03制定应急计划.ppt

3.2.2.4 灾难响应 当灾难爆发，DRP 被启动时，有时最好的计划也不足以解决实际的事故。因此，应急计划团队应当给灾难恢复计划一定程度的弹性。 如果设施完好无损，灾难恢复团队就应该开始恢复系统和数据，以使其尽量达到完全正常的运作能力。 如果机构的设施遭到毁坏，则应采取其他备用措施直到获得新的设施。 如果灾难威胁到了机构在主要场所的生存，则灾难恢复过程就延伸为业务连续性过程。 3.2.3 业务连续性计划 业务连续性计划（BCP）确保灾难发生时关键的业务功能得以继续，如果灾难致使当前业务场所不可用，则必须有一个使业务持续进行的计划。 BCP 是完全由一个机构的 CEO 来管理。当灾难较严重且持续时间很长，并且需要全面恢复信息和复杂的 IT 资源时，BCP 将被启动且与灾难恢复计划（DRP）同时执行。 业务连续性计划团队在另一场所重新建立业务功能时，灾难恢复计划团队则着重于在主要场所重建基础技术设施和业务运作。 是不是每个业务都需要这种计划？ 3.2.3.1 连续性策略 业务连续性计划的基础是识别关键业务功能及需要的资源。当灾难爆发时，这些业务功能将在备用场所首先创建。 应急计划团队需要委任一组人来评估和比较各种可选的方案，并推荐该选取哪个策略来实施，所选的策略通常包括启用一些备用的设施，应定期地对这些放在其他地方的设施进行检查、配置以确保安全并定期测试。 连续性策略 一个应急计划团队可以选择几种连续性策略计划，影响选择的关键因素在于成本。 通常有 3 种独立的选择： 3.2.3.1 连续性策略 热站点（hotsite）：是一个配置完全的计算机设施，包括所有的服务、通信连接和物理环境的操作。它备份计算机资源、外设、电话系统、应用程序和工作站。本质上来说，这些备份的设施仅仅需要最新的数据备份和负责的人手。一个热站点应该能在几分钟内就充分发挥作用。它的缺点是需要对所有热站点的系统和设备以及物理与信息安全提供维护。这是可用选择中最昂贵的。 温站点（warm site）：提供许多与热站点相同的服务和选择，但是既不包括典型的软件应用程序也不包括（这些软件的）安装和配置，通常它包括的是服务器。温站点具有许多热站点的优点，但又具有较低的成本。缺点在于需要几个小时或是几天来使一个温站点充分发挥作用。 3.2.3.1 连续性策略 冷站点（cold site）：一个冷站点仅仅提供了初步的服务和设施，不提供计算机硬件和外设。所有的通信服务必须在站点开始工作后才安装。一个冷站点装有标准供热系统、空调和电子服务的空房间。其他的任何选择都会增加成本。虽然存在这些缺点，但一个冷站点也会比什么都没有要好。它的最主要优点在于成本。这种方法最有用的特点在于，当受到大范围的灾难攻击时，它能减少对合适楼层空间的争用 。 还有 3 个共享使用的应急选择： 时间分享（timeshare）：时间分享的作用就像前面描述的 3 个站点之一，但它是与一个商业伙伴或姐妹机构联合租用。它为机构能提供一个灾难恢复 /业务连续性选择，同时又可以减少总成本。它主要的缺点在于两个以上的分时参与方可能会同时需要使用设施。 3.2.3.1 连续性策略 服务署（service bureau）：是一个提供收费服务的机构。在灾难恢复 /应急计划中，这种服务指的是在灾难发生时提供物理设施。这些机构也经常提供付费的离线数据保存。 互助协议：互助协议是两个机构间的合约，同意在灾难中援助对方。这些机构同意提供必要的设置、资源和服务，直到接受方能从灾难中恢复过来。 在这 6 个基本策略之外，还可以使用一些特殊的方法 ，如离站灾难数据恢复 ： 电子仓库：向离站设备大批量转移数据，这种转移常常通过租用线路或付费数据通信服务来完成。 远程日志：把在线的业务活动转移到离站设备上，远程日志包括了系统级的在线活动，有点像服务器的容错措施，把数据同时写在两个地方。 3.2.3.1 连续性策略 数据库镜像：存储在线事务数据的副本，包括在远程站点后备服务器的数据库副本。数据库映象结合了电子仓库和远程日志，把多个拷贝同时写在两个不同的地方 。 3.2.4 应急计划要素的时间安排和顺序 IRP 关注于即刻响应，但如果事故上升为灾难，IRP 可能会被 DRP 和 BCP 代替。 DRP 一般关注灾难后的系统恢复，这与 BCP 联系紧密。 当损失很大或持续时间很长时，BCP 和 DRP 会同时发生，这就不仅仅要求信息和信息资源的简单恢复 。 3.2.4 应急计划要素的时间安排和顺序 3.3 组合应急计划 应急计划项目组的主要项目执行模式 ： 3.3.1 业务影响分析 业务影响分析（BIA），CP 过程的