业务连续性规划培训课件.ppt

中启航国际教育学院-CISP培训 业务连续性规划（BCP） 议程 业务连续性管理概述 业务连续性管理的开发与实施 总结 业务连续性管理概述 灾难是组织业务连续运作的威胁 灾难频发，灾难将损毁组织的基础设施、关键人员、信息系统及关键业务数据等重要资产,直接威胁到组织业务的连续运作。如何应对灾难，作好准备好了吗？ 直接和间接的损失 灾难备份建设的重要性和必要性 组织业务连续运作的要求 关键信息系统的数据完整性 关键信息系统业务处理的连续性 解决各种大灾难所造成的关键业务大面积停顿问题 行业监管政策的要求 BS25999和SHARE 78 -国际标准和最佳实践 2003年，中共中央办公厅、国务院办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》-27号文件。 2004年9月份 ，国信办《关于加强国家重要信息系统灾难备份工作的意见》 2005年，国信办《重要信息系统灾难备份与恢复指南》 2007年11月，《信息安全技术 信息系统灾难恢复规范》（GB/T 20988-2007） 2008年2月，人民银行 《银行业信息系统灾难恢复管理规范 》 (JR/T 0044—2008) 2008年3月，保监会《保险业信息系统灾难恢复管理指引》 (保监发〔2008〕20号 ) 企业规避风险、健康发展的要求 组织进行全球化战略发展和布局、成为世界级企业的要求 业务连续性发展历程 1970年代在美国起步 第一个热备份中心：1979年在美国费城建立的: SunGard Recovery Services Center 领先公司:IBM、SunGard、CAPS、EDS、IRON Mountn建有几百间灾难备份中心 完备的灾难备份体系和方法论 CPM、DRJ专业期刊杂志 DRII、BCI等行业协会 中国BCM协会，每年的BCM年会和论坛 BCP所描述的业务连续过程 BCP的实质 Ensure Business Continuity As Unusual 几个重要概念 灾难 由于人为或自然的原因，造成信息系统运行严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件，通常导致信息系统需要切换到备用场地运行。 灾难备份、灾难恢复 灾难备份：为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程。 灾难恢复：为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。 几个重要概念 灾难备份中心 是指用于灾难发生时接替生产系统运行进行数据处理和支持关键业务功能运作的场所，包括备用数据处理中心、备用的工作环境、备用生活设施和运行管理人员。 灾难恢复预案(DRP) 所谓灾难恢复预案，是指定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件，用于在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。 恢复点目标-RPO/恢复时间目标-RTO 恢复点目标 (RPO) – 定义：灾难发生后，系统合数据必须恢复到的时间点要求,代表了当灾难发生时允许丢失的数据量 恢复时间目标 (RTO) – 需要恢复应用数据所需的最长时间 持续性计划同风险管理关系 持续性计划同风险管理关系 BCP和DRP的关系 BCM和BCP 国际灾难备份解决方案的级别 SHARE 78定义的七级业务恢复级别 1992年会议，自动远程站点恢复工作组基于恢复方式和恢复时间的分级提出七级恢复级 主要分级原则 备份/恢复的范围 灾难恢复计划的状态 应用地点与备份地点之间的距离 应用地点与备份地点如何相互连接 数据是怎样在两个地点之间传送的 允许有多少数据丢失 怎样保证备份地点数据的更新 备份地点可以开始备份工作的能力 1，基本支持 2，备用场地支持 3，电子传输和部分设备支持 4，电子传输及完整设备支持 5，实时数据传输及完整设备支持 数据级与应用级容灾 2 BCP的开发与实施 主要包括:- 启动阶段 - 分析阶段- 规划设计阶段- 实施阶段 - 运营维护阶段 第一阶段:项目启动阶段 获得管理层支持 管理层认可业务连续性对企业的价值 了解并接受业务连续性项目的相关成本 明确管理层应承担的责任 明确范围,目标与计划 确定业务范围 确定业务连续性工作内容 项目资源 组建项目核心团队 不仅仅是IT部门 确业务连续性的范围 第二阶段:分析阶段（1）-风险分析 风险分析的定义 标识信息系统的资产价值，识别信息系统面临的自然的和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性，并定量或定性描述可能造成的损失。通过技术或管理手段，防范或控制信息系统的风险。依据防范或控