信息系統(tǒng)應急演練咨詢服務建議書

1、ABCDE第 1 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書ABCDE信息系統(tǒng)應急演練咨詢服務項目信息系統(tǒng)應急演練咨詢服務項目服務方案建議書服務方案建議書XXX 全球服務（中國）有限公司全球服務（中國）有限公司2012 年年 12 月月ABCDE第 2 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書專有信息聲明專有信息聲明本方案建議書屬商業(yè)機密文件，書中的所有信息均為 XXX 機密信息，僅限于 ABCDE 項目組內(nèi)部使用。務請妥善保管并且僅在與項目有關人員范圍內(nèi)使用，未經(jīng) XXX 公司明確作出的書面許可，不得為任何目的、以任何形式或手段（包括電子

2、、機械、復印、錄音或其它形式）對本文檔的任何部分進行復制、存儲、引入檢索系統(tǒng)或者傳播。盡管 XXX 已經(jīng)盡力使本文檔內(nèi)容的完整性和有效性，但仍可能有技術方面不夠準確的地方或印刷錯誤。若需求有所變化，XXX 將對有關內(nèi)容進行相對應的調(diào)整，并在本建議書未來版本中體現(xiàn)。XXX 是 BBMMWW 公司的注冊商標。本文檔提及的其它公司、產(chǎn)品和服務的名稱，可能是其它公司的商標或服務的標志。ABCDE第 3 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書關于本文檔關于本文檔文檔信息文檔信息文檔名稱文檔名稱ABCDE 信息系統(tǒng)應急演練咨詢服務項目服務方案建議書作者作者XXX 全球服務（中

3、國）有限公司說明說明 本文檔是 XXX 根據(jù)對 ABCDE 相關需求的理解，在與 ABCDE 相關領導和技術專家初步技術交流的基礎上，從顧問的角度，為 ABCDE 提供的咨詢服務方案建議書。文件名稱文件名稱ABCDE 信息系統(tǒng)應急演練咨詢服務項目服務方案建議書.doc修訂歷史修訂歷史 (REVISION HISTORY)RevSectionTypeDateAuthorRemarks1.02012-12-20XXSS創(chuàng)建內(nèi)容范圍內(nèi)容范圍本文檔是 ABCDE 信息系統(tǒng)應急演練咨詢服務項目服務方案建議書。適用的對象適用的對象本文檔僅適用于 ABCDE 信息系統(tǒng)應急演練咨詢服務項目組及參與該項目的決策

4、者、評審委員會。ABCDE第 4 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書目錄目錄1.前言前言.62.服務方案建議書導讀服務方案建議書導讀.73.項目綜述項目綜述.83.1.項目背景項目背景.83.2.項目目標項目目標.83.3.XXX 對本項目需求的描述和理解對本項目需求的描述和理解.93.4.XXX 在本項目中的優(yōu)勢在本項目中的優(yōu)勢.93.4.1.XXX 的服務方法.103.4.2.行業(yè)經(jīng)驗.303.4.3.服務團隊.304.XXX 咨詢服務方案咨詢服務方案.314.1.項目管理服務項目管理服務.314.1.1.工作目標.314.1.2.工作內(nèi)容.314.1.3

5、.項目提交成果.324.2.應急預案開發(fā)應急預案開發(fā).334.2.1.服務目標.334.2.2.服務內(nèi)容.334.3.應急預案宣傳和培訓應急預案宣傳和培訓.404.3.1.服務目標.404.3.2.服務內(nèi)容.414.3.3.服務交付成果.414.4.應急演練應急演練.414.4.1.服務目標.414.4.2.服務內(nèi)容.424.4.3.服務交付成果.424.5.服務實施計劃服務實施計劃.435.項目的質(zhì)量與進度管理、組織和報告項目的質(zhì)量與進度管理、組織和報告.445.1.項目組織架構(gòu)項目組織架構(gòu).445.1.1.項目領導小組.445.1.2.項目經(jīng)理.455.1.3.資深業(yè)務連續(xù)與緊急事件恢復咨

6、詢顧問組（BCP 咨詢顧問組）.45ABCDE第 5 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書5.1.4.高級信息系統(tǒng)架構(gòu)專家（系統(tǒng)架構(gòu)師）組.455.1.5.系統(tǒng)運維管理、流程咨詢顧問.455.1.6.稅務管理及行政管理專家.465.1.7.高級技術、架構(gòu)專家組（包括高級網(wǎng)絡架構(gòu)設計師、高級機房架構(gòu)設計師、主機系統(tǒng)技術專家、存儲區(qū)域網(wǎng)技術專家） .465.2.項目質(zhì)量與進度管理實施方案項目質(zhì)量與進度管理實施方案.465.2.1.項目開始階段的管理內(nèi)容.465.2.2.項目過程管理內(nèi)容.465.2.3.項目完成階段的內(nèi)容.475.3.項目質(zhì)量與進度管理服務內(nèi)容項目質(zhì)

7、量與進度管理服務內(nèi)容.475.3.1.項目計劃管理.475.3.2.項目范圍和變更管理.475.3.3.項目風險管理.485.3.4.項目文檔交付件管理.495.3.5.項目成本管理.505.3.6.項目問題管理.505.3.7.項目質(zhì)量管理.515.3.8.項目溝通管理.515.4.項目實施計劃表項目實施計劃表.525.5.主要項目人員簡歷主要項目人員簡歷.525.5.1.項目經(jīng)理.525.5.2.資深業(yè)務連續(xù)與緊急事件恢復咨詢顧問組（BCP 咨詢顧問組）.535.5.3.高級信息系統(tǒng)架構(gòu)專家（系統(tǒng)架構(gòu)師）組.565.5.4.系統(tǒng)運維管理、流程咨詢顧問.585.5.5.稅務管理及行政管理專家

8、.615.5.6.高級技術、架構(gòu)專家組（包括高級網(wǎng)絡架構(gòu)設計師、高級機房架構(gòu)設計師、主機系統(tǒng)技術專家、存儲區(qū)域網(wǎng)技術專家） .626.XXX 全球服務中國有限公司介紹全球服務中國有限公司介紹.706.1.XXX 全球服務全球服務.706.2.XXX 全球服務部獲得的榮譽全球服務部獲得的榮譽.706.3.客戶滿意度調(diào)查客戶滿意度調(diào)查.716.4.XXX 全球服務部為客戶提供端到端的服務全球服務部為客戶提供端到端的服務.727.結(jié)束語結(jié)束語.738.附錄附錄.74ABCDE第 6 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書1. 前言前言首先感謝 ABCDE 給予 XXX

9、公司參與 ABCDE 信息系統(tǒng)應急演練咨詢服務項目的機會。XXX 希望能憑借自身多年跨行業(yè)的災難恢復和業(yè)務連續(xù)性咨詢服務經(jīng)驗，協(xié)助 ABCDE 規(guī)劃和管理其信息系統(tǒng)應急演練咨詢項目，并對項目的各種技術要素進行設計和研究，從而降低 ABCDE 信息系統(tǒng)應急演練咨詢服務項目的復雜度和風險，最終取得項目的成功。XXX 公司在此熱切期盼各位領導能百忙拔冗，高度關注本項目，XXX 公司將隨時響應ABCDE 的要求和指示，并期盼能與 ABCDE 相關領導和專家一起，進一步修改和細化本項目設想，以期達成項目的早日啟動和穩(wěn)定執(zhí)行。再次感謝各位領導的大力支持！ABCDE第 7 頁/共 55 頁 ABCDE 信息

10、系統(tǒng)應急演練咨詢服務項目方案建議書2. 服務方案建議書導讀服務方案建議書導讀本文檔是針對 ABCDE 信息系統(tǒng)應急演練咨詢服務項目需求的服務建議書，著重闡明 XXX公司的服務實施方案。本文檔由以下部分構(gòu)成：第一、第二章，前言及導讀，供 ABCDE 領導和評審委員會專家對本服務建議書的內(nèi)容進行快速導讀和定位。第三章，項目綜述，綜合闡述 XXX 對 ABCDE 需求的理解，XXX 的服務方法論以及 XXX在本項目中的優(yōu)勢。第四章，XXX 服務方案，根據(jù) ABCDE 信息系統(tǒng)應急演練咨詢服務項目標書的要求，進行分項闡述 XXX 咨詢服務內(nèi)容，服務內(nèi)容由服務目標、服務內(nèi)容、服務交付成果、服務實施計劃幾

11、部分組成。第五章，項目進度與質(zhì)量管理，集中闡述 XXX 將在本項目里面采用的項目管理方法、項目組織架構(gòu)和投入資源、人員資質(zhì)。第六、七章，對 XXX 全球服務中國有限公司的概況進行介紹。ABCDE第 8 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書3. 項目綜述項目綜述3.1.項目背景項目背景ABCDE 實施 CTAIS 省級集中以來，已有多個信息系統(tǒng)使用省級集中的模式運行，數(shù)據(jù)集中使信息系統(tǒng)的風險提高，系統(tǒng)故障的影響面隨集中程度的提高而提高，這就要求數(shù)據(jù)中心有更強的應急處理能力，保證系統(tǒng)的安全、穩(wěn)定運行。根據(jù)國家稅務總局稅務管理信息系統(tǒng)運行維護體系管理辦法（試行） 和省

12、局相關管理辦法，為加強全省 GH 信息系統(tǒng)應急工作的組織領導，省局下發(fā)了關于印發(fā) ABCDE 信息系統(tǒng)應急處理總體預案的通知粵 GH 發(fā) 200766 號和關于成立 ABCDE 信息系統(tǒng)應急工作領導小組的通知粵 GH 發(fā) 200767 號的文件，成立了省局信息系統(tǒng)應急工作領導小組和辦公室，下發(fā)了信息系統(tǒng)應急處理總體預案，各市局根據(jù)省局要求也相應建立了信息系統(tǒng)應急工作機構(gòu)，負責本單位及下屬機構(gòu)的信息系統(tǒng)應急處理工作。為進一步加強全省GH信息系統(tǒng)應急工作的組織領導，保障信息系統(tǒng)穩(wěn)定運行，提高處置信息系統(tǒng)運行過程中出現(xiàn)各種緊急情況的能力，保障全省GH信息系統(tǒng)穩(wěn)定運行，確保相關工作的有序進行，有必要制

13、定針對IT突發(fā)事件的應急處理詳細工作預案，根據(jù)工作內(nèi)容制定配套專項應急處理子預案，建立應急響應流程，制定工作職責，完善相應的應急響應措施，建立應急響應中心，完善應急平臺建設，并制定應急演練方案，組織實施一次全省GH系統(tǒng)范圍內(nèi)的信息系統(tǒng)應急演練。為此，設立 ABCDE 信息系統(tǒng)應急演練咨詢服務項目，制定應急預案，完善應急響應體系，提高應對突發(fā)事件的能力，保證在 IT 系統(tǒng)出現(xiàn)意外事件時，能夠按照預定流程迅速恢復 IT 服務，滿足業(yè)務可持續(xù)的需求。3.2.項目目標項目目標參照 ITSM和BCM的方法論，針對 IT突發(fā)事件的應急處理詳細工作預案，根據(jù)工作內(nèi)容制定配套專項應急處理子預案，建立應急響應流

14、程，建立完善的 IT應急響應體系，包括建立 IT突發(fā)事件應急處理流程，完善相應的應急響應組織，制定工作職責，輔助以日常運維管理的流程和制度，完善相應的應急響應措施，建立應急響應中心，完善應急平臺建設，并制定應急演練方案，組織實施一次全省GH系統(tǒng)范圍內(nèi)包含業(yè)務人員參加的信息系統(tǒng)應急演練。以提高其對IT突發(fā)事件的應對能力。通過IT應急預案的開發(fā)，提高廣東省GH信息系統(tǒng)應對突發(fā)事件的能力，建立統(tǒng)一指揮、科學高效、規(guī)范有序的IT應急管理體系，全面提高應對突發(fā)事件的綜合指揮水平和應急處ABCDE第 9 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書置能力，最大程度地減輕由突發(fā)事件引

15、起的IT系統(tǒng)損失，保障納稅人合法權益，維護GH服務納稅人的良好社會形象。3.3.XXX 對本項目需求的描述和理解對本項目需求的描述和理解XXX 與 ABCDE 局通過一系列交流與座談，逐漸明確了 ABCDE 局信息系統(tǒng)應急演練咨詢服務項目的需求。具體內(nèi)容包括：業(yè)務連續(xù)性方法論分析風險分析業(yè)務影響分析環(huán)境影響分析業(yè)務連續(xù)性策略分析應急預案的制定協(xié)助構(gòu)建 IT 系統(tǒng)突發(fā)事件應急管理體系，提出應急指揮（響應）中心建立的建議應急管理組織與人員結(jié)構(gòu)設計突發(fā)事件應急響應流程設計突發(fā)事件應急預案的制定應急預案日常運維管理規(guī)范的制定針對應急平臺的設計和實現(xiàn)思路提供建議應急預案的宣傳和培訓應急預案的演練應急預案

16、的桌面演練應急預案的真實演練3.4.XXX 在本項目中的優(yōu)勢在本項目中的優(yōu)勢咨詢項目的關鍵成功要素在于：成熟的咨詢方法ABCDE第 10 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書建議增加一個說明，例如，本項目采用 XXX GS Method 方法論以及 XXX 業(yè)務連續(xù)性方法論，該方法已經(jīng)在國內(nèi)外大量項目中得到成功應用，包括包括第十六屆亞洲運動會 IT 系統(tǒng)應急體系咨詢項目，廣州市社會保障系統(tǒng)災備項目，廣東地稅大集中規(guī)劃論證咨詢項目，國家專利局容災咨詢項目，寧波海關容災咨詢項目，北京地稅容災項目等。豐富的行業(yè)經(jīng)驗XXX 在稅務行業(yè)具有豐富的咨詢規(guī)劃、設計、實施、項目

17、管理的經(jīng)驗，包括北京地稅稅收征管系統(tǒng)大集中項目的項目監(jiān)管、架構(gòu)咨詢，北京地稅容災備份項目設計和實施，廣東地稅地方稅收“大集中”信息化工程論證規(guī)劃等眾多省級稅務部門信息化建設項目，同時，XXX 也積極參與 GH 總局“金稅三期”的論證、規(guī)劃、和設計工作。具備各方面相關技術的資質(zhì)、穩(wěn)定的咨詢團隊。XXX 為本項目組建的項目團隊具有應急響應咨詢項目的經(jīng)驗，參與實施了以下項目第十六屆亞洲運動會 IT 系統(tǒng)應急體系咨詢項目，廣州市社會保障系統(tǒng)災備項目，廣東地稅大集中規(guī)劃論證咨詢項目等。在本咨詢項目中，XXX 全球服務部將廣泛應用一系列經(jīng)過實踐檢驗、行之有效的服務方法，充分借鑒稅務行業(yè)的廣泛經(jīng)驗，選派和指

18、定專職的資深顧問，以保障 ABCDE 信息系統(tǒng)應急演練咨詢服務項目的成功。3.4.1. XXX 的服務方法的服務方法服務方法論的目的是保證在每一個項目中的服務質(zhì)量與輸出結(jié)果是一致的，可重復的，可考核的。XXX 是服務方法論的創(chuàng)始者和倡導者，其服務方法由總體服務方法論 GS Method和各專業(yè)領域的專有方法論組成。GS Method 是各種服務方法論的總綱與指導。在本項目中，XXX 項目組將使用 GS Method 作為整體服務方法，同時結(jié)合業(yè)務規(guī)劃、應用設計、部署架構(gòu)設計、業(yè)務連續(xù)性、安全體系、網(wǎng)絡設計等一系列專用方法，通過后臺支撐的方法知識庫，保障 ABCDE 全省應急演練咨詢服務項目的成

19、功實施。3.4.1.1.GS MethodXXX 是 I/T 服務的倡導者和領導者，在長期從事 I/T 服務的工作中，XXX 積累了豐富的經(jīng)驗和知識，也形成了眾多的知識庫（Knowledge Base） 。為了使這些知識和經(jīng)驗能夠在服務于其它項目，以降低這些項目實施的風險、確保項目成功、加快項目實施的進度、并規(guī)范和標準化項目的實施和交付，XXX 組織了各項目類型的資深專家，開發(fā)了 XXX Global Service Method（簡稱 GSMethod 或 the Method） 。GSMethod 中涵蓋了行業(yè)應用、I/T整合、規(guī)劃與咨詢、軟件開發(fā)、I/T 管理、業(yè)務連續(xù)性及容災、項目管理

20、、電子商務等各個方面的 I/T 服務方法論，可適用于幾乎所有的 I/T 實施項目。在本項目中，我們在架構(gòu)設計ABCDE第 11 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書咨詢工作中將使用 GSMethod 來作為項目實施的方法指導和規(guī)范。以下對 GSMethod 作簡單的介紹。GSMethod 是 XXX 基于行業(yè)經(jīng)驗和多年項目經(jīng)驗總結(jié)出的一套基于工作產(chǎn)品(Work Product)的成熟方法論。GSMethod 為項目的順利實施、項目成員的相互溝通定義了整體框架。項目成員可以在 GSMethod 的指導下充分利用過往項目的經(jīng)驗和交付件，實現(xiàn)項目與項目之間實施質(zhì)量和交

21、付質(zhì)量的統(tǒng)一。GSMethod 是 XXX 成為業(yè)界領先的服務提供商并通過服務為客戶創(chuàng)造價值的有力保障。GSMethod 是基于工作產(chǎn)品的工作方式，工作產(chǎn)品（Work Product）是項目組織和實施階段的基本工作單位。XXX 通過工作產(chǎn)品向客戶介紹解決方案、管理項目執(zhí)行、實施項目質(zhì)量控制、管理知識資產(chǎn)和交付件。XXX GSMethod 包含兩個主要組件：工作產(chǎn)品（Work Product）和工作分解表（Work Breakdown Structure） 。實施模型（Engagement Model）定義了在一個項目中工作開展的步驟以及工作產(chǎn)品的開發(fā)順序，它是由一系列的工作產(chǎn)品描述、開發(fā)指導文

22、件以及工作依賴關系所組成的。實施模型根據(jù)項目需要對 GSMethod 的相應部分進行裁減，給出對該特定類型項目的工作產(chǎn)品建議，并對項目階段、工作任務進行定義。每個工作任務又由輸入、輸出及執(zhí)行工作的主體組成。ABCDE第 12 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書從整體上，GSMethod 由超過 350 種工作產(chǎn)品的定義所組成，這些工作產(chǎn)品來源于項目經(jīng)驗并經(jīng)過理論升華總結(jié)而成，是項目實施的基本組件，對所有類型的項目都可以適用。工作組件根據(jù)需要，可以細分至六個不同范疇：“項目”：該范疇的工作產(chǎn)品用于項目定義、規(guī)劃、管理及項目移交。WWPMM（項目管理方法論）的工作

23、產(chǎn)品也包括在內(nèi)?！皹I(yè)務”：該范疇的工作產(chǎn)品用于評估當前及未來客戶業(yè)務狀況，以便開發(fā)及實施相應的解決方案?！敖M織架構(gòu)”：該范疇的工作產(chǎn)品用于評估客戶組織架構(gòu)和企業(yè)文化對于項目實施的影響，以便客戶能夠接受由項目實施所帶來的變更，實現(xiàn)平滑過渡?！皯谩保涸摲懂牭墓ぷ鳟a(chǎn)品用于組織應用開發(fā)的整個生命周期，包括應用設計、開發(fā)、測試及維護等?！凹軜?gòu)”：該范疇的工作產(chǎn)品用于定義解決方案的整體架構(gòu)，包括軟硬件組成及其之間的相互關系?！斑\行維護”：該范疇的工作產(chǎn)品用于維持解決方案的持續(xù)運行，包括設備管理、問題匯報、信息系統(tǒng)管理及安全等領域。ABCDE第 13 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務

24、項目方案建議書3.4.1.2.XXX 業(yè)務連續(xù)性方法論業(yè)務連續(xù)性方法論從整個計算機系統(tǒng)的發(fā)展來看，容災備份經(jīng)過了一個很長時間的發(fā)展過程，在上個世紀 60 年代，通常進行的都是集中式處理系統(tǒng)，每個系統(tǒng)具備一些簡單的災難恢復計劃，通?；謴蜁r間也很長，都以周為單位計算，進行的數(shù)據(jù)備份和恢復也都處于被動式的模式。到了 70 年代，隨著計算機系統(tǒng)的逐漸普及，應用逐漸有集中式系統(tǒng)轉(zhuǎn)到分散式系統(tǒng)，這個時候，系統(tǒng)開始考慮一些簡單的業(yè)務恢復計劃，恢復的時間也開始以天為單位。到了 90年代，網(wǎng)絡的飛速發(fā)展，系統(tǒng)有開始走向集中，這個時候，對業(yè)務的連續(xù)性要求就更高，要求恢復時間也小時為單位，系統(tǒng)需要考慮避免高可用的風

25、險。到了今天，企業(yè)應用系統(tǒng)進一步飛速發(fā)展，業(yè)務要求能夠達到行業(yè)級別的業(yè)務連續(xù)計劃，此時，要求實現(xiàn)業(yè)務系統(tǒng)的更高可用性，恢復時間甚至要求達到實時的水平。業(yè)務的發(fā)展使得企業(yè)對業(yè)務連續(xù)性的要求也越來越高。在業(yè)務連續(xù)性中，以下幾個概念非常重要，它們也是衡量業(yè)務持續(xù)及容災備份需求的指標?；謴蜁r間目標（恢復時間目標（RTO）恢復時間目標（Recovery Time Objective，簡稱 RTO）是指災難發(fā)生后，從 I/T 系統(tǒng)宕機導致業(yè)務停頓時刻開始，到 IT 系統(tǒng)恢復至可支持各部門運作、業(yè)務恢復運營之時，此兩點之間的時間段稱為 RTO。ABCDE第 14 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演

26、練咨詢服務項目方案建議書一般而言，RTO 時間越短，即意味要求在更短的時間內(nèi)恢復業(yè)務至可使用狀態(tài)。雖然從管理的角度而言，RTO 時間越短越好，但是，這同時也意味著更多成本的投入。對于不同行業(yè)的企業(yè)來說，其 RTO 目標一般是不相同的。即使是在同一行業(yè)，各企業(yè)因業(yè)務發(fā)展規(guī)模的不同，其 RTO 目標也會不盡相同。RTO 目標的確定可以用下圖來說明：如上所說，RTO 目標越短，成本投入也越大。另一方面，各企業(yè)都有其在該發(fā)展階段的單位時間贏利指數(shù)，該指數(shù)是通過業(yè)務影響分析（Business Impact Analysis）咨詢服務，以訪談、問答和咨詢的方式得到確定的。在確定了企業(yè)的單位時間贏利指數(shù)后，

27、就可以計算出業(yè)務停頓隨時間而造成的損失大小。如上圖，結(jié)合這兩條曲線關系，我們將可以找到對該企業(yè)而言比較適合的 RTO 目標，即在該目標定義下，用于災難備援的投入應不大于對應的業(yè)務損失?；謴忘c目標（恢復點目標（RPO）恢復點目標（Recovery Point Objective，簡稱 RPO）是指對系統(tǒng)和應用數(shù)據(jù)而言，要實現(xiàn)能夠恢復至可以支持各部門業(yè)務運作，系統(tǒng)及生產(chǎn)數(shù)據(jù)應恢復到怎樣的更新程度。這種更新程度可以是上一周的備份數(shù)據(jù)，也可以是上一次交易的實時數(shù)據(jù)。與 RTO 目標不同，RPO 目標的確定不是依賴于企業(yè)業(yè)務規(guī)模，而是取決于企業(yè)業(yè)務的性質(zhì)和業(yè)務操作對數(shù)據(jù)的依賴程度。因此，RPO 目標對相

28、同行業(yè)的企業(yè)而言會有些接近，而對于不同行業(yè)的企業(yè)來說仍可能會有較大差距。RPO 目標的確立仍是以咨詢的方式，通過與各業(yè)務部門主管的交流，了解業(yè)務流程和 IT 應用的關系，以及通過回答問卷的方式，確定能夠支持該企業(yè)核心業(yè)務的 RPO 目標。ABCDE第 15 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書通常可以用以下 1 到 5 的等級來衡量企業(yè)業(yè)務連續(xù)性的成熟度。在長年災難服務提供的過程中，XXX 在業(yè)務持續(xù)服務方面形成了一套完整的實施方法論，如下圖所示，它包括分析、設計、和實施三個階段的咨詢和技術服務，XXX 又將該三個階段工作劃分為七個步驟，即“風險分析” 、 “業(yè)

29、務影響分析” 、 “可恢復性評估” 、 “恢復策略制定” 、 “災難恢復方案設計” 、 “業(yè)務持續(xù)計劃設計”和“業(yè)務持續(xù)計劃演練和維護” 。XXX 采用業(yè)務持續(xù)咨詢方法論來規(guī)劃和設計出企業(yè)的業(yè)務持續(xù)計劃。該廣受驗證的實施方法論的 7 個步驟由三個階段串連而成：ABCDE第 16 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書分析階段包含“風險評估” 、 “業(yè)務影響分析” 、及可恢復性評估。此階段提供對災害潛在損失、各種沖擊、及現(xiàn)行恢復能力等方面的量化及質(zhì)化的分析評估，同時也根據(jù)需求來向客戶建議必需的措施及迅速的解決方案來實現(xiàn)完全的恢復能力。設計階段包含“恢復策略制定”及企

30、業(yè)“災難恢復整體解決方案設計” 。此階段根據(jù)分析階段的結(jié)果來制定出企業(yè)的恢復策略，規(guī)劃及設計出為實現(xiàn)企業(yè)業(yè)務持續(xù)所必需的行動與解決方案，以達到企業(yè)在組織、流程及技術層面的恢復需求。實施階段包含“業(yè)務持續(xù)計劃設計”及“業(yè)務持續(xù)計劃的演練和維護” 。此階段將建立業(yè)務持續(xù)計劃、實施業(yè)務持續(xù)計劃的桌面演練、執(zhí)行業(yè)務持續(xù)計劃及災難恢復的測試、設計業(yè)務持續(xù)計劃的維護方案。其中，業(yè)務持續(xù)計劃中將包括企業(yè)的“業(yè)務恢復計劃”和“技術恢復計劃” 。XXX 建議，企業(yè)的業(yè)務持續(xù)計劃的設計及擬定應該是一個持續(xù)并循環(huán)往復的過程，每一階段都能持續(xù)不斷的改進，并且在實際工作中體現(xiàn)有效性與高效性。上述業(yè)務持續(xù)計劃的分析、設計

31、與執(zhí)行三個階段，正如上圖所繪，可根據(jù)其特性分類，分為與企業(yè)業(yè)務相關及技術相關的不同步驟，共分為以下七個步驟：風險分析業(yè)務影響分析可恢復性評估ABCDE第 17 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書恢復策略制定災難恢復方案設計業(yè)務持續(xù)計劃設計業(yè)務持續(xù)計劃的演練與維護以下將分別介紹這七個步驟。3.4.1.2.1. 風險分析風險分析風險分析（Risk Analysis）分析可能對企業(yè)業(yè)務系統(tǒng)和 IT 系統(tǒng)的安全性造成威脅的各種風險因素并提出相應的對策和改進方案。因此，風險分析的工作將不僅僅只是提出補救措施，還將定義出對于風險的預防措施。風險分析的目標是：對企業(yè)可能面臨

32、的主要威脅性風險進行質(zhì)與量化的評估。按照各風險的嚴重性，分別定義其所處的風險層次和級別。根據(jù)各風險發(fā)生的可能性，分別定義其所處的風險級別。定義風險矩陣圖（如上圖所示） 。提出應對風險的建議（避免風險、轉(zhuǎn)移風險、或接受風險） 。風險分析的進行方式為：首先通過召開啟動會議來說明風險分析的目的、參加人員需求與職責、設計及分發(fā)調(diào)查問卷、安排訪談與現(xiàn)場巡視的進度。辨認現(xiàn)存風險：搜集財務資料、實施人員訪談、巡視當?shù)貭顩r、檢查物理設施、分析搜集到的數(shù)據(jù)、審核各設施和設備的操作程序（包括IT和非IT） 。ABCDE第 18 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書評估風險沖擊：檢視

33、損失沖擊、開發(fā)評估分析細節(jié)、記錄評估結(jié)論、定義沖擊的等級和層次。確定合理的減低風險威脅的處理方法和優(yōu)先次序。記錄風險分析工作中的發(fā)現(xiàn)與建議。 制作書面風險分析報告向管理階層匯報工作成果和最終交付項目。實施風險分析給客戶帶來的效益是：降低由于不安全、不可靠與不適宜的管理所造成的威脅和風險。風險分析的對象通常為“基礎設施與技術” 、 “人的因素” 、和“不可抗力”三個層面，同時，又分為內(nèi)部原因和外部原因，具體如下表所示：人的因素人的因素不可抗力不可抗力基礎設施基礎設施和技術和技術內(nèi)部員工內(nèi)部員工外部人員外部人員氣候氣候自然災害自然災害硬件故障技術缺陷電源故障電壓波動電源接地不良電纜老化空調(diào)損壞消防

34、設施毀壞通訊線路中斷病毒誤操作盜竊蓄意破壞粗心/無知辭職情緒波動病毒黑客攻擊誤操作入室行竊蓄意破壞間諜活動示威活動消防灌水嚴寒冰雪惡劣氣候崩塌雷擊龍卷風海嘯交通中斷水位過高地震火災塌方飛行器撞擊爆炸火山爆發(fā)內(nèi)部原因內(nèi)部原因外部原因外部原因3.4.1.2.2. 業(yè)務影響分析業(yè)務影響分析業(yè)務影響分析（Business Impact Analysis，簡稱 BIA）收集、分析及匯總及排序當信息系統(tǒng)一旦遭遇災害對各項重要關鍵性業(yè)務的影響程度，并依據(jù)其優(yōu)先級提出恢復策略建ABCDE第 19 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書議。通過業(yè)務影響分析可驗證實施容災解決方案的必

35、要性及需求。業(yè)務影響分析的目標是：確定企業(yè)的關鍵業(yè)務流程。定義各關鍵業(yè)務可容許中斷的最大時間長度。確認各關鍵業(yè)務數(shù)據(jù)丟失的可容許程度。業(yè)務影響分析的進行方式為：首先通過召開啟動會議來說明業(yè)務影響分析的目的、參加人員需求與職責、設計及分發(fā)調(diào)查問卷、安排后續(xù)訪談行程。執(zhí)行后續(xù)訪談，收集問卷、與參加人員共同檢查問卷內(nèi)容以確定：重要業(yè)務項目恢復時間目標（Recovery Time Objectives）的需求業(yè)務中斷的影響各部門執(zhí)行恢復所需的資源開發(fā)初步總結(jié)舉行復審會議來驗證以下項目：驗證各業(yè)務項目恢復優(yōu)先級驗證恢復時間目標驗證重要數(shù)據(jù)的完整ABCDE第 20 頁/共 55 頁 ABCDE 信息系統(tǒng)應

36、急演練咨詢服務項目方案建議書制作書面業(yè)務影響分析報告 。向管理階層作總結(jié)報告。實施業(yè)務影響分析給客戶帶來的效益是：了解不同中斷時間對各業(yè)務造成的直接與間接損失及優(yōu)先級。開發(fā)恢復策略目標。3.4.1.2.3. 可恢復性評估可恢復性評估可恢復性評估（Recoverability Assessment）定義現(xiàn)行各業(yè)務流程的恢復能力及現(xiàn)行技術環(huán)境的特征，它將從架構(gòu)、平臺、技術、基礎設施、組織結(jié)構(gòu)、恢復流程等各層面來評估企業(yè)目前的恢復能力。在可恢復性評估中將證實企業(yè)當前的業(yè)務恢復能力，而在業(yè)務影響分析之后，可確定企業(yè)需要的恢復能力，這樣，將可發(fā)現(xiàn)當前恢復能力與需要的恢復能力之間的差距，從而在“恢復策略制

37、定”工作中，根據(jù)此差距可規(guī)劃出企業(yè)的恢復策略?？苫謴托栽u估的目標是：評估使用現(xiàn)有處理流程與程序，IT作業(yè)目前是否能夠恢復、需要多少時間恢復、以及可能的數(shù)據(jù)丟失數(shù)量?？苫謴托栽u估的進行方式為：首先通過召開啟動會議來說明項目目的、參加人員的需求與職責、設計及分發(fā) 調(diào)查問卷、安排訪談與現(xiàn)場訪視行程。ABCDE第 21 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書復審現(xiàn)有文件。舉行可恢復性評估研討會。記錄現(xiàn)行備份時間長度與方式。確定持續(xù)時段。定義運行重要應用所需資源。舉行異地分儲設施的稽查。記錄可恢復性評估結(jié)果。定義適當?shù)臉I(yè)務持續(xù)需求。制作書面可恢復性評估報告 。向管理階層作總

38、結(jié)報告。實施可恢復性評估給客戶帶來的效益是：正確地得出企業(yè)當前的恢復能力。為恢復策略的制定提供理論依據(jù)。評估恢復所需投資。3.4.1.2.4. 制定恢復策略制定恢復策略恢復策略制定（Recovery Strategy）依據(jù)前述各項分析和評估的結(jié)果和發(fā)現(xiàn)，定義消減當前恢復能力與恢復能力目標之間差距的高層次計劃（High level plan） 。業(yè)務影響分析（BIA）是一項深入的研究，用于確定業(yè)務之間的關鍵功能和其中的關鍵點。然后對該關鍵點及與其相關的可能發(fā)生的損失進行權衡，以決定可能的業(yè)務持續(xù)策略和所需成本。利用這一信息，管理層可以依照風險幾率和業(yè)務需要的優(yōu)先次序，制訂出適當?shù)臉I(yè)務持續(xù)策略?？?/p>

39、恢復性評估與業(yè)務影響分析共同作用，對數(shù)據(jù)中心的流程和當前的恢復能力進行分析。著重于數(shù)據(jù)中心環(huán)境的分析，其中包括硬件、軟件、網(wǎng)絡和工作流程。通過正常的數(shù)據(jù)收集、深入的采訪和數(shù)據(jù)分析，可恢復性評估將幫助您了解系統(tǒng)及其與整體業(yè)務之間的關系。ABCDE第 22 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書根據(jù)業(yè)務影響分析所確定的恢復能力目標與可恢復性評估所確定的當前恢復能力的差距，即可設計和制定出各業(yè)務流程的恢復策略。使業(yè)務部門所需要的恢復方案（業(yè)務影響分析）和系統(tǒng)部門所具備的恢復能力（恢復能力）同步十分重要。通過業(yè)務影響分析和可恢復性評估所進行的顧問工作，將產(chǎn)生一個全面的業(yè)務

40、持續(xù)策略，并提出為了業(yè)務持續(xù)所需要進行的改變，以及各種相關的具體建議；配合目前最新的 IT 可行技術，提出最適當?shù)臑碾y恢復策略。制定恢復策略的目標是：消減當前恢復能力與恢復能力目標之間差距的高層次計劃（High level plan） 。解決方案的投資估算。建立短期、中期、長期策略。提出對組織與運作的建議?；謴筒呗灾贫ǖ倪M行方式為：依據(jù)前述各項分析，配合目前技術，提出最適當?shù)臑碾y恢復短、中、長期策略。估算各種解決方案的投資成本與效益分析。召開研討會確認恢復策略。向管理階層作總結(jié)報告。ABCDE第 23 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書實施恢復策略制定給客戶帶

41、來的效益是：明確了恢復方案的策略計劃與所需投資。 3.4.1.2.5.業(yè)務持續(xù)計劃業(yè)務持續(xù)計劃(應急預案應急預案)設計設計業(yè)務持續(xù)計劃設計（Business Continuity Planning，本文中對應本項目的應急預案或應急計劃）定義、書面化與測試在災難發(fā)生之前、之中與之后的企業(yè)營運組織架構(gòu)與任務職責，以確定可被接受的業(yè)務持續(xù)運作的規(guī)范。XXX 建議，業(yè)務持續(xù)計劃將主要由“業(yè)務恢復計劃”和“技術恢復計劃”兩方面來組成。其中，業(yè)務恢復計劃為：當災難事件發(fā)生時，為確保企業(yè)關鍵業(yè)務功能連續(xù)運作而必須遵循的恢復程序和實施細節(jié)。技術恢復計劃為：當災難事件發(fā)生時，在災備中心建立和執(zhí)行基礎架構(gòu)恢復所必

42、須遵循的恢復程序，包括 IT 系統(tǒng)和相關設施。為有效并高效的實施業(yè)務持續(xù)計劃，還必須為災難恢復和業(yè)務持續(xù)設計相應的組織架構(gòu)和人員職責。業(yè)務持續(xù)計劃設計的目的是：定義、制作、建置與測試于災害發(fā)生前、中、后的組織架構(gòu)設計與行動計劃，以確保公司各重要關鍵業(yè)務的持續(xù)運作。業(yè)務持續(xù)計劃設計的進行方式為：首先召開啟動會議來說明項目目的、參加人員需求與職責、分發(fā)業(yè)務規(guī)范工作手冊（Workbook） 、確定工作手冊返回日期。收集與分析工作手冊內(nèi)容。確認系統(tǒng)各要素的備份處理：重要應用系統(tǒng)系統(tǒng)軟/硬件數(shù)據(jù)庫網(wǎng)絡特殊需求備份處理ABCDE第 24 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書

43、數(shù)據(jù)保存系統(tǒng)安全確認業(yè)務連續(xù)各要素的持續(xù)處理：系統(tǒng)持續(xù)本地用戶遠程用戶入網(wǎng)機構(gòu)服務者供貨商人員特殊需求次序/優(yōu)先級開發(fā)業(yè)務持續(xù)計劃的細節(jié)。確定各項工作的負責人及其應完成職責。開發(fā)災難通報程序。開發(fā)人員、技術、物資、通訊、運輸、后勤支援、信息發(fā)布、救援行動等的指揮協(xié)調(diào)機制。開發(fā)業(yè)務恢復工作項目圖表及時間安排。開發(fā)回切作業(yè)處理：設備修復與重購建筑物重建數(shù)據(jù)回歸業(yè)務切換完成業(yè)務持續(xù)計劃初稿。制作業(yè)務持續(xù)計劃的桌面演練計劃，演練活動包括：演練時間、演練范圍、目標、參加人員、所需資源、假設狀況、衡量標準、過程敘述、結(jié)果討論與計劃維護。ABCDE第 25 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢

44、服務項目方案建議書建立業(yè)務持續(xù)計劃維護的處理規(guī)范：包括正常計劃維護、根據(jù)演練結(jié)果的維護、由于各項變更而產(chǎn)生的維護、定期維護、回切作業(yè)的維護。在災備技術系統(tǒng)建立后，實施業(yè)務持續(xù)計劃實際測試。根據(jù)桌面演練與測試，完成對業(yè)務持續(xù)計劃的完善和修訂。向管理階層作總結(jié)報告。業(yè)務持續(xù)計劃設計給客戶帶來的效益是：建立緊急應變組織與行動的指導文件。作為演練和測試的指導方針。用于企業(yè)業(yè)務持續(xù)計劃的稽核。3.4.1.2.6. 業(yè)務持續(xù)計劃的演練和維護業(yè)務持續(xù)計劃的演練和維護業(yè)務持續(xù)計劃的演練和維護通過對業(yè)務持續(xù)計劃的桌面演練、實際測試、和維護管理，確保業(yè)務持續(xù)計劃保持最新及有效性。XXX 將在 ABCDE 應急預案

45、開發(fā)完畢后，協(xié)助為 ABCDE 實施應急預案的實際測試（真實演練） 。XXX 建議 ABCDE 每年執(zhí)行一次桌面演練和一次真實演練。業(yè)務持續(xù)計劃的維護包括：日常計劃維護根據(jù)演練結(jié)果的維護由于各項變更而產(chǎn)生的維護定期維護恢復計劃和回切計劃的維護3.4.1.2.7. 業(yè)務持續(xù)計劃方法小結(jié)業(yè)務持續(xù)計劃方法小結(jié)實施業(yè)務持續(xù)計劃，可以降低由于災害發(fā)生造成對于自身及客戶的服務中斷，避免客戶權益受損而造成的糾紛甚至涉及訴訟賠償。采用 XXX 業(yè)務持續(xù)計劃方法論來規(guī)劃、建立與確實執(zhí)行一套完善的業(yè)務持續(xù)計劃，ABCDE第 26 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書在遭遇不可預料的

46、災害發(fā)生時，能夠于計劃時間內(nèi)恢復重要關鍵性業(yè)務的持續(xù)運作，確實保障客戶、員工的權益以及降低公司的財務損失于最低，以達成公司永久經(jīng)營的理念。3.4.1.3.項目管理方法論項目管理方法論XXX 的項目管理方法解決了主要的項目管理問題，使得項目能夠按時按預算完成，并為設計高質(zhì)量的產(chǎn)品提供了保證。它側(cè)重于對整個項目的啟動、進行和結(jié)束的管理，解決了以下幾方面的問題：范圍和變更管理 項目計劃 風險降低 交付管理 配置管理 問題和解決方案 質(zhì)量 溝通 故障管理 3.4.1.3.1.項目啟動項目啟動在項目啟動時，項目實施責任從項目建議經(jīng)理移交到項目經(jīng)理。項目經(jīng)理籌建項目小組。一旦項目小組建立，項目經(jīng)理向小組成

47、員提供足夠的實施信息。項目經(jīng)理制定出詳細的項目/服務及支持計劃，與用戶和合作廠商及子包商共同商討以確保所有參與者能夠在相同計劃下開始工作。3.4.1.3.2.項目控制項目控制項目質(zhì)量控制的目的是確保以下幾點：應用開發(fā)完成其內(nèi)容，并達到預定的目標； ABCDE第 27 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書最終的系統(tǒng)是穩(wěn)定的和可用的； 確保項目能按預定計劃完成。 因此，在項目進行中，需要設立若干控制點，以確保項目的質(zhì)量是可控的，XXX 的項目控制主要包括以下幾類：系統(tǒng)方案質(zhì)量控制； 業(yè)務質(zhì)量控制； 項目初始階段質(zhì)量控制； 項目進行中質(zhì)量控制； 項目結(jié)束階段質(zhì)量控制。

48、 整個控制過程可用下圖來描述：XXX 的質(zhì)量控制隊伍是獨立于項目組的，作為 XXX 項目成功的重要因素和保障，在項目執(zhí)行過程中始終與項目組保持密切聯(lián)系。從另一個角度觀察項目的開展，幫助項目組發(fā)現(xiàn)和解決項目執(zhí)行中的問題，確保項目的成功。在方案交付階段，項目管理與其他子過程并行執(zhí)行。它從方案交付階段開始直到項目完成。它的步驟和任務側(cè)重于交付小組的管理工作。項目管理是一個不斷重復的過程，許多任務例如“過程控制”要貫穿于項目的始終，而另外一些任務會因為突發(fā)事件而啟動，例如：ABCDE第 28 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書用戶、XXX或供應商要求改變需求提前實現(xiàn)需

49、求(AS)用戶處于緊急關頭 交付品信息反饋 實際過程與計劃過程有差異 標識新的風險 此過程在項目啟動和項目結(jié)束之間與“實施方案“過程并行進行。它們是兩個不同的方面。項目管理過程側(cè)重于管理項目計劃中定義的步驟，確保實現(xiàn)所有的承諾，及時向用戶和 XXX 雙方反饋情況，保證項目質(zhì)量。其中最關鍵的工作是對計劃外事件的管理(變更、風險等)，這些例外事件會在很大程度上影響用戶的滿意程度另外一個重要工作是合同管理，必須維護合同條款以確保履行所有合同中的義務。3.4.1.3.3.項目風險管理項目風險管理風險管理概述風險管理概述風險，多指對項目“不利”的不確定因素。這些不利的風險存在于任何項目中，并往往會給項目

50、的推進和項目的成功帶來負面影響。風險一旦發(fā)生，它的影響是多方面的，如導致項目產(chǎn)品/服務的功能無法滿足客戶的需要、項目費用超出預算、項目計劃拖延或被迫取消等，其最終體現(xiàn)為客戶滿意度的降低。因此，識別風險、評估風險并采取措施應對風險即風險管理有著十分重要的意義。 風險管理的步驟：風險管理的步驟：項目的風險是多方面的。為此，項目風險管理主要有以下幾個步驟：風險識別、定性/定量風險分析、風險應對計劃編制及風險監(jiān)控。ABCDE第 29 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書風險識別風險識別(Risk Identification)風險識別是指識別并記錄可能對項目造成不利影響

51、的因素。風險識別不是一次性的工作，而需要更多系統(tǒng)的、橫向的思維。幾乎所有關于項目的計劃與信息都可能作為風險識別的依據(jù)，如項目進度及成本計劃、工作分解結(jié)構(gòu)、項目組織結(jié)構(gòu)、項目范圍、類似項目的歷史信息等。風險分析風險分析(Risk Anylise)其次，通過風險識別過程所識別出的潛在風險數(shù)量很多，但這些潛在的風險對項目的影響是各不相同的。 “風險分析”即通過分析、比較、評估等各種方式，對確定各風險的重要性，對風險排序并評估其對項目可能后果，從而使項目實施人員可以將主要精力集中于為數(shù)不多的主要風險上，從而使項目的整體風險得到有效的控制。風險應對風險應對 (Risk response) 最常采用的應對

52、威脅的幾種措施是：規(guī)避、減輕、轉(zhuǎn)移、接受。 風險監(jiān)控風險監(jiān)控(Risk monitoring)風險監(jiān)控主要包括以下任務：在項目進行過程中跟蹤已識別風險、監(jiān)控殘余風險并識別新風險。 風險識別/記錄定性/定量風險分析風險計劃編制風險監(jiān)控風險計劃落實風險注銷風險重估ABCDE第 30 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書保證風險應對計劃的執(zhí)行并評估風險應對計劃執(zhí)行效果。 對突發(fā)的風險或“接受”的風險采取適當?shù)臋嘧兇胧?3.4.1.3.4.項目結(jié)束項目結(jié)束項目經(jīng)理在全部方案或主要時間表提交之后，組織項目評估。要求用戶提出滿意程度反饋。方案評估結(jié)果(功能及交付過程)做為

53、 XXX 重復實施的重要依據(jù)。任務完成情況做為衡量“人力資源”和供應商的標準。項目經(jīng)理主持研討并總結(jié)匯報項目經(jīng)驗。3.4.2. 行業(yè)經(jīng)驗行業(yè)經(jīng)驗XXX 在稅務行業(yè)具備豐富的行業(yè)經(jīng)驗，詳細情況請參考投標文件中相關的項目經(jīng)驗證明材料。3.4.3. 服務團隊服務團隊1.在項目資源上的優(yōu)勢在項目資源上的優(yōu)勢XXX 在本項目中將調(diào)配來自 IGS（XXX Global Service）等部門的資深專家和顧問，并利用業(yè)界久富盛名的 XXX 全球服務方法論（GSMethod）以及 XXX 長期從事 I/T 服務所積累的知識庫 ICM（Intellectual Capital Management） ，來為 A

54、BCDE 提供優(yōu)質(zhì)的服務。其中，在 GSMethod 中，囊括了包括項目管理、行業(yè)應用、系統(tǒng)設計、軟件開發(fā)、業(yè)務連續(xù)性及容災、I/T 管理等所有的 I/T 服務的項目實施方法論。2.XXX在項目管理上的優(yōu)勢在項目管理上的優(yōu)勢成功的企業(yè)依賴成功的管理，同樣，成功的項目需要成功的項目管理。XXX 憑借在IT 多年的成功經(jīng)驗和眾多優(yōu)秀的人才，更能深切地體會到項目管理對整個項目的重要性。一個成功的項目管理不僅意味著項目的計劃，還包含其他眾多的方面。XXX 公司目前是世界擁有項目管理人才最多的公司之一，它獨特的項目管理經(jīng)驗成為全世界的經(jīng)典教材，因此到目前為止，全世界認證的項目管理專家有一半以上來自 XX

55、X 公司。ABCDE第 31 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書4. XXX 咨詢服務方案咨詢服務方案4.1.項目管理服務項目管理服務4.1.1. 工作目標工作目標本項任務的目的是為項目計劃、溝通、匯報、程序及合同任務建立一個框架，XXX 項目經(jīng)理有權代表 XXX 負責合同中規(guī)定的各項活動。4.1.2. 工作內(nèi)容工作內(nèi)容1.項目啟動與 ABCDE 管理層確認項目目標與范圍，完善整合的項目計劃，并將項目內(nèi)容細化；召開項目啟動會，介紹項目目標，范圍和工作方法；明確 ABCDE 和 XXX 雙方項目組成員，形成聯(lián)合項目小組，明確人員職責和分組情況；制定項目工作方法，

56、文檔規(guī)范，匯報方式和周期；項目正常運行所需的基礎設施到位；確定項目內(nèi)外部需要調(diào)查的數(shù)據(jù)、資料，探索在需要時可利用的資源；組內(nèi)討論和確定訪談對象、訪談問卷和時間表。對于 ABCDE 高層領導的訪談需提前兩周預約，對于需要 ABCDE 提供的其它配合事項需提前三天預約。2.項目計劃與 ABCDE 的項目負責人討論工作說明書和雙方的合同責任；準備一個詳細的項目計劃來確定和劃分工作層次，設立項目小組任務階段性完成的主要標志，以及階段性完成的預定時間和達成的主要途徑；ABCDE第 32 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書協(xié)調(diào)建立項目環(huán)境；制定變更控制計劃；制定項目狀態(tài)匯

57、報計劃；為 ABCDE 項目小組做定向指導。3.項目跟蹤和匯報根據(jù)項目計劃衡量、跟蹤和評估項目的進展；與 ABCDE 項目負責人一起解決項目計劃出現(xiàn)的例外情況；審查項目的任務進展、日程安排和資源調(diào)配，并根據(jù)情況做出適當?shù)母淖?；與 ABCDE 項目小組一起召開例會，以檢查項目進展狀況；在例行項目狀況檢查會議上，與 ABCDE 的項目負責人一起共同審查項目進展狀況；每周提交項目報告；實施項目變更控制程序；審查并分析項目變更需求；審查 ABCDE 項目小組的工作成果。4.1.3. 項目提交成果項目提交成果項目管理的項目提交成果包括項目管理計劃 、 項目啟動報告 、 項目周報 。主要內(nèi)容如下：明確公司

58、目前面臨的主要問題和咨詢項目工作的重點；成員角色矩陣，明確項目組構(gòu)成、人員和職責；制定詳細整合的項目工作計劃， 包括項目分工、階段成果和工作進度審核時間；提供公司高層和項目管理小組對項目進行監(jiān)控和溝通交流的基礎。ABCDE第 33 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書4.2.應急預案開發(fā)應急預案開發(fā)4.2.1. 服務目標服務目標應急預案開發(fā)的目標是通過風險評估和業(yè)務影響分析，設計并明確詳細的災難恢復流程以及所需的環(huán)境和資源，配合 ABCDE 設計相應的應急響應組織與人員，結(jié)合目前的恢復技術方案制定業(yè)務連續(xù)性計劃與災難恢復計劃，調(diào)整日常運維管理規(guī)范，并給出應急平臺

59、設計建議。4.2.2. 服務內(nèi)容服務內(nèi)容4.2.2.1.風險分析咨詢服務風險分析咨詢服務工作目標工作目標風險分析咨詢服務的目標是針對 ABCDEIT 系統(tǒng)進行風險分析，確定相關信息系統(tǒng)所面臨的潛在風險，風險的發(fā)生可能性以及風險等級，并通過分析結(jié)果導出相應的災難場景和制定出相應的預防控制措施，同時也為業(yè)務影響分析和業(yè)務連續(xù)性戰(zhàn)略制定提供基礎和依據(jù)。工作內(nèi)容工作內(nèi)容風險分析咨詢服務內(nèi)容包括識別信息系統(tǒng)面臨的自然的和人為的威脅，分析各種威脅發(fā)生的可能性，定性描述可能造成的損失，并確定對風險的防范和控制措施。風險分析服務具體包括以下內(nèi)容：開發(fā)風險分析調(diào)查問卷，為填寫問卷和訪談人員召開一次討論會，介紹項

60、目背景、工作方法、訪談過程和調(diào)查問卷填寫方式。收集信息：通過實施人員訪談、巡視當?shù)貭顩r等方式來搜集相關資料和信息。分析信息：對收集到的資料和信息進行分析和評估，如記錄評估結(jié)論、判別風險級別、確定合理的減低風險威脅的處理方法和優(yōu)先次序、記錄發(fā)現(xiàn)與建ABCDE第 34 頁/共 55 頁 ABCDE 信息系統(tǒng)應急演練咨詢服務項目方案建議書議等。對 ABCDE 關鍵信息資產(chǎn)所面臨的災難性事件（威脅）進行定義、分析和描述，并進行定性的分析評估；根據(jù)風險嚴重性和風險發(fā)生的可能性，評價風險及確定風險級別；識別減少/降低風險、威脅或隱患的方法，提出應對各類風險的具體建議。準備報告：對得到的結(jié)果按照 ABCDE