业务连续管理与灾难备份是保险等金融行业信息安全的最后一道防线。中国的业务连续管理与灾难备份服务基本上从2005年开始得到了长足的发展,而且出现了如GDS万国数据这样已经达到国际水准的专业服务公司,完全可以满足本土的政府机构、行业用户等的需求。
我们从以下几个方面介绍专业的业务连续管理与灾难备份服务:
一、业务连续管理(BCM)方法论
业务连续性管理(Business Continuity Management,BCM),是一项综合管理流程,使企业认识到潜在的危机和相关影响,制订响应、业务和连续性的恢复计划,其总体目标在于提高企业的风险防范能力,有效地响应非计划的业务破坏并降低不良影响。
1、灾难恢复与业务管理体系
IT备份与恢复,包括灾难恢复资源、灾备中心运营管理和切换、重续运营与回退预案;
灾难恢复规划(DRP),包括业务影响风险分析、恢复策略与方案、业务恢复预案、人员架构组织保障;
业务连续规划(BCP),包括紧急事件应急响应管理、危机通讯和危机公关、灾难事件应急响应处理、供应链/关联单位危机管理;
业务连续管理(BCM),BCM关注的内容包括:如何确定关键业务面临的各种威胁?灾难恢复的业务需求是怎样的?如何制定基于业务的灾难恢复策略和恢复方案?事件发生后如何进行应急响应?如何判断是否需要启动灾难备份系统?如何进行恢复?如何进行危机公关和危机通信?如何演练灾难恢复预案?如何持续的维护BCM体系?通过灾难恢复行业的近30年发展,行业标准组织制定了BCM最佳实践的十个领域。
2、EAM企业连续运作实施方法论
EAM方法论是GDS万国数据专注于业务连续规划的最佳实践体系结晶,它为建立一套面向特定目标的业务连续规划提供了模块化、可扩展的方法,并且可以提高业务连续规划项目的工作效率及项目实施质量,通过开发与执行业务连续规划、构建安全可靠的基础设施、运用各种行业知识来持续不断地改进其解决方案。“企业级可用性方法论”共分为五个阶段:
启动阶段:分析评估(Evaluate),包括风险分析、业务影响分析;
阶段目标:灾难备份目标及需求
设计阶段:架构设计(Architect),包括策略制定、方案设计;
阶段目标:场景、策略及方案
实施阶段:开发实施(Implement),包括预案开发、制度制订;
阶段目标:实施计划、进度安排
投产阶段:启动管理(Activate),包括演练、预案评估;
阶段目标:流程、文档、恢复计划
转入维护阶段:后续维护(Sustain),包括维护、更新、培训;
阶段目标:更新维护、审核评估
3、基于质量目标的高可用性灾备中心服务
GDS万国数据的高可用性灾备中心有如下优势:通过国际和国内标准认证的基础设施环境,可以防范多种灾难性事件的最佳选址,拥有充足的业务恢复资源,通过ISO9001与ISO27001认证的专业IT服务能力,成功为多个客户提供等级五的灾难备份运营服务,已连续稳定运行 近70多个月,圆满完成多次测试和演练,经历了多次自然和人为的考验的等。这些优势也是国际标准的高可用性灾备中心所必备的。
二、专业灾备服务
在灾难备份或灾难恢复工作中,很多企业存在一个重大的误区:将灾难备份与恢复作为IT系统集成项目,只考虑到了IT信息系统的备份,但这仅是业务连续管理中的一个部分—其他如风险评估、业务影响分析、策略制订、应急管理、信息系统灾难恢复、业务恢复、危机公关、供应链管理等都是业务连续管理所涉及的范围,而恰恰是这些未被考虑的工作决定了灾难恢复的成败。
1、风险分析(RA):确定威胁、评估脆弱性、分析风险级别、开发控制手段、明确遗留风险等;
2、业务影响分析(BIA):分析业务功能及支持运作的资源、分析业务功能、资源的相互依赖性、评估业务中断所造成的影响、确定关键的业务功能、确业务恢复目标、确定关键业务恢复的资源条件等;
3、高可用性灾难恢复解决方案,适用于业务系统连续运营要求非常高的客户,客户IT系统的中断会对其业务造成重大的影响与损失,因此对RPO与RTO要求非常高。
根据灾难恢复建设中的七个关键要素:数据备份系统、备用数据处理系统、备用网络系
统、备用基础设施、技术支持能力、运行维护管理能力、灾难恢复预案,国家标准《信息系统灾难恢复规范》把信息系统灾难恢复分为六个等级:第1级 基本支持,第2级 备用场地支持,第3级 电子传输和部分设备支持,第4级 电子传输及完整设备支持,第5级 实时数据传输及完整设备支持,第6级 数据零丢失和远程集群支持。
为了帮助客户实现达标要求,GDS万国数据推出了针对六个等级的灾难恢复外包服务:
介质异地存储服务,机房基础设施服务,主机备份服务,远程再现数据备份及系统恢复服务,远程实时数据备份及系统恢复服务,远程集群高可用性服务。
三、灾难恢复资源获取方式和灾备中心运营管理制度制订
用户可根据自身实际情况,依据分析结论,选择切实可行的灾难恢复资源获取方式。
1、制定灾难恢复策略
灾难恢复资源:数据备份/备用处理能力、备用网络系统、备用基础设施资源、技术支持/运营维护、灾难恢复预案/演练
建设的参与方:包括金融监管机构、保险公司、外联单位、IT设备提供商、第三方灾备服务商
2、资源获取方式
数据备份/处理能力,自行采购、与供应商签定紧急供货协议、自行租赁;
外包,备用网络系统、自行建设、租用运营商线路;
备用基础设施资源,自行建设、租赁商业化运作的商业机构场地;
技术支持/运营维护,自建灾备中心运营维护队伍、第三方专业的灾备中心运营维护服务;
灾难恢复预案,自行组织进行灾难恢复预案件的开发工作、委托第三方专业灾备咨询和实施服务提供商。
3、灾备中心运营管理制度制订
运营管理:灾备中心管理、操作管理、变更管理、安全管理、问题管理、应急管理、演练管理、SLA管理等。
4、灾备中心运营管理体系ITIL
灾备中心运营管理:响应度(Responsibility)、可用性(Availability)、可靠性(Reliability)
Service Delivery & Service Support:服务人员、服务接口、服务内容、服务流程
5、灾难恢复演练
演练与测评:定义演练场景和目标、制订演练计划、演练前培训、执行场景演练、记录结果、评估与更新等。
演练内容:演练准备,协助确定演练策略方针、协助制订演练实施方案、协助制订演练工作计划、协助制订演练记录、参与演练前工作会议、培训演练参与人员;演练实施,演练环境检查审核工作、演练实施过程现场审核、演练中应急指导;演练评估,提供对演练结果的评估和总结报告、对业务连续性计划文档的审核修订、对运营管理流程等文档的审核修订 。
四、GDS万国数据国内领先的的成功实践
GDS万国数据成立于2000年,2001年在深圳建立了国内第一个达到国际标准的专业化灾难备份中心,也是国内第一家为政府机构、银行、保险、基金、证券、物流等行业客户提供咨询或外包专业服务的提供商。GDS万国数据作为起草单位,参与了国信办《重要信息系统灾难恢复指南》的编写,《指南》已于2007年7月正式升级为国家标准《信息系统灾难恢复规范》,《规范》将于2007年11月1日开始正式实施。
GDS服务的客户有:首创安泰、丰泰保险、中英人寿;国家开发银行、建设银行、深圳发展银行、广东发展银行、交通银行、华夏银行、光大银行、台州商行;海富通基金、国泰基金、银河证券;北京市政府、上海市政府、广州市政府、深圳市政府、国家税务总局、商务部中国国际电子商务中心等。
