内容简介
中国石油天然气集团公司企业标准Q/SY 1332—2010
信息系统灾难恢复管理规范
Specifications for information system disaster management
2010一0801实施
2010—05—25发布
中国石油天然气集团公司 发布 目 次
1
前言
范围 2 规范性引用文件 3术语和定义 4 灾难恢复的组织机构 4.1综述 4.2构成及职责 5灾难恢复需求分析 5.1风险分析 5.2 业务影响分析 5.3 确定灾难恢复需求 6灾难恢复策略制定 6.1灾难恢复能力等级 6.2 灾难备份中心布局 6.3 灾难备份中心建设模式 6.4对灾难备份中心的要求 7灾难备份中心运行维护 7.1运行维护目的 7. 2 运行维护内容 7. 3 运行维护管理信息系统
1
.
.
灾难恢复预案的演练
.
7. 4
8灾难恢复预案 8. 1 预案的目的 8.2 预案的制定 8.3 预案的管理
人
应急响应和灾难恢复 9. 1 应急响应流程 9. 2 灾难恢复流程· 9.3 重建与回退…· 10演练及培训 10.1灾难恢复演练 10.2认知与培训附录A(资料性附件) 灾难恢复预案框架参考文献
9
(
11 11 2
..
16 前言
本标准是中国石油天然气集团公司信息标准体系管理与服务规范系列标准之本标准的附录A为资料性附录。 本标准由中国石油天然气集团公司信息技术专业标准化技术委员会提出并归口。
本标准起草单位:中国石油集团东方地球物理勘探有限责任公司。 本标准主要起草人:周晓松、冯梅、王雨、李闻喜、胡革强、辛麒、于普漪、徐刚、颜伟海、李
颖琦、秦侃、魏占玲。 信息系统灾难恢复管理规范
1范围
本标准规定了信息系统灾难恢复系统建设、运行过程中应遵守的基本要求。 本标准适用于中国石油天然气集团公司(以下简称“中国石油")总部及所属各企事业单位信息
系统灾难恢复的规划、审批、实施和管理。 2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T20984—2007信息安全技术信息安全风险评估规范 GB/T20988—2007信息安全技术信息系统灾难恢复规范
3术语和定义
下列术语和定义适用于本标准。
3.1
灾难 disaster 由于人为或自然的原因,造成信息系统运行严重故障或瘫痪,使信息系统支持的业务功能停顿或
服务水平不可接受、达到特定的时间的突发性事件,通常导致信息系统需要切换到备用场地运行。
[GB/T20988—2007,定义3.8]
3.2
灾难恢复( disaster recovery (DR) 为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从
灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
[GB/T20988—2007,定义3.9]
3.3
灾难恢复规划disaster recoverplanning (DRP) 为了减少灾难带来的损失和保证信息系统所支持的关键业务功能,在灾难发生后能及时恢复和继
续运作,所做的事前计划和安排。
[GB/T20988—2007,定义3.11]
3.4
业务影响分析 T business impact analysis (BIA) 分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能影响的过程。 [GB/T20988—2007,定义3.5] 恢复时间目标recovery time objective (RTO) 灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。 [GB/T20988—2007,定义3.18]
3.5 3.6
恢复点目标recovery point objective(RPO) 灾难发生后,系统和数据应恢复到的时间点要求。 [GB/T20988—2007,定义3.19] 关键业务功能 critical business functions 如果中断一定时间,将显著影响业务运作的服务或职能。 [GB/T20988—2007,定义3.6] 信息系统information system 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息
3.7
3.8
进行采集、加工、存储、传输、检索等处理的人机系统。
[GB/Z20986—2007,定义2.1]
3.9
生产系统production system 支持企业日常业务运作的信息系统,包括生产数据、生产数据处理系统、生产数据存储系统和生
产网络系统。
[GB/T20988—2007,定义3.16] 3.10
生产中心production site 生产系统提供运行环境的数据中心,也称为主中心。 [[GB/T20988—2007,定义3.15]
3.11
灾难备份中心alternate site 用于灾难发生后,接替生产中心进行数据处理和支持关键业务功能运作的数据中心,包括备用数
据处理中心、备用的工作环境、备用生活设施和技术支持及运行管理人员。
[GB/T20988—2007,定义3.1] 3.12
灾难备份backupfordisasterrecovery 为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进
行备份的过程。
[GB/T20988—2007,定义3.2] 3.13
灾难备份系统backup systemfor disaster recovery 用于灾难恢复目的,由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统。
[GB/T20988—2007,定义3.3] 3.14
数据备份策略databackupstrategy 为了达到数据恢复和重建目标所确定的备份步骤和行为。通过确定备份时间、技术、介质和场外
存放方式,以保证达到恢复点目标(RPO)和恢复时间目标(RTO)。
[GB/T20988—2007,定义3.7] 3.15
灾难恢复预案 disaster recovery plan 定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件,用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。
[GB/T20988—2007,定义3.10] 3.16
业务连续性规划business continuity planning (BCP) 灾难事故的预防和响应机制,是一系列事先制定的策略和规划,确保组织在面临突发的灾难事故
时,关键业务功能能持续运作、有效地发挥作用,以保证业务的正常和连续。业务连续性规划不仅仅包括对信息系统的恢复,而且包括关键业务运作、人员及其他重要资源等的恢复和持续,以保证业务的持续运作。 3.17
演练 exercise 用于训练人员和提高灾难恢复能力的活动,包括桌面演练、模拟演练、操作演练和演习等。 GB/T20988—2007,定义3.13]
4灾难恢复的组织机构 4.1综述
信息系统的使用或管理单位应结合企业安全生产和信息化情况建立灾难恢复组织机构,并明确其职责。其中一些人员可以负责两种或多种职责,对于关键岗位可由多人担任(灾难恢复预案中应明确他们的替代顺序)。 4.2构成及职责 4.2.1决策层
决策层应包括单位高层管理者,负责灾难恢复工作的重大决策,并对灾难恢复工作的成效负有最终责任,职责包括:
a)确定灾难恢复战略目标,确保灾难恢复工作与单位的整体经营目标、风险管理战略和资源条
件保持一致。 b)审核并批准灾难恢复策略。 c)审核并批准灾难恢复经费预算。 d)审核并批准灾难备份设施建设。 e)审核并批准灾难恢复预案。 f)决策应急响应与恢复重大事宜。 g)批准启动灾难恢复预案。 h)审核批准对外情况通报和信息发布。 i)审核批准生产中心、生产系统的重建和回退。
4.2.2管理层
管理层在决策层指挥下,负责灾难恢复工作的管理和协调工作。管理层应包括以下工作领域的主要负责人:
a)业务和管理。 b)信息技术。 c)行政后勤。 d)公关和媒体。 e)审计监督。 其职责包括: a)组织制定灾难恢复策略。 b)编制灾难恢复经费预算。 c)组织制定灾难恢复预案与预案的测试、演练。 d)协调内外部灾难恢复资源。 e)指挥和协调应急响应工作。 f)指挥和协调信息系统恢复工作。 g)指挥和协调业务恢复工作。 h)指挥和协调重建和回退工作 i)负责内部情况通报、沟通和汇报。 i)外部机构协调和沟通。 k)组织后勤保障和资源。 1)组织和管理媒体公关工作。 m)监督、检查和总结灾难恢复工作。
4.2.3执行层
执行层在决策层和管理层的领导下,负责灾难恢复的具体实施工作,人员包括: a)涉及灾难恢复工作的业务、技术和行政后勤等部门工作人员。 b)为灾难恢复提供产品、技术、服务、管理和决策支持的外部机构人员,包括专业咨询公司、
专家、产品和服务提供商、系统集成商、电信服务供应商等团队的成员。 其职责包括: a)提出灾难恢复需求和策略建议。 b)实施灾难备份系统的建设。 c)灾难备份系统的运行维护和技术支持。 d)实施灾难恢复预案的开发、演练和维护。 e)应急响应的预警和报告。 f)灾难抢修和拯救、损害评估。 g)灾难恢复操作。 h)应用和业务恢复。 i)资源保障和供应。 i)业务操作和客户服务。 k)生产系统恢复、重建和回退。
5灾难恢复需求分析 5.1风险分析 5.1.1分析目标
应针对信息系统资产,包括机房场地、系统、网络、应用等运行环境,对其运行状况评估,识别潜在的会造成信息系统重大故障甚至瘫痪的风险,依据防范或控制风险的可行性,采取相应的风险管控措施,提高风险抵御能力。 5.1.2分析范围
应根据信息系统部署的范围和特点,识别信息系统资产,分析影响其正常运行的风险因素,包括:
a)各种区域性的自然灾难,如洪水、地震、暴风雪、流行病等。 b)人为事故或蓄意破坏造成的严重灾难,如大规模断电、火灾、恐怖袭击等。 c)安全威胁、硬件、网络或通信故障。 d)灾难性的应用系统错误。 e)其他会造成信息系统中断的风险因素。 5.1.3分析方法
按GB/T20984—2007中第4章的规定执行。 5.1.4分析结论
风险分析结论应包括: a)确定信息系统资产所面临的风险。 b)评估风险发生的可能性。 c)评估风险发生后造成的损失。 d)已采取的风险防范措施评估。 e)对可采用的风险控制措施提出建议等。
5.1.5风险应对策略
应根据风险分析的结论、风险发生的概率和可能造成的损失、评估风险可接受的程度,确定风险应对策略:
a)风险应对:针对不可接受的风险,按照灾难恢复资源的成本与风险可能造成的损失之间取得
平衡的原则(以下简称“成本风险平衡原则”),评估风险防范安全措施的可行性和效率,确定风险防范的安全措施(例如建同城或异地灾难备份系统,采用灾难恢复预案等措施)。
b)风险接受:应在实施安全措施的基础上,确定信息系统的残余风险。应充分考虑残余风险导
致的灾难事件可能发生在最不利的时间和地点,以及影响范围的广泛性。
5.1.6周期性要求
应每年进行一次风险评估工作,通过风险评估分析,发现安全风险、采取控制措施、完善组织的安全管理体系。当出现以下情况,可重新开展风险评估工作。
a)数据中心机房环境发生重大变化。 b)重要的业务流程变更。 c)重要的机构变更。 d)重要的信息系统需求变更。 e)关键部门人员变更。 f)其他认为有必要的情况。
5.2业务影响分析 5.2.1分析目标
应针对信息系统所支持的业务功能进行影响分析,识别信息系统中断可能会造成的影响,以确定灾难恢复的需求。 5.2.2分析范围
应针对信息系统支持的业务功能进行影响分析,包括: a)业务功能的基本情况、职能和流程等相关信息。 b)业务功能的政策法规要求。 c)业务服务范围,涉及到的内部或外部机构、用户等范围。 d)数据集中程度,集中与分布情况、地域分布等。 e)时间敏感性,实时与非实时业务、业务运行时段和用户使用的频度。 f)业务功能关联性,与其他业务功能之间的关联程度。
5.2.3分析方法
a)定量分析:对于财务方面的影响,可使用定量分析的方法,评估业务功能中断可能造成的直
接经济损失和间接经济损失,主要包括: 1)直接经济损失,如资产损失、收人损失、额外费用增加、财务处罚等;