各系统的业务连续性需求；版权所有，注意保密4业务连续性策略制定：描述业务连续性的策略组成，并确定CRM域的业务连续性策略；业务连续性的实现：介绍业务连续性各种技术，并确定CRM域的业务连续性实现方案；另外，整个业务连续性计划需要相应的组织机构作为执行保障，此部分内容在第6章中描述。2.3术语说明业务连续性：是指企业有应对风险自动调整和快速反应的能力，以保证企业业务的持续运转。业务持续计划：是组织用来降低其重要的业务遭受意外中断风险的作业程序，这个程序可以是人工操作执行或者是系统自动执行。资产：对组织具有价值的信息或资源，是安全策略保护的对象。资产价值：资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。安全事件：系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或未预知的不安全状况。信息安全风险：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。威胁：可能导致对系统或组织危害的不希望的事故的潜在起因。风险：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。灾难：是已经发生，并导致系统中止运行、业务中断，给企业和客户造成重大影响的事件或事故。完整性：保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。可用性：数据或资源的特征，被授权实体按要求能访问和使用数据或资源。版权所有，注意保密5保密性：数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或者其他实体的程度。脆弱性：可能被威胁所利用的资产或若干资产的薄弱环节。风险评估：依据有关信息安全技术与技术管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它主要评估资产面临的威胁以及威胁利用脆弱性导致