论文部分内容阅读
信息丢失、系统宕机等是企业目前可能面临的重大灾难。本文以摩托罗拉为例,来深刻剖析企业信息系统的DRP
(Disaster Recovery Plan,灾难恢复计划)。
现实表明,传统的风险管理意识和经验已经不能应对信息化时代出现的新威胁和新挑战,企业需要更新的风险意识和风险管理知识,需要开发并综合应用各种新的计划、组织流程和降低风险的技术方案。在新的风险和威胁挑战的推动下,业务连续性管理计划(BCP,Business Continuity Plan)、危机管理计划(CMP,Crisis Management Plan)和灾难恢复计划(DRP)应运而生。
摩托罗拉公司在上个世纪后20年的全球化生产和商业活动中已经充分认识到业务连续性管理的重要性,从公司战略、政策、组织和战术流程等各个层面在全球建立、推广和执行业务连续性计划,危机管理计划和灾难恢复计划。公司已经建立了一整套符合相关法律法规要求的风险管理体系,并在全球供应链生产管理和市场营销管理活动中成功应用。
设立专业职能小组
首先,把风险管理提高到战略高度,公司《内部控制标准》中对BCP、CMP和DRP都作了明确的定义,以公司基本政策的形式做出清楚的管理层承诺。
公司要求在达到或超过100名员工的地区和办公运营场所必须遵照标准操作流程和指南建立并实施BCP和CMP管理,建立相应的危机管理队伍,选定代表联络人,这个人的职责包括:
负责本地的年度风险评估;
参照事业部制定的统一计划模板制定计划;
定期培训、评审、测试计划;
在危机发生时负责计划的启动、执行;
危机发生后,进行事后总结、评估、整改计划;
负责对上一级风险管理组织的汇报和协调。
公司在全球事业部组织层面上设立了相应的BCP、CMP专业职能部门,统一制定标准框架、参考计划流程、计划文档样板、关键任务模板,制定并执行长期性的培训计划,负责企业层面、跨部门地区的事务协调,管理企业级核心流程计划的测试,并负责可能造成企业级影响安全事件的监控及响应处置等。
公司在基本法《内部控制标准》中对信息系统控制要求作了明确定义,IT部门作为公司关键业务流程服务的提供者,必须和信息系统所支持的业务部门及业务系统所有人一起负责信息系统和数据中心的业务影响评估(BIA, Business Impact Analysis),制定、维护、测试和执行DRP计划。
IT部门在公司全球信息系统安全部门内建立了专业的职能小组,命名为企业柔性管理办公室(ERO,Enterprise Resiliency Office),负责IT DRP标准和框架的制定,指导IT部门DRP策略定义和DRP计划制定,指导信息系统DRP与核心业务流程BCP、 CMP的衔接与集成,并负责与管理BCP、CMP职能部门的组织和协调,向公司最高层领导报告存在的问题和改进建议。企业柔性管理办公室向公司首席信息安全官报告工作。
生命周期持续方案
作为上市公司,摩托罗拉需要满足业务经营所在国家和地区的各种法律和法规的监管要求,如萨班斯法案。其中很多法规都对IT系统的数据备份和信息系统的DRP管理有明确的规定。由此,公司面临严格的定期外部审计,必须能够通过相关系统性的审计检验和测试,并提供完整的证据,表明公司符合相关法律规定。
公司IT内部ERO部门在长期实践,并参考业界最佳经验的基础上,如BS/ISO 17799、BS 25999等,逐步形成了完整的DRP管理框架体系。针对IT应用系统和数据中心的DRP计划,在业务影响评估,DRP创建、维护、测试,关键定量管理指标的考校等方面都制定了系列政策、框架文件、技术指南、标准操作规程等,并融入生命周期持续改进循环内,整个生命周期如附图所示。
DRP战术流程标准化
为了便于培训、普及、推广和保证易用,公司ERO部门制定了大量DRP技术标准指南和计划文档模板,保证了DRP在编写、测试、实施和维护过程的一致性和标准化。
一、根据行业标准,在业务影响性分析报告模板中对风险可能造成的损失尽可能量化,从而能够为业务部门管理层提供具有统一标准衡量尺度的风险指示(见表1),方便管理层理解和平衡风险,并从投入产出的角度选择灾难恢复策略。
二、由于公司内部存在大量的IT系统,为了区分轻重缓急和保证合理分配公司IT资源,本着分而治之的原则,ERO部门制定了应用系统分级标准,根据系统业务影响分析报告中的系统恢复时间目标(Recovery Time Objective,RTO),把应用系统分为0~3级,并根据现有IT水平给出每类系统的灾难恢复策略的建议方案(见表2)。
三、根据IT应用系统分级,在灾难恢复计划框架中定义统一的系统DRP测试要求,测试种类分为:
基础测试:包括计划的评审,桌面演练,关注于计划本身的完整性和相关人员对恢复流程的熟悉程度,所有DR(数据恢复)分类为三级的IT系统必须每3年进行至少一次基础测试;
中级测试:灾难恢复计划的模拟演练,关注于计划操作的有效性,所有DR分类为二级的IT系统必须每2年至少进行一次中级测试。
高级测试Ⅰ:并行或迁移测试,关注于实际数据恢复的有效性,确认RTO(Recovery Time Objective)和RPO(Recovery Point Objective)是否在测试中成功达到,所有DR分类为一级或零级的IT系统必须每年至少进行一次高级测试Ⅰ。
高级测试Ⅱ:完全业务中断测试,关注于备份场所处理能力的有效性,确认RTO和RPO是否在测试中成功达到,所有DR分类为一级或零级的IT系统必须每年至少进行一次高级测试Ⅱ。
四、采用业界领先的专用災难恢复计划管理系统LDRPS (Living Disaster Recovery Planning System),提供统一、可重用和可灵活自定义的DRP模板、关键任务流程样板和其他在灾难恢复计划管理寿命中期各种不同角色和人员需要使用的管理维护功能模块,相比与传统Office手工文档模板,能够帮助DRP的计划人员以更高效、更经济和人机界面更友好的方式创建、维护IT系统和数据中心的灾难恢复计划,极大地改善和提高IT人员和业务部门对灾难恢复计划工作支持的积极性。
通常一个完整的IT部门应用系统的DRP文件包含如下内容:
1)计划的综述;
2)灾难的发布职责和计划的启动流程;
3)各职能组成员组成及其承担的任务;
4)通信;
5)备份场所和恢复策略;
6)应用系统的关联性;
7)恢复流程描述;
8)计划的测试;
9)计划的日常维护;
10)软件清单;
11)硬件清单;
12)其他设备清单;
13)重要记录。
五、对灾难恢复计划管理工作的考核指标定量化,通过直接在专用灾难恢复计划专用管理系统LDRPS中预定义数量型的管理考核指标,公司IT领导能够随时了解全部IT系统和数据中心灾难恢复计划的制定进度,与公司灾难恢复计划框架标准的符合性,和所有计划的测试状态、更新状态等,及时发现各种可能的偏差和不足。
六、公司在全球范围内对灾难和IT系统服务中断事件进行7×24小时不间断监控,从而能够在IT系统灾难和服务中断发生的第一时间发起响应。公司还部署了全球统一的应急通信系统工具,能够自动按照灾难恢复计划中记录的联络人联络方式和联络顺序,迅速、及时、准确地把灾难应急响应指令和相关信息发送给可能位于全球不同国家地区的灾难响应小组成员。系统具备实时处理突发性大流量信息的能力,保证在灾难发生情况下的通信顺畅、灾难恢复计划的启动和执行。同时,在年度IT系统DRP测试中,公司要求必须使用该系统进行IT系统DRP联络人通信测试。
(Disaster Recovery Plan,灾难恢复计划)。
现实表明,传统的风险管理意识和经验已经不能应对信息化时代出现的新威胁和新挑战,企业需要更新的风险意识和风险管理知识,需要开发并综合应用各种新的计划、组织流程和降低风险的技术方案。在新的风险和威胁挑战的推动下,业务连续性管理计划(BCP,Business Continuity Plan)、危机管理计划(CMP,Crisis Management Plan)和灾难恢复计划(DRP)应运而生。
摩托罗拉公司在上个世纪后20年的全球化生产和商业活动中已经充分认识到业务连续性管理的重要性,从公司战略、政策、组织和战术流程等各个层面在全球建立、推广和执行业务连续性计划,危机管理计划和灾难恢复计划。公司已经建立了一整套符合相关法律法规要求的风险管理体系,并在全球供应链生产管理和市场营销管理活动中成功应用。
设立专业职能小组
首先,把风险管理提高到战略高度,公司《内部控制标准》中对BCP、CMP和DRP都作了明确的定义,以公司基本政策的形式做出清楚的管理层承诺。
公司要求在达到或超过100名员工的地区和办公运营场所必须遵照标准操作流程和指南建立并实施BCP和CMP管理,建立相应的危机管理队伍,选定代表联络人,这个人的职责包括:
负责本地的年度风险评估;
参照事业部制定的统一计划模板制定计划;
定期培训、评审、测试计划;
在危机发生时负责计划的启动、执行;
危机发生后,进行事后总结、评估、整改计划;
负责对上一级风险管理组织的汇报和协调。
公司在全球事业部组织层面上设立了相应的BCP、CMP专业职能部门,统一制定标准框架、参考计划流程、计划文档样板、关键任务模板,制定并执行长期性的培训计划,负责企业层面、跨部门地区的事务协调,管理企业级核心流程计划的测试,并负责可能造成企业级影响安全事件的监控及响应处置等。
公司在基本法《内部控制标准》中对信息系统控制要求作了明确定义,IT部门作为公司关键业务流程服务的提供者,必须和信息系统所支持的业务部门及业务系统所有人一起负责信息系统和数据中心的业务影响评估(BIA, Business Impact Analysis),制定、维护、测试和执行DRP计划。
IT部门在公司全球信息系统安全部门内建立了专业的职能小组,命名为企业柔性管理办公室(ERO,Enterprise Resiliency Office),负责IT DRP标准和框架的制定,指导IT部门DRP策略定义和DRP计划制定,指导信息系统DRP与核心业务流程BCP、 CMP的衔接与集成,并负责与管理BCP、CMP职能部门的组织和协调,向公司最高层领导报告存在的问题和改进建议。企业柔性管理办公室向公司首席信息安全官报告工作。
生命周期持续方案
作为上市公司,摩托罗拉需要满足业务经营所在国家和地区的各种法律和法规的监管要求,如萨班斯法案。其中很多法规都对IT系统的数据备份和信息系统的DRP管理有明确的规定。由此,公司面临严格的定期外部审计,必须能够通过相关系统性的审计检验和测试,并提供完整的证据,表明公司符合相关法律规定。
公司IT内部ERO部门在长期实践,并参考业界最佳经验的基础上,如BS/ISO 17799、BS 25999等,逐步形成了完整的DRP管理框架体系。针对IT应用系统和数据中心的DRP计划,在业务影响评估,DRP创建、维护、测试,关键定量管理指标的考校等方面都制定了系列政策、框架文件、技术指南、标准操作规程等,并融入生命周期持续改进循环内,整个生命周期如附图所示。
DRP战术流程标准化
为了便于培训、普及、推广和保证易用,公司ERO部门制定了大量DRP技术标准指南和计划文档模板,保证了DRP在编写、测试、实施和维护过程的一致性和标准化。
一、根据行业标准,在业务影响性分析报告模板中对风险可能造成的损失尽可能量化,从而能够为业务部门管理层提供具有统一标准衡量尺度的风险指示(见表1),方便管理层理解和平衡风险,并从投入产出的角度选择灾难恢复策略。
二、由于公司内部存在大量的IT系统,为了区分轻重缓急和保证合理分配公司IT资源,本着分而治之的原则,ERO部门制定了应用系统分级标准,根据系统业务影响分析报告中的系统恢复时间目标(Recovery Time Objective,RTO),把应用系统分为0~3级,并根据现有IT水平给出每类系统的灾难恢复策略的建议方案(见表2)。
三、根据IT应用系统分级,在灾难恢复计划框架中定义统一的系统DRP测试要求,测试种类分为:
基础测试:包括计划的评审,桌面演练,关注于计划本身的完整性和相关人员对恢复流程的熟悉程度,所有DR(数据恢复)分类为三级的IT系统必须每3年进行至少一次基础测试;
中级测试:灾难恢复计划的模拟演练,关注于计划操作的有效性,所有DR分类为二级的IT系统必须每2年至少进行一次中级测试。
高级测试Ⅰ:并行或迁移测试,关注于实际数据恢复的有效性,确认RTO(Recovery Time Objective)和RPO(Recovery Point Objective)是否在测试中成功达到,所有DR分类为一级或零级的IT系统必须每年至少进行一次高级测试Ⅰ。
高级测试Ⅱ:完全业务中断测试,关注于备份场所处理能力的有效性,确认RTO和RPO是否在测试中成功达到,所有DR分类为一级或零级的IT系统必须每年至少进行一次高级测试Ⅱ。
四、采用业界领先的专用災难恢复计划管理系统LDRPS (Living Disaster Recovery Planning System),提供统一、可重用和可灵活自定义的DRP模板、关键任务流程样板和其他在灾难恢复计划管理寿命中期各种不同角色和人员需要使用的管理维护功能模块,相比与传统Office手工文档模板,能够帮助DRP的计划人员以更高效、更经济和人机界面更友好的方式创建、维护IT系统和数据中心的灾难恢复计划,极大地改善和提高IT人员和业务部门对灾难恢复计划工作支持的积极性。
通常一个完整的IT部门应用系统的DRP文件包含如下内容:
1)计划的综述;
2)灾难的发布职责和计划的启动流程;
3)各职能组成员组成及其承担的任务;
4)通信;
5)备份场所和恢复策略;
6)应用系统的关联性;
7)恢复流程描述;
8)计划的测试;
9)计划的日常维护;
10)软件清单;
11)硬件清单;
12)其他设备清单;
13)重要记录。
五、对灾难恢复计划管理工作的考核指标定量化,通过直接在专用灾难恢复计划专用管理系统LDRPS中预定义数量型的管理考核指标,公司IT领导能够随时了解全部IT系统和数据中心灾难恢复计划的制定进度,与公司灾难恢复计划框架标准的符合性,和所有计划的测试状态、更新状态等,及时发现各种可能的偏差和不足。
六、公司在全球范围内对灾难和IT系统服务中断事件进行7×24小时不间断监控,从而能够在IT系统灾难和服务中断发生的第一时间发起响应。公司还部署了全球统一的应急通信系统工具,能够自动按照灾难恢复计划中记录的联络人联络方式和联络顺序,迅速、及时、准确地把灾难应急响应指令和相关信息发送给可能位于全球不同国家地区的灾难响应小组成员。系统具备实时处理突发性大流量信息的能力,保证在灾难发生情况下的通信顺畅、灾难恢复计划的启动和执行。同时,在年度IT系统DRP测试中,公司要求必须使用该系统进行IT系统DRP联络人通信测试。