SM02002IT服务连续性流程管理办法V10资料

1、大江网络信息技术服务管理体系文件IT服务连续性流程管理办法常州大江网络工程有限公司信息技术服务管理体系IT服务连续性流程管理办法文件编号：SM-02002本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有机构未经本公司特别注明，版权均属本公司所有，受到有关产权及版权法保护。任何个人、 的书面授权许可，不得以任何方式复制或引用本文件的任何片断。1. 分发控制、土 -hz. 读者文档权限说明公司内部员工只读2. 文件版本信息版本号修订变更描述日期审核批准V1.0编写组全文20100726白云刘文中3. 文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息，

2、当前版本文件 有效期将在新版本文档生效时自动结束。 文件版本小于1.0时，表示该版本文件 为草案，仅可作为参照资料之目的。目录1. 概述11.1. 目标1.1.2. 范围1.1.2.1. 流程适用范围1.1.2.2. 流程管理范围1.2. 角色和职责2.2.1. 服务连续性管理流程负责人22.2. 连续性经理2.2.3. 连续性管理维护人2.3. 输入3.4. 输出3.5. 流程描述3.5.1. 连续性管理流程 3.5.2. 演练工作管理流程4.6. 关键绩效指标（KPI） 6.7. 流程质量控制6.8. 与其它流程的接口 7.9. 术语定义7.10. 附则8.大江网络信息技术服务管理体系文件

3、IT服务连续性流程管理办法1概述1.1. 目标业务连续性管理通过风险分析和管理确保组织在任何时候都具备最低要求 的开发能力和服务供应。其目标是确保向顾客承诺的服务在任何情况下都能得到 满足。信息技术服务持续性管理是应对影响信息技术服务运作的灾难并维护信息 技术服务以支持业务的持续运作的流程。服务连续性管理流程的主要步骤包括：1）能有效管理组织中基于服务级别的关键业务的连续性；2）实施基于关键业务需求制定的有效的连续性管理计划；3）当灾难发生时能以最快速度恢复正常业务；4）实施危险降低措施以降低业务中断所造成的损失。1.2. 范围1.2.1. 流程适用范围本流程适用于常州大江网络工程有限公司（以

4、下简称“公司”）相关部门。1.2.2. 流程管理范围范围内?业务影响度分析? 支持业务的关键业务单元? 设计开发灾难恢复预案? 设计开发灾难恢复演练? 灾难风险的缓解和避免? 风险和威胁的识别，评估，管理（执行信息安全管理体系文件要求）? 业务连续性管理的持续改进以及测试范围外? 未上线的信息系统建设?日常的技术测试训练2. 角色和职责可管理流程涉及的角色包括：服务连续性管理流程负责人、服务连续性经理、 服务连续性管理维护人等。服务连续性管理流程负责人和服务连续性经理可以由 同一人担任。各角色职责如下：2.1. 服务连续性管理流程负责人服务连续性管理流程负责人从宏观上对流程运行情况进行监控，确

5、保连续性管理流程在各部门间被正确的执行。当流程不能够适应公司实际情况和服务连续 性要求时，流程负责人必须启动分析研究，找到解决方案并进行改进，实现流程 的稳定运行和可持续提高。具体职责包括：1）确定服务连续性管理流程的衡量指标；2）确保连续性管理流程能够取得管理层的参与和支持；3）确保连续性管理流程符合公司实际状况和公司 IT发展战略；4）总体上管理和监控流程，建立连续性管理流程实施、评估和持续优化机制；5）确保连续性管理流程有效、正确地执行，当流程不能够适应公司的情况时， 必须及时进行分析、找出缺陷、进行改进，从而实现可持续提高；6）保持与其他流程负责人的定期沟通。22连续性经理1）组织进行

6、风险和灾难规避评估；2）组织进行业务影响度分析；3）承担突发事件应急指挥；4）牵头确定和建设服务连续性恢复方案；5）牵头组织连续性和灾难恢复，设计开发关键系统的灾难恢复预案；6）根据连续性和灾难恢复预案，牵头组织演练工作；7）监控连续性管理的持续改进。8）负责流程运行质量的监控管理，向公司负责，2.3. 连续性管理维护人1）服务连续性计划的制定；2）参与业务影响度分析工作；3）汇总灾难恢复预案，定期整理并维护预案库；4）汇总并维护灾难恢复演练计划；5）定期生成灾难恢复演练工作月度报告。6）负责对处置工作的关键部门和人员的沟通和联系；7）负责跟踪和反馈突发事件处置工作的关键流程，全面收集和整理事

7、件处 理过程的信息，为突发事件应急指挥组提供全面信息支持。3. 输入编号输入项来源周期1.服务级别需求服务级别协议一一年2.业务恢复需求服务级别协议一一年3.风险评估信息安全管理体系一一年4.服务级别和业务影响度的变更变更管理不定期4. 输出编号输出项去向周期1.风险评估和业务影响度分析报告业务关系管理 变更管理一一年2.灾难恢复预案半年3.灾难恢复演练半年5. 流程描述5.1. 连续性管理流程项目输入步骤描述输出1.进行风 险和灾难 规避评估输入:风险和 威胁/历史数 据/当前环境 /当前的策略 /流程/程序根据现状和业务特点，全面识别和分析风险 因素，分析风险发生的可能性。根据风险的 来源

8、和可控程度对风险因素进行分类分析， 识别信息系统面临的自然和人为的威胁，识 别信息系统的脆弱性。根据风险范围和影响 的严重程度以及风险发生概率，评估风险可 接受的程度。风险评估 报告2.进行业风险分析评结合风险分析结果和中断损失影响程度，确关键系项目输入步骤描述输出务影响度 分析估报告定各业务功能对恢复时间的敏感程度要求。 根据业务恢复需求和业务功能的相互依赖 关系和程度，确定系统的恢复顺序。统、业务 中断损失 和恢复优 先级3确定整 体恢复策略关键系统、业务中断损失 和恢复优先 级根据关键系统、业务中断损失和恢复优先 级，确定信息系统应急恢复的 RTO RPC技 术指标，并确定整体恢复策略。

9、整体恢复 策略4.确定和 建设业务 连续性恢 复万案整体恢复策 略根据整体恢复策略，确定和建设业务连续性 恢复方案。并对连续性计划进行测试，并记 录所有的连续性测试，测试失效之处应在行 动计划中明确描述。每年进行业务连续性恢 复方案评审。当业务环境发生重大变更时， 应重新测试服务连续性计划。业务连续 性恢复方案5.设计开 发连续性 及灾难恢 复预案连续性和灾 难恢复小组、 业务连续性 恢复方案连续性和灾难恢复小组根据业务连续性恢 复方案，设计开发出灾难恢复预案。灾难恢复 预案6.根据连 续性和灾 难恢复预 案进行演 练灾难恢复预 案根据开发的关键系统灾难恢复预案，组织进 行相应的应急演练，使相

10、关人员熟悉连续性 管理的流程与环节，并检测预案的可行性和 有效性。演练报告7.连续性 和灾难恢 复预案维 护灾难恢复预 案、演练报告定期对预案进行内部检查，发现问题或所涉 及的内容发生变化后需要立即更新。此外， 每次演练后发现预案中存在与实际情况不 符的情况，需要在演练结束后立即更新。灾难恢复 预案52演练工作管理流程演练工作应明确制定演练对象。演练对象可以是应急预案、项目实施方案、 技术方案、业务方案，也可以是日常惯例流程和操作、组织管理应变能力等。在 组织实施每次演练工作时，建议遵循以下演练管理流程：（一）设计演练项目1）确定演练的对象和范围；2）循序渐进、有针对性的制定本次演练目标；3）

11、确定演练参与部门和人员范围；4）确定演练时间；5）确定组织机构职责；6）确定演练的类型（桌面/模拟/预案/场景/实战/局部，预先通知/非 预先通知）；7）定义演练的评估标准；8）制定演练风险控制方案，包括紧急终止/退出的流程和可能风险的应 急防范办法；（二）制定场景计划1）根据演练目标制定演练场景的背景和过程；2）制定场景计划检查要点；3）制定逐步展开的进度表；4）设定实现的时间尺度；（三）动员和推进演练开展1）确定所有参与者的角色和责任；2）根据演练类型向相关部门人员发布通知和具体要求，通过培训保证 参与者事先掌握必要的技能和知识；3）提供演练所需的项目清单和演练环境（包括：设备、场所、系统

12、环境、 应用环境等）的规格说明；4）根据演练类型提供演练计划并将其分发给所有的参与人员。（四）执行演练1）各相关部门人员按照如计划执行演练；2）记录、跟踪演练活动，并提供报告；3）管理演练流程的执行质量；4）监控演练过程的风险，必要时执行演练紧急终止 /退出的流程和可能 风险的应急防范措施。（五）演练总结1）召开总结会检查演练的结果，审核演练目标和结果与策略目标是否 达成一致；2）确定预案和方案是否满足恢复的要求；3）检查各操作流程的完成情况，检查行动的时间进度；4）评估演练的操作和业务规程的适当性；5）对所存在的薄弱环节提出改进建议；6）编写包含以上内容的总结报告，并报送公司相关部门备案（六

13、）预案和方案的改进和发布1）演练资料归档；2）执行预案和方案的修订流程，完成预案和方案的修订工作；3）发布新版本的应急管理预案并进行版本控制。6. 关键绩效指标（KPI）IT服务连续性管理的可选指标包括:绩效指标目标值衡量方式报告周期负责人RTO达成率2小时年度评审一一年连续性经理RPO达成率0.5小时年度评审一一年连续性经理演练和预案的匹配 度95%年度评审半年连续性经理7. 流程质量控制质量控制流程执行（Do）检查（Check）持续改进（Act）流 程 经 理1.2.3.4.5.现有流程评估制定改进计划1 审批改进计划执行改进计划回顾计划（Plan）步骤输入步骤描述输出负责人1.现有流 程

14、评估服务连续 性计划1.回顾连续性管理流程的设计， 执行是否是有效以及咼效的， 定期进行整体流程改进评估。差距分析 报告连续性经理步骤输入步骤描述输出负责人2.制定改 进计划差异分析 报告业务需求 事项流程改进计划应包括：?流程定义及改善点；? 需求的变化；? 可能造成的影响以及其他 夕卜部因素；? 测试和培训计划；?连续性计划应该是一套文 档化的可执行的文件。改进计划连续性经理3.执行改 进计划被批准的 改进计划协调执行改进计划。改进计划 被执行连续性经理4.对改进 进行回 顾执行的改 进措施对改进计划的执行进行监控，并保 证改进不对现有流程造成中断。通 过不断的监控和回顾保证流程改 进计划

15、得以成功执行。改进措施 得到实施连续性经理5.改进计 划的升 级流程改进 计划根据业务和实际运营需要对流程 改进和升级。升级流程 改进计划连续性经理9.术语定义术语定义RTO恢复时间目标(Recovery Time Objective ),即灾难发生后， 信息系统或业务功能从停顿到必须恢复的时间要求。RPO恢复点目标(Recovery Point Objective )，即灾难发生后，系 统和数据必须恢复到的时间点要求。连续性指标同可用性指标，具体计算公式见服务级别协议。RTO达成率所有服务级别协议中涉及系统的 RTO达成比率。RPO成率所有服务级别协议中涉及系统的 RPO达成比率。演练和预案的 匹配度基于预案的演练比率。10附则1. 本