ITIL 4官方核心著作
Version 3.1 by superadmin on 2024/06/06, 12:52
复制
导出
打印预览
查看源代码
子项
评论
附件 (2)
历史记录
信息
Hide last authors
| author | version | line-number | content |
|---|---|---|---|
 |
3.1 | 1 | [[返回本章节索引>>url:https://itil4hub.cn/bin/view/G%20%E5%8F%82%E8%80%83%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E8%B5%84%E6%96%99/ITIL%E5%AE%9E%E6%96%BD%E9%A1%B9%E7%9B%AE%E6%B5%81%E7%A8%8B%E8%AE%BE%E8%AE%A1%E6%96%B9%E6%A1%88%E9%9B%86/%E7%AE%A1%E7%90%86%E8%A7%84%E8%8C%83/]] 阅读下一篇 |
| 2 | |||
| 3 | |||
| 4 | = **某网络工程公司ITIL信息技术服务管理体系—IT服务连续性流程管理办法** = | ||
| 5 | |||
| 6 | |||
| 7 | |||
| 8 | |||
| 9 | === **1 概述** === | ||
| 10 | |||
| 11 | |||
| 12 | ===== **1.1 目标** ===== | ||
| 13 | |||
| 14 | 业务连续性管理通过风险分析和管理确保组织在任何时候都具备最低要求的开发能力和服务供应。其目标是确保向顾客承诺的服务在任何情况下都能得到满足。 | ||
| 15 | |||
| 16 | 信息技术服务持续性管理是应对影响信息技术服务运作的灾难并维护信息技术服务以支持业务的持续运作的流程。 | ||
| 17 | |||
| 18 | 服务连续性管理流程的主要步骤包括: | ||
| 19 | |||
| 20 | 1. 能有效管理组织中基于服务级别的关键业务的连续性; | ||
| 21 | 1. 实施基于关键业务需求制定的有效的连续性管理计划; | ||
| 22 | 1. 当灾难发生时能以最快速度恢复正常业务; | ||
| 23 | 1. 实施危险降低措施以降低业务中断所造成的损失。 | ||
| 24 | |||
| 25 | |||
| 26 | === **1.2 范围** === | ||
| 27 | |||
| 28 | |||
| 29 | |||
| 30 | **1.2.1 流程适用范围** | ||
| 31 | |||
| 32 | 本流程适用于XX网络工程有限公司(以下简称“公司”)相关部门。 | ||
| 33 | |||
| 34 | |||
| 35 | |||
| 36 | |||
| 37 | **1.2.2 流程管理范围** | ||
| 38 | |||
| 39 | **范围内** | ||
| 40 | |||
| 41 | * 业务影响度分析 | ||
| 42 | * 支持业务的关键业务单元 | ||
| 43 | * 设计开发灾难恢复预案 | ||
| 44 | * 设计开发灾难恢复演练 | ||
| 45 | * 灾难风险的缓解和避免 | ||
| 46 | * 风险和威胁的识别,评估,管理(执行信息安全管理体系文件要求) | ||
| 47 | * 业务连续性管理的持续改进以及测试 | ||
| 48 | |||
| 49 | **范围外** | ||
| 50 | |||
| 51 | * 未上线的信息系统建设 | ||
| 52 | * 日常的技术测试训练 | ||
| 53 | |||
| 54 | |||
| 55 | |||
| 56 | === **3 角色和职责** === | ||
| 57 | |||
| 58 | 可管理流程涉及的角色包括:服务连续性管理流程负责人、服务连续性经理、服务连续性管理维护人等。服务连续性管理流程负责人和服务连续性经理可以由同一人担任。各角色职责如下: | ||
| 59 | |||
| 60 | |||
| 61 | ===== **3.1 服务连续性管理流程负责人** ===== | ||
| 62 | |||
| 63 | 服务连续性管理流程负责人从宏观上对流程运行情况进行监控,确保连续性管理流程在各部门间被正确的执行。当流程不能够适应公司实际情况和服务连续性要求时,流程负责人必须启动分析研究,找到解决方案并进行改进,实现流程的稳定运行和可持续提高。具体职责包括: | ||
| 64 | |||
| 65 | 1. 确定服务连续性管理流程的衡量指标; | ||
| 66 | 1. 确保连续性管理流程能够取得管理层的参与和支持; | ||
| 67 | 1. 确保连续性管理流程符合公司实际状况和公司 IT发展战略; | ||
| 68 | 1. 总体上管理和监控流程,建立连续性管理流程实施、评估和持续优化机制; | ||
| 69 | 1. 确保连续性管理流程有效、正确地执行,当流程不能够适应公司的情况时,必须及时进行分析、找出缺陷、进行改进,从而实现可持续提高; | ||
| 70 | 1. 保持与其他流程负责人的定期沟通。 | ||
| 71 | |||
| 72 | |||
| 73 | ===== **3.2 连续性经理** ===== | ||
| 74 | |||
| 75 | 1. 组织进行风险和灾难规避评估; | ||
| 76 | 1. 组织进行业务影响度分析; | ||
| 77 | 1. 承担突发事件应急指挥; | ||
| 78 | 1. 牵头确定和建设服务连续性恢复方案; | ||
| 79 | 1. 牵头组织连续性和灾难恢复,设计开发关键系统的灾难恢复预案; | ||
| 80 | 1. 根据连续性和灾难恢复预案,牵头组织演练工作; | ||
| 81 | 1. 监控连续性管理的持续改进。 | ||
| 82 | 1. 负责流程运行质量的监控管理,向公司负责。 | ||
| 83 | |||
| 84 | |||
| 85 | ===== **3.3 连续性管理维护人** ===== | ||
| 86 | |||
| 87 | 1. 服务连续性计划的制定; | ||
| 88 | 1. 参与业务影响度分析工作; | ||
| 89 | 1. 汇总灾难恢复预案,定期整理并维护预案库; | ||
| 90 | 1. 汇总并维护灾难恢复演练计划; | ||
| 91 | 1. 定期生成灾难恢复演练工作月度报告。 | ||
| 92 | 1. 负责对处置工作的关键部门和人员的沟通和联系; | ||
| 93 | 1. 负责跟踪和反馈突发事件处置工作的关键流程,全面收集和整理事件处理过程的信息,为突发事件应急指挥组提供全面信息支持。 | ||
| 94 | |||
| 95 | |||
| 96 | |||
| 97 | === **4 输入** === | ||
| 98 | |||
| 99 | |**编号**|**输入项**|**来源**|**周期** | ||
| 100 | |((( | ||
| 101 | 1 | ||
| 102 | )))|服务级别需求|服务级别协议|一年 | ||
| 103 | |((( | ||
| 104 | 2 | ||
| 105 | )))|业务恢复需求|服务级别协议|一年 | ||
| 106 | |((( | ||
| 107 | 3 | ||
| 108 | )))|风险评估|信息安全管理体系|一年 | ||
| 109 | |((( | ||
| 110 | 4 | ||
| 111 | )))|服务级别和业务影响度的变更|变更管理|不定期 | ||
| 112 | |||
| 113 | |||
| 114 | === **5 输出** === | ||
| 115 | |||
| 116 | |**编号**|**输出项**|**去向**|**周期** | ||
| 117 | |((( | ||
| 118 | 1 | ||
| 119 | )))|风险评估和业务影响度分析报告|((( | ||
| 120 | 业务关系管理 | ||
| 121 | |||
| 122 | 变更管理 | ||
| 123 | )))|一年 | ||
| 124 | |((( | ||
| 125 | 2 | ||
| 126 | )))|灾难恢复预案| |半年 | ||
| 127 | |((( | ||
| 128 | 3 | ||
| 129 | )))|灾难恢复演练| |半年 | ||
| 130 | |||
| 131 | |||
| 132 | === **5 流程描述** === | ||
| 133 | |||
| 134 | |||
| 135 | ===== **5.1 连续性管理流程** ===== | ||
| 136 | |||
| 137 | |||
| 138 | |**项目**|**输入**|**步骤描述**|**输出** | ||
| 139 | |1.进行风险和灾难规避评估|输入:风险和威胁/历史数据/当前环境/当前的策略/流程/程序|根据现状和业务特点,全面识别和分析风险因素,分析风险发生的可能性。根据风险的来源和可控程度对风险因素进行分类分析,识别信息系统面临的自然和人为的威胁,识别信息系统的脆弱性。根据风险范围和影响的严重程度以及风险发生概率,评估风险可接受的程度。|风险评估报告 | ||
| 140 | |2.进行业务影响度分析|风险分析评估报告|结合风险分析结果和中断损失影响程度,确定各业务功能对恢复时间的敏感程度要求。根据业务恢复需求和业务功能的相互依赖关系和程度,确定系统的恢复顺序。|关键系统、业务中断损失和恢复优先级 | ||
| 141 | |3.确定整体恢复策略|关键系统、业务中断损失和恢复优先级|根据关键系统、业务中断损失和恢复优先级,确定信息系统应急恢复的RTO、RPO技术指标,并确定整体恢复策略。|整体恢复策略 | ||
| 142 | |4.确定和建设业务连续性恢复方案|整体恢复策略|根据整体恢复策略,确定和建设业务连续性恢复方案。并对连续性计划进行测试,并记录所有的连续性测试,测试失效之处应在行动计划中明确描述。每年进行业务连续性恢复方案评审。当业务环境发生重大变更时,应重新测试服务连续性计划。|业务连续性恢复方案 | ||
| 143 | |5.设计开发连续性及灾难恢复预案|连续性和灾难恢复小组、业务连续性恢复方案|连续性和灾难恢复小组根据业务连续性恢复方案,设计开发出灾难恢复预案。|灾难恢复预案 | ||
| 144 | |6.根据连续性和灾难恢复预案进行演练|灾难恢复预案|根据开发的关键系统灾难恢复预案,组织进行相应的应急演练,使相关人员熟悉连续性管理的流程与环节,并检测预案的可行性和有效性。|演练报告 | ||
| 145 | |7.连续性和灾难恢复预案维护|灾难恢复预案、演练报告|定期对预案进行内部检查,发现问题或所涉及的内容发生变化后需要立即更新。此外,每次演练后发现预案中存在与实际情况不符的情况,需要在演练结束后立即更新。|灾难恢复预案 | ||
| 146 | |||
| 147 | |||
| 148 | ===== **5.2 演练工作管理流程** ===== | ||
| 149 | |||
| 150 | |||
| 151 | 演练工作应明确制定演练对象。演练对象可以是应急预案、项目实施方案、技术方案、业务方案,也可以是日常惯例流程和操作、组织管理应变能力等。在组织实施每次演练工作时,建议遵循以下演练管理流程: | ||
| 152 | |||
| 153 | **设计演练项目** | ||
| 154 | |||
| 155 | |||
| 156 | |||
| 157 | (一)确定演练的对象和范围; | ||
| 158 | |||
| 159 | 1. 循序渐进、有针对性的制定本次演练目标; | ||
| 160 | 1. 确定演练参与部门和人员范围; | ||
| 161 | 1. 确定演练时间; | ||
| 162 | 1. 确定组织机构职责; | ||
| 163 | 1. 确定演练的类型(桌面/模拟/预案/场景/实战/局部,预先通知/非预先通知); | ||
| 164 | 1. 定义演练的评估标准; | ||
| 165 | 1. 制定演练风险控制方案,包括紧急终止/退出的流程和可能风险的应急防范办法; | ||
| 166 | |||
| 167 | |||
| 168 | **(二)制定场景计划** | ||
| 169 | |||
| 170 | 1. 根据演练目标制定演练场景的背景和过程; | ||
| 171 | 1. 制定场景计划检查要点; | ||
| 172 | 1. 制定逐步展开的进度表; | ||
| 173 | 1. 设定实现的时间尺度; | ||
| 174 | |||
| 175 | |||
| 176 | **(三)动员和推进演练开展** | ||
| 177 | |||
| 178 | 1. 确定所有参与者的角色和责任; | ||
| 179 | 1. 根据演练类型向相关部门人员发布通知和具体要求,通过培训保证参与者事先掌握必要的技能和知识; | ||
| 180 | 1. 提供演练所需的项目清单和演练环境(包括:设备、场所、系统环境、应用环境等)的规格说明; | ||
| 181 | 1. 根据演练类型提供演练计划并将其分发给所有的参与人员。 | ||
| 182 | |||
| 183 | |||
| 184 | **(四)执行演练** | ||
| 185 | |||
| 186 | 1. 各相关部门人员按照如计划执行演练; | ||
| 187 | 1. 记录、跟踪演练活动,并提供报告; | ||
| 188 | 1. 管理演练流程的执行质量; | ||
| 189 | 1. 监控演练过程的风险,必要时执行演练紧急终止/退出的流程和可能风险的应急防范措施。 | ||
| 190 | |||
| 191 | |||
| 192 | **(五)演练总结** | ||
| 193 | |||
| 194 | 1. 召开总结会检查演练的结果,审核演练目标和结果与策略目标是否达成一致; | ||
| 195 | 1. 确定预案和方案是否满足恢复的要求; | ||
| 196 | 1. 检查各操作流程的完成情况,检查行动的时间进度; | ||
| 197 | 1. 评估演练的操作和业务规程的适当性; | ||
| 198 | 1. 对所存在的薄弱环节提出改进建议; | ||
| 199 | 1. 编写包含以上内容的《总结报告》,并报送公司相关部门备案。 | ||
| 200 | |||
| 201 | |||
| 202 | **(六)预案和方案的改进和发布** | ||
| 203 | |||
| 204 | 1. 演练资料归档; | ||
| 205 | 1. 执行预案和方案的修订流程,完成预案和方案的修订工作; | ||
| 206 | 1. 发布新版本的《应急管理预案》并进行版本控制。 | ||
| 207 | |||
| 208 | |||
| 209 | |||
| 210 | === **6 关键绩效指标(KPI)** === | ||
| 211 | |||
| 212 | IT服务连续性管理的可选指标包括: | ||
| 213 | |||
| 214 | |**绩效指标**|**目标值**|**衡量方式**|**报告周期**|**负责人** | ||
| 215 | |RTO达成率|2小时|年度评审|一年|连续性经理 | ||
| 216 | |RPO达成率|0.5小时|年度评审|一年|连续性经理 | ||
| 217 | |演练和预案的匹配度|95%|年度评审|半年|连续性经理 | ||
| 218 | |||
| 219 | |||
| 220 | === **7 流程质量控制** === | ||
| 221 | |||
| 222 | |||
| 223 | **[[image:图片1.png]]** | ||
| 224 | |||
| 225 | [[image:file:///C:\Users\Admmini\AppData\Local\Temp\ksohtml11140\wps2.png]] | ||
| 226 | |||
| 227 | |**步骤**|**输入**|**步骤描述**|**输出**|**负责人** | ||
| 228 | |((( | ||
| 229 | 1 现有流程评估 | ||
| 230 | )))|服务连续性计划|((( | ||
| 231 | 1. 回顾连续性管理流程的设计,执行是否是有效以及高效的,定期进行整体流程改进评估。 | ||
| 232 | )))|差距分析报告|连续性经理 | ||
| 233 | |((( | ||
| 234 | 2 制定改进计划 | ||
| 235 | )))|((( | ||
| 236 | 差异分析报告 | ||
| 237 | |||
| 238 | 业务需求事项 | ||
| 239 | )))|((( | ||
| 240 | 流程改进计划应包括: | ||
| 241 | |||
| 242 | * 流程定义及改善点; | ||
| 243 | * 需求的变化; | ||
| 244 | * 可能造成的影响以及其他外部因素; | ||
| 245 | * 测试和培训计划; | ||
| 246 | * 连续性计划应该是一套文档化的可执行的文件。 | ||
| 247 | )))|改进计划|连续性经理 | ||
| 248 | |((( | ||
| 249 | 3 执行改进计划 | ||
| 250 | )))|被批准的改进计划|协调执行改进计划。|改进计划被执行|连续性经理 | ||
| 251 | |((( | ||
| 252 | 4 对改进进行回顾 | ||
| 253 | )))|执行的改进措施|对改进计划的执行进行监控,并保证改进不对现有流程造成中断。通过不断的监控和回顾保证流程改进计划得以成功执行。|改进措施得到实施|连续性经理 | ||
| 254 | |((( | ||
| 255 | 5 改进计划的升级 | ||
| 256 | )))|流程改进计划|根据业务和实际运营需要对流程改进和升级。|升级流程改进计划|连续性经理 | ||
| 257 | |||
| 258 | |||
| 259 | === **8 与其它流程的接口** === | ||
| 260 | |||
| 261 | |||
| 262 | **[[image:图片2.png]]** | ||
| 263 | |||
| 264 | [[image:file:///C:\Users\Admmini\AppData\Local\Temp\ksohtml11140\wps3.png]] | ||
| 265 | |||
| 266 | === **9 术语定义** === | ||
| 267 | |||
| 268 | |||
| 269 | |**术语**|**定义** | ||
| 270 | |RTO|恢复时间目标(Recovery Time Objective),即灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。 | ||
| 271 | |RPO|恢复点目标(Recovery Point Objective),即灾难发生后,系统和数据必须恢复到的时间点要求。 | ||
| 272 | |连续性指标|同可用性指标,具体计算公式见《服务级别协议》。 | ||
| 273 | |RTO达成率|所有服务级别协议中涉及系统的RTO达成比率。 | ||
| 274 | |RPO达成率|所有服务级别协议中涉及系统的RPO达成比率。 | ||
| 275 | |演练和预案的匹配度|基于预案的演练比率。 | ||
| 276 | |||
| 277 | |||
| 278 | |||
| 279 | === **10 附则** === | ||
| 280 | |||
| 281 | **1 本管理办法由技术部负责组织制定、解释和修改,各部门可根据本规定制定相应的实施细则。** | ||
| 282 | |||
| 283 | **2 本管理办法自印发之日起实行。** | ||
| 284 | |||
| 285 | **3 相关文件:** | ||
| 286 | |||
| 287 | 《信息技术服务管理手册》 | ||
| 288 | |||
| 289 | 《信息技术服务管理策略》 | ||
| 290 | |||
| 291 | 《服务级别流程管理办法》 | ||
| 292 | |||
| 293 | 《记录控制管理规定》 | ||
| 294 | |||
| 295 | **4 相关时间要求:** | ||
| 296 | |||
| 297 | 管理办法中规定的“每月”为每月10号前; | ||
| 298 | |||
| 299 | 管理办法中规定的“每季度”为每季度第一个月10号前; | ||
| 300 | |||
| 301 | 管理办法中规定的“每半年”为每半年度第一个月15号前; | ||
| 302 | |||
| 303 | 管理办法中规定的“每年”为每自然年度第一个月20号前; | ||
| 304 | |||
| 305 | 如遇节假日可顺延。 | ||
| 306 | |||
| 307 |