11、XX备份与恢复管理制度

XX备份与恢复管理制度制定： 审核： 批准： 版本： XX二o—四年九月厦门出入境检验检疫局备份与恢复管理制度目录TOC\o"1-5"\h\z\o"CurrentDocument".灾难恢复的概念 3\o"CurrentDocument"灾难恢复的基本概念 3\o"CurrentDocument"灾难恢复涉及的范围 3\o"CurrentDocument"灾难恢复的基本技术要求 4\o"CurrentDocument"灾难恢复的局限性 6\o"CurrentDocument".灾难恢复技术及恢复级别 6\o"CurrentDocument"几个主要方面的灾难恢复技术 6\o"CurrentDocument"全备份 7\o"CurrentDocument"增量备份 7\o"CurrentDocument"差分备份 7\o"CurrentDocument"灾难恢复解决方案的7个级别 8\o"CurrentDocument".灾难恢复计划 10\o"CurrentDocument"灾难恢复计划的概念 10\o"CurrentDocument"灾难恢复计划的目标及制定原则 10灾难恢复计划的制定流程 11过程描述 11\o"CurrentDocument"计划的范围和目标 13\o"CurrentDocument"项目的组织和人员安排 14\o"CurrentDocument"筹划指导委员会 14\o"CurrentDocument"项目组. 14\o"CurrentDocument"项目核心小组.组.成 14\o"CurrentDocument"信息系统和技术支持小组组成 15\o"CurrentDocument"项目捽制 15\o"CurrentDocument"计划交付的时间表 15\o"CurrentDocument"资源需求 16\o"CurrentDocument"影响灾难恢复计划实现效果的因素 17第17页共17页

厦门备份佥与厦门备份佥与;恢蚤复管管理制度XX72口.灾难恢复的概念灾难恢复的基本概念XX业务系统依赖于计算机系统，因为这里保存着组织维系生存、参与竞争的重要资产、组织信息资源。组织对信息的依赖程度从来没有像今天这样迫切。对组织而言，计算机系统失效无疑是一场灾难。在这种情况下，组织无法正常运转，甚至可能陷入完全瘫痪。有许多因素威胁着计算机系统的正常运转，大到自然灾害(地震、洪水、飓风和火灾等，小到失窃、断电乃至操作员不经意的失误，都会影响系统的正常运转，甚至造成整个系统完全瘫痪。由计算机系统瘫痪造成的影响往往是十分惊人的。在灾难发生后，能够快速、简单、可靠地恢复一个立即可用的系统是至关重要的。这件事处理得好坏，有时关系到组织的生死存亡。灾难恢复技术，也称为业务连续性技术，它能够为重要的计算机系统提供在断电、火灾、受到攻击等各种意外事故发生，乃至在如洪水、地震等严重自然灾害发生的情况下保持持续运转的能力，因而对组织和社会关系重大的计算机系统都应当采用灾难恢复技术予以保护。灾难恢复涉及的范围导致系统失效的因素很多，大致可分为两大类。一类是自然灾害和人为破坏，这类因素很容易被发现并引起警惕。另一类则比较隐蔽，是计算机系统本身潜伏的一些破坏性因素。在导致计算机系统失效的各种因素中，软件和硬件(包括磁盘)因素占70%以上。导致系统失效的主要因素依次是硬盘崩溃、计算机及其他硬件的损坏、系统软件不兼容、病毒侵袭以及人为的误操作。(1)硬盘崩溃。硬盘是机电设备，它的失效是迟早的事。硬盘的任何损坏都可能使数据丢失甚至导致整个系统崩溃。(2)硬件损坏。内存储器、网卡、电源乃至母板，任何一种硬件失效或遭到破坏都会使系统无法正常运转。在这种情况下，虽然数据完奸地保存在磁盘中，但是在一个失效的系统中，数据几乎毫无用处。(3)软件不兼容。今天的商业系统已经很少在大型主机的单独支持下运行，通常需要来自不同厂家的多种系统软件协同工作，因此，软件的升级和更新都可能导致整个系统失。(4)病毒侵袭。在个人计算机使用初期，病毒的危害就已为大家所熟知。今天，一个信息第17页共17页 厦门出入境检验检疫局备份与恢复管理制度 系统如果来加任何保护措施就连入因特网，那么受病毒侵袭的危险比以往任何时候都大。更糟糕的是，病毒的危害一般不会立即表现出来，而一旦发作，往往令人措手不及。(5)操作失误。与上述原因相比，人为操作失误导致系统失效的可能性较小，但确实存在。典型错误是系统管理员误删除系统文件、数据文件和系统目录。今天，虽然计算机元器件的可靠性已经大大提高，软硬件中也纳入了不同程度的容错功能(如RAID技术、Cluster结构等)，但是面对可能导致系统失效的种种因素，系统整体抗灾性一直是(并仍将是)必须认真对待的问题。灾难恢复的基本技术要求组织关键业务的应用系统是在局域网和广域网络环境下运行的。因此，灾难恢复的重点也应当在此。局域网环境下的系统恢复，绝非备份数据和故障后恢复那么简单。一个完备的局域网灾难恢复计划，应当对所有影响局域网正常运转的事件做出相应的策略。从根本上说，这种恢复计划应当包括3个重要部分，即数据保护，、灾难防备和事后恢复。.备份软件对保护数据来说，功能完善、使用灵活的备份软件必不可少。合格的备份软件应当具有以下功能。(1)保证备份数据的完整性，并具有对备份介质(如磁带)的管理能力。数据完整性是系统恢复后立即可用的前提。因此，只有保证数据完整性，数据备份才有意义。超大系统的备份介质管理需要备份软件的参与和支持。特别是备份软件需要具有“通知机制”，可以提醒系统管理员何时更换备份介质，何时从备份设备中取出备份介质，为系统管理员建议介质轮换周期、备份策略。(2)支持多种备份方式，可以定时自动备份。除了支持常规备份方式(如完全式、增量式、差分式)外，还可以设置备份自动启动和停止的日期，记录系统配置以供重用，处理备份中的各种情况，等等。(3)具有相应的功能或工具进行设备管理、介质管理。这种功能或工具应当支持各种类型的介质，包括级联式磁带、磁带库、磁带组合磁带阵列等。备份软件应当保存设备和介质活动记录，诸如磁带首次格式化的时间和格式化次数等。(4)支持多种校验手段，以确保备份的正确性。备份软件至少应当提供字节校验、CRC(循环冗余校验)和快速磁带扫描等手段，还应该提供磁带到磁带的拷贝和比较功能，并对写入磁带的数据提供保护。第17页共17页 厦门出入境检验检疫局备份与恢复管理制度(5)提供联机数据备份功能。在联机状态下进行数据备份对许多系统都是一大挑战。合格的备份软件必须具有这一功能，因为对依靠数据库服务器管理数据的应用系统来说，这一功能必不可少。除了以上功能外，更完善的备份软件还支持RAID容错技术口图像备份功能。前者保证在个别硬盘遭到破坏时，整个备份仍然可用。后者使用户可以绕开系统，对图像快速备份。.恢复的选择和实施数据备份只是系统成功恢复的前提之一。恢复数据还需要备份软件提供各种灵活的恢复选择，如按介质、目录树、磁带作业或查询子集等不同方式做数据恢复。此外，还要认真完成一些管理工作，如定期检查，确保备份的正确性;将备份磁带保存在异地一个安全的地方(如专门的磁带库或银行保险箱)；按照数据的增加和更新速度选择恰当的备份周期。一般而言，部分备份周期不应该超过一个月。针对服务器/客户机环境而言，传统的大型主机恢复策略很少奏效。服务器/客户机环境恢复的关键是保护好服务器管理的数据，而服务器磁盘的安全有效又是保护数据的关键。因此，配备高性能、具有容错能力的磁盘存储器，是保护服务器的有力措施之一。.自启动恢复系统灾难通常会使组织丢失数据或者无法使用数据。利用备份软件可以恢复丢失的数据，但是重新使用数据并非易事。很显然，要想重新使用数据并恢复整个系统，首先必须将服务器恢复到正常运行状态。为了提高恢复效率、减少服务停止时间，应当使用“自启动恢复”软件工具。通过执行一些必要的恢复功能，使系统可以自动确定服务器所需要的配置和驱动，无需人工重新安装、配置操作系统，也不需要重新安装、配置磁带恢复软件及应用程序。此外，自启动恢复软件还可以生成备用服务器的数据集和配置信息，以简化备用服务器的维护。.病毒防护如果系统中潜伏着病毒，那么即使数据和系统配置没有丢失，服务器中的数据也可能随时丢失或被破坏。因此，病毒防护也是灾难恢复的重要内容。在数据和程序进入网络之前，要做清毒处理。更为重要的是，要加强对整个网络的自动监控，防止新病毒出现和传播。这些功能只有在强大的防病毒软件的支持下才能实现。防病毒软件应该与其他防灾方案密切配合，同时互相透明。总而言之，一个完整的灾难恢复方案必须包括很强的病毒防护策略和手段。灾难恢复的局限性需要注意的是，灾难恢复本身并不是万能的，即使制定了符合单位实际情况的灾难恢复第17页共17页 厦门出入境检验检疫局备份与恢复管理制度计划，也还需要根据组织自身情况制定日常备份制度和灾难恢复措施，并由管理人员切实执行备份制度，否则灾难恢复只能是纸上谈兵。.灾难恢复技术及恢复级别几个主要方面的灾难恢复技术做好灾难恢复，首先在备份系统时要考虑到系统容量不断增加的需求还要考虑备份软件必须能支持多平台系统下的运行。当网络上连接了其他的应用服务器时，对于网络存储管理系统来说，只需安装支持这种服务器的客户端软件即可将数据备份到磁带库或光盘库中。其次，网络数据存储管理系统是指在分布式网络环境下，通过专业的数据存储管理软件，结合相应的硬件和存储设备，来对全网络的数据备份进行集中管理，从而实现自动备份、文件归档、数据分级存储以及灾难恢复等功能。整个网络系统自动数据存储管理是在备份服务器、备份管理软件与智能存储设备的有机结合的基础上实现的。数据存储管理系统的工作原理是在网络上选择一台应用服务（当然也可以在网络中另配一台服务器）作为网络数据存储管理服务器，安装网络数据存储管理服务器软件，作为整个网络的备份服务器。在备份服务器上连接一台大容量存储设备（磁带机或磁带库），在网络的其他需要进行数据备份管理的服务器上安装备份客户端软件，通过局域网将数据集中备份到与备份服务器连接的存储设备上。网络数据存储管理系统的核心是备份管理软件，通过备份软件的计划功能可为整个组织建立一个完善的备份计划及策略，并可借助备份时的呼叫功能让所有的服务器备份都能在同一时间进行。备份软件也提供完善的灾难恢复手段，能够将备份设备的优良特性完全发挥出来，使备份和灾难恢复时间大大缩短，实现网络数据备份的全自动智能化管理。灾难恢复的先决条件是要做好备份策略及恢复计划。日常备份制度描述了每天的备份以什么方式、使用什么备份介质进行，是系统备份方案的具体实施细则。在制订完毕后，应严格按照制度进行日常备份，否则将无法达到备份方案的目标。数据备份有多种方式，在此以磁带机为例，简单描述一下全备份、增量备份和差分备份的区别和应用。全备份所谓全备份就是用一盘磁带对整个系统进行完全备份，包括系统和数据。这种备份方式的好处就是很直观，容易被人理解，而且当数据丢失时，只要用一盘磁带（即灾难发生前一天第17页共17页 厦门出入境检验检疫局备份与恢复管理制度 的备份磁带），就可以恢复丢失的数据。它也有不足之处。首先由于每天都对系统进行完全备份，因此在备份数据中有大量的重复信息，例如操作系统与应用程序。这些重复的数据占用了大量的磁带空间，这对用户来说就意味着成本的增加。其次，由于需要备份的数据量相当大，因此备份所需的时间较长。对于那些业务繁忙、备份时间相对有限的单位来说，这种备份策略无疑是不明智的。增量备份所谓增量备份就是每次备份的数据只是相当于上一次备份后增加和修改过的数据。这种备份的优点很明显：没有重复的备份数据，既节省磁带空间，又缩短了备份时间。它的缺点在于当发生灾难时，恢复数据比较麻烦。举例来说，如果系统在星期四早晨发生故障，丢失大批数据，现在就需要将系统恢复到星期三晚上的状态。这时管理员首先需要找出星期一的那盘完全备份磁带进行系统恢复，然后再找出星期二的磁带来恢复星期二的数据，然后再找出星期三的磁带来恢复星期三的数据。很明显这比第一种策略要麻烦得多。另外这种备份的可靠性也差。在这种备份下，各磁带间的关系就像链子一样，一环套一环，其中任何一环出了问题都会导致整条链子脱节。差分备份所谓差分备份就是每次备份的数据是相对于上一次全备份之后新增加和修改过的数据。管理员先在星期一进行一次系统完全备份，然后在接下来的几天里，再将当天所有与星期一不同的数据（新的或经改动的）备份到磁带上。举例来说，在星期一，网络管理员按惯例进行系统完全备份；在星期二，假设系统内只多了一个资产清单，于是管理员只需将这份资产清单一并备份下来即可；在星期三，系统内又多了一份产品目录，于是管理员不仅要将这份目录，还要连同星期二的那份资产清单一并备份下来。如果在星期四系统又多了一张工资表，那么星期四需要备份的内容就是：工资表+产品目录+资产清单。由上可以看出，全备份所需的时间最长，但恢复时间最短，操作最方便。当系统中的数据量不大时，采用全备份最可靠。增量备份节省备份空间，备份时间短，但恢复起来比较麻烦。差分备份在避免了另外两种策略缺陷的同时，又结合了它们的所有优点。首先，采用差分备份无需每天都做系统完全备份，因此备份所需时间短，并节省磁带空间；其次，采用差分备份时，进行灾难恢复也很方便，系统管理员只需两盘磁带，即星期一的磁带与发生前一天的磁带，就可以将系统完全恢复。我们在备份时要根据它们各自的特点灵活使用。灾难恢复措施在整个备份制度中占有相当重要的地位，因为它关系到系统、软件与数据第17页共17页 厦门出入境检验检疫局备份与恢复管理制度 在经历灾难后能否迅速地恢复。全盘恢复一般应用在服务器发生意外灾难导致数据全部丢失、系统崩溃或是有计划的系统升级、系统重组等，也称为系统恢复。综合上述，一个完整的灾难备份及恢复方案应包括备份设备、备份软件、备份制度和灾难恢复计划4个部分。若想做到数据存储的万无一失，还需要根据组织自身情况制定日常备份制度和灾难恢复措施，并交由管理人员切实执行。灾难恢复解决方案的7个级别根据国际标准SHARE78的定义，灾难恢复解决方案可分为7级，即从低到高有7种不同层次，用户可根据组织数据的重要性以及需要恢复的速度和程度，来选择并实现灾难恢复计划。其主要内容如下。(1)备份/恢复的范围；(2)灾难恢复计划的状态；(3)应用地点与备份地点之间的距离；(4)应用地点与备份地点之间如何相互连接；(5)数据如何在两个地点之间传送；(6)允许有多少数据被丢失；(7)怎样保证备份地点的数据的更新；(8)备份地点可以开始备份工作的能力。根据国际标准定义，灾难恢复被定义为7种层次。(1)层次0——本地数据的备份与恢复层次0被定义为没有信息存储和建立备份服务平台的需求，也没有发展应急计划的要求，数据仅在本地进行备份恢复，没有数据送往异地。这种方式是成本最低的灾难恢复解决方案，但事实上并没有真正起到灾难恢复的作用，因为它的数据并没有被送往另外一台专用的备份服务器上，而且数据的恢复也仅是利用本地的记录。(2)层次1——批量存取访问方式作为层次1的灾难恢复计划需要设计一个应急方案，能够备份所需要的信息，并将它存储在另外的备份介质上，然后根据灾难恢复的具体需求，有选择地建立备份平台，进行系统信息和数据的恢复。批量存取是一种用于多个地点备份的标准方式，数据在完成写操作之后，将会被保存在另外的备份介质上，同时还保存了数据恢复的程序。在灾难发生后，利用一台未启用的计算机通过网络完成整个系统的灾难恢复工作。这种灾难恢复方案相对来说成本较低(仅仅是传输工具和存储设备的消耗)，但同时在管理上却存在困难，即我们不知道数据源第17页共17页 厦门出入境检验检疫局备份与恢复管理制度 来自何处。一旦系统可以工作，标准的做法首先是恢复关键应用，其余的应用应根据需要恢复。在这样的情况下，恢复是可能的，但需要一定的时间，并依赖于什么时候能够准备好硬件平台。(3)层次2——批量存取访问方式+热备份地点层次2相当于是层次1再加上具有热备份能力的地点组成的灾难恢复系统。热备份地点拥有足够的硬件和网络设备去支持关键应用的安装需求。对于十分关键的应用，在灾难发生的同时，必须在异地有正运行着的硬件提供支持。这种灾难恢复的方式依赖于用批量存取的方式去将日常数据放入热备份服务器，当灾难发生的时候，数据再被移动到热备份地点。虽然移动数据增加了成本，但是明显降低了灾难恢复的时间。(4)层次4——电子连接层次3是在层次2的基础上用电子链路取代了批量存取方式进行数据传送的一种灾难恢复方案。接收方的设备必须与热备份的物理地点分开，在灾难发生后，存储的数据用于灾难恢复。由于热备份地点要保持持续运行，因此增加了成本，但确实是消除了传输工具的需要，提高了灾难恢复的速度。(5)层次4——工作状态的备份地点，层次4这这种灾难恢复要求两个地点同时处于工作状态并彼此管理着对方的备份数据，允许备份行动在任何一个方向发生。接收方设备必须保证与另一方平台物理地分离，在这种情况下，工作负载可以在两个地点之间被均匀负担，地点1成为地点2的备份，反之亦然。在两个地点之间，关键的备份数据在不停地相互传送着。在灾难发生时，需要的关键数据可立即通过网络得到恢复，通过网络的切换，关键应用的恢复时间也可降低到小时级或分钟级。(6)层次5——双重在线存储层次5在层次4的基础上加上镜像管理被选择数据，也就是说，在更新请求被认为是满意之前，层次5需要应用地点与备份地点的数据都被更新。我们可以想象这样一种情景，数据在两个地点之间相互映象，并由同步进程来同步，因为关键应用使用了双重在线存储，所以在灾难发生时，仅仅是传送中的数据被丢失，恢复的时间被降低到了分钟级。(7)层次6——零数据丢失层次6可以实现零数据丢失率，同时保证数据立即自动地被传输到备份地点。层次6被认为是灾难恢复的最高级别，在本地和远程的所有数据被更新的同时，利用了双重在线存储和完全的网络切换能力，保证了数据的完整性和安全性。层次6是上述灾难恢复方案中最昂贵的一种信息恢复方式，同时也是速度最快的一种恢复方式。第17页共17页 厦门出入境检验检疫局备份与恢复管理制度 3.灾难恢复计划灾难恢复计划的概念在所有的信息系统资源中，数据是最重要的，但也是最不稳定和最复杂的。其他资源，如计算机硬件设备、系统支持软件、建筑物及场地设施等，都是可替换的，但数据丢失却是不可挽回的。进行数据备份是减少应用服务遭到长期破坏的关键。对于重要数据来说，有一个清楚的灾难恢复计划同样也是重要的，它能清楚地显示灾难恢复所需的时间。灾难恢复计划不是一两个月的短期项目，也不是一个一旦完成，就可以弃之不管的项目。它是一个长期有效的系统维护计划。这种计划必须一直有人参与，并且经常被测试、演习。灾难恢复计划的目标及制定原则灾难及业务恢复计划的主要目标是让组织有能力在信息丢失灾难中存活下去，并迅速地重新开始正常业务的运作。为了生存下来，组织必须保证那些关键的业务运作能够在有效的时间内恢复。因此灾难及业务恢复计划的目标应该是：(1)找出弱点并实施灾难预防程序；(2)减少灾难严重影响业务运作的时间；(3)加强灾难恢复任务之间的有效协调工作；(4)减少灾难恢复工作的复杂程度。以前只有数据处理部门被赋予提供处理意外事故计划的责任，这种做法通常会导致这样一种结果，就是灾难恢复方案的规划、实施与组织的业务活动不完全适应。处理意外事故的计划与其说是数据处理问题，还不如说是一种业务问题。在目前的环境中，长期运行的业务出现中断的后果可能是灾难性的。因此，一个可行的灾难恢复策略的制定，不仅是数据处理、通信和运行中心、服务厂商合作的产物，而且也应该是用户以及负责保护组织财产的管理人员共同合作的产物。在制定灾难恢复计划的过程中，应着重考虑以下几点：(1)全面了解制定并维护一个有效的灾难恢复计划所需的全部工作；(2)取得管理层以及参与这项工作的有关部门和人员的支持；(3)从业务部门角度定义灾难恢复的需求；(4)将信息丢失对业务运作和关键部门造成的影响进行归档；(5)适当注意灾难预防、减轻灾难的影响以及灾难恢复；第17页共17页 厦门出入境检验检疫局备份与恢复管理制度(6)挑选项目队伍，保证计划制定所要求的人员；(7)制定一个易于理解、易于操作并易于维护的处理意外事故的计划；(8)考虑如何将灾难恢复计划纳入正在实施的业务计划和系统开发过程中，以使该计划能够长期可行。成功、低成本地完成这样一个项目，要求来自组织各部门的紧密配合，数据处理部门的高级人员和用户部门必须实际参与项目的全过程，保证计划过程的成功。最后，记住计划过程的目的是：评估现有系统的弱点；实施灾难避免和预防程序；制定一个综合计划，使单位在灾难发生时能够及时、恰当地应对。3.3灾难恢复计划的制定流程过程描述由于制定和实施灾难恢复计划是一个高复杂度和高劳动强度的过程，因此它需要配备一些专职技术人员、信息处理设备及适当的资金。组织在制定正常的业务计划中必须包括制定和实施灾难业务恢复计划的项目支出。推荐的项目方法包括8个独立的阶段，分别说明如下。(1)阶段一：计划前活动(项目初始阶段)阶段一是了解组织内部目前存在的业务运行环境。它使得项目组能够限制项目的范围和相关的工作程序，并快速地制定项目进度表，找出并公开影响项目交付和成功的问题。在这个阶段，应该成立一个筹划指导委员会，筹划指导委员会应该负责为项目组提供指导方向，为灾难恢复计划工作做决定。项目经理应该和筹划指导委员会一起完善工作计划的细节并全面负责安全评估和业务影响分析工作的实施。另外，本阶段两个需要注意的问题是:制定策略以支持恢复程序；针对那些需要参与项目的管理层和高级人员的认知程序。(2)阶段二：弱点分析和一般性需求定义组织内的安全和控制是一个需要长期关心的问题。从经济和业务的角度来讲，应该将精力集中到那些能够减少灾难发生概率的环节上，而不是主要关心如何减少实际灾难造成的后果。这个阶段将制定减少灾难发生概率的措施。本阶段包括以下主要任务。①以下因素的全面安全评估：包括个人实践在内的业务和通信环境，物理安全，操作过程，备份和紧急计划，系统开发和维护，数据库安全，数据和语音通信安全，系统和访问控制安全，保险，安全计划和管理，应用控制和个人电脑。第17页共17页 厦门出入境检验检疫局备份与恢复管理制度②安全评估使得项目组能够改善现有的紧急应急计划和灾难防止措施，使之对现有的需求得到加强。③向指导委员会提供安全评估活动的内容和建议。④定义计划工作的范围。⑤提出有助于制定计划和维护的“灾难恢复计划和维护软件”的购买建议。⑥制定计划框架。⑦组建项目组并使得每个成员明确职责。（3）阶段三：业务影响分析对属于业务环境中的一部分业务单元进行业务影响分析，使得项目组能够标识关键系统、过程和功能，评估因系统及其他服务、设施的拒绝访问等偶发事件和灾难而造成的经济影响，正确估算业务单元拒绝访问的时间长度。业务影响分析报告应该呈交给筹划指导委员会。该报告应标识关键服务功能以及这些服务在中断多长时间内必须恢复的时限，还应作为标识系统和资源的基础，这些系统和资源能够为信息处理、其他服务和设施提供关键服务。（4）阶段四：定义详细的需求在本阶段中，要制定一个灾难恢复要求的特性资料。这个特性资料被用作分析灾难恢复替代策略的基础，并通过阶段三中的关键服务功能资源被标识制定出来。特性文件应能包括硬件（主机、数据、语音通信和个人电脑）、软件（厂商提供、自己开发等）、文件（用户、过程）、外部支持（公网、数据服务等）、设施（办公区、办公设备等）以及各业务单元的人力，并基于短期、中期和长期3个层面的考虑。（5）阶段五：定制计划在本阶段中，灾难恢复的组件被定义，计划被归档。本阶段也包括对用户过程变化的实施、升级现有的恢复策略及替代策略的数据处理过程、厂商合同谈判（灾难恢复服务的供应商）、灾难恢复项目组的角色和责任的定义。灾难恢复标准也在本阶段制定。（6）阶段六：测试/演习程序在本阶段中制定测试/演习计划、建立测试/演习的目标以及评价替代测试策略。应根据环境制定测试策略，并设计好一个能够进行的测试程序。（7）阶段七：维护程序计划的维护对一个实际灾难恢复的成功非常重要。计划必须反映出它所支持的环境变化。在一个灾难恢复计划中考虑环境的变化是很关键的。在那些管理没有变化的场合中，应建议加入环境变化因素。许多灾难恢复软件已考虑了这一点。⑻阶段八：启动计划测试和实现第17页共17页 厦门出入境检验检疫局备份与恢复管理制度 一旦计划已经制定，就要启动计划的测试，并根据对测试结果的分析，对计划做出必要的修改。这个阶段的具体活动如下：①定义测试目的/方法；②确定测试人员；③结构化测试；④实施测试；⑤分析测试结果；⑥根据需要修改计划。测试计划采用什么方式在很大程度上取决于满足灾难恢复要求的灾难恢复策赂的选择。随着灾难恢复策略定义的完成，具体的测试过程也应该明细化以确保计划文本的全面和精确。3.3.计划的范围和目标灾难恢复计划的主要目标是让组织能够在灾难中生存并继续正常的业务运作。为了生存，组织必须保证关键业务能够恢复并继续正常工作。通过灾难恢复工作，计划将确立明确的授权范围和工作优先级。紧急计划的关键目标如下：(1)发生灾难时为机房工作人员提供安全保障；(2)继续关键业务运作；(3)缩短业务和资源(信息处理和其他资源)被持续严重破坏的时间；(4)减少直接损害和损失；(5)建立管理的连续性并准备应急电源；(6)加强灾难恢复任务中的有效协调工作；(7)减少灾难恢复的难度；(8)标识关键业务的范围和支持功能。虽然大灾难发生的概率很小，但一旦发生，无论是在业务还是在公众形象方面，其后果都可能是灾难性的。因此管理要充分考虑灾难发生的潜在影响，将负责灾难恢复计划的责任分配给专职技术人员。管理者必须制定一个方案以满足下列目标：(1)确定容易导致数据中心和业务设施发生重大服务中断的薄弱点，并制定为减少中断概率和影响而采取的措施；(2)标识和分析经济、服务、公众形象以及数据中心和其他业务设施发生服务中断的潜在影响；(3)确定直接、间接和潜在的灾难恢复需求和资源要求；第17页共17页 厦门出入境检验检疫局备份与恢复管理制度(4)找出替代方案，并选择最有成效的方法以提供数据备份能力和及时恢复能力;(5)制定和实施紧急计划，解决数据中心和其他业务设施的现有和长期需求。项目的组织和人员安排项目及人员的组织安排为最有效地实施处理计划提供了最大程度的灵活性。灾难和业务恢复计划的实施是一个高复杂度和高劳动强度的过程，成功地制定和实施灾难恢复计划的关键因素是为灾难恢复及业务连续计划安排专门、全职的人员。灾难恢复计划应该被视为一个“活”的文档，信息处理和业务环境都是经常在变化的，而且越来越综合化、复杂化，灾难恢复计划必须跟上这些变化。如果组织想保证在这种环境中的灾难恢复能力的正确性，对计划的持续测试和演习就非常必要。组织还必须保证那些掌握灾难恢复技术的员工能很好地执行这些计划。如果没有全职的专业人员负责计划的维护、协调计划的各部分，没有做好充分的计划测试、人员培训、计划更新(以反映信息处理和业务环境的变化)等事务，那么灾难恢复工作是无法实现的。筹划指导委员会筹划指导委员会应该包括来自组织内务关键部门的代表。3.3・5项目组项目组的组成可能因环境和灾难恢复计划所针对的业务部门的不同而不同。计划针对的业务部门的经理应该负责他们各自计划的维护和测试。负责灾难恢复及计划实施的人员和部门应该在协调测试活动、修订和维护主要计划的过程中扮演重要角色。项目核心小组自然就是项目组的一部分，项目组还应该包含内部审计方面的人员。各部门可以选择各自领域的高级人员来代表他们加入到项目中，并在制定计划时发挥他们的专长。项目核心小组组成项目核心小组的成员包括项目经理、计算