业务持续性及灾难恢复计划

向管理层提交项目规划和状态报告；
确定项目进度。
BCP项目负责人
业务连续性协调人做为BCP项目负责人全面负 责项目的规划、准备、培训等各项工作：
计划的开发团队与管理层的沟通和联络；
有权与计划相关的所有人员进行直接接触和沟通； 充分了解中断对机构业务的影响； 全面了解机构的需求和运作，有能力平衡机构中相关 部门的不同需求； 比较容易接触到高级管理层； 了解机构的业务方向和高级管理层的意图； 有能力影响高级管理层的决策。
支持连续性计划／IT应急计划 （Continuity of Support Plan/IT Contingency Plan）
支持连续性计划和IT应急计划是同义词，每一个重
要的应用和通用支持系统都要制定IT应急计划，在机 构的BCP中可能会维护多个应急计划。
BCP相关计划之间的关系（续）
危机通信计划（Crisis Communications Plan）
业务持续性及灾难恢复计划 BUSINESS CONTINUITY & DISASTER RECOVERY PLANNING
概述
• 业务持续性及灾难恢复计划论述当业务运行陷入重大混乱时， 如何保持正常的业务活动。BCP 和DRP 包含对具体措施的准备、 测试与更新，以此保护关键业务流程不受重大系统与网络故障 的影响。 • 业务持续性计划（BCP）有助于识别机构承受的内部与外部的 威胁；协调硬资产与软资产以向机构提供有效的预防和恢复途 径，并保持其竞争优势与价值系统完整性。BCP抵御商务活动 受到的干扰，应用于保护关键业务流程不受重大故障与灾难的 影响。BCP应对自然与人为事件，并处理未能及时有效地应对 所带来的后果。 • 业务影响分析（BIA）断定在计算服务或通信服务严重中断后， 各个业务单位所承受的影响程度。这些影响可能是财政方面的， 体现为金钱损失；或是运行方面的，体现为无法履行业务。 • 灾难恢复计划（DRP）在电脑设备遭受部分或全部电脑资源与 物理设施损失时，提供应急响应、延长备份运行以及灾后恢复 的程序。DRP的首要目标是让必需任务程序得以在降级模式下 运行，并在合理时间内恢复回正常的运行模式。
– – – – B.1 识别关键业务功能并进行优先排序 B.2 判断可接受的最长停工时间以及其他标准 B.3 评估运行中断的威胁（如本地范围、区域范围、全球范围） B.4 定义恢复目标
• C. 制定恢复策略
– C.1 实施备份存储策略（如异地存储、电子仓储、磁带轮换） – C.2 站点恢复策略
• D. 理解灾难恢复过程
概述
• 考生应了解业务持续性计划与灾难恢复计 划之间的区别；了解业务持续性计划的项 目范围与规划、业务影响分析、恢复策略、 恢复计划发展与实施。此外，考生还应掌 握灾难恢复计划的开发、实施与修复。
关键知识领域
• A. 理解业务持续性要求
– A.1 起草并记录项目范围与规划
• B. 进行业务影响分析
BCP步骤
BCP项目规划
BCP项目规划阶段的活动包括：
确定BCP需求，可以包括有针对性的风险分析以
识别关键系统可能的中断； 向管理层推销BCP理念，获得管理层的支持； 了解相关法律、法规、行业规范以及机构的业务 和技术规划的要求，以确保BCP与其相一致； 任命BCP项目负责人，建立BCP团队，包括业务 和技术部门的代表； 制定项目管理计划书（Work Plan），其中应明确 项目范围、目标、方法、责任、任务及其进度； 确定收集数据所需的自动化工具；
场所紧急计划（Occupant Emergency Plan，OEP）
在发生有可能对人员的安全健康、环境或财产构成
威胁的事件时，为设施中的人员提供反应规程。 OEP 在设施级制定，与特定的地理位置和建筑结构有关。根 据美国总务管理局（GSA）的OEP模板维护GSA所属 设施的OEP计划。设施OEP可以附加在BCP之后，但 是独立执行。
BCP相关计划之间的关系（续）
操作连续性计划（Continuity of Operations Plan， COOP）
关注位于机构（通常是总部单位）备用站点的关键
功能，以及这些功能在回到正常操作状态之前最多30 天的运行。由于COOP涉及到总部级的问题，它和 BCP是互相独立制定和执行的。COOP强调机构在备 用站点恢复运行能力，所以计划不一定需要包括IT运 行。另外，它不涉及到无需重新配置到备用站点的小 型危害。COOP可以将BCP、BRP和灾难恢复计划做 为附录。
– – – – – – D.1 应对 D.2 人员 D.3 通讯 D.4 评估 D.5 修复 D.6 提供培训
• E. 执行、评估与维护计划（如版本控制、发行）
主要内容
• • • • • • 项目起始步骤 恢复与连续性规划要求 业务影响分析 选择、开发和实现灾难和连续性计划 备份与离线设备 演习和测试类型
准备和提交BIA报告。
支持资源的种类
• 支持关键功能的资源包括：
– 人力资源（Human resources），如操作员、专家、系 统用户等。 – 处理能力（Processing capability），如数据中心、备用 数据中心、网络、小型机、工作站、个人计算机等。 – 基于计算机的服务（Computer-based services），如语 音和数据通信服务、数据库服务、公告服务等。 – 自动化应用和数据（Automated applications and data）， 计算机设备上运行的各种程序和存储的数据。 – 物理基础设施（Physical infrastructure），如办公室、 办公家具、环境控制系统、电力、上下水、邮件服务 等。 – 文档和票据（Documents and papers），如合同、票据、 计划、规程等文件、文档和资料。
BCP策略条款
对BCP项目的规划最终应该形成业务连续 性策略条款，该条款记录BCP的：
目的、范围和需求；
基本原则和指导方针； 职责和责任； 关键环节的基本要求；
策略条款应得到高级管理层的正式批准， 并公布成为机构的政策，指导机构业务连续性 相关工作。
业务连续性规划要求
确认关键的IT资源
机构应该在灾难之前做好其内部和外部通信规程的准备工 作。危机通信计划通常由负责公共联络的机构制定。危机通信 计划规程应该和所有其它计划协调以确保只有受到批准的内容 公之于众。计划规程应该做为附录包含在BCP中。通信计划通 常指定特定人员做为在灾难反应中回答公众问题的唯一发言人。 它还可以包括向个人和公众散发状态报告的规程。计划中包括 记者招待会的模板。
计算机事件响应计划（Cyber Incident Response Plan）
建立处理针对机构IT系统攻击的规程。这些规程被设计用 来协助安全人员对有害的计算机事件进行识别、消减并进行恢 复，这些事件的例子包括对系统或数据的非法访问、拒绝服务 攻击、或对硬件、软件、数据的非法更改（如有害逻辑：病毒、 蠕虫或木马等）。本计划可以包含在BCP的附录中。
BIA的过程
确定信息收集技术； 选择受访者（Interviewees）； 定制收集经济和运作影响信息的问卷； 分析信息； 确定时间关键（Time-Critical）的业务功能； 确定最大允许中断时间（Maximum Tolerable Downtime，MTD）； 基于MTDs排定关键业务功能的恢复顺序；
机构的灾难
对于机构来说，任何导致机构关键业务功能在一定时间内无法进行 的事件都被视为灾难，其特点表现为：
计划之外的服务中断；
长时间的服务中断； 中断无法通过正常的问题管理规程得到解决； 中断造成重大损失。
中断事件是否被机构视为灾难，与中断所影响的业务功能对机构的 关键程度，以及中断的时间长短有关。
业务恢复/复原计划（Business
Recovery/Resumption Hale Waihona Puke Baidulan，BRP）
涉及到在紧急事件后对业务处理的恢复，提供灾难后立
即恢复业务运行的规程，但和BCP不同，它在整个紧急事 件或中断过程中缺乏确保关键处理连续性的规程。BRP的 制定应该与灾难恢复计划和BCP进行协调。BRP应该附加 在BCP之后。
预期潜在紧急情况
预期各种可能出现的紧急情况时需要考虑类似下面这些 问题：
人力资源，人们还能否工作？在罢工事件中关键人员能否工作？ 是否有人能够替代这些人员？人们能否便捷地抵达备用站点？
处理能力，计算机是否损坏？如果部分计算机无法使用应该怎么 办？ 基于计算机的服务，能否进行计算机通信？人们之间如何通信？ 信息服务是否中断？会中断多长时间？ 自动化应用和数据，数据的完整性是否遭到损坏？应用程序是否 被破坏？应用程序能够在其它平台下运行？ 物理基础设施，人们是否有地方办公？人们是否有完成工作所需 的设备？ 文档和票据，所需的文件能否找到？找到后还能否使用？
BCP相关计划之间的关系
业务连续性计划（Business Continuity Plan，
BCP）
关注在中断期间和之后维持机构的业务功能，提供重大
中断恢复期间维持重要业务运行的规程，和IT相关的仅限于 其对业务处理的支持，灾难恢复计划、业务恢复/复原计划 和场所紧急计划可以附加在BCP之后。
关键的业务流程 （1）薪金处理 （2）时间和考勤报告 （3）时间和考勤核对 （4）时间和考勤批准 · · 关键资源 LAN服务器 WAN访问 电子邮件 大型机访问 电子邮件服务器
来自用户、业务流程、 所有者、应用程序所有 者和其他相关组的输入
确认中断的影响和允许的最长停工时间
业务流程（2）：时间和考勤报告 关键的资源 LAN服务器 WAN访问 电子邮件 大型机访问 电子邮件服务器 允许的最长时间：8小时 影响 考勤卡处理延迟 无法执行薪金操作 薪金处理延时
BCP相关计划之间的关系（续）
灾难恢复计划 （Disaster Recovery Plan，DRP）
应用于重大的、通常是灾难性的、造成长时间无法
访问正常设施的事件。通常，DRP指用于紧急事件后在 备用站点恢复目标系统、应用或计算机设施运行的IT计 划。DRP的范围可能和IT应急计划重叠，但是DRP的范 围比较狭窄，它不涉及到无需重新配置的小型危害。根 据机构的需要，可能会有多个DRP附加在BCP之后。
确定恢复优先次序
资源 LAN服务器 WAN访问 电子邮件 大型机访问 电子邮件服务器 恢复优先顺序 高 中 低 高 高
BIA分析
BIA的目的
协助机构管理者了解潜在中断对机构的影响； 识别机构的关键功能以及支持这些功能的IT资源； 协助管理人员识别机构功能支持方面的不足； 排定IT资源的恢复顺序； 分析中断的影响，包括损失的利润、增加的运行费 用、收入的延期以及对竞争能力和公众信心的打击； 确定每一项业务功能的恢复窗口（Recovery Windows），如确定机构可以使用手工作业或其它替 代方式执行关键功能的时间长度。
灾难的定义
灾难（Disaster）是突发的、导致重大损失的不幸事
件，包括：
自然的（Natural），如地震（Earthquakes）、洪水（Floods）、
强对流天气（Storms）、火山爆发（Volcanic Eruptions）、自然火灾 （National Fires）； 系统/技术的（System/Technical）,如硬件、软件中断（Outages）、 系统/编程错误（Errors）； 供应系统（Supply Systems），通讯中断、配电系统（Power Distribution）中断、管道破裂（Burst Pipes）； 人为的（Man-Made ），爆炸（Explosions）、火灾（Fires）、故 意破坏（Purposeful Destruction）、航空器坠毁（Aircraft Crashes）、 有害物质泄漏（Hazardous Spills）、化学污染（Chemical Contamination）、有害代码（Malicious Code） 政治的（Political），如恐怖袭击（Terrorist Attacks）、骚乱 （Riots）、罢工（Strikes）。