企业灾难恢复流程规范

          企业灾难恢复流程规范

（原创）

第一章            概述

1          前言

随着信息化的发展，不少企业或者单位缺少灾难恢复的规范流程，所以本身半路出家，凭着本身多年的经验，撰写这篇文章，本文充分借鉴了国际和国内的信息安全标准来编写，具备很强的实践意义，能够帮助企业创建全面的灾难恢复流程规范，防止业务系统宕机或者中断，而影响企业业务的正常运行。

2          参考相关信息安全文献

本文我充分借鉴了国际与国内标准，标准以下：

l  ISO /IEC 27000家族中的ISO /IEC 27002

l  BS25999 业务持续性管理标准

l  ITIL （ISO 20000标准）

l  信息安全等级保护标准规范

GB/T 20984-2007信息安全技术信息安全风险评估规范

GB/Z 24364-2009 信息安全技术信息安全风险管理指南

    GB/T 20988-2007 信息安全技术信息系统灾难恢复规范

3          适合人员

本流程适用的人员包括：IT经理、主管或领导、系统管理员、系统工程师、安全工程师和信息安全人员等。

4          版权全部

本文章仅提供网上共享学习之用，未经书面受权，不得用于任何商业途径。

5          关于本人

转眼时间，工做四年多了，对那些工做不少年的人来讲，也许个人资历不足，没资格写这篇文章。在这四年的时间内，本身一直追逐着IT，有作过设备售后、运维工做等，其中有喜有悲、百感交集，其中的辛酸也许只有本身知道。目前一直从事信息安全的工做，虽然如今离开了测评机构，可是我仍然一直致力研究等保的标准规范、测评方法和安全建设整改，为那些刚入门的人提供力所能及的事情。

第二章     灾难恢复的内容

6          灾难恢复内容简述

业务系统的灾难恢复工做，它包括两个方面，第一：灾难恢复规划；第二：灾难备份中心的平常运行、关键业务功能在灾难备份中心的恢复和持续运行，以及主系统的灾后重建和回退工做，还涉及突发事件发生后的应急响应的工做。同时，业务系统的灾难恢复规划是一个周而复始、持续改进的过程，它包含以下几个阶段：

1)        业务系统灾难恢复的需求肯定；

2)        业务系统灾难恢复策略的制定；

3)        业务系统灾难恢复策略的实现；

4)        业务系统灾难恢复预案的制定、落实和管理。

7          设立灾难恢复组织机构

为了保证企业的业务系统在灾难恢复的状况下有序地进行，所以必需要成立灾难恢复的组织机构或者灾难领导小组，在这些组织或者领导小组中，通常都是由企业的管理者、业务、技术和行政后勤等人员组成。通常可设为灾难恢复领导小组、灾难恢复规划实施组和灾难恢复平常运行组。通常可设为灾难恢复领导小组、灾难恢复规划实施组合灾难恢复平常运行组。

在单位内部技术力量不够或者信息系统复杂的状况下，能够聘请具备相应资质的外部专家协助灾难恢复实施工做，也可委托具备相应资质的外部机构承担实施组以及平常运行组的部分或所有工做。

8          组织机构的职责

8.1      灾难恢复领导小组

灾难恢复领导小组是信息系统灾难恢复工做的组织领导机构,组长应由组织最高管理层成员担任。领导小组的职责是领导和决策信息系统灾难恢复的重大事宜，主要以下：

1） 审核并批准经费预算；

2） 审核并批准灾难恢复策略；

3） 审核并批准灾难恢复预案；

4） 批准灾难恢复预案的执行。

8.2      灾难恢复规划实施组

灾难恢复规划实施组的主要职责是负责：

1） 灾难恢复的需求分析；

2） 提出灾难恢复策略和等级；

3） 灾难恢复策略的实现；

4） 制定灾难恢复预案；

5） 组织灾难恢复预案的测试和演练。

8.3      灾难恢复平常运行组

灾难恢复平常运行组的主要职责是负责：

1） 协助灾难恢复系统实施；

2） 灾难备份中心平常管理；

3） 灾难备份系统的运行和维护；

4） 灾难恢复的专业技术支持；

5） 参与和协助灾难恢复预案的教育、培训和演练；

6） 维护和管理灾难恢复预案；

7） 突发事件发生时的损失控制和损害评估；

8） 灾难发生后信息系统和业务功能的恢复；

9） 灾难发生后的外部协助做。

9          灾难恢复流程的管理

机构组织应评估灾难恢复规划过程的风险、筹备所需资源、肯定详细任务及时间表、监督和管理规划活动、跟踪和报告任务进展以及进行问题管理和变动管理。

10     灾难恢复与外部联系

机构组织应与相关管理部门、设备及服务提供商、电信、电力和新闻媒体等保持联络和协做，以确保在灾难发生时及时通报准确状况和得到适当支持。

11     灾难恢复的安全审计

灾难恢复的预案制定了以后，须要对相关的恢复预案作整个信息安全的审计，以便在这个恢复过程当中安全可靠地运行。

12     灾难恢复需求的肯定

在一个信息系统环境中，须要肯定哪些重要数据是须要备份，且要安全防御起来。同时这些数据在灾难恢复的过程当中，会引发意想不到的后果，所以要引进风险分析的过程，要识别信息系统面临的天然和认为的威胁，识别信息系统的脆弱性，分析各类威胁发生的可能性并定量或定性描述可能形成的损失，识别现有的风险防范和控制措施。经过相关的技术和管理，使得数据在灾难恢复的过程当中顺利进行。

13     灾难恢复中的数据业务影响分析

在对组织中的业务数据进行灾难恢复的时候，首先须要对这些数据进行各项业务功能之间进行分析，评估这些数据在灾难恢复的过程当中，出现相关的风险，如数据恢复不过来或者有相关数据的丢失，在这么一个高风险的状况下，评估是否对组织的业务影响是否大。所以须要进行评估中断方面的分析：

13.1 定量分析

定量分析就是以量化的方法去评估业务数据功能的中断可能给组织带来的直接经济损失和间接经济损失。

13.2 定性分析

定性分析是运用概括与演绎、分析与综合以及抽象与归纳等方法，评估业务功能的中断可能给组织带来的非经济损失，包括组织的声誉、客户的忠诚度、员工的信心、社会和政治影响等。

第三章     灾难恢复数据的最终肯定

13.3 数据最终肯定

通过以上的风险分析，咱们最终肯定了须要对那些数据进行备份，如：数据库（MS SQL 、Mysql、DB2等等）、操做系统、业务应用程序、中间件、VMWARE等等数据和相关程序。在这些数据当中、相关组织机构的管理该内容的管理人员，须要安排相关的负责人来执行这些灾难恢复，同时负责人要熟悉这些业务或者程序的使用。在这些数据恢复的过程当中，必定要确保支持灾难恢复数据的相关备份系统，如：硬件的备份设备、软件备份介质和相关备用基础设施等要到位。同时，相关的灾难恢复小组人员、规划实施小组人员和平常维护的管理人员等都要同时到位，确保灾难的恢复正常运转。

13.4 成本效益分析原则

组织机构的不一样、相关的配套设施会有所不同，可是在这种状况下，应该分析成本与收益的不一样，根据灾难恢复的目标，按照灾难恢复资源的成本与风险可能形成的损失之间取得平衡的原则，对待不一样的关键业务，会使用不一样的灾难恢复策略，确保整个业务数据恢复得正常，同时，使用备份基础设施成本地的状况下，也可以使得相关的数据正常运做，保证组织机构的业务正常运行。