06-IT服务连续性和可用性管理过程文件-模板.docVIP

第PAGE2页

目的

规范连续性和可用性的识别、监控、策划和演练等活动。

范围

适用于公司外部客户和内部用户服务的连续性和可用性管理，分为连续性流程和可用性流程。

术语定义

可用率：系统、服务、IT基础架构组件，在工作时间内实际可用时间/工作总时间*100%；工作时间可以是5X8、7X24或与用户商定的时间；

业务影响分析（BIA）：分析业务功能及其相关IT服务资源，评估特定灾难对各业务功能的影响；

灾难恢复计划（DRP）：为减少灾难带来的损失，保证IT服务所支持的业务在灾难发生后，能及时恢复和继续运作，所做的事前计划和安排。

职责

4.1连续性流程

角色

活动

项目经理

服务人员

部门负责人

信息安全过程经理

服务连续性要求确定

√

√

进行冲击分析

√

制定业务连续性计划

√

制定灾难恢复计划

√

√

实施方案演练

√

√

√

√

改进和提高

√

√

4.2可用性流程

角色

活动

项目经理

服务人员

部门负责人

连续性和可用性过程经理

服务可用性要求确定

√

√

进行可用性分析

√

制定可用性计划

√

√

实施可用性计划

√

√

√

监控服务可用性

√

√

回顾服务可用性

√

√

√

裁剪指南

对于涉及开发的项目管理参考CMMI的相关流程。

过程

6.1连续性过程

概要图

启动条件

签署服务SLA/OLA/UC或合同时，发生重大变更的时候。

输入

SLA/OLA/UC

业务恢复需求

风险评估

重大变更

活动

IT服务连续性要求确定

各种服务连续性要求由项目经理收集，并负责与客户、内部部门和供应商沟通。在此阶段，项目经理应调整用户期望值，并与用户达成共识。

进行冲击分析

项目经理根据服务现状和业务特点，全面识别和分析风险因素，分析风险发生的可能性；根据风险范围和影响的严重程度以及风险发生概率，评估风险可接受的程度，确定服务中各业务功能对恢复时间的要求，形成《业务影响分析报告》并报部门负责人批准。

具体参见公司的信息安全管理体系文件《业务连续性管理规定》。

制定连续性计划

项目经理与信息安全经理沟通，制订每个项目服务《业务连续性计划》，《业务连续性计划》应包括基础所有类别信息资产的连续性计划；对于连续性要求集中在人力资源的服务，可只填写《IT服务人力资源连续性计划》；对于内部IT服务，还应完成《IT服务应用数据备份清单》。

计划和清单都应得到部门负责人的批准。

制定灾难恢复计划

如SLA/OLA/UC中有约定或冲击分析有要求，则在《业务连续性计划》中应包含灾难恢复的内容并得到部门负责人的批准。

实施方案演练

项目经理组织实施本服务的《业务连续性计划》或《IT服务人力资源连续性计划》，评价方案的有效性和可用性，并进行实际或者桌面演练。

应记录并保存《BCP演练记录》。

改进和提高

项目经理应定期或不定期与信息安全过程经理沟通，改进演练中发现的问题，更新《业务连续性计划》、《IT服务人力资源连续性计划》或《IT服务应用数据备份清单》。

输出

《业务影响分析报告》

《业务连续性计划》

《IT服务人力资源连续性计划》

《IT服务应用数据备份清单》

《BCP演练记录》

审核

公司质量管理部门定期对服务级别管理全过程进行审核。

度量

每年至少一次灾难恢复培训

每年至少一次按计划灾难演练

至少每年修订一次BCP

技能要求

项目经理具备IT服务管理的意识、项目管理的经验，具备良好沟通能力，能控制或降低外部客户、内部用户的要求。

信息安全过程经理具备信息安全的知识和经验，具备进行业务冲击分析的能力。

6.2可用性过程

概要图

启动条件

签署服务SLA/OLA/UC或合同时，发生重大变更的时候。

输入

SLA/OLA/UC

影响可用性的事件报告、问题报告

风险评估和业务分析报告

活动

服务可用性要求确定

各种服务可用性要求由项目经理收集，并负责与客户、内部部门和供应商沟通。在此阶段，项目经理应调整用户期望值，并与用户达成共识。

进行可用性分析

项目经理对服务的可用性要求进行可行性评估，生成《可用性分析报告》的1-3项。

制定可用性计划

项目经理负责制定服务的可用性计划，完成《可用性分析报告》，计划应考虑不同解决方案的成本差异；基于可用性，确定人员，硬件、软件、系统、网络可用性的基准值。

制定过程中，如有资金需求，则通过IT服务预算管理规程制定相关预算。

实施可用性计划

部门负责人审核《可用性分析报告》，审核通过后,则通过变更管理流程审批、实施；如需要公司高层批准的，则