灾难恢复建设是一个系统性工程,涉及到单位的组织架构、资投入、建殳与维护、流程制度变更及外部协作等多个领域,需要评估灾难恢复过程的风、筹备所需资源、确定详细任务及时间表、监督和管理规划活动、跟踪和根任务进展以及进行问题管理和变更管理。
灾难恢复建设管理的目标是在限的前提下根据单位的业务需求进行灾难恢复建设,减小灾难给单位带来的失,保障业务的持续运作。
即使单位具有良好的安全系统,信息安全风险依然存在,意外事故通常是可避免的。当事故或灾难发生时,有关人员要在第一时间做出响应。灾难恢复织机构是对灾难事件做出相应反应的核心力量。
灾难恢复的组织机构由管理、业务、技术和行政后勤等人员组成,分为灾难恢复领导小组、灾难恢复规划实施组和灾难复运行组。
实难恢复的组织机构应强调信息畅通,协调合作、高效决策,灾难恢复组织机构的框架内,信息畅通是第一要务、在灾难发生时将,迅速将可靠的必要的讯息通知相关人员,进行人员的召集和决策,是灾难恢复机构的首要任务。
在灾难发生时,平时的决策体系将很难发挥应有的作用,应当根据需要置扁平化的、有专家参与的决策支持体系。决策人员应当被授予较高的权限,括人员物资调用和财务支出的权限等,以保证决策的高效性,因为在面临灾时短短几分钟的拖延都可能造成致命的后果。
任何决策都必须在得到执行后才能够产生应有的效果,除了平时在制度和训练上进行提高外,还应该在组织机构上进行关注。在灾难发生时,人都可能因为任何的原因不能及时出现,对于关键的岗位和职位都应该设替代人员。
灾难恢复机构中除了提供灾难发生时必需的组织机构外,还应该包括灾恢复日常管理人员,以提供灾难恢复工作培训和认证、灾难恢复策略咨询服务灾难恢复建设支持、灾难恢复系统运营维护服务支持、灾难应急响应和灾章复工作支持等。可聘请外部机构协助或参与灾难恢复规划实施工作,也可外部机构承担灾难恢复的部分或全部工作。
预先确定了灾难恢复组织机构,实难恢复的里织机构可是常设机构,根据灾难恢复规划的要求设立临时机构。机构中的工作专职位,也可兼职岗位。实参复编参机构的具体情况需要在灾难恢复预案中淮确说明。
任何单位都不是独立手社会之外的存在,在遭受实难美亲跨政获每关的理解和援助,加强对外合作和沟通可以尽量减少或趟免实难事体来的黄面影响和损失。灾难恢复的外部协助可能涉及如事内容:
1.同业机构间合作
灾难恢复机构应加强与业务案切相关的同业机构的协训联系。互合作。分享经验,共同评估可能面临的风险因素,共同制定灾难恢复策略,行业整体风险防范和灾难恢复能力。
2.广商与客户合作
单位应与设备及服务提供商,通信和电力部门等保持联络和协作,以确保在灾难发生时能及时通报准确情况并获得适当支持,确保灾难恢复的顺利进行。
3.主管机构协调
识别支持灾难恢复和业务连续性的机构并与之进行协调,识制和建立与案急事件管理机构的联络方式,应与相关管理部门保特联络和良好美系,以确在灾难发生时能及时通报准确情况并获得适当支持。
4、新闻媒体交流:
制定,协调、评价和演练在危机情况下与媒体交流的计划,以确保在灾难发生时能及时通报准确情况。
信息系统的灾难恢复关注的是在意外事件或灾难性事件发生后信息系统服务支持能力的恢复。信息系统的灾难恢复管理作为信息系统服务管理的分已经被很多的信息系统管理体系和标准、规范纳入了自己的管理范围。
目前、IT管理体系主要有BS7799、ITIL、COBIT、CMM等。采用标准的IT管理架构可以给单位带来诸多收益。如美国Proctor&Gamble在采用IIL老准的四年里,节省超过5亿美元的预算,其运作费用降低6%~8%,而技术人员的人数减少15%~20%。在本章节中将重点就业务连续管理方面的内容,介绍一下BS7799、ITIL与COBIT等管理体系。
BS7799对业务连续性和灾难恢复管理的要求
BS7799在业务连续管理要术方面,明确提出:业务务续管理的目标是防止业务中断、保护关键业务过程免受信息系统重大失失误或灾难影响,确保它们的及时恢复。业务连续管理应但括识别和建设风险的控制措施,以限制破坏性事故的后果,并确保业务过程需要的值息便于使用,主要内容:
1、业务连续管理过程
因为贯穿于组织的业务连续性开发和保持一个管理过程,以满足组织的业务连续性所需的信息安全要求。
2.业务连续性和风险评估
应识别能引起业务过程中断的事件,这种中断发生的概率和影响,及它们对信息安全所造成的后果。
3.制定和实施连续性计划
应制定和实施计划来保持或恢复运行,以在关键业务进程中断或失败后能够在要求的水平和时间内确保信息的可用性。
4.业务连续计划框架
应保持一个唯一的业务连续计划框架,以确保所有计划是一致的。能多高地解决信息安全要求,并为测试和维护确定优先级。
5.测试、维护和再评估业务连续计划
业务连续计划应定期测试和更新,以确保其及时性和有效性
ITIL对业务连续性和灾难恢复管理的要求
IT服务连续性管理的内容
IT服务连续性管理是组织业务连续计划的一个组成部分。IT服务连续性管理就是负责预防灾准、增强IT基础架构的恢复能力和容错能力的流程,它需要确保组虫在发生灾难后有足够的技术、财力和管理资源来确保IT服务的连续性运作、正服务连续性管理与事故管理、问题管理所关注的日常性事故和问题不同、它主要关注那些对组织业务运作可能产生重大影响的灾难性事故。
连续性管理目标
正服签连线性管理的目标是确保业务运作所需的IT基础架构和IT服务在灾难发生后的限定时间内能够得到恢复,从而对组织的总体业务连续管理提供支持。
IT服务连续性管理流程
IT服务连续性管理的实施和运作必须紧密结合业务连续管理所确定的业务连溪陛周期进行。图显示了一个按照业务连续性周期实施的T服务连续性管理的流程模型。
COBIT对业务连续性和灾难恢复管理的要求
COBTT目藏已成为国际上公认的最先进的安全与信息技术管理和控制的标准,以辅助管理展进行四治理。该标准体系已在世界一百多个国家的重要组织与企业中运围、据导这些组织有效地利用信息资源,有效地管理与信息相关的风险。
COBI指出单位对信息标准的要求(效果、效率、机密性、完整性、可厢胜、符合性和可靠性)和IT资源(应用、信息、基础架构和人员)上的需求是如何紧密的融人各个控制目标中。
在COBIT34个IT处理流程中,有一个专门的流程DS4(保证服务的连续性)对业务连续管理提出了要求与相应的控制措施。
1.在保证服务的连续性方面的高阶控制目标;
2.在保证服务的连续性方面的具体控制目标;
3.在保证服务的连续性方面的管理指导
4.本在保证服务的连续性方面的成熟度模型
8S7799、ITIL和COBIT在业务连续性和灾难恢复领域中的一致性与互补性
为实现有效的Ⅲ管理,需要对工组织结构和角色、量度、过程、技术、控制和人员等方面进行管理,IT管理要素与BS7799、ITIL和COBIT之间的关系
信息系统灾难恢复是厂IT管理的重要部分,业务连续性是IT管理的主要目标,通过整合BS7799、ITIL和COBIT,实施有效的IT治理,才能使单位得到可持续发展。
灾难恢复建设的生命周期
系统开发生命周期是指系统拥有者在系统的生命跨度内所进行活动的完整作用域。灾难恢复建设的生命周期和被保护的系统的生命周期是同步的。
灾难恢复建设的内容及流程
灾难恢复建设主要包括以下几个方面:
① 灾难恢复需求的确定:通过风险分析及业务影响分析等手段对单位的业务进行分析,确定灾难恢复的目标。
②灾难恢复策略的制定:根据灾难恢复需求、技术手段的可行性,资源获取方式和预算费用情况确定灾难恢复策略和方案
③灾难备份系统实施:根据既定的策略和方案建设灾难备份基础设施备份系统、灾难恢复预案及管理制度、
④ 灾难恢复预案的演练和有效性评估;
灾难恢复的持续维抗包括灾难备份中心的运行管潍翻购实滩缴的维护、审核和更新。
多阶段和多层次的周期性工作
灾难恢复规划是一个周面复始、持续改进的过程,它必镇情况运时新并保持有效,它主要包含以下几个阶段
1.灾难恢复需求的确定
灾难恢复的需求分析主要包含风险分析和业务影响分析。
2.灾难恢复策略的制定
确定备用业务恢复运行策略的选择,以便在恢复时间且标范围内恢复业美和信息系统,并维持机构的关键功能,确定当前系统恢复能力与复时口的差距,结合风险分析和业务影响分析的结果确定家难恢复所盟的各种资源形成灾难恢复策略。
3.灾难恢复策略的实现
单位应该定期根据最新的灾难恢复策略复审灾难恢复技术方案
4、灾难恢复预案的制定,落实和管理
单位应定期对灾难恢复预案进行演练、复审和修订、保障恢复预案涉及的组织、信息、资源和制度流程的正确性、完整性和及时性
灾难恢复建设的基本原则
灾难恢复建设必须坚持统筹规划、资源共享、分级管理、平灾结合的时要充分调动和发挥各方面的积极性,全面提高抵御灾难打击的能力和灾难恢复的能力。
1.统筹规划原则
要从实际出发,组织有关机构和专家针对信息系统安全威胁和防护措施的有效性等进行评估。要统筹考虑,合理布局,通过科学的引导和调控,形成发展有序的灾难恢复体系格局。
2.资源共享原则
灾难恢复建设要充分利用现有资源,讲求实效,保证重点,提倡资源共享互为备份。在保障主要信息系统安全的前提下,考虑灾难恢复基础设施和其他资源的充分共享,防止重复建设,避免资源浪费。
3.分级管理原则
根据信息系统的重要性,面临的风险大小,业务中断所带来的损失等因素综合平衡安全成本和风险,确定灾难恢复建设的等级,选择合适的灾难备份方案,防止“过保护”和“欠保护”现象的发生。
4.平灾结合的原则
灾难恢复资源是为“低概率、高风险”事件准备的,平时多处于闲置状态因此,在不影响灾难备份和恢复功能的前提下,一方面,加强灾难恢复“平时”的应急演练,确保灾难发生时应急恢复的系统效能;另一方面,充分利用灾难恢复的各类资源,将日常运营和应急灾难恢复需求结合起来,综合安排,发挥更大的效益。
