1、文件密级:内部使用潍坊中财信科技有限公司信息技术服务管理体系IT 服务连续性流程管理办法文件编号:SM-02002本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属本公司所有,受到有关产权及版权法保护。任何个人、机构未经本公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。大江网络信息技术服务管理体系文件 IT 服务连续性流程管理办法1. 分发控制读者 文档权限 说明公司内部员工 只读2. 文件版本信息版本号 修订 变更描述 日期 审核 批准V1.0 编写组 全文 201311213. 文件版本信息说明文件版本信息记录本文件提交时的当前有效的
2、版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于 1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。大江网络信息技术服务管理体系文件 IT 服务连续性流程管理办法目 录1. 概述 .11.1. 目标 11.2. 范围 11.2.1. 流程适用范围 11.2.2. 流程管理范围 12. 角色和职责 .22.1. 服务连续性管理流程负责人 22.2. 连续性经理 22.3. 连续性管理维护人 23. 输入 .34. 输出 .35. 流程描述 .35.1. 连续性管理流程 35.2. 演练工作管理流程 46. 关键绩效指标(KPI) 67. 流程质量控制 .68.
3、与其它流程的接口 .79. 术语定义 .710. 附则 .8潍坊中财信服务管理体系文件 IT 服务连续性流程管理办法文件密级:内部使用 第 1 页 共 8 页1. 概述1.1.目标业务连续性管理通过风险分析和管理确保组织在任何时候都具备最低要求的开发能力和服务供应。其目标是确保向顾客承诺的服务在任何情况下都能得到满足。信息技术服务持续性管理是应对影响信息技术服务运作的灾难并维护信息技术服务以支持业务的持续运作的流程。服务连续性管理流程的主要步骤包括:1) 能有效管理组织中基于服务级别的关键业务的连续性;2) 实施基于关键业务需求制定的有效的连续性管理计划;3) 当灾难发生时能以最快速度恢复正常
4、业务;4) 实施危险降低措施以降低业务中断所造成的损失。1.2.范围1.2.1. 流程适用范围本流程适用于潍坊中财信科技有限公司(以下简称“公司” )相关部门。1.2.2. 流程管理范围范围内 业务影响度分析 支持业务的关键业务单元 设计开发灾难恢复预案 设计开发灾难恢复演练 灾难风险的缓解和避免 风险和威胁的识别,评估,管理(执行信息安全管理体系文件要求) 业务连续性管理的持续改进以及测试范围外 未上线的信息系统建设 日常的技术测试训练潍坊中财信服务管理体系文件 IT 服务连续性流程管理办法文件密级:内部使用 第 2 页 共 8 页2. 角色和职责可管理流程涉及的角色包括:服务连续性管理流程
5、负责人、服务连续性经理、服务连续性管理维护人等。服务连续性管理流程负责人和服务连续性经理可以由同一人担任。各角色职责如下:2.1.服务连续性管理流程负责人服务连续性管理流程负责人从宏观上对流程运行情况进行监控,确保连续性管理流程在各部门间被正确的执行。当流程不能够适应公司实际情况和服务连续性要求时,流程负责人必须启动分析研究,找到解决方案并进行改进,实现流程的稳定运行和可持续提高。具体职责包括:1)确定服务连续性管理流程的衡量指标;2)确保连续性管理流程能够取得管理层的参与和支持;3)确保连续性管理流程符合公司实际状况和公司 IT 发展战略;4)总体上管理和监控流程,建立连续性管理流程实施、评
6、估和持续优化机制;5)确保连续性管理流程有效、正确地执行,当流程不能够适应公司的情况时,必须及时进行分析、找出缺陷、进行改进,从而实现可持续提高;6)保持与其他流程负责人的定期沟通。2.2.连续性经理1) 组织进行风险和灾难规避评估;2) 组织进行业务影响度分析;3) 承担突发事件应急指挥;4) 牵头确定和建设服务连续性恢复方案;5) 牵头组织连续性和灾难恢复,设计开发关键系统的灾难恢复预案;6) 根据连续性和灾难恢复预案,牵头组织演练工作;7) 监控连续性管理的持续改进。8) 负责流程运行质量的监控管理,向公司负责,2.3.连续性管理维护人1) 服务连续性计划的制定;潍坊中财信服务管理体系文
7、件 IT 服务连续性流程管理办法文件密级:内部使用 第 3 页 共 8 页2) 参与业务影响度分析工作;3) 汇总灾难恢复预案,定期整理并维护预案库;4) 汇总并维护灾难恢复演练计划;5) 定期生成灾难恢复演练工作月度报告。6) 负责对处置工作的关键部门和人员的沟通和联系;7) 负责跟踪和反馈突发事件处置工作的关键流程,全面收集和整理事件处理过程的信息,为突发事件应急指挥组提供全面信息支持。3. 输入编号 输入项 来源 周期1. 服务级别需求 服务级别协议 一年2. 业务恢复需求 服务级别协议 一年3. 风险评估 信息安全管理体系 一年4. 服务级别和业务影响度的变更 变更管理 不定期4. 输
8、出编号 输出项 去向 周期1. 风险评估和业务影响度分析报告 业务关系管理变更管理 一年2. 灾难恢复预案 半年3. 灾难恢复演练 半年5. 流程描述5.1.连续性管理流程项目 输入 步骤描述 输出1.进行风险和灾难规避评估输入:风险和威胁/历史数据/当前环境/当前的策略/流程/程序根据现状和业务特点,全面识别和分析风险因素,分析风险发生的可能性。根据风险的来源和可控程度对风险因素进行分类分析,识别信息系统面临的自然和人为的威胁,识别信息系统的脆弱性。根据风险范围和影响的严重程度以及风险发生概率,评估风险可接受的程度。风险评估报告潍坊中财信服务管理体系文件 IT 服务连续性流程管理办法文件密级
9、:内部使用 第 4 页 共 8 页项目 输入 步骤描述 输出2.进行业务影响度分析风险分析评估报告结合风险分析结果和中断损失影响程度,确定各业务功能对恢复时间的敏感程度要求。根据业务恢复需求和业务功能的相互依赖关系和程度,确定系统的恢复顺序。关键系统、业务中断损失和恢复优先级3.确定整体恢复策略关键系统、业务中断损失和恢复优先级根据关键系统、业务中断损失和恢复优先级,确定信息系统应急恢复的 RTO、RPO 技术指标,并确定整体恢复策略。整体恢复策略4.确定和建设业务连续性恢复方案整体恢复策略根据整体恢复策略,确定和建设业务连续性恢复方案。并对连续性计划进行测试,并记录所有的连续性测试,测试失效
10、之处应在行动计划中明确描述。每年进行业务连续性恢复方案评审。当业务环境发生重大变更时,应重新测试服务连续性计划。业务连续性恢复方案5.设计开发连续性及灾难恢复预案连续性和灾难恢复小组、业务连续性恢复方案连续性和灾难恢复小组根据业务连续性恢复方案,设计开发出灾难恢复预案。灾难恢复预案6.根据连续性和灾难恢复预案进行演练灾难恢复预案根据开发的关键系统灾难恢复预案,组织进行相应的应急演练,使相关人员熟悉连续性管理的流程与环节,并检测预案的可行性和有效性。演练报告7.连续性和灾难恢复预案维护灾难恢复预案、演练报告定期对预案进行内部检查,发现问题或所涉及的内容发生变化后需要立即更新。此外,每次演练后发现
11、预案中存在与实际情况不符的情况,需要在演练结束后立即更新。灾难恢复预案5.2.演练工作管理流程演练工作应明确制定演练对象。演练对象可以是应急预案、项目实施方案、技术方案、业务方案,也可以是日常惯例流程和操作、组织管理应变能力等。在组织实施每次演练工作时,建议遵循以下演练管理流程: (一) 设计演练项目1) 确定演练的对象和范围;2) 循序渐进、有针对性的制定本次演练目标;潍坊中财信服务管理体系文件 IT 服务连续性流程管理办法文件密级:内部使用 第 5 页 共 8 页3) 确定演练参与部门和人员范围;4) 确定演练时间;5) 确定组织机构职责;6) 确定演练的类型(桌面/模拟/预案/场景/实战
12、/局部,预先通知/非预先通知);7) 定义演练的评估标准;8) 制定演练风险控制方案,包括紧急终止/退出的流程和可能风险的应急防范办法;(二) 制定场景计划1) 根据演练目标制定演练场景的背景和过程;2) 制定场景计划检查要点;3) 制定逐步展开的进度表;4) 设定实现的时间尺度;(三) 动员和推进演练开展1) 确定所有参与者的角色和责任;2) 根据演练类型向相关部门人员发布通知和具体要求,通过培训保证参与者事先掌握必要的技能和知识;3) 提供演练所需的项目清单和演练环境(包括:设备、场所、系统环境、应用环境等)的规格说明;4) 根据演练类型提供演练计划并将其分发给所有的参与人员。(四) 执行
13、演练1) 各相关部门人员按照如计划执行演练;2) 记录、跟踪演练活动,并提供报告;3) 管理演练流程的执行质量;4) 监控演练过程的风险,必要时执行演练紧急终止/退出的流程和可能风险的应急防范措施。(五) 演练总结潍坊中财信服务管理体系文件 IT 服务连续性流程管理办法文件密级:内部使用 第 6 页 共 8 页1) 召开总结会检查演练的结果,审核演练目标和结果与策略目标是否达成一致;2) 确定预案和方案是否满足恢复的要求;3) 检查各操作流程的完成情况,检查行动的时间进度;4) 评估演练的操作和业务规程的适当性;5) 对所存在的薄弱环节提出改进建议;6) 编写包含以上内容的总结报告 ,并报送公
14、司相关部门备案。(六) 预案和方案的改进和发布1) 演练资料归档;2) 执行预案和方案的修订流程,完成预案和方案的修订工作;3) 发布新版本的应急管理预案并进行版本控制。6. 关键绩效指标(KPI)IT 服务连续性管理的可选指标包括:绩效指标 目标值 衡量方式 报告周期 负责人RTO 达成率 2 小时 年度评审 一年 连续性经理RPO 达成率 0.5 小时 年度评审 一年 连续性经理演练和预案的匹配度 95% 年度评审 半年 连续性经理7. 流程质量控制质量控制流程计划 ( P l a n ) 执行 ( D o ) 检查 ( C h e c k )流程经理1 .现有流程评估5 .回顾2 .制定
15、改进计划3 .审批改进计划4 .执行改进计划持续改进 ( A c t )步骤 输入 步骤描述 输出 负责人潍坊中财信服务管理体系文件 IT 服务连续性流程管理办法文件密级:内部使用 第 7 页 共 8 页步骤 输入 步骤描述 输出 负责人1. 现有流程评估服务连续性计划1. 回顾连续性管理流程的设计,执行是否是有效以及高效的,定期进行整体流程改进评估。差距分析报告连续性经理2. 制定改进计划差异分析报告业务需求事项流程改进计划应包括: 流程定义及改善点; 需求的变化; 可能造成的影响以及其他外部因素; 测试和培训计划; 连续性计划应该是一套文档化的可执行的文件。改进计划 连续性经理3. 执行改
16、进计划被批准的改进计划 协调执行改进计划。改进计划被执行连续性经理4. 对改进进行回顾执行的改进措施对改进计划的执行进行监控,并保证改进不对现有流程造成中断。通过不断的监控和回顾保证流程改进计划得以成功执行。改进措施得到实施连续性经理5. 改进计划的升级流程改进计划根据业务和实际运营需要对流程改进和升级。升级流程改进计划连续性经理8. 与其它流程的接口连续性管理可用性管理服务级别管理容量管理信息安全管理财务管理配置管理I T 架构服务计划变更管理可 用 性 要 求 服 务 级 别 协 议性 能 数 据安 全 需 求成 本 分 析持 续 性 需 求基 线 备 份I T 架 构连 续 性分 析连
17、续 性 计 划设 计 反 馈外 部 设 计 规 范9. 术语定义术语 定义RTO 恢复时间目标(Recovery Time Objective) ,即灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。潍坊中财信服务管理体系文件 IT 服务连续性流程管理办法文件密级:内部使用 第 8 页 共 8 页RPO 恢复点目标(Recovery Point Objective) ,即灾难发生后,系统和数据必须恢复到的时间点要求。连续性指标 同可用性指标,具体计算公式见服务级别协议 。RTO 达成率 所有服务级别协议中涉及系统的 RTO 达成比率。RPO 达成率 所有服务级别协议中涉及系统的 RPO 达成比率。演练和预案的匹配度 基于预案的演练比率。10.附则1. 本管理办法由技术部负责组织制定、解释和修改,各部门可根据本规定制定相应的实施细则。2. 本管理办法自印发之日起实行。3. 相关文件:信息技术服务管理手册信息技术服务管理策略服务级别流程管理办法记录控制管理规定4. 相关时间要求:管理办法中规定的“每月”为每月 10 号前;管理办法中规定的“每季度”为每季度第一个月 10 号前;管理办法中规定的“每半年”为每半年度第一个月 15 号前;管理办法中规定的“每年”为每自然年度第一个月 20 号前;如遇节假日可顺延。
