业务连续性管理办法.docx

学院业务连续性管理办法》
（1）总则
第一条 为了保护学院的关键业务功能免受灾难事件的影响而中断，并 确保其能够快速恢复运行，最小化由灾难事件导致的影响，特制定本文件。
第二条 业务连续性管理是一个全面的管理流程，通过识别影响组织的潜统资源、评估特定灾难事 件对各种业务功能的影响，以确定恢复目标和资源的过程。其主要过程包括：
1、识别关键业务功能和支持此业务的信息系统；
2、识别各个信息系统之间的相互关联关系；
3、分析当在预定的时间内无法正常运行时，对关键业务造成的损失及影响 （定性和定量）；
4、确定信息系统恢复的最短时间要求（RTO）和最大可允许丟失的数据量
（RPO）;
5、识别关键的服务时间段和可容忍的最低服务水平；
6、确定关键业务功能和信息系统恢复优先级；
7、识别所需恢复资源。
第十一条 灾难恢复的需求需定期进行再分析。灾难恢复需求再分析周期最 长为三年。当信息系统及相关业务流程发生重大变更时，应立即启动灾难恢复需 求的再分析，并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。
（4）灾难恢复策略制定
第十二条 根据学院业务特点以及风险分析和业务影响分析的结果以及实 际情况，并结合成本效益的原则，确定在同城或异地建立灾难备份中心。
第十三条 根据学院的 IT 战略、人员编制、技术能力、以及其他资源情况， 并结合成本效益的原则，确定灾难恢复资源的获取方式，自建或者外包，这些资 源包括但不限于：
（一）数据备份系统；
（二）备份处理设施；
（三）备用网络系统；
（四）灾难备份中心的基础设施；
（五）灾难恢复的技术支持能力；
（六）灾难备份中心的运行维护能力。
第十四条 根据灾难恢复需求所确定的具体恢复要求和优先级，同时考虑灾 难备份中心的地点以及业务或信息系统其他相关因素（如对于备份性能要求等）， 制定相应的灾难恢复方案；为确保恢复方案满足灾难恢复策略的要求，应由相关 部门对恢复方案进行确认和验证，并记录和保存验证及确认的结果。
5）灾难恢复策略实施
第十五条 灾难备份系统实施
（一）根据灾难恢复策略制定相应的灾难备份系统技术方案，实施相关的数据 备份系统、备用数据处理系统和备用的网络系统等。所实施的系统需获得同主系 统相当的安全保护。
（二）灾难备份系统实施时应制定各阶段的系统安装及测试计划，并组织最终 用户共同进行测试。确认以下各项功能可正确实现:
1、数据备份及数据恢复功能；
2、客户端可与备用数据处理系统通信正常；
3、正确恢复各项关键业务功能。
第十六条 灾难备份中心建设和运维
（一）选择或建设灾难备份中心时，应根据风险分析的结果，避免灾难备份中 心与生产中心遭受同类风险。灾难备份中心还应具有方便灾难恢复人员或设备到 达的交通条件，以及数据备份和灾难恢复所需的通信、电力等资源；
（二）新建或选用灾难备份中心的基础设施时，机房应符合国家有关标准的要 求；工作辅助设施和生活设施应符合灾难恢复目标的要求；
（三）灾难备份中心需建立完善的运行维护管理制度和操作规范，包括但不限 于：配置管理、问题管理、事件管理、变更管理、服务水平管理、介质管理、机 房管理、环境设施管理、后勤保障管理、演练管理等；
（四）应定期维护基础设施，保证灾难备份中心工作设施、辅助设施和生活设 施