连续性管理流程.docVIP

文件编号: OP-ITSM-012 文件名称: 连续性管理流程 版本:1.0 1.0 简介 业务目的： 确保灾难或意外事件发生时，IT服务提供方能在既定的要求时间内恢复正常运作，以减少运营风险及降低业务损失。 IT目的： 通过业务影响分析，量化IT服务对业务的影响； 通过风险分析，确定对IT服务连续性的潜在威胁和威胁成为现实的可能性，并管理已确定的威胁； 制定IT服务连续性计划，并确保其有效性。 2.0 适用范围 此流程适用IT管理手册中定义的服务范围。 3.0 相关流程 IT服务管理手册(QM-ITSM-2011) 服务规划及管理流程(OP-ITSM-004) 服务级别管理流程(OP-ITSM-005) 服务报告管理流程(OP-ITSM-006) 事件和服务请求管理流程(OP-ITSM-007) 问题管理流程(OP-ITSM-008) 配置管理流程(OP-ITSM-009) 变更管理流程(OP-ITSM-010) 容量与可用性管理流程(OP-ITSM-014) 业务关系管理流程(OP-ITSM-016) 服务策划管理流程(OP-ITSM-019) 一级事件(重大)处理流程(OP-ITSM-021) IT服务连续性策略工作流程(OP-ITSM-024) 人员撤离应急处理操作指引(WI-ITSM-017) 4.0 定义 4.1 术语表 术语 缩略词/英文 定义 业务影响分析 BIA(Business Impact Analysis) 重大意外灾难事件发生时，所造成IT服务提供方的运维服务中断等影响严重性的分析。 风险 Risk 对目标不确定性的影响，事态发生可能性及产生后果的组合。 风险评估 RA(Risk Assessment) 分析资产对业务的价值，识别对这些资产的威胁，评估每项资产面对这些威胁的脆弱程度。 可接受风险 Risk Acceptance 对一个特定风险不采取措施减少其影响的管理决定。 灾难 Disaster 灾难是由于人或自然的原因，造成信息系统运行严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发事件，通常导致信息系统要切换到备用场地运行。 灾难恢复 Disaster Recovery 将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。 IT服务连续性策略 ITSCS(IT Service Continuity Strategy) 规定IT服务连续性对风险的降低及恢复或连续性方案的平衡范围及标准。 IT服务连续性计划 ITSCP(IT Service Continuity Plan) 定义恢复一项或多项IT服务所需步骤的计划，该计划还确定如何触发调用、涉及人员、沟通等，IT服务连续性计划应该是业务连续性计划的一部分。 IT服务连续性管理 ITSCM(IT Service Continuity Management) 负责管理可能严重影响IT服务的风险的流程。通过将风险降低到可接受的水平，同时规划IT服务的恢复，ITSCM 确保IT服务提供方能够始终提供最低约定的服务级别。 最长可容忍中断时间 MTPD(Maximum Tolerable Period of Disruption) 如果超过这个时间范围，组织所提供的产品和服务仍无法恢复，组织的生存能力将可能遭遇无法挽回的破坏。 最大可容忍数据丢失 MTDL(Maximum Tolerable Data Loss) 组织能接受的信息丢失的最大程度。一定时间丢失的数据可能导致组织运营无法恢复，极具价值的数据丢失，还可能威胁到组织的生存。 演练 Exercise 用于训练人员提高灾难恢复能力的活动。 完整性 Integrity 确保和维护资产的准确和完整，尤其是数据记录的准确与完整。 目标恢复时间 RTO(Recovery Time Objective) 灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求。 目标恢复点 RPO(Recovery Point Objective) 灾难发生后，系统和数据必须恢复到的时间点要求。 4.2 角色定义表 角色 职责 部门主管 审核《业务影响分析报告》、《风险评估报告》、《紧急统筹中心》、《IT服务连续性计划》、《演练计划》、《演练报告》、《测试记录》和《恢复报表》。 紧急统筹中心 在发生灾难的情况下，进行统筹及协调工作。 《紧急统筹中心》需注明人员在应急中的职责(包括A角及B角)。如：总指挥、机房总指挥、服务器总指挥、网络总指挥、服务台总指挥、应用服务器总指挥、应用软件总指挥、应急支持总指挥等。 流程经理 组织编制《紧急统筹中心》； 组织编制《业务影响分析报告》及《风险评估报告》； 组织编制及实施