业务连续性管理ppt课件.pptx

银行IT业务连续性管理基础介绍 1 BCM简介 目录 2 9 11事件中的案例 3 业务连续性 BCM 简介 BankofNewYork通讯线路全部中断 数据中心位于灾场附近 造成连锁反应 2001年10月18日 纽约银行声明 恐怖袭击破坏了部分计算机系统 一些分支机构被迫关闭 其第三季度的利润因此下降了33 DeutscheBank93年开始风险分析 建立了一套完成的业务连续性计划 BCP 以应对突发事件或灾难 灾难发生后 德意志银行调动4000多名员工及全球分行的资源 短时间内在距离纽约30公里的地方恢复了业务运行 9 11后 员工和客户对德意志银行都更加有信心 4 在 9 11 事件几个小时后 摩根斯坦利公司便宣布 全球营业部可以在第二天照常工作 该公司建立的数据备份和远程容灾系统 保护了公司的重要数据 在关键时刻挽救了摩根斯坦利 同时也在一定程度上挽救了全球的金融行业 NYBOT 纽约商品交易所 的前身CSCF曾经历了世贸中心车库爆炸案 1993年 从此吸取了教训 制定了BCP计划 并坚持10年演练 9 11 事件几个小时后就在 长岛 开始恢复交易 短短时间内恢复了它在异地的运营 因为它很早就制定了BCP计划 并在灾难发生时发挥了作用 NYBOT劫后逢生的关键是BCP计划的策划和坚持 5 灾难对组织 企业的影响 科学统计 2 5的公司在经历大灾难后再也不能恢复运作 另外1 3在2年内也接着倒闭 GartnerGroup93 的公司在遭受严重的数据丢失后5年内倒闭 美国劳工部43 的美国公司在灾难后倒闭 另外29 或更多 的公司在2年内倒闭 威斯康星州大学 6 BCM简介 目录 7 BCM的历史 发展情况1979年在美国宾西尼亚州的费城建立的SunGardRecoveryServices 灾难备份和恢复与20世纪70年代中期在美国起步 源于美国中西部地区对电脑设施进行的备份 灾难备份行业的历史性标志是1979年在美国宾夕法尼亚州的费城建立了专业的商业化的灾备中心并对外提供服务 在这以后的10年里 美国的灾难备份行业得到了迅猛发展 拥有超过100家灾难备份中心服务商 1989年以后的十年中 灾难备份服务供应商之间进行了大规模的合并和重组 到1999年市场上剩下31个灾难备份中心供应商 并以每年15 的速度增长 从上世纪80年代初到90年代中期 美国共成功完成582宗灾难恢复 9 11事件之后 灾难备份调查公司GlobeContinuityInc 对美国 英国 澳大利亚及加拿大共565个公司使用灾难备份中心的情况进行了调查 71 2 的公司使用了灾难备份中心 使用灾难备份中心的公司中 56 使用了商业化的灾难备份服务 29 使用自有的灾难备份中心 15 在商业化灾难备份服务的基础上同时拥有自己的备份设施 8 国外政府监督 美国1983年OCC 货币监理署 就发布了指引要求银行制定并维护灾难恢复计划 1989年FFIEC 联邦金融机构检查委员会 要求银行对灾难恢复计划进行测试 维护和演习 1997年和2000年 FFIEC突破性的规定金融机构的董事会和高层管理人员直接对灾难恢复计划负责 2003年修订成 联邦金融机构检查委员会业务连续计划手册 NASD 全美证券交易商协会 于2002年要求其成员在拥有灾难恢复计划的基础上建立指挥中心以协调灾难恢复工作 即从要求恢复运行能力向快速建立业务运行环境发展 Board 联邦储备委员会 SEC 证券交易委员会 和OCC于2003年5月28日发布了 关于增强金融机构遭到大范围灾难打击后的恢复能力提出了措施和实施时间要求 9 国外政府监督 美国 续 美国卫生部在1996年对 健康保险可行性和可信性法案 HIPPA 进行了修订 对数据的交换 记录的保护和保护病人的隐私做出了标准化的规定 医疗机构评审联合委员会在1994年信息安全 备份及恢复计划等进行了规定 1993年 美国联邦政府发布了国家自动化信息资源安全条例 要求所有的政府部门对多方面系统和信息进行灾难恢复和业务连续性准备 1994年联邦政府又发布了联邦相应计划指导 FRPG01 94 明确了在灾难恢复和业务连续性计划的责任和目标 联邦政府在联邦准备性文件 FPC65 中对联邦机构的应急处理能力做出了详细指引 要求所涉及的机构在启动应急管理计划12小时内恢复运作 并必须保持运行30天以上的能力 FEMA 联邦紧急事务管理局 成立于1979年4月 是一个直接向总统报告的专门负责灾害应急的独立机构 与美国的其他27个政府机构 州和地方应急机构及红十字联合制定了全国性的灾害应急计划 10 国外政府监督 英国英国对金融行业的监管主要有FSA FinancialServicesAuthority 负责 还有英格兰银行和英国财政部 FSA要求关键机构的CEO级别主管向FSA报告其业务连续管理措施 其对金融机构的监督和检查手册 Seniormanagementarrangements SystemsandControls 中规定机构应对中断后重续经营做出合理的安排 并更新 测试保证有效 TheFinancialServicesAuthortiyIncidentManagement Agenericguide 概括了金融服务管理局制定业务连续计划的方法 确定了金融服务管理局处理事故时采用的框架 CP142 Operationalrisksystemsandcontrols FSA在2002年7月30日发布了关于 运行风险系统和控制 的咨询性文件 包含了关于业务连续管理的章节向各方咨询意见 11 国外政府监督 新加坡新加坡金融管理局 MAS 于2001年7月在 INTERNETBANKINGTECHNOLOGYRISKMANAGEMENTGUIDELINES 中对在线交易的银行作出了企业连续性运作的规定 2003年7月MAS发布了新的 BusinessContinuityManagementGuideline 提出了企业连续运作的7项原则 2005年新加坡技术标准委员会出台了业务连续 灾难恢复服务商评定标准SS507 澳大利亚2004年 澳大利亚金融管理委员会发布了针对信贷行业和保险行业的灾难恢复和业务连续管理标准草案 要求这两个行业内的公司必须有能力预见 评估 和管理在灾难或突发性事件发生后可能产生的业务连续运作危机 澳大利亚国家审计局 ANAO 也发布了一系列关于业务连续和灾难恢复的文件 12 国际协会 组织 国际灾难恢复协会DRIInternational DRII 成立于1988年 是国际灾难备份和业务连续性的专业权威机构之一 致力于开发灾难备份和业务连续性的行业理论标准 提供研究和教育培训和专业人员资质认证 DRII发布的主要文件为 业务连续性计划操作实务 业务连续协会TheBusinessContinuityInstitute BCI 成立于1994 为全球提供关于灾难备份和业务连续性的专业指导机构 致力于提高行业专业水平的业务标准和商业规范的开发和维护 提供专家会员的国际交流和培训 BCI发布的主要文件 业务连续性管理 最佳惯例指南 13 国际协会 组织 国际标准化组织 ISO TheBaselCommitteeonBankingSupervison美国信息科学学会 ASIS 美国国家防火协会 NFPA 美国国家标准和技术学会 NIST 加拿大标准学会澳大利亚标准化组织新加坡标准 生产力与创新局 SPRING 14 BCM在中国的现状 1999年 台湾行政院颁布了 行政院及所属各机关资讯安全管理规范 对业务连续计划和规划管理做出了明确规定 2000年 千年虫 事件引发了国内对于信息系统灾难的第一次集体性关注 在9 11之后 业务连续 灾难恢复的概念开始逐渐被国内组织所接收 香港金融管理局在2002年发布了 持续业务运作规划 在2003年后 国家出台了一系列的政策并召开了多次相关会议 2003年9月 中共中央办公厅 国务院办公厅转发了 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 提出各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复2004年1月9日全国信息安全保障工作会议上下发了 关于做好国家重要信息系统容灾备份工作的通知 15 BCM在中国的现状 2005年1月国信办组织起草了 重要信息系统灾难恢复规划指南 2007年7月 国务院信息化工作办公室领导编制的 重要信息系统灾难恢复指南 正式升级成为国家标准 信息系统灾难恢复规范 GB T20988 2007 英国标准化协会在2006年推出了BCM标准 2008相关认证机构将在国内开始推广BCM 必将推动BCM在中国的发展 目前在银行 电信 电力 税务 航空 电力 大型制造业等行业走在此领域的前面 相关行业目前纷纷出台关于此领域的行业规范 如 银行业信息系统灾难恢复管理规范 保险业信息系统灾难恢复管理规范 等 从国内监管要求的角度 也有不少涉及业务持续管理相关内容 但更多偏重IT灾难恢复的层次 对于业务连续管理和业务连续计划层面还没有具体 细化的要求 16 国内主要相关的监管要求 17 国内主要相关的监管要求 18 业务连续和灾难恢复现状和问题 小于40 的BCP DRP考虑了回切一从备份站点回切到主站点小于50 的BCP DRP讨论了交通工具和通讯设施中断的应对措施仅有33 的企业为灾难恢复行动准备了预算仅有66 的组织定期检查备份数据的正确性仅有65 的BCP包含应对媒体的政策1 3的计划没有考虑业务功能的恢复次序75 的容灾环境配置没有与生产环境配置完全同步在开发BCP DRP过程中普遍缺乏高层管理人员的参与仅有25 的组织安排了针对全体员工的业务连续培训 19 BCM简介 目录 20 BCM定义与范围 广义 BCM是一个整体的管理过程 它能鉴别威胁组织潜在的影响 并且提供构建弹性机制的管理架构 以及确保有效反应的能力 以保护它的关键利益相关方的利益 声誉 品牌以及创造价值的活动 BCM对于一个提供产品和服务的企业评审 重新设计以及增强它对于业务中断 损失的恢复力的方法提供了战略和操作层面的框架 21 BCM的范围 BCM不仅仅是灾难恢复 或者IT技术恢复 它不是一个专门的学科 而是由业务自身驱动的综合学科 其中设施管理 供应链管理 质量管理 健康和人身安全是我们比较熟悉的传统企业管理的重要方面 单独来看每一个学科都是独立的 但从全面的 整体的企业业务持续过程来看 它们都是必不可少的元素和组成部分 比如当发生灾难或突发事件时 如何保障企业生产的供应链不中断 产品和服务的质量不明显下降 设施资源的合理使用和调配 以及保障员工的健康和人身安全 其他学科则侧重于 风险管理 侧重于识别企业所面临的潜在的威胁 这些威胁所造成的影响和损失 以及相应的在可接受范围内的预防控制措施 灾难恢复 侧重于当发生诸如自然灾害 恐怖袭击 设备损坏 人为失误等引起的灾难性事件 造成业务中断后如何进行业务恢复和业务重建的过程 紧急事件管理 侧重于面对影响企业业务发展和运营的突发事件和危机如何进行应急响应和好处理的策略 方法及流程 22 BCM的范围 信息安全管理 主要是指对信息资产的管理 涉及物理环境 访问控制 系统开发 操作运行等十一个方面 详见ISO17799 知识管理 是知识创造 存储 再利用 转移与应用知识的流程 是对知识资产进行系统管理 有序配置和利用组织治理或知识资产创造价值的方法 危机通信和公共关系 侧重于当发生灾难或突发性时间时如何保持企业对内对外通信联络保障 以及和诸如政府 媒体 运营商等公共关系的协调 BCM所涉及的范围不仅仅于上面所列出的几个方面 其核心是保障企业业务持续运行 因此 任何与此有关的领域都是其组成部分 例如人力资源管理 制定进行灾备恢复和应急相关关键岗位的职责以及人员的调配计划 所以说 BCM是一个开发的架构 需要一个企业内部多个部门的协作 23 四者之间的关系 我们可以举一个银行的例子 来诠释应急管理 业务连续管理 危机管理和风险管理之间的关系 例如 在一家银行内发生了爆炸事故 此时马上需要应急响应 即组织人员撤离 对伤者进行医疗 对基础设施进行保护等 这包括了对基础设施 人员等物理资产和信息的保护 应急管理如果爆炸发生在银行存放重要信息的数据中心 此时考虑更多的就是业务连环性环节了 即如何尽快恢复各项业务 不影响正常的业务运转 将损失降到最低 业务连续管理再者 爆炸势必会对用户心理造成负面影响 此时则必须进入危机管理范畴 考虑如何最大限度地维护银行整体形象 消除用户的心理忧虑等问题 危机管理此前 银行已经识别了可能存在的爆炸风险 并且也采取了一些风险控制措施 如加强警卫 建立灾备中心等 风险管理 24 BCM简介 目录 25 BS25999简介 BS25999标准作为全球第一个业务连续性管理的框架标准 为我们提供了一个构建BCM的指南 这份标准的前身是公共可用指南PAS56 在2006年底升级为BS英国标准 BS25999这样描述业务连续性管理 业务连续管理是一个整体的管理过程 它能鉴别威胁组织潜在的影响 并且提供构建弹性机制的管理架构 以及确保有效反应的能力 以保护它的关键利益相关方的利益 声誉 品牌以及创造价值的活动 26 BS25999简介 BS25999标准由英国标准协会 BSI 制定 标准分为两大部分BS25999 1为业务连续发展指南 帮助企业建立相应的准备机制 负责该标准制订的技术委员会由来自政府 企业界 学术界等各方面的专家组成 成员还包括一系列非盈利组织 如业务持续管理学会 BCI 持续性论坛 紧急事件应对协会 EPS 风险管理经理人协会 ALARM 英国贸工部 内政应急事务办公室 金融服务机构 英国工商业联合会 公司董事学会 英国保险业联合会 以及小企业联合会等 BS25999 2于2007年11月正式颁布 对标准第一部分所要求的认证过程做出规范 第二部分的所有理念都秉承了第一部分的要求 目前 第一部分和第二部分的标准正在越来越多地被业界应用 BSI的技术委员会还在致力于该系列的其他标准文件 帮助企业具体实施业务可持续性管理体系 未来工作的方向包括体系的验证和演练 IT系统灾难恢复 危机处理等相关标准 27 BS25999 1的内容 1 范围和适用性2 术语和定义3 BCM综述4 业务连续管理体系 BCMS 5 BCM管理6 理解组织的业务7 确定BCM的策略8 开发及执行BCM9 测试 维护和审计10 在组织内建立BCM文化 28 在实行BCM过程中 应重点应考虑 争取管理层的支持和参与 没有管理层的支持 业务连续性计划 BCP 的制定和实施都是十分困难的 很有可能会流产 建立BCM文化 通过培训和意识教育 使BCM成为企业核心价值和有效管理的一部分 BCM团队要有明确的组织结构 角色和责任应明确 清晰 要对相关人员进行培训 如果参与人员不能清除知道自己该做什么 灾难发生时只能是一片混乱 恢复策略的确要综合考虑恢复成本与灾难损失 在其中取得一个适当的平衡点 超过损失的恢复是毫无意义的 BCP包括的各种规程要步骤清除 操作详细 确保实施人员拿到规程后能立刻开始操作 不清楚的规程只会延误恢复的时间 BCP要定期进行测试 演练 总结缺陷并进行更新 一般至少为一年一次 确保计划准确和不断改建也是非常重要的 测试计划要仔细斟酌 不要让演习变成一场事故 29 BCM项目管理 目录 30 业务连续管理方针 BCMPolicy 建立BCM方针的目的 保证所有BCM活动按照既定的 可控的方式实施 让业务连续性的能力满足不断变化的业务要求 并与组织的规模 复杂程度和性质相符合 为持续的BCM设置清晰的已定义的框架 31 BCM方针的内容 组织对于BCM的定义和目标BCM的范围BCM管理框架 包括角色 职责 责任BCM的原则 指导方针 最低标准BMC方针的执行与维护计划适用于组织的相关标准和法规 32 BCM项目管理 目录 33 BCM过程管理 在组织中成功实施BCM的一个关键成功因素是指派一个有能力的人来管理BCM过程BCM管理过程主要包括 BCM组织建设 实施BCM 项目管理 运行管理 BCM文档管理 事件响应 34 BCM项目管理 目录 35 BCM持续改进 36 BCM持续改进 根据组织规模的大小 负责BCM持续改进的组织可能是个体 一个小组 一个部门或者BCM指导委员会 基于前期建立和日常运行 BCM持续改进包括 为BCM方案定义范围 角色和职责 指定适合的人员和小组来管理持续的BCM能力 通过最佳实践 维持业务连续性方案的适时性 管理演练方案 协调对业务连续性能力的定期评审和更新 包括风险评估和业务影响分析 BIAs 的评审和修订按组织的规模和复杂性维持文件的适当性 监控业务连续性能力的性能 管理与业务连续性能力相关的成本 建立和监视变更管理和后续的管理制度 37 BCM项目管理 目录 38 项目启动阶段 获得决策层的承诺与支持 为什么 BCM的目的是保证组织的业务持续运行 BCM内容涉及范围广 BCM需要多个部门配合与协作 建立BCM体系需要经费支持 从哪几个方面来获得支持 驱动因素 法律法规的要求 上级监管部门 行业规范的要求 外部机构审计结果 业务发展的内在需要 外部环境越来越恶劣 案例和业界最佳实践 39 项目启动阶段 主要任务 活动 确定BCM需求参考相关的法律 法规 合同的需求和约束参考相关的行业组织或机构的规定参考相关监管机构的当前建议将立法 规章和要求与组织的政策相联系识别组织政策与相关外部需求的任何冲突识别任何审计记录提出解决机构政策与相关外部需求之间冲突的方法 可以包括BCP在内识别可能对组织业务恢复能力具有负面影响的措施 传播BCM需求通过正式的报告和介绍进行意识培养陈述BCM的优点并将其与组织的使命 目标和营运利益联系起来 获得决策层对BCM的承诺制定BCM过程的任务条款 章程 40 项目启动阶段 主要任务 活动 将决策层包括在BCM过程中 解释决策层在BCM过程中的角色 解释和传播决策层在BCM过程中的职责和义务建立一个BCM指导委员会 角色和职责 机构的类型 控制和发展 以及成员 选择适当的人员 定义角色和职责 制定一套适当的BCM过程目标编制预算需求 清晰定义资源需求 获得财务需求评估 验证资源需求的正确性 验证财务需求评估 与决策层协商资源和财务需求 获得财务需求的执行承诺 41 项目启动阶段 主要任务 活动 确定BCM项目目标 范围 内容确定团队职责 紧急事件管理 危机管理团队 业务连续性计划团队 多地点 多分支等 恢复 响应团队和复原团队制定和协调项目行动计划并实施BCM过程 制定一个具有可实现的时间评估和进度表的全面项目计划向决策层汇报并获得决策层的批准 承诺 建立向决策层汇报BCM过程进度的时间表 定期为决策层制作状态报告 其中应包括决策层容易理解并感兴趣的简明的 中肯的 正确的和及时的关键状态信息 42 主要交付 向决策层宣讲资料预算审批项目RFP项目组织结构项目目标 范围项目里程碑和项目计划项目启动会议资料 43 风险分析 业务影响分析 目录 44 相关名词解释 资产 对单位具有价值的任何东西资产价值 资产的重要程度和敏感程度 资产价值是资产的属性 也是进行资产评估的具体内容 威胁 可能对资产或单位造成损害的事故的潜在原因 威胁由多种属性来刻画 威胁的主体 威胁源 能力 资源 动机 途径 可能性和后果 脆弱性 资产或资产中能被威胁利用的弱点 风险 由于系统存在的脆弱性 认为或自然的威胁导致安全事件发生的可能性及其造成的影响 它由安全事件发生的可能性及其造成的影响这两种指标来衡量 残余风险 采取了安全防护措施 提高了防护能力后 仍然可能存在的风险 风险评估 是对各方面风险进行辨识和分析的过程 是对威胁 影响 脆弱性及三者发生的可能性的评估 它是确认安全风险及其大小的过程 事件 如果威胁主体能够产生威胁 利用资产及其安全措施的脆弱性 那么实际产生危害的情况称之为安全事件 安全事件是进行威胁评估时所要考虑的内容 安全需求 为保证单位的业务战略能够正常行驶 在信息安全保障措施方面提出的要求 安全措施 对付威胁 减少脆弱性 保护资产 限制意外事件的影响 检测 响应意外事件 促进灾难恢复和打击信息犯罪而实施的各种实践 规程和机制的总称 45 风险评估方法 定量分析 对后果和可能性进行分析采用量化的数值描述后果 估计出可能损失的金额 和可能性 概率或频率 分析的有效性取决于所用的数值精确度和完整性定性分析 对后果和可能性进行分析采用文字形式或叙述性的数值范围描述风险的影响程度和可能性的大小 如高 中 低等 分析的有效性取决于所用的数值精确度和完整性半定量分析 在半定量分析中 上述的那些定性数值范围均为已知值 每项说明所指的数字并不一定与后果或可能性的实际大小程度具有精确的关系 半定量分析的目的是为了得到比通常在定性分析中所得到的的更为详细的风险程度 但并非要提出任何在定量分析中所得到的的风险实际值 46 风险评估方法的选择 许多方法都会使用表格并结合主观和经验判断目前并没有使用所谓正确或是错误的方法重要的是选择使用一个适合本组织的方法同一组织内 也可以根据不同对等级的风险 运用不同的风险分析方法对信息安全的评估很难量化推荐使用风险评估工具 因为工具具有评判的规范性和一致性 47 定量风险分析 当组织部分的资产已具有量化的价值利用财务的方法算出风险造成的财务损失再根据损失的大小决定风险等级 48 威胁 49 定量风险分析 资产价值 AssetValue 单位资产所具有的价值 一般根据财务报表数据或是评估 比如说一个电子商务网站 每天运行365天 每天有10万的营业收入 那么就可以说这个电子商务网站每年的资产就是365 10 3650万 暴露系数 ExposureFactor EF 特定威胁对特定资产造成损害的百分比 或者说损失程度 年度发生率 AnnualizedRateofOccurrence ARO 威胁在一年内估计会发生的频率 应合理预估该数字 其数值类似与定量 定性 风险分析的可能性 其范围从0 从不 至100 始终 年度损失期望 AnnualizedLossExpectancy ALE 或者称作EAC EstimatedAnnualCost 表示特定资产在一年内遭受损失的预期值 SLE乘以ARO即可计算出该值 50 定量风险分析 年度化损失运算表 频率 51 定量风险分析 简易的定量家孙公式 资产价值 v 乘以可能性 L 可以得出ALE 年度风险损失 即 ALE V L年度投资回报 ReturnOnSecurityInvestment ROSI 通过实施一定的安全措施所获得的年度投资回报的计算公式如下 实施控制前的ALE 实施控制后的ALE 年控制成本 ROSI例如 大楼遭受火灾的ALE为35万 现在通过采取应对措施 加装了监控火警探头 购买了充足的灭火器 共花费了8万 后 大楼遭受火灾的ALE为7万 那么现在ROSI 35 7 8 20万 我们可以看到 对定量分析来说 有两个指标最为关键 一个是事件发生的可能性 可以用ARO表示 另一个是事件可能引起的损失 用EF来表示 在将来制定灾难恢复预案时 要考虑采取措施降低安全事件发生的可能性和暴露系数 52 定性风险分析 从风险发生可能性及造成的后果来考虑风险的等级对于后果和可能性采用定性度量并在最后阶段归纳出不同等级风险的方法 53 定性风险分析 后果或影响的定性度量 示例 54 定性风险分析 可能性的定性度量 示例 55 定性风险分析 我们推荐采用基于经验和头脑风暴的方式来进行风险分析 56 定量与定性风险分析比较 定量风险分析大体来说其结果都是建立在独立客观的程序或量化指标上大部分的工作集中在制定资产价值和减缓可能风险主要目的是做成本效益的审核投入大 个人难以执行定性风险分析定性风险分析是所有风险分析的方法中 最容易也是最常被运用的方法 可能也是最主观的 其结果高度依存于RMT 风险管理小组 的专业能力需要一套系统化的执行步骤 来帮助RMT的执行结果更接近预期的效果简易的计算方式 不必精确算出资产价值 缺乏对风险降低的成本分析不需得到量化的威胁发生率 非技术或安全背景的员工也能轻易参与流程和报告形成比较有弹性 57 风险分析 业务影响分析 目录 58 业务影响分析 BIA BIA是组织用以确定当不可预见的故障或灾难性事件 对关键业务功能在经济上和业务操作上所造成的影响的完整分析方法和流程 BIA是整个BCM的基础BIA包括BIRRA businessimpactresourcerecoveryanalysis 59 BIA的目的 识别关键业务功能和应用系统识别关键业务功能和应用程序的单点故障 支持关系 关联性识别随着时间的过去 灾难性事件对关键业务功能造成的损失及影响 定性和定量 识别关键业务功能的最大可容忍中断时间与最大可容忍丢失数据量识别关键业务功能的服务时间段和可容忍的性能下降程度识别恢复关键业务功能所需要最小的内部和外部资源 60 实施BIA的前提 管理层的支持与承诺如果在BCM方针中已经确定了那些业务功能在BCM范围内 获取这些文件 BIA同时也能被用来更好地理解业务 从而修正已经确定的范围 确定了BIA的方法和过程 61 相关术语 MTPD RTO RPO 最大可容忍中断时间 MaximumTolerablePeriodofDisruption MTPD 如果超过这个时间组织的服务和产品不能被恢复 组织的生存能力将面临不可挽回的威胁恢复时间目标 RecoveryTimeObjective RTO 灾难发生后 恢复产品 服务和交付活动的目标时间恢复点目标 RecoveryPointObjective RPO 灾难发生后 应用系统的数据可以恢复到的时间点与灾难时间点的最大时间间隔 即允许丢失的最大时间要求 62 BIA的过程 63 BIA初始阶段 在开始BIA之前 最好搜集到以下信息 组织的年报 组织的审计报告 组织的战略 组织IT规划与架构 业务部门组合结构图 IT部门组织结构图 业务流程资产清单 组织的个人信息名录 64 数据搜集 问卷 能够提供大量的信息 数据质量问题访谈 能够获得最有效的信息 信息不一致性研讨会 能够快速获得一致的认识 需要协调相关人员的时间 65 数据分析 分析的内容关键业务功能和应用系统关键业务功能和应用系统的单点故障 支持关系 关联随着时间的过去 灾难性事件对关键业务功能造成的损失及影响 定性和定量 关键业务功能的最大可容忍中断时间与最大可容忍丢失数据量关键业务功能的服务时间段和可容忍的性能下降程度关键业务功能恢复优先级 66 影响RTO的因素 决策的速度容灾的技术实现方式灾难恢复流程相关人员的素质 67 确定关键业务恢复优先级 68 制定策略 目录 69 评估业务连续能力的目的 明确现有的能力和所具有的资源明确未来将要达到的目标和状态确定现状和目标之间的差距与行动 70 评估过程 确定评估框架数据搜集差距分析总结报告 71 确定评估框架 可以根据情况自行开发需要有经验和实践能力的人员参考相关最佳实践 标准 规范BCI DRII BS25999 Cobit 利用咨询服务商的框架IBM HP DTT 72 制定策略 目录 73 确定业务连续策略层次 74 确定方案的关联因素 距离 备份中心的距离有多远 对于一个客户环境来说 通常是一个确定的因素速度 生产中心的业务系统响应能力需求 数据完整性 包括 一致性 远程镜像数据是否可用 通常是必要条件 当前性 远程镜像数据是否最新的更新数据 75 网络连接 76 网络切换 DNS在所有的Client端上设置2个DNS服务器 一主一备 生产中心和灾备中心各自安排一台DNS服务器 负责所有主机的域名解析 在正常情况下 主DNS服务器的内容都是和备份DNS服务器的内容保持完全同步 Routing NAT在灾备中心的服务器接入交换机上做基于目的地址的NAT转换 这时从生产中心的服务器来看 灾备中心的服务器是另一个不同的IP地址 这样可以进行数据交换 而从客户端来看 生产中心和灾备中心的服务器是同一个IP地址 任何一个都可以进行访问 L4 7Switch将Layer4交换机放置在生产中心和灾备中心的核心交换机的前端 对于客户端来说 访问的始终是一个虚拟地址 这个虚拟地址由Layer4交换机进行判断解析 始终将之影射到现在正常工作的服务器上 IPStandby在正常的时候 生产中心和灾备中心使用不同的IP地址空间 一旦发生灾难 管理员手工调整网络设置和灾备中心的IP地址设置 灾备中心使用原生产中心的IP地址空间 使应用恢复 77 应用切换 人工恢复 利用人工方式在灾难恢复站点把应用和数据加载到服务器上 优点 可以由操作人根据实际情况作出判断并采取相应行动 人工恢复的成本略低 缺点 对操作人员的技能水平与反应能力有较高要求 操作人员工作量加大 会产生较长时间的业务应用中断 全自动恢复 通过一些高可靠性软件的控制 在灾害发生时使生产系统的应用和数据自动切换到灾难备份系统 优点 速度快 操作简单 不需要人工干预 缺点 成本高 一些次要因素 如服务器死机 通信联络中断等可能影响顺利切换 半自动方式采用软件工具对系统进行实施 全面的监测 系统管理人员能够及时了解任何严重的系统故障 并且能够在软件的协助下迅速定位故障 在半自动方式中 系统管理员还可以启动预先经过充分测试的脚本 按照既定的顺序 以此启动异地中心的外部接口 数据库服务器 ApplicationServer和应用程序 78 灾备中心地点选择 79 灾备中心地点选择 容灾中心地点的选择距离和占地周边环境 无易燃易爆物品和有害气体 腐蚀性物品的生产和存放场所 无重要军事目标和重大工程设施 电磁辐射 无产生大量粉尘 油烟的场所 无强电磁和放射线干扰 无强震动和噪声源地址 气候 水文条件 地质结构稳定 地势较高的区域 避开可能发生洪水淹没或出现山洪 泥石流造成滑坡的地方 无恶劣的气候 降水量应适中 有自取地下水的条件电力接入通信资源交通状况市政配套设施差异性越大 可抵御的灾害种类就越多差异性在很大程度上通过物理距离来实现建设成本和投资预算 成本效益分析 关联因素防范的风险恢复时间目标数据复制方式网络链接预算 80 灾备中心站点类型 Coldsite通常具有充足的机房基础设施 电源 电信连接和环境控制 和支持IT系统基础设施 空间可能配有活动地板和其它适合IT运行的属性 站点不包含IT设备并且通常也不包含办公自动化设备如电话 传真机或复印机 使用冷站点是为了用于提供安装所需的设备和电信能力 Warmsite装备有部分设备 包含一些或全部系统硬件 软件 电信和电源 温站点被维持于随时准备接收被重新部署系统的运行状态 这种站点在接收系统和恢复人员之前需要进行准备 Hotsite配置了所需的系统硬件 软件 提供支持的基础设施和支持人员 热站点通常24小时有人值守 接到应急计划启动的通知时热站点人员就可以立即开始准备系统的切换和接管 81 灾备中心站点类型 Activesite standby具有完整和实时信息的完全的冗余恢复站点 其与主站点在所有的技术层面上基本是一致的 系统平时处于7 24活动状态 由于在主站点和恢复站点同时处理和存储数据所以这些站点提供了最高的可用性 Mobilerecoverycentre是内部包含了适应客户需要的特定电信装备和满足系统需求的IT设备的可以移动的载体 这种设施经常被放置在拖车中并可以被拖放和安置在所需的备用场所 82 灾备中心站点类型比较 2007年7月全国信息安全标准化技术委员会组织制定 国家标准化委员会审查批准发布了 GB T20988 2007信息安全技术信息系统灾难恢复规范 信息系统灾难恢复规范 描述了6级信息系统灾难恢复等级 83 灾备中心模式选择 84 灾备服务商选择 85 业务恢复 工作场所 Officecentre是具备完全日常办公所需条件的工作场地 当灾难发生时 通过预定的方式提供包括 办公桌椅 电话 传真机 复印机 个人电脑 工作站设备 以及通信条件等办公环境的基础设施 能够提供工作场所的业务恢复 86 办公中心 办公服务器Inter WindowsCPU Memory HardDrivesTapeDrives工作席位PCsVoiceCommunicationsPrinters Fax CopiersAmenities网络LANWAN 快速恢复服务OSPreload PCs ServersImagePreload PC sE mailRecoverySolution先进的语音通讯AutomatedCallDistributionFreeseatingCallrecordingVoicemailDirectinwarddial DID Callredirection alsoreferredtoas800redirect Additionaltrunking 87 业务恢复资源样例 访问问语音网络访问XX应用系统访问互联网10台PC终端10个电话1台传真机1台打印机1台文件服务器 10个经过培训的员工10个工作席位50平米工作场地办公用品原料清单业务表格业务文件 88 业务恢复 人员 财务IT销售供应行政HR客服 89 业务恢复 获取方式 所需的场地所需的办公资源 电话 打印机 传真 email 终端电脑 办公软件等所需物品所需IT资源其他技术设施 用于支持的技术 厂房和设备人员需求 业务恢复人员 应急管理人员等其他 保险 上下游供应商 新建利旧购买存储租赁合作调度借用索赔 90 成本构成 基础设施灾备中心办公中心运维管理技术人员网络连接电力设备维护 咨询费用软件采购设备运送劳务费用演练费用其他用品资源 IT设备存储设备网络设备服务器 办公设备电脑电话打印机 91 成本效益分析 收益的计算 注释 B 收益f 频率E 采取控制前的损失e 采取控制后的损失c 采取控制的成本 R isk f E r isk f eB R r cB f E e c收益应该综合评定从长远的角度来评定收益 92 开发业务连续性计划 目录 93 事件管理 ITIL IT基础架构库 InformationTechnologyInfrastructureLibrary 从1986年开始 目前有10 0000万家大型企业使用 由英国政府电脑局 CCTA 开发制定 一系列关于IT服务管理最佳流程的书籍 国际上唯一的关于IT服务管理的综合性规范 有自己的的国际性用户组织 ITSMF 中国已成立分论坛基于IT基础设施 ITIL为IT部门的所有活动提供了一个通用框架 这些活动是服务交付的一部分 这些活动被划分为不同的流程 当这些流程协同运作时 可以提供一个有效的框架从而可以使得组织的IT服务管理更加成熟 这些流程中的每一个都包含了一项或多项IT部门的任务 如服务开发 基础设施管理 服务交付和支持等 这种流程的方法使得有可能独立于组织架构而描述IT服务管理最佳实践 94 事件管理 ITIL 事件管理的作用是快速有效地响应用户 使他们能够迅速恢复工作 以减小对用户的影响 它与问题管理有本质的不同 它的特点往往是以解决表征现象为目的 而不在于查找根本原因 事件管理包括故障管理 通过服务台接线员及二线技术人员的工作 迅速解决客户的故障 95 开发业务连续性计划 目录 96 应急管理 广义的应急管理应急从广义上来说 是指人们应对各种紧急事件的策略 计划 措施的总和 紧急事件也是一个广义的概念 包括公共卫生事件 自然灾害 安全事故 环境污染 公共安全事故等 应急管理是指组织在突发事件的事前预防 事发应对 事中处理和善后管理过程中 通过建立必要的应对机制 采取一系列必要措施 保障生命财产安全 促进社会和谐健康发展的有关活动 应急管理是对突发事件的全过程管理 根据突发事件的预警 发生 缓解和善后四个发展阶段 应急管理可分为预测预警 识别控制 紧急处置和善后管理四个过程 应急管理又是一个动态管理 包括预防 准备 响应和恢复四个阶段 均体现在管理突发事件的各个阶段 狭义的应急管理从管理和灾害发生的过程中来看 应急管理是在事情发生以后如何第一手进行应急处置 紧急救援 97 应急响应 应急响应 通常是指一个组织为了应对各种紧急事件的发生所做的准备以及在事件发生后所采取的一系列行动与措施 其目的是避免 降低 危害和损失 以及从危害和损失中恢复 目标 防止散乱 无协作的响应救援受事件影响人员保护组织的财产和声誉迅速控制现场和快速侦查确认或者排出事件是否发生提供准确的信息和有价值的建议将事件对组织危害性减到最小根据法律和政策保护隐私 98 应急响应过程 事件贮备 在突发事件发生之前 采取行动做好充分准备 发现事件 识别潜在事件 初始响应 执行初始调查 记录事件的基本细节 组建应急小组 并通知相关人员 制定响应策略 根据已知情况 确定最佳响应并获得管理人员的批准 根据调查得到的推论 确定哪些适合采取行动 调查事件 全面收集数据 并根据确定发生的情况 时间 当事人 以及将来如何防范类似时间 报告 以对决策者最有用的方式准确报告已调查的信息 解决方案 实施制定行动和措施来抑制 消除事件影响 并防止事件再次发生 99 应急预案注意事项 人员疏散 紧急疏散计划示例通告程序应急响应小组 ERT 外部机构事件升级应急指挥中心 100 开发业务连续性计划 目录 101 危机沟通 总体而言 危机沟通是指个体或组织为了防止危机的发生 减轻危机造成的破坏或尽快从危机中得到恢复而进行的沟通过程 危机管理的核心是有效的危机沟通 是保持对信息流通的控制权 危机沟通是处理潜在的危机或已发生的危机的有效途径 危机沟通可以降低组织危机的冲击 而且通过危机沟通有可能化危机为转机 如果没有适度的对内 对外的沟通 小危机就可能变成大危机 大危机就可能导致组织一蹶不振 在组织遭逢大变故之计 危机沟通在一定程度上起着关键作用 102 沟通的关键信息 什么时间什么地点发生了什么谁在现场影响范围损失程度已经采取了哪些措施正在做什么需要XX配合做什么 103 危机沟通原则 承担责任原则 SHOULDERINGTHEMATTER 无论谁是谁非 都不要企图推卸责任 真诚沟通原则 SINCERITY 组织应把自己所做 所想的 积极坦诚地与公众沟通 速度第一原则 SPEED 危机发生后 能否首先控制住事态 使其不扩大 不升级 不蔓延 是处理危机的关键 系统运行原则 SYSTEM 在逃避一种危险时 不要忽视另一种危险 在进行危机管理时必须系统运作 决不可顾此失彼 权威诚实原则 STANDARD 组织应尽力争取政府主管部门 独立的专家或机构 权威的媒体及消费者代表的支持 而不是自己去徒劳地解释或自吹自擂 104 危机沟通计划 危机沟通是危机管理的一部分 危机沟通计划是是危机管理计划的一部分 缺乏危机沟通计划 会导致控制损失所需的时间和成本增至两倍或者三倍 延迟也可能带来无法挽回的损害 相反的是 建立应对未来危机情况的模式和运作基础 只需要好好计划一次 并且不断稍加更新即可 换句话来说 危机沟通计划是一种成本相对较低的办法 它可以避免将来花费更高的代价和面对更大的烦恼 危机沟通计划主要内容 目标 危机沟通原则 危机沟通小组职责 沟通对象 关键沟通信息 媒体联络 附件 105 媒体沟通策略 对媒体的认识决定了组织对媒体的态度 态度决定了组织的行为 媒体和组织是一个互相依存 但又存在着矛盾的两个组织 组织应该意识到 与媒体之间应该是一种和谐相处 而不是心存敌视 严加戒备 当然 对媒体的戒备还是必要的 毕竟 媒体和组织的利益是存在着矛盾的 与媒体沟通的态度坦诚 尊重媒体为媒体敞开采访的大门出现错误 要坦诚认错不要和媒体对着干 顺势引导媒体 危机时组织的行动迅速做出反应 不要沉默不语关注全球媒体建立公共关系危机处理中心和媒体信息发布中心阐述组织立场 并且反复强调召开记者招待会同所有利益方沟通转移媒体视线 106 开发业务连续性计划 目录 107 总则 BCP的目标BCP的范围前提和假设相关定义与缩略语其他相关内容 108 恢复目标和优先级 根据业务影响分析的结果 最终确定关键业务功能的恢复目标恢复优先级别的粒度可以根据组织情况具体确定 109 组织与职责 领导团队 EMT CMT BRMT DRMT 包括高级管理人员和关键部门负责人关键角色 业务连续经理 业务连续协调员 各个恢复团队leader 110 角色转变 日常公司管理组织正常业务运行指导委员会业务部门经理 灾难期间业务连续管理组织维持生存 时间敏感业务运行危机管理小组 CMT 向CMT报告的TeamLeader 111 呼叫树 BCP计划应当包含一个联系电话列表 或称为 呼叫树 这是通知启动和完成恢复工作的相关人员目录 当灾难发生时 要保证BCP关键决策的制定者和其他相关人员可以及时联系上 呼叫树 中的人员 关键决策者 各个团队的负责人 灾难发生时 许多团队责任人可能遇难或暂时无法联系 此时要考虑联系其他后备人员 112 呼叫树 呼叫树 目录应当包含以下信息 联系名单按优先级排序 也就是说 先联系谁 提供关键人员的主要和应急备用的电话号码和地址 这些人应当是重要团队的负责人 由他们联系团队中的其他人员 设备和软件供应商代表的电话和地址组织内负责提供设备 物品和服务的人员的联系电话恢复站点联系人的电话号码 包括热站代表和预定的网络通讯路由服务的相关联系电话 异地存储设施联系人电话 以及组织内部负责人从异地存储站点接受存储介质的人员联系电话 保险代理机构的电话号码法律法规部门 政府机关的联系电话 以备需要时使用 呼叫树 要去顶人员在其团队中的职位 姓名和联络信息 如家庭 工作电话号码及传呼号码 电子邮件地址和家庭地址 条目可以按照以下格式排列 团队 系统恢复小组职责 团队负责人姓名 杨帆地址 北京市海淀区学院路1234号 100085家庭电话 010 12345678工作电话 010 87654321移动电话 010 139188888888电子邮件 yangfan yangfa 113 关键场所定义 掩体集合地点办公中心EOC同城灾难恢复中心异地灾难恢复中心介质备份库 114 灾难定义 如何确定灾难发生直接认定适合于破坏性特别大的事件 如 地震 飓风 海啸等 范围定义局部影响全局影响影响程度较小较大极大时间定义 2小时2小时 RTO 一天一天 RTO 一周 115 毁坏影响评估 评估以下内容的损失程度 影响范围 可以利用资源情况 恢复能力程度等 为应急处理 危机沟通 灾难宣告和恢复策略选择提供现场的 真实的 第一手的资料以便CMT进行救援与决策 评估的内容人员伤亡建筑物设施情况IT系统通信网络电力供给业务运行能力 116 灾难宣告 应制定激活业务连续计划启动的条件 当事件满足灾难定义 达到一项或多项启动条件是 并结合毁坏影响评估结果 业务连续经理组织BRMT进驻EOC 并召开会议分析情况 由授权成员决定是否启动业务连续计划 并签署灾难宣告记录单 并由业务连续协调员根据宣告流程通知各个恢复小组负责人 业务恢复小组 IT恢复小组等 各个场所负责人 EOC 灾难恢复中心 工作恢复场点等 以及相关内部外部机构 117 灾难通知 灾难通知应该发给恢复团队