7-1 灾难恢复计划.ppt

业务持续性管理——灾难恢复计划 陈若兰 课程内容 业务持续性基本概念 业务持续性管理过程 业务持续性计划 业务持续性计划实施与维护 灾难恢复技术 业务持续性管理基本概念 天有不测风云，人有旦夕祸福 ！ 业务持续性管理基本概念 灾难事件 1993年发生的纽约世界贸易中心的爆炸事件，该中心的350家公司中，有150家已经退出市场 美国“9.11”事件 中美海底光缆阻断事件 虽然这些事件属于小概率事件，但万一发生，对于没有任何应急与恢复措施的组织来说将是十分可怕! 业务持续性管理基本概念 何为业务持续性管理？ 是指组织通过预防和恢复控制措施确保组织的关键业务活动不会因信息安全故障（如自然灾害或设备等故障）造成中断或以最短的时间恢复业务运作的活动。 业务持续性管理基本概念 业务持续性管理目标 防止业务活动的中断，并保护关键业务过程不受重大故障或灾难事故的影响。 业务持续性管理基本概念 如何实现业务持续性发展? 建立、实施和保持一个业务持续性计划 业务持续性计划也称为“灾难恢复计划” 如果没有经过适当测试的业务持续性计划，组织可能在重大安全事故发生时束手无策！ 业务持续性管理过程 组织应建立业务持续性管理过程以确保组织的关键业务活动通过风险评估被识别，并实施适当的计划以恢复与抵消中断的后果。业务持续性计划的范围应包括整个商业过程， 不仅仅是IT方面的服务 ！！ 业务持续性管理过程 业务持续性管理过程 业务连续性管理的关键要素： 根据灾难及故障发生的可能性与其产生的影响来推断组织面临的风险，包括关键业务过程的识别和优先考虑次序 推断哪种中断可能会对业务产生影响，并确立信息处理设施的业务目标 业务持续性管理过程 业务连续性管理的关键要素（续）： 考虑购买合适的保险 业务持续策略并文件化 业务连续计划并文件化 对计划与程序进行定期测试，必要时予以更新 有关业务持续性管理的职责应予以明确，包括部门之间的协调 业务持续性计划 业务持续性计划建立与维护流程 业务持续性计划 计划目标 找出弱点并实施预防程序 减少灾难影响业务运作的时间 加强灾难恢复任务之间的有效协调工作 减少灾难恢复工作的复杂程度 业务持续性计划 制定计划之原则 全面了解制定与维护计划的所需的全部工作 取得管理层及有关人员的支持 明确灾难恢复的业务需求，如在可接受的时间范围内，向客户复原特定服务 适当的灾难预防、减轻影响与灾难恢复 保证计划制定所要求的人员 计划应易理解、操作与维护 业务持续性计划 制定计划之原则（续） 计划纳入正在实施的业务计划和系统开发过程中 对工作人员进行适当的应急程序和过程的教育，包括紧急情况管理方面的教育 计划应被批准 对计划进行测试与更新 应考虑服务与资源的要求，如人员配备、信息处理设施的备用安排等 业务持续性计划 进行业务连续性和影响分析 识别业务中断事件（威胁识别） 业务中断影响 形成一个业务持续性总体解决方案（策略） 明确需保护的关键的业务过程、系统及服务功能 中断恢复时限 业务持续性计划 业务持续性计划策划方案（计划内容） 业务持续性计划 计划启动条件(Conditions for Activating Plans)： 描述每个计划在启动前所遵循的过程（例如：如何评价实际情况、计划所涉及的人员等）。 业务持续性计划 应急程序(Emergency Procedure)： 描述危及业务运作和／或人类生命的事故后所采取的行动。包括与警察、火灾服务中心和当地政府等有关部门的有效联络安排。 ? 业务持续性计划 备用程序(Fallback Procedure)： 描述了组织将基础业务活动或支持服务移到可替代的临时位置、使业务过程在所要求的时间范围内恢复运作所采取的行动。例如计算机售票系统发生故障不能售票时，改为人工售票。 ? 业务持续性计划 恢复程序(Resumption Procedure)： 描述了恢复正常业务运作所采取的行动。例如利用系统备份数据对系统进行恢复的程序。 维护时间表（Maintenance Schedule）： 规定怎样和何时对计划进行测试，以及维护计划的过程。 业务持续性计划 意识和教育活动(Awareness and Education Activities)： 用以理解业务持续性过程并确保过程持续有效。 个人职责(Responsibilities of the Individuals)： 描述谁负责执行计划的