IT服务连续性管理

第11章IT服务连续性管理

（ITServiceContinuityManagement）第11章IT服务连续性管理

（ITServiceCon1目标

支持业务连续性管理流程

保证所需的IT技术和服务设施能在业务要求的时间范围内得到恢复IT服务连续性计划

危机管理目标支持业务连续性管理流程2流程业务运作作为一个整体与IT部门的关系正日益紧密，业务与IT的连续性管理在ITIL范围内的定义如下：业务连续性管理(BCM)包括风险分析和管理。从而组织能在任何时间内保证达到所要求的最低生产能力及服务的提供。业务连续性管理旨在将风险降低至可接受的水平，并规划恢复那些因灾难中止的业务活动。IT服务连续性管理(ITSCM)是处理影响到IT服务的灾难并为服务运营提供维护的一种流程。它旨在保证业务继续顺利运行。IT服务连续性管理是所有业务连续性管理的一部分，它基于由业务连续性管理(BCM)提出的要求，通过风险降低机制(如安装可靠的系统)与提供恢复方法(如备份系统及冗余系统)相结合，以保证IT服务的可用性。它的成功应用有赖于整个组织的支持，管理层的投入以及所有人员的合作。流程业务运作作为一个整体与IT部门的关系正日益紧密，业务与I3流程图启动业务连续性管理（BCM）业务影响分析业务连续性策略风险评估组织和实施计划创建恢复计划实施待机安排执行风险降低标准创建步骤初步测试连续性保证教育评审和审计测试变更管理培训初始化需求和策略实施运作管理流程图启动业务连续性管理（BCM）业务影响分析业务连续性策略4运作步骤（活动）步骤一：初始化步骤二：需求和策略步骤三：实施步骤四：运作管理确立策略明确范围分配资源定义项目组织和控制结构确立项目和质量计划业务影响分析风险评估风险减低措施恢复方案教育测试培训评审及审计变更控制连续性保证建立组织并创建执行计划实施待机安排执行风险规避措施创建IT恢复计划创建恢复步骤执行初步测试运作步骤（活动）步骤一：初始化步骤二：需求和策略步骤三：实施5第一步：初始化

确立指导策略（Policy）

明确范围

分配资源

定义项目组织及控制结构

确立项目和质量计划第一步：初始化确立指导策略（Policy）6第二步：需求分析和策略（Strategy）定义

业务影响分析

风险评估

业务连续性策略IT恢复方案第二步：需求分析和策略（Strategy）定义业务影响分7业务影响分析（BusinessImpactAnalysis-BIA）

在没有IT服务的情况下，业务能运作一段时间

强调：服务的恢复

如果没有IT服务，业务无法运作

强调：防护

服务分析

基础设施业务影响分析（BusinessImpactAnalys8风险评估

识别业务面临的风险

必须首先采取防护措施

然后针对其他风险制定灾难恢复计划或连续性计划风险评估风险管理资产威胁脆弱性风险对策（防护和恢复）风险分析和管理法（CRAMM）风险评估识别业务面临的风险风险评估风险管理资产威胁脆弱性9业务连续性策略组织制定策略时，既要考虑风险降低方案，又要考虑服务恢复方案，在两者之间达到平衡。不可能完全消除风险！业务连续性策略组织制定策略时，既要考虑风险降低方案，又要考虑10IT恢复方案

不采取任何行动

人工应急措施

互惠协议

逐步恢复—冷备

中速恢复—温备

快速恢复—热备IT恢复方案不采取任何行动11第三步：实施

建立组织和实施计划

执行待机安排

执行降低风险的措施

建立IT恢复计划

建立恢复程序

进行初步测试第三步：实施建立组织和实施计划12第四步：运作管理

测试

培训和培养危机意识

评审和审计

变更管理（对IT服务连续性管理计划进行更新）

连续性保证第四步：运作管理测试13可能存在的问题

难以获得有经验的工作人员

培养员工正确态度上存在困难

难以将业务客户对可用性的需求转化为内部度量标准

在管理中缺乏支持

服务连续性计划、联系名单和配置管理数据库在灾难发生时，可能不可用可能存在的问题难以获得有经验的工作人员14关键成功因素

有效的配置管理流程

整个组织的投入和支持

常更新的、有效的工具

为流程中的每一个人提供专门培训

经常的，未事先宣布的恢复计划关键成功因素有效的配置管理流程15管理报告

可能导致危机的事件

影响服务连续性计划的变更

服务连续性计划测试的结果

恢复的成本管理报告可能导致危机的事件16角色和责任角色在正常情况下的责任在危机发生时的责任董事会高级经理管理层团队领导者及成员创建业务连续性管理分配人员和资源确定连续性管理政策流程权限定义管理IT服务连续性流程接受计划，测试报告等沟通、在组织中维持危机意识使IT连续性管理与业务连续性管理相整合采用IT服务连续性分析确定IT服务连续性的可交付物起草服务条约管理测试、定期评审、连续性保证建立IT服务连续性可交付物谈判服务完成测试，定期评审，连续性保证建立并实践步骤危机管理做出公司/业务决策合作并裁决提供人力，资源和资金激活服务恢复和连续性机制领导团队报告实施恢复计划角色和责任角色在正常情况下的责任在危机发生时的责任董事会高级17小结

灾难会发生并会影响服务IT服务连续性管理（ITSCM）及业务连续性管理

活动

初始化

需求和策略

实施

运作管理小结灾难会发生并会影响服务18本章练习题1、以下哪个概念属于IT服务连续性管理范畴?A.选型(ApplicationSizing)B.脆弱性(Vulnerability)C.可维护性(Maintainability)D.柔性(Resilience)本章练习题1、以下哪个概念属于IT服务连续性管理范畴?19本章练习题2、以下的哪一项是IT服务连续性管理的职责?A.通知最终客户系统故障B.记录回退安排措施(fallbackarrangements)

C.提供有关可用性的报告D.保证配置项信息不断地更新本章练习题2、以下的哪一项是IT服务连续性管理的职责?20第11章IT服务连续性管理

（ITServiceContinuityManagement）第11章IT服务连续性管理

（ITServiceCon21目标

支持业务连续性管理流程

保证所需的IT技术和服务设施能在业务要求的时间范围内得到恢复IT服务连续性计划

危机管理目标支持业务连续性管理流程22流程业务运作作为一个整体与IT部门的关系正日益紧密，业务与IT的连续性管理在ITIL范围内的定义如下：业务连续性管理(BCM)包括风险分析和管理。从而组织能在任何时间内保证达到所要求的最低生产能力及服务的提供。业务连续性管理旨在将风险降低至可接受的水平，并规划恢复那些因灾难中止的业务活动。IT服务连续性管理(ITSCM)是处理影响到IT服务的灾难并为服务运营提供维护的一种流程。它旨在保证业务继续顺利运行。IT服务连续性管理是所有业务连续性管理的一部分，它基于由业务连续性管理(BCM)提出的要求，通过风险降低机制(如安装可靠的系统)与提供恢复方法(如备份系统及冗余系统)相结合，以保证IT服务的可用性。它的成功应用有赖于整个组织的支持，管理层的投入以及所有人员的合作。流程业务运作作为一个整体与IT部门的关系正日益紧密，业务与I23流程图启动业务连续性管理（BCM）业务影响分析业务连续性策略风险评估组织和实施计划创建恢复计划实施待机安排执行风险降低标准创建步骤初步测试连续性保证教育评审和审计测试变更管理培训初始化需求和策略实施运作管理流程图启动业务连续性管理（BCM）业务影响分析业务连续性策略24运作步骤（活动）步骤一：初始化步骤二：需求和策略步骤三：实施步骤四：运作管理确立策略明确范围分配资源定义项目组织和控制结构确立项目和质量计划业务影响分析风险评估风险减低措施恢复方案教育测试培训评审及审计变更控制连续性保证建立组织并创建执行计划实施待机安排执行风险规避措施创建IT恢复计划创建恢复步骤执行初步测试运作步骤（活动）步骤一：初始化步骤二：需求和策略步骤三：实施25第一步：初始化

确立指导策略（Policy）

明确范围

分配资源

定义项目组织及控制结构

确立项目和质量计划第一步：初始化确立指导策略（Policy）26第二步：需求分析和策略（Strategy）定义

业务影响分析

风险评估

业务连续性策略IT恢复方案第二步：需求分析和策略（Strategy）定义业务影响分27业务影响分析（BusinessImpactAnalysis-BIA）

在没有IT服务的情况下，业务能运作一段时间

强调：服务的恢复

如果没有IT服务，业务无法运作

强调：防护

服务分析

基础设施业务影响分析（BusinessImpactAnalys28风险评估

识别业务面临的风险

必须首先采取防护措施

然后针对其他风险制定灾难恢复计划或连续性计划风险评估风险管理资产威胁脆弱性风险对策（防护和恢复）风险分析和管理法（CRAMM）风险评估识别业务面临的风险风险评估风险管理资产威胁脆弱性29业务连续性策略组织制定策略时，既要考虑风险降低方案，又要考虑服务恢复方案，在两者之间达到平衡。不可能完全消除风险！业务连续性策略组织制定策略时，既要考虑风险降低方案，又要考虑30IT恢复方案

不采取任何行动

人工应急措施

互惠协议

逐步恢复—冷备

中速恢复—温备

快速恢复—热备IT恢复方案不采取任何行动31第三步：实施

建立组织和实施计划

执行待机安排

执行降低风险的措施

建立IT恢复计划

建立恢复程序

进行初步测试第三步：实施建立组织和实施计划32第四步：运作管理

测试

培训和培养危机意识

评审和审计

变更管理（对IT服务连续性管理计划进行更新）

连续性保证第四步：运作管理测试33可能存在的问题

难以获得有经验的工作人员

培养员工正确态度上存在困难

难以将业务客户对可用性的需求转化为内部度量标准

在管理中缺乏支持

服务连续性计划、联系名单和配置管理数据库在灾难发生时，可能不可用可能存在的问题难以获得有经验的工作人员34关键成功因素

有效的配置管理流程

整个组织的投入和支持

常更新的、有效的工具

为流程中的每一个人提供专门培训

经常的，未事先宣布的恢复计划关键成功因素有效的配置管理流程35管理报告

可能导致危机的事件

影响服务连续性计划的变更

服务连续性计划测试的结果

恢复的成本管理报告可能导致危机的事件36角色和责任角色在正常情况下的责任在危机发生时的责任董事会高级经理管理层团队领导者及成员创建业务连续性管理分配人员和资源确定连续性管理政策流程权限定义管理IT服务连续性流程接受计划，测试报告等沟通、在组织中维持危机意识使IT