業(yè)務持續(xù)性及災難恢復計劃講述

1、業(yè)務持續(xù)性及災難恢復業(yè)務持續(xù)性及災難恢復計劃計劃BUSINESS CONTINUITY & DISASTER RECOVERY PLANNING概述業(yè)務持續(xù)性及災難恢復計劃論述當業(yè)務運行陷入重大混亂時，如何保持正常的業(yè)務活動。BCP 和DRP 包含對具體措施的準備、測試與更新，以此保護關鍵業(yè)務流程不受重大系統(tǒng)與網(wǎng)絡故障的影響。業(yè)務持續(xù)性計劃（BCP）有助于識別機構承受的內部與外部的威脅；協(xié)調硬資產(chǎn)與軟資產(chǎn)以向機構提供有效的預防和恢復途徑，并保持其競爭優(yōu)勢與價值系統(tǒng)完整性。BCP抵御商務活動受到的干擾，應用于保護關鍵業(yè)務流程不受重大故障與災難的影響。BCP應對自然與人為事件，并處理未能及

2、時有效地應對所帶來的后果。業(yè)務影響分析（BIA）斷定在計算服務或通信服務嚴重中斷后，各個業(yè)務單位所承受的影響程度。這些影響可能是財政方面的，體現(xiàn)為金錢損失；或是運行方面的，體現(xiàn)為無法履行業(yè)務。災難恢復計劃（DRP）在電腦設備遭受部分或全部電腦資源與物理設施損失時，提供應急響應、延長備份運行以及災后恢復的程序。DRP的首要目標是讓必需任務程序得以在降級模式下運行，并在合理時間內恢復回正常的運行模式。概述 考生應了解業(yè)務持續(xù)性計劃與災難恢復計劃之間的區(qū)別；了解業(yè)務持續(xù)性計劃的項目范圍與規(guī)劃、業(yè)務影響分析、恢復策略、恢復計劃發(fā)展與實施。此外，考生還應掌握災難恢復計劃的開發(fā)、實施與修復。關鍵知識領域A

3、. 理解業(yè)務持續(xù)性要求 A.1 起草并記錄項目范圍與規(guī)劃B. 進行業(yè)務影響分析 B.1 識別關鍵業(yè)務功能并進行優(yōu)先排序 B.2 判斷可接受的最長停工時間以及其他標準 B.3 評估運行中斷的威脅（如本地范圍、區(qū)域范圍、全球范圍） B.4 定義恢復目標C. 制定恢復策略 C.1 實施備份存儲策略（如異地存儲、電子倉儲、磁帶輪換） C.2 站點恢復策略D. 理解災難恢復過程 D.1 應對 D.2 人員 D.3 通訊 D.4 評估 D.5 修復 D.6 提供培訓E. 執(zhí)行、評估與維護計劃（如版本控制、發(fā)行）主要內容 項目起始步驟 恢復與連續(xù)性規(guī)劃要求 業(yè)務影響分析 選擇、開發(fā)和實現(xiàn)災難和連續(xù)性計劃 備

4、份與離線設備 演習和測試類型u 災難（Disaster）是突發(fā)的、導致重大損失的不幸事件，包括： 自然的（Natural），如地震（Earthquakes）、洪水（Floods）、強對流天氣（Storms）、火山爆發(fā)（Volcanic Eruptions）、自然火災（National Fires）； 系統(tǒng)/技術的（System/Technical）,如硬件、軟件中斷（Outages）、系統(tǒng)/編程錯誤（Errors）； 供應系統(tǒng)（Supply Systems），通訊中斷、配電系統(tǒng)（Power Distribution）中斷、管道破裂（Burst Pipes）； 人為的（Man-Made ），爆炸

5、（Explosions）、火災（Fires）、故意破壞（Purposeful Destruction）、航空器墜毀（Aircraft Crashes）、有害物質泄漏（Hazardous Spills）、化學污染（Chemical Contamination）、有害代碼（Malicious Code） 政治的（Political），如恐怖襲擊（Terrorist Attacks）、騷亂（Riots）、罷工（Strikes）。災難的定義u 對于機構來說，任何導致機構關鍵業(yè)務功能在一定時間內無法進行的事件都被視為災難，其特點表現(xiàn)為： 計劃之外的服務中斷； 長時間的服務中斷； 中斷無法通過正常的問題管

6、理規(guī)程得到解決； 中斷造成重大損失。u 中斷事件是否被機構視為災難，與中斷所影響的業(yè)務功能對機構的關鍵程度，以及中斷的時間長短有關。機構的災難u 業(yè)務連續(xù)性計劃（Business Continuity Plan，BCP） 關注在中斷期間和之后維持機構的業(yè)務功能，提供重大中斷恢復期間維持重要業(yè)務運行的規(guī)程，和IT相關的僅限于其對業(yè)務處理的支持，災難恢復計劃、業(yè)務恢復/復原計劃和場所緊急計劃可以附加在BCP之后。 業(yè)務恢復/復原計劃（Business Recovery/Resumption Plan，BRP） 涉及到在緊急事件后對業(yè)務處理的恢復，提供災難后立即恢復業(yè)務運行的規(guī)程，但和BCP不同，它

7、在整個緊急事件或中斷過程中缺乏確保關鍵處理連續(xù)性的規(guī)程。BRP的制定應該與災難恢復計劃和BCP進行協(xié)調。BRP應該附加在BCP之后。BCP相關計劃之間的關系u 操作連續(xù)性計劃（Continuity of Operations Plan，COOP） 關注位于機構（通常是總部單位）備用站點的關鍵功能，以及這些功能在回到正常操作狀態(tài)之前最多30天的運行。由于COOP涉及到總部級的問題，它和BCP是互相獨立制定和執(zhí)行的。COOP強調機構在備用站點恢復運行能力，所以計劃不一定需要包括IT運行。另外，它不涉及到無需重新配置到備用站點的小型危害。COOP可以將BCP、BRP和災難恢復計劃做為附錄。 支持連續(xù)

8、性計劃IT應急計劃 （Continuity of Support Plan/IT Contingency Plan） 支持連續(xù)性計劃和IT應急計劃是同義詞，每一個重要的應用和通用支持系統(tǒng)都要制定IT應急計劃，在機構的BCP中可能會維護多個應急計劃。BCP相關計劃之間的關系（續(xù)）u 危機通信計劃（Crisis Communications Plan） 機構應該在災難之前做好其內部和外部通信規(guī)程的準備工作。危機通信計劃通常由負責公共聯(lián)絡的機構制定。危機通信計劃規(guī)程應該和所有其它計劃協(xié)調以確保只有受到批準的內容公之于眾。計劃規(guī)程應該做為附錄包含在BCP中。通信計劃通常指定特定人員做為在災難反應中回答

9、公眾問題的唯一發(fā)言人。它還可以包括向個人和公眾散發(fā)狀態(tài)報告的規(guī)程。計劃中包括記者招待會的模板。 計算機事件響應計劃（Cyber Incident Response Plan） 建立處理針對機構IT系統(tǒng)攻擊的規(guī)程。這些規(guī)程被設計用來協(xié)助安全人員對有害的計算機事件進行識別、消減并進行恢復，這些事件的例子包括對系統(tǒng)或數(shù)據(jù)的非法訪問、拒絕服務攻擊、或對硬件、軟件、數(shù)據(jù)的非法更改（如有害邏輯：病毒、蠕蟲或木馬等）。本計劃可以包含在BCP的附錄中。BCP相關計劃之間的關系（續(xù)）u 災難恢復計劃 （Disaster Recovery Plan，DRP） 應用于重大的、通常是災難性的、造成長時間無法訪問正常設

10、施的事件。通常，DRP指用于緊急事件后在備用站點恢復目標系統(tǒng)、應用或計算機設施運行的IT計劃。DRP的范圍可能和IT應急計劃重疊，但是DRP的范圍比較狹窄，它不涉及到無需重新配置的小型危害。根據(jù)機構的需要，可能會有多個DRP附加在BCP之后。 場所緊急計劃（Occupant Emergency Plan，OEP） 在發(fā)生有可能對人員的安全健康、環(huán)境或財產(chǎn)構成威脅的事件時，為設施中的人員提供反應規(guī)程。 OEP在設施級制定，與特定的地理位置和建筑結構有關。根據(jù)美國總務管理局（GSA）的OEP模板維護GSA所屬設施的OEP計劃。設施OEP可以附加在BCP之后，但是獨立執(zhí)行。BCP相關計劃之間的關系（

11、續(xù)）BCP步驟u BCP項目規(guī)劃階段的活動包括： 確定BCP需求，可以包括有針對性的風險分析以識別關鍵系統(tǒng)可能的中斷； 向管理層推銷BCP理念，獲得管理層的支持； 了解相關法律、法規(guī)、行業(yè)規(guī)范以及機構的業(yè)務和技術規(guī)劃的要求，以確保BCP與其相一致； 任命BCP項目負責人，建立BCP團隊，包括業(yè)務和技術部門的代表； 制定項目管理計劃書（Work Plan），其中應明確項目范圍、目標、方法、責任、任務及其進度； 確定收集數(shù)據(jù)所需的自動化工具； 向管理層提交項目規(guī)劃和狀態(tài)報告； 確定項目進度。BCP項目規(guī)劃u 業(yè)務連續(xù)性協(xié)調人做為BCP項目負責人全面負責項目的規(guī)劃、準備、培訓等各項工作： 計劃的開發(fā)

12、團隊與管理層的溝通和聯(lián)絡； 有權與計劃相關的所有人員進行直接接觸和溝通； 充分了解中斷對機構業(yè)務的影響； 全面了解機構的需求和運作，有能力平衡機構中相關部門的不同需求； 比較容易接觸到高級管理層； 了解機構的業(yè)務方向和高級管理層的意圖； 有能力影響高級管理層的決策。BCP項目負責人u 對BCP項目的規(guī)劃最終應該形成業(yè)務連續(xù)性策略條款，該條款記錄BCP的： 目的、范圍和需求； 基本原則和指導方針； 職責和責任； 關鍵環(huán)節(jié)的基本要求；u 策略條款應得到高級管理層的正式批準，并公布成為機構的政策，指導機構業(yè)務連續(xù)性相關工作。BCP策略條款業(yè)務連續(xù)性規(guī)劃要求關鍵的業(yè)務流程（1）薪金處理（2）時間和考勤

13、報告（3）時間和考勤核對（4）時間和考勤批準業(yè)務流程（2）：時間和考勤報告關鍵的資源lLAN服務器lWAN訪問l電子郵件l大型機訪問l電子郵件服務器資源 恢復優(yōu)先順序lLAN服務器 高lWAN訪問 中l(wèi)電子郵件 低l大型機訪問 高l電子郵件服務器 高關鍵資源lLAN服務器lWAN訪問l電子郵件l大型機訪問l電子郵件服務器確認關鍵的IT資源來自用戶、業(yè)務流程、所有者、應用程序所有者和其他相關組的輸入確認中斷的影響和允許的最長停工時間確定恢復優(yōu)先次序允許的最長時間：8小時影響l考勤卡處理延遲l無法執(zhí)行薪金操作l薪金處理延時BIA分析u 協(xié)助機構管理者了解潛在中斷對機構的影響；u 識別機構的關鍵功能

14、以及支持這些功能的IT資源；u 協(xié)助管理人員識別機構功能支持方面的不足；u 排定IT資源的恢復順序；u 分析中斷的影響，包括損失的利潤、增加的運行費用、收入的延期以及對競爭能力和公眾信心的打擊；u 確定每一項業(yè)務功能的恢復窗口（Recovery Windows），如確定機構可以使用手工作業(yè)或其它替代方式執(zhí)行關鍵功能的時間長度。BIA的目的u 確定信息收集技術；u 選擇受訪者（Interviewees）；u 定制收集經(jīng)濟和運作影響信息的問卷；u 分析信息；u 確定時間關鍵（Time-Critical）的業(yè)務功能；u 確定最大允許中斷時間（Maximum Tolerable Downtime，MT

15、D）；u 基于MTDs排定關鍵業(yè)務功能的恢復順序；u 準備和提交BIA報告。BIA的過程支持資源的種類 支持關鍵功能的資源包括： 人力資源（Human resources），如操作員、專家、系統(tǒng)用戶等。 處理能力（Processing capability），如數(shù)據(jù)中心、備用數(shù)據(jù)中心、網(wǎng)絡、小型機、工作站、個人計算機等。 基于計算機的服務（Computer-based services），如語音和數(shù)據(jù)通信服務、數(shù)據(jù)庫服務、公告服務等。 自動化應用和數(shù)據(jù)（Automated applications and data），計算機設備上運行的各種程序和存儲的數(shù)據(jù)。 物理基礎設施（Physical i

16、nfrastructure），如辦公室、辦公家具、環(huán)境控制系統(tǒng)、電力、上下水、郵件服務等。 文檔和票據(jù)（Documents and papers），如合同、票據(jù)、計劃、規(guī)程等文件、文檔和資料。u 預期各種可能出現(xiàn)的緊急情況時需要考慮類似下面這些問題： 人力資源，人們還能否工作？在罷工事件中關鍵人員能否工作？是否有人能夠替代這些人員？人們能否便捷地抵達備用站點？ 處理能力，計算機是否損壞？如果部分計算機無法使用應該怎么辦？ 基于計算機的服務，能否進行計算機通信？人們之間如何通信？信息服務是否中斷？會中斷多長時間？ 自動化應用和數(shù)據(jù)，數(shù)據(jù)的完整性是否遭到損壞？應用程序是否被破壞？應用程序能夠在其它

17、平臺下運行？ 物理基礎設施，人們是否有地方辦公？人們是否有完成工作所需的設備？ 文檔和票據(jù)，所需的文件能否找到？找到后還能否使用？預期潛在緊急情況確定防御性控制 BIA中確定的一些中斷影響可以通過遏制、探測和或降低對系統(tǒng)影響的防御性措施予以消減或清除。一些常用措施如下所列： UPS和/或備用發(fā)電機 空調系統(tǒng)預留富余容量 火災、煙感探測器和消防系統(tǒng) 水害探測器和防水措施 緊急斷路器 備份和離站存儲 最小特權u 緊急響應（Emergency response）階段，事件發(fā)生初期為保護生命和減少損失所采取的行動。u 恢復（Recovery）階段，事件發(fā)生后為了繼續(xù)關鍵功能所采取的行動。u 復原（Re

18、sumption）階段，事件發(fā)生后為了恢復到正常運行狀態(tài)所采取的行動。不同階段的應急計劃策略u 業(yè)務恢復（Business Recovery） 確定關鍵業(yè)務功能及其支持資源的恢復順序；u 設施和供應恢復（Facility and Supply Recovery） 確定備用設施的恢復規(guī)程，包括確定建筑、場地、安防、環(huán)境供電等配套設施、辦公設備、家具、用品等；u 用戶恢復（User Recovery） 確定人工操作規(guī)程及其相關的關鍵記錄的管理、人員的通知、交通、飲食、住宿等相關事宜；u 技術恢復（Technical Recovery） 確定數(shù)據(jù)中心和網(wǎng)絡的恢復方法；u 數(shù)據(jù)恢復（Data Reco

19、very） 確定關鍵軟件、數(shù)據(jù)的備份、存儲和恢復方法。不同層次的恢復策略恢復場所完備場所（hot site） 優(yōu)點租用設施，幾小時即可投入運行高度可用性常用于短期解決方案而非長期解決方案可以進行年度檢查 缺點價格昂貴硬件和軟件的選擇有限 基本完備場所（warm site）和基礎場所（cold site） 租用設施，只有部分設施 優(yōu)點便宜成本較低，因此可以使用較長時間如果使用所有權硬件或者軟件，更為實用 缺點不能立即投入使用不能進行年度運作測試不能立即獲得運作所需的資源u 恢復時間目標（Recovery Time Objectives，RTO ）在系統(tǒng)的不可用性嚴重影響到機構之前所允許消耗的最長

20、時間。u 恢復點目標（Recovery Point Objectives，RPO ）數(shù)據(jù)必須被恢復以便繼續(xù)進行處理的點。也就是所允許的最大數(shù)據(jù)損失量BCP策略的技術指標不同類型的恢復計劃計劃類型計劃類型說說 明明業(yè)務恢復計劃著重于恢復必須重建的業(yè)務流程而非IT組件（即面向流程而非面向措施）操 作 連 續(xù) 性 計 劃（Continuity Of Operations Plan，COOP）在災難發(fā)生后建立高級管理層和總部。說明角色和權威、繼任順序以及不同角色的任務IT應急計劃在破壞發(fā)生之后，用于網(wǎng)絡、系統(tǒng)和主要的應用程序恢復過程的計劃。每個主要的系統(tǒng)和應用程序都應分別制定一個應急計劃緊急通信計劃包

21、括內部和外部通信結構和角色。確定與外部實體進行通信的具體人員，并包括寫好的即將發(fā)布的聲明網(wǎng)絡事故響應計劃主要關注惡意軟件、黑客、入侵、攻擊和其他安全問題。概述了事故響應程序災難恢復計劃重點說明在發(fā)生災難后如何恢復各種IT機制。應急計劃通常針對非災難事故，而災難恢復計劃則針對需要將IT數(shù)據(jù)處理轉移到另一處設施的災難事故場所應急計劃建立人員安全和撤離程序u 廉價磁盤冗余陣列（Redundant Arrays of Inexpensive Disks， RAID）使用三種技術： 鏡像（Mirroring），系統(tǒng)同時將數(shù)據(jù)寫到兩個分離的硬盤驅動器或驅動器陣列。 優(yōu)點是減少停機時間、簡化數(shù)據(jù)恢復和提高從

22、磁盤讀取的性能。缺點是磁盤寫入較慢。 較驗（Parity），確定數(shù)據(jù)是否丟失或被覆蓋的技術。 優(yōu)點是無需存儲數(shù)據(jù)拷貝就可以保護數(shù)據(jù)。條紋（Striping），通過將數(shù)據(jù)分布到所有的驅動器來提高硬件陣列控制器的性能。條紋可以在字節(jié)或數(shù)據(jù)塊級別進行。 u RAID的技術可以通過硬件也可以通過軟件實現(xiàn)。u 熱交換（Hot-Swappable）驅動器，在磁盤驅動器故障時無需關閉系統(tǒng)就可以交換磁盤驅動器。廉價磁盤冗余陣列u 防故障磁盤系統(tǒng)（Failure Resistant disk Systems，F(xiàn)RDSs） 能夠防止因磁盤故障丟失數(shù)據(jù)；u 容錯磁盤系統(tǒng)（Failure Tolerant disk

23、Systems，F(xiàn)TDSs） 磁盤系統(tǒng)單一部件故障情況下仍能提供數(shù)據(jù)訪問；u 容災磁盤系統(tǒng)（Disaster Tolerant disk Systems，F(xiàn)TDSs）包含多套位于不同區(qū)域的組件，任何組件都可獨立提供存儲數(shù)據(jù)訪問；RAID的新分類u 電子跳躍（Electronic vaulting）是在主站點通過電子方式向遠程站點進行備份或取回備份。u 使用寬帶通信鏈路進行的電子跳躍可以使系統(tǒng)備份更加自動化、減少了人力消耗、節(jié)省了時間、提高了效率并降低了成本。u 電子跳躍可以實現(xiàn)交易信息的實時備份，提高了系統(tǒng)的可用性。u 電子跳躍站點的位置可以是機構自己的備份站點，也可以是商業(yè)備份站點或互惠站點

24、。電子跳躍u 遠程日記（Remote Journal），將事務（特別是數(shù)據(jù)庫）處理的明細記錄通過電子的方式傳輸?shù)竭h程設施的存儲設備中。u 如果需要對服務器進行恢復，可以通過電子的方式從遠程設施中取回所存儲的明細記錄來恢復交易、應用或數(shù)據(jù)庫數(shù)據(jù)。u 遠程日記可以通過批處理進行也可以使用緩存軟件不間斷地進行。 u 遠程日記縮短了恢復時間并且減少了兩次傳統(tǒng)備份之間服務器遭到損害時的數(shù)據(jù)損。 遠程日記u 同步復制也被稱為鏡像復制（Mirroring）u 主服務器的變化被同時添加到復制服務器u RTO可減小到幾個小時，RPO可被減少為未提交工作的損失。u 會降低主服務器的性能，帶寬要求高u 適用于可用性

25、要求很高的應用。磁盤復制-同步復制u 異步復制也被稱為投影復制（Shadowing）u 不斷地獲取主服務器的日志變化并將此變化添加到復制服務器u RTO在數(shù)小時和一天之間。RPO是映像服務器接收的最后數(shù)據(jù)u 對主服務器的性能影響小，帶寬要求低u 適用于小帶寬長距離的網(wǎng)絡磁盤復制-異步復制u通過負載均衡（Load Balance），流量可以被動態(tài)分配到一組運行相同應用程序的多個服務器上。 u負載均衡既可以提高整個系統(tǒng)的性能，又可以在服務器出現(xiàn)故障時將該服務器承擔的服務分配到運行中的服務器執(zhí)行。u在不同站點的服務器之間進行的負載均衡還可以在某一站點無法提供服務時將該站點承擔的服務分配到運行中的站點

26、執(zhí)行。負載均衡u 熱站點（Hot Site）u 冷站點（Cold Site） u 溫站點（Warm Site） u 移動站點（Mobile Site）u 冗余站點（Redundant site）u 互惠協(xié)議（Reciprocal/mutual agreement）u 多處理中心（Multiple Processing Centers）u 服務中心（Service Bureaus）備用設施的類型u 熱站點，是滿足系統(tǒng)需求、規(guī)模適當?shù)霓k公場所，其中配置了所需的基礎設施、服務、系統(tǒng)硬件、軟件、實時數(shù)據(jù)和支持人員，通常24小時有人值守。接到應急計劃啟動通知時只需要進行適當?shù)穆酚赊D換和通知就可以提供主站

27、點的關鍵應用服務。u 冷站點，通常具有充足空間和支持IT系統(tǒng)的基礎設施和服務（電源、電信連接和環(huán)境控制），站點不包含IT設備并且通常也不包含辦公自動化設備如電話、傳真機或復印機。熱站和冷站u 溫站點，介于熱站點和冷站點之間，依據(jù)恢復策略需求和投入限制配置部分IT資源，不包含實時數(shù)據(jù)，運行主站點應用之前需要進行部分設備或軟件安裝，數(shù)據(jù)上載工作。u 移動站點，是內部配置適當電信裝備和IT設備的可移動拖車，可以被機動拖放和安置在所需的備用場所，提供關鍵的應用服務，如電話交換功能等。溫站和移動站u 冗余站點，也被稱為鏡像站點，是具有完整和實時信息鏡像的完全的冗余設施。鏡像站點與主站點在所有的技術層面上

28、都是一致的。由于在主站點和備用站點同時處理和存儲數(shù)據(jù)所以這些站點提供了最高的可用性。u 互惠協(xié)議，兩個或多個在IT配置和備份技術上相似或相同的機構簽訂正式協(xié)議互相做為對方的備用站點，或者聯(lián)合租用一個備用站點。因為在發(fā)生災難事件期間，每一個站點必須能夠在承擔自己的工作負荷之外支持其它站點，所以達成互惠協(xié)議時必須謹慎從事。冗余站點和互惠協(xié)議u 多處理中心就是將處理任務分布到一個機構的多個不同的兼容數(shù)據(jù)處理中心，由這些中心分擔處理工作，當某個中心發(fā)生災難時，其它中心可以接替該中心處理的工作。這種方式需要處理中心維護比正常需要高出較多的處理能力，并且要確保各處理中心軟件版本和數(shù)據(jù)的同步；u 服務中心為

29、多個機構提供數(shù)據(jù)處理服務，可以為客戶提供災難恢復期間的數(shù)據(jù)處理服務。服務中心如果為用戶預留額外的處理能力，其成本也是很高的，所以提供災難恢復服務的處理中心并不多。多處理中心和服務中心u 支持信息（SUPPORTING INFORMATION）u 通知啟動階段 （NOTIFICATION/ACTIVATION PHASE）u 恢復階段 （RECOVERY PHASE）u 重建階段 （RECONSTITUTION PHASE）u 計劃的附錄 應急計劃的內容u 目的（Purpose），闡述制定計劃的原因和目標。 u 適用性（Applicability），作用范圍以及與其它計劃的關系。 u 范圍（Sc

30、ope），設定啟用計劃的條件。 u 參考需求（References/Requirements），描述制定計劃的背景和法規(guī)需求。u 變化記錄（Record of Changes），記錄計劃的變動情況。支持信息的介紹部分u 系統(tǒng)描述（System Description） ，對系統(tǒng)的體系結構和功能進行的一般性描述，包括運行環(huán)境、物理位置、用戶位置以及外部關系如備份規(guī)程、安全控制、電信鏈接等。u 繼任序列（Line of Succession），定義負責人缺席的情況下的繼任者，計劃的最高負責人通常是機構的CIO。u 職責（Responsibilities），表述應急團隊的整體結構以及每一個團隊具體成

31、員角色和職責。支持信息的運行概要部分u 應該描述在工作時間和非工作時間通知恢復人員的方法。 u 一種通用通知方法是呼叫樹（Call Tree）。應該包括主要的和備用的聯(lián)絡方法，應該包括在某個人無法聯(lián)系上時應該采取的規(guī)程。u 通知還應該發(fā)給會因為不知情而受到負面影響的外部機構或互聯(lián)的伙伴系統(tǒng)。u 通知中所傳遞的信息類型應該在計劃中載明。 通知/啟動階段的通知部分u 損害評估（Damage Assessment）小組通常是第一個得到事件通知的小組。 u 應該在確保人員安全的前提下盡快完成。 u 在書面計劃無法得到的情況下，具有損害評估職責的人員應該了解和能夠執(zhí)行這些規(guī)程。 u 損害評估應該涉及到緊

32、急情況的原因、損失情況、影響范圍、物理結構現(xiàn)狀、IT設備的功能狀態(tài)（可用、部分可用、完全喪失）、需更換的項目、預計恢復所需的時間等。u 一旦系統(tǒng)的影響被確定，就應該將最新信息和對此情況的響應計劃通知給適當?shù)膱F隊。 通知/啟動階段的損害評估部分u 只有當損害評估的結果顯示一個或多個系統(tǒng)啟動條件被滿足時，IT應急計劃才應被啟動（Activation）。 u 如果滿足啟動條件，應急計劃協(xié)調人或CIO（如果適用）應啟動計劃 。u 啟動條件應該在應急計劃策略條款中予以說明，可以根據(jù)人員安全、設施損失、 系統(tǒng)損失、受損系統(tǒng)的關鍵程度、預計的中斷持續(xù)時間等確定。通知/啟動階段的計劃啟動部分u 恢復行動的順序

33、（Sequence of Recovery Activities） 行動的順序應該反映出系統(tǒng)允許的中斷時間，以避免對相關系統(tǒng)及其應用的重大影響。 u 恢復規(guī)程 （Recovery Procedures） 恢復規(guī)程應該按照直接和逐步的風格書寫。 為了防止在緊急事件中產(chǎn)生困難或混亂，不能假定或忽略規(guī)程的步驟。 檢查列表的形式有助于撰寫順序的恢復規(guī)程和在系統(tǒng)無法正常恢復時解決問題。 恢復階段u 恢復原站點 確保充足的基礎設施支持，如電源、供水、電信、安全、環(huán)境控制、辦公設備和用品 安裝系統(tǒng)硬件、軟件和固件。此行動應該包括與恢復階段類似的詳細恢復規(guī)程u 測試系統(tǒng) 測試系統(tǒng)運行以確保完全的功能性 備份應

34、急系統(tǒng)中的運行數(shù)據(jù)并上載到被恢復系統(tǒng)中u 終止操作關閉應急系統(tǒng)、終止應急操作對應急站點的所有敏感材料加以保護、清除和或重新配置安排恢復人員回到原設施重建階段u 應急計劃團隊成員的聯(lián)絡信息。u 供應商聯(lián)絡信息，包括離站存儲和備用站點的POC（Point Of Contact）。u 系統(tǒng)恢復或處理的標準操作規(guī)程和檢查列表。u 支持系統(tǒng)所需的硬件、軟件、固件和其它資源的設備和系統(tǒng)需求清單。每個條目應該包含詳細內容，包括型號或版本號、規(guī)格說明和數(shù)量。u 供應商SLA、與其它機構的互惠協(xié)議和其它關鍵記錄。u 備用站點的描述和說明。u BIA報告，包含系統(tǒng)各部分相互關系、風險、優(yōu)先級別和影響的有價值的信息

35、。BIA應該做為一個附錄包含在計劃中以便在啟動計劃時參考。計劃的附錄u 應該指定適當?shù)膱F隊來執(zhí)行所選擇的應急計劃策略。除了計劃的總協(xié)調人以外還可能包括： 高級管理人員 管理小組 損害評估小組 操作系統(tǒng)管理小組 系統(tǒng)軟件小組 服務器恢復小組（如客戶服務器、Web服務器） LAN/WAN恢復小組 數(shù)據(jù)庫恢復小組 網(wǎng)絡運行恢復小組 應用程序恢復小組BCP團隊組成 電信恢復小組 硬件拯救小組 備用站點恢復協(xié)調小組 原站點恢復拯救協(xié)調小組 測試小組 監(jiān)管支持小組 運輸布置小組 媒體公關小組 法律事務小組 物理人員安全小組 采購小組（設備和用品）BCP團隊組成(續(xù))u 應該根據(jù)其所具備的技能和知識將人員分

36、配到這些團隊中。 u 每一個團隊都應該得到培訓并時刻準備在中斷事件發(fā)生需要啟動計劃時展開工作。u 小組應該具有充足的規(guī)模以便在某些成員缺席的情況下保持有效性，也可以指定預備小組成員。 u 繼任序列計劃 BCP團隊組成(續(xù))u 培訓是應急團隊有效執(zhí)行應急計劃的保證，培訓內容應該包括： 計劃的目的 團隊之間的協(xié)調與溝通 匯報規(guī)程 安全需求 團隊特有的處理過程（通知啟動、恢復和重建階段） 個人職責（通知啟動、恢復和重建階段）u 培訓應該至少一年進行一次，新員工上崗之前應該接受應急計劃培訓。u 培訓最終應該使得他們能夠無需實際文檔的協(xié)助就能夠執(zhí)行相應的恢復規(guī)程。 BCP團隊培訓測試和審查計劃對應急計劃

37、的測試有助于發(fā)現(xiàn)應急計劃中存在的問題和缺陷，是對員工進行相關知識的培訓和技能的演練的重要手段，測試的方式有： 檢查列表（Checklist），將計劃分發(fā)到各職能部門，每個部門對計劃的要素進行逐一檢查以確保計劃涉及到了所有應該考慮的因素。 結構化檢查（Structured Walk-Through），召集職能部門的代表檢查計劃的細節(jié)，包括計劃的每一個步驟和相關規(guī)程以確保其正確性。 模擬（Stimulation），在模擬中斷場景下執(zhí)行應急計劃以檢驗所有運行和支持功能在各種中斷情況下的響應能力。不涉及到備用站點的實際部署。 并行（Parallel），是對備用站點的實際運行測試，將關鍵系統(tǒng)部署到備用站

38、點并且運行以檢驗其運行效果并與主站點的系統(tǒng)進行比較。 完全中斷（Full Interruption），完全關閉正常運行的系統(tǒng)，使用離站存儲的資源和應急團隊在備用站點運行系統(tǒng)關鍵功能。BCP計劃測試(續(xù)) 其他類型的培訓（Other Types of Training），除了災難恢復培訓之外，還應該就其他問題接受培訓 應急響應（Emergency Response），制定好的行動計劃，用于幫助人們在危急情況下能夠更好地應付遭到的破壞 應該制定測試計劃，測試計劃應設計為對所選擇的測試要素有明確的測試目標和成功標準。 測試結果和學習到的經(jīng)驗應該記錄到文檔。在測試中和測試后檢查中收集到的有助于提高計劃

39、效率的信息應該添加到應急計劃中。 u 因為應急計劃所涉及的各種因素如業(yè)務重心的轉移、技術的發(fā)展、人員的變動都會影響到應急計劃的效率和可行性，所以應急計劃應該根據(jù)這些因素的變化進行更新。u 對應急計劃的測試可以發(fā)現(xiàn)應急計劃中的錯誤和缺陷以便對應急計劃進行必要的修改。不同機構根據(jù)其特點可采取不同的更新頻率，但是應急計劃一年至少應該進行一次測試和調整，在所涉及的因素發(fā)生重大變化時應隨時更新。u 應急計劃的更新和修改應該納入更改管理（change management）系統(tǒng)中進行。BCP計劃更新維護計劃維護計劃 原因 業(yè)務連續(xù)性過程沒有整合入變更管理過程 基礎架構和環(huán)境發(fā)生變化 公司進行重組、裁員或合

40、并 硬件、軟件和應用程序發(fā)生變化 制定計劃后，人們認為沒有必要再做其他的工作 人員發(fā)生更換 大型計劃要進行許多維護工作 計劃并不直接帶來利潤 方法 使業(yè)務連續(xù)性成為每個業(yè)務決策的一部分 將維護責任整合入職位描述 將維護工作表現(xiàn)包含在個人評估中 執(zhí)行包括災難恢復、連續(xù)性文檔與措施的內部審計 進行應用計劃的常規(guī)演習 將BCP整合入當前的變更管理過程練習 To get managements support and approval of the plan, a business case must be made. Which of the following is least important to this business case? Regulatory and legal requirements Company vulnerabilit