IT灾难恢复(DR)计划模板:免费下载及指南

日期: 2017-12-04 作者:Paul KirvanSonia Lelii翻译:皮皮 来源:TechTarget中国 英文

信息技术灾难恢复(DR)计划提供了一种结构化的方法来响应威胁到IT基础设施(包括硬件、软件、网络、流程和人员)的意外事件。能够保护贵公司在技术基础设施方面的投资以及贵公司开展业务的能力,这是部署IT灾难恢复计划的最关键的原因。

在本文中,我们将介绍关于IT灾难恢复计划需要了解的所有内容。你将学习关于IT灾难恢复计划的发展和IT灾难恢复计划中最重要的考虑。你可以下载我们的IT灾难恢复计划模板,该模板可以进行打印并为你们公司独特的需求进行定制化。

制定灾难恢复计划的原因

公司无法承受由于地区停电、网络攻击或硬件故障造成的业务中断。应用和系统的每分钟停止都会转化为收入的损失。例如,关键应用程序的宕机造成的损失平均约为每分钟5000美元。

DR计划还能确保当灾难发生时,考虑到远程办公室和分支机构,确保它们被保护到。

此外,许多公司在开展业务时必须遵守合规法规。他们必须制作灾难恢复报告作为商业影响分析策略的一部分。

什么是IT灾难恢复计划

IT灾难恢复计划提供了逐步恢复被破坏的系统和网络的步骤,帮助公司恢复正常运作。这些步骤的目的是尽量减少对公司运营的负面影响。

IT灾难恢复过程标识关键IT系统和网络;确定他们的恢复时间目标;并对重新启动、重新配置和恢复它们所需的步骤进行描述。

一个全面的IT灾难恢复计划同时还包括所有相关的供应商联系方式,用于恢复被破坏系统的专业知识和为平稳恢复而采取的一系列合乎逻辑的行动。

一旦您完成了风险评估并确定了对IT基础设施的潜在威胁,下一步就是确定哪些基础设施是对你公司的业务表现最重要的。如果所有IT系统和网络都在正常运行,那么您的公司应该是完全可行的、有竞争力的和财务可靠的。当一个内部或外部的对IT基础设施造成负面影响的事件发生时,业务就可能会受到损害。

根据国家标准和技术协会(NIST)800-34特别出版物《联邦信息系统应急规划指南》,以下总结是一个IT灾难恢复计划的理想架构。

  • 制定应急计划政策声明。正式的政策为制定有效的应急计划提供了必要的权威和指导。
  • 进行业务影响分析。一个业务影响分析(BIA)有助于识别和区分关键IT系统和组件。
  • 识别预防控制。这些措施可以减少系统中断的影响,可以增加系统的可用性,并可以降低应急生命周期的成本。
  • 制定恢复策略。完整的恢复策略确保系统能够在中断后快速有效地恢复。
  • 制定一个IT应急计划。应急计划应包括恢复被破坏系统的详细的指导和步骤。
  • 计划测试,培训和练习。测试计划能找出计划的漏洞,而培训为计划的实施准备恢复人员;这两项活动都提高了计划效率和整个机构的准备工作。
  • 计划维护。该计划应该是一个定期更新的在用文档,以保持与当前系统改进一致。

一步一步制定灾难恢复计划

使用SP 800- 34所述的结构,我们可以将这些活动扩展到以下结构化的活动序列中:

1. 计划开发团队应与内部技术团队、应用团队和网络管理员会面,并确定行动范围,例如,内部因素、外部资产、第三方资源、与其他办公室/客户/供应商的联系。在这些会议上,一定要向IT部门的高级管理层进行汇报,以便他们得到正确的通知。

2. 收集所有相关的网络基础设施文件,例如,网络拓扑图,设备配置,数据库

3. 获取现有IT和网络灾难恢复计划的副本。如果这些不存在,请继续执行以下步骤。

a. 确认管理层认为的IT基础设施最严重的威胁是什么,例如,火灾、人为错误、掉电、系统故障。

b. 确认管理层认为的最严重的基础设施缺陷,例如,缺少备用电源,过时的数据库备份副本

c. 回顾之前的掉电和中断的历史,以及公司如何处理它们的。

d.确定管理层认为的最重要的IT资产是什么,例如呼叫中心、服务器群组、互联网接入。

e. 确定管理层所能接受的最长的停机时间,当所使用的IT设备不可用时。

f. 确认当前使用的应对关键中断的操作流程。

g. 确定这些程序进行最后的测试的时间,以验证它们是否合适。

4. 确定所有关键IT基础设施中断的紧急响应团队并确定他们对关键系统的训练水平,特别是在紧急情况下。

5. 确定供应商的应急响应能力;他们是否曾经被使用过;如果被使用过,他们是否正常工作;该公司为这些服务支付了多少钱;当前的服务合同的状态;以及服务水平协议的状态,如果有使用它们的话。

6. 将所有评估结果汇编成一份差距分析报告,确认当前已经做的和还应该要做的事情。并附上如何达到所需的准备水平和所需投资的建议。

7. 让管理层审阅报告,并就建议的行动达成一致。

8. 准备好灾难恢复计划,以解决关键的IT系统和网络的灾难恢复问题。

9. 对计划和系统恢复资产进行测试,以验证其可操作性。

10. 更新灾难恢复计划文档以适应改变。任何一个好的灾难恢复计划都应该有强壮而详尽的文档,其中包括基础设施中的设备详细清单。这一点特别重要,因为它能帮助新的IT管理员了解之前管理员所负责的设备情况。这有助于维持良好的资产管理。

11. 为下一次IT灾难恢复能力审查/审计制定计划 (来源: NIST SP 800-34)

有关IT灾难恢复计划的重要考虑

得到高级管理层的支持。确保获得高级管理层的支持,这样你的计划目标才能实现。

建立明确的分工。灾难恢复计划应该列出所有员工的职责,并设计一个适当的指挥链,这可以确保在危机期间能够有全面的灾难恢复应对。

使用可用的标准。你可以在制定IT灾难恢复计划时使用的相关标准,这些标准包括NIST SP 800- 34、ISO/IEC 24762:2008和BS 25777 – 2008。

保持简单明了。IT灾难恢复计划并不一定要长达几十页。计划只需要正确的信息,这些信息应该是当前的和准确的。

与业务部门审核结果。一旦IT灾难恢复计划完成,请与业务部门负责人回顾调查结果,以确保你的假设是正确的。

保持灵活性。本文中建议的灾难恢复计划模板可以根据需要修改,以达到你的目标。

复查IT灾难恢复计划模板

现在,我们将从模板中检查内容表,指出要处理的关键问题和要执行的活动。

1. 信息技术意向书。这为计划设定了阶段和方向。

2. 政策声明。在灾难恢复计划中包含一个有关提供灾难恢复服务的获得批准的政策申明是非常重要的。

3. 目标。计划的主要目标。

4. 关键人物联系信息。在计划的前面有重要的联系信息是非常重要的。这是最有可能马上使用的信息,应该很容易被找到。

5. 计划概述。描述计划的基本方面,例如如何更新它。

6. 应急响应。描述在紧急事件发生后需要立即采取的措施

7. 灾难恢复小组。灾难恢复小组的成员及联系方式。

8. 紧急警报,升级和灾难恢复计划激活。在事件发生的早期采取行动,导致灾难恢复计划激活。

9. 媒体。处理媒体的技巧。

10. 保险。总结与IT环境相关的保险责任范围及其他相关政策。

11.财务与法律问题。处理财务和法律问题的行动。

12.灾难恢复计划训练。强调灾难恢复计划训练的重要性

13. 附录A,技术灾难恢复计划。各种技术恢复场景的示例模板;从选择的供应商那里获得技术文档是非常有用的。

14. 附录B,建议形式。准备使用的表单将有助于计划的完成。考虑到企业在其IT基础设施中所做的投资,他们还应该投入足够的时间和资源以保护这些投资不受意外的和潜在的破坏性事件的影响。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Paul Kirvan
Paul Kirvan

Paul Kirvan是一名独立IT顾问,拥有超过22年的IT经验,主要擅长业务连续性、容灾、安全和企业风险管理等领域。

Sonia Lelii
Sonia Lelii

SechrchCloudstorage网站新闻记者

翻译

皮皮
皮皮