10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO20000信息技术服务管理体系认证咨询 > 《IT服务连续性管理程序》ISO20000认证:《IT服务连续性管理程序》
1.目的
本流程的目的是确保在所有情况下都可以实现向客户承诺的服务连续性,帮助IT服务部在发生灾难之后尽快恢复IT 服务和确保业务的持续运营。确保业务运作所需的IT基础架构和IT服务在灾难发生后的限定时间内能够得到恢复,从而对 IT 服务部的总体业务连续性管理提供支持。
2.范围
本流程适用于 ITSMS 所覆盖的所有部门。
连续性发生的条件包括火灾、大规模断电、硬件瘫痪、自然灾害、失窃、暴力破坏、人力资源危机等意外事件,可能中断IT服务并且影响组织的正常业务运营,最终导致业务损失。实施连续性计划的范围包括:
● 重点关注支持关键业务流程的IT服务项目;
● 对具体的IT技术和服务需求提供支持。
3.定义
服务连续性管理是负责预防灾难、增强IT基础构架的弹性和容错能力的流程,确保组织在发生灾难后具有足够的技术、财务和管理资源来确保 IT 服务的连续性运作。
4.职责
1)连续性负责人
a)负责组织IT服务连续性需求分析与规划,组织IT服务连续性改进。
b)负责新服务或变更服务活动的策划,参与IT服务连续性规划,参与IT服务连续性的改进。
c)负责与客户沟通 IT服务连续性的需求,参与IT服务连续性的改进。
d)组织IT服务连续性的测试、监控、运行管理,配合IT服务连续性方案的实施。
2)连续性工程师
a)协助完成IT服务连续性的需求分析,并提供IT服务连续性实施、维护、监控的成本预算支持。
b)定期执行连续性演练,分析和解决问题。
3)客户
及时向IT服务部反馈服务的可使用情况。
5.流程
1)流程图
.png)
2)流程说明
.png)
(a)确定连续性管理范围
a)定义组织策略
有关 IT服务连续性管理的政策应当尽早地制定并充分传达给组织内所有的相关人员,从而使他们意识到实施 IT 服务连续性管理的需求;
同时管理层也需要明确表达他们的承诺。
b)识别应用 IT 连续性管理流程的相关领域
运用各种不同的风险评估方法来估计 IT服务风险发生的概率,为了管理这些风险,组织需要制定风险预防和风险恢复方案。
此外,还需要确定适当的管理架构(清楚划分职责)和应对灾难的流程。
c)分配资源
需要投人人力和物力建立一个 IT 服务连续性管理环境。
组织需要对员工进行培训来保证员工有能力实施风险预防和灾难恢复措施。
(b)业务影响分析
● 服务的恢复和预防:服务在灾难发生后仍可以继续运作一段时间,因而其重点是恢复服务;而在其他情况下,没有IT 服务的支持业务将完全不能运作,因而其重点将是预防;
● 服务分析:对某些不重要的服务而言,可以规定在灾难发生时使用能力和可用性有限的应急服务。但需要注意的是,即便是在灾难恢复期间,服务级别也只有在与客户达成协议之后才能进行修改。对于关键性服务来说,必须在进行预防和制定恢复方案之间选择某种平衡;
● 基础架构分析:在完成服务分析之后,需要评估服务和IT 资源之间的依赖关系,灾难恢复服务所需要的额外资源;
● 此外,还需要考虑灾难扩散影响的层叠效应。
(c)风险评估
● 通过确认业务中存在的威胁和薄弱环节以及相关的预防措施可以为管理层提供有价值的信息。
● 优先考虑使用各种预防措施。如果所有这类预防措施全都用上了,则有必要进一步确定是否还存在需要制定应急计划的残余风险。
● 风险分析。确认相关的IT组件(资产),包括建筑物、计算机设施、系统和数据等;分析这些资产所面临的威胁以及这些威胁之间的相关程度,并估计灾难发生的可能性(高、中、低);要确认这些资产的薄弱环节,并进行分类(高、中、低);根据各 IT组件的具体情况评估威胁和薄弱环节,从而评估风险的级别。
(d)制定连续性计划
连续性负责人制定《服务连续性计划》,内容如下:
a)需要安装和测试的硬件和网络组件;
b)需恢复的应用系统、数据库和数据;
c)安全性要求和质量标准;
d)明确分配每个目标采取措施的责任; e
e)计划性维护所需的停机时间;
f)测试计划及安排;
g)对服务和系统组件的依赖程度;
h)专门的接口、人员及其职责;
i)明确所有需要支持该计划的具体的活动程序。
(e)连续性计划测试
连续性负责人根据《服务连续性计划》的要求,组织开展连续性测试活动,确保:
a)应针对特定的情形实施并具有明确的目标和成功标准;
b)测试计划应包含对恢复计划、活动程序和相关的技术组件的初始测试;
c)测试应与客户或客户代表、相关部门协商,共同进行;
d)测试失败的结果应记录并评审,并输入服务改进计划;
e)连续性测试每年至少应进行一次,以识别计划中的弱点以及被忽略的变更,在IT基础架构的配置项发生重大变更后还需要实施进一步的测试;
f)连续性负责人在测试完成后拟制《连续性计划测试报告》,并上报 IT服务部经理;
g)对相关人员进行连续性方面的意识培养,使他们将维护连续性作为常规的工作。
(f)组织和实施计划
组织架构安排:确定和分配实施连续性计划的组织机构及其职责。实施规划∶制定实施计划。
实施风险降低措施:故障发生直接影响服务的可用性,因此实施风险降低措施必须结合可用性管理进行。
实施备用方案:恢复方案的实施有赖于一系列的备用方案,包括场所、系统及通信灯方面。对于备用方案需要进行测试、操作培训及维护以确保需要时可以立即启动备用方案。
设计计划实施流程:详细描述实施计划各步骤如何开展,并形成文档化,以保证实施人员可以直接按照流程文档实施恢复方案。
初始测试:在实施前进行初始化测试,保证连续性计划和流程的有效性。
(g)运行管理
对IT服务部的IT支持人员进行连续性方面的意识培养,使他们将维护连续性作为常规地工作。
对可采用的连续性流程进行定期评审以确保经常性地更新。
每年至少应进行必要的连续性流程测试。
评审和测试以后需要进行日常的变更管理,因此也需要连续性得到及时更新。
进行包括 IT恢复人员和业务人员的培训,以保证在必要的时候他们有能力完成业务恢复工作。
保证连续性生命周期的最后流程得到 IT 服务部和业务部门领导的确认,以保证连续性流程的运营流程得到顺利的执行。
(6)相关文件
无
(7)记录
《服务连续性计划》
《连续性计划测试报告》
想了解更多的关于ISO20000认证信息可以经常关注我们
【相关文章】
