如何防范本地IT系统风险——通过RA分析加固现有IT系统

如何防范本地IT系统风险 ——通过RA分析加固现有IT系统

如何防范本地IT系统风险

——通过RA分析加固现有IT系统

如何防范本地IT系统风险 ——通过RA分析加固现有IT系统

目 录

第一章 风险分析工作综述 ............................... 错误!未定义书签。

1.1 术语描述 ........................................................ 3

1.2 工作综述 ........................................ 错误!未定义书签。

1.3 工作目标和范围 ................................................... 4

1.3.1 工作目标...................................... 错误!未定义书签。

1.3.2 风险分析范围说明.............................. 错误!未定义书签。

1.4 工作说明 ........................................ 错误!未定义书签。

1.4.1 工作开展说明.................................. 错误!未定义书签。

1.4.2 工作涉及场地和部门............................ 错误!未定义书签。

1.5 文档介绍 ........................................ 错误!未定义书签。

第二章 咨询体系说明 ................................... 错误!未定义书签。

2.1 参考标准说明 ..................................... 错误!未定义书签。

2.1.1 评估基线标准.................................. 错误!未定义书签。

2.1.2 银行系统的管理规范............................ 错误!未定义书签。

2.1.3 场地环境设施管理评估基线...................... 错误!未定义书签。

2.2 资料搜集方法 ..................................................... 5

2.3 资料的分析方法 ................................................... 6

2.4 风险分析的流程 ................................................... 6

2.5 风险的管控 ....................................................... 9

第三章 风险分析 ...................................................... 10

3.1 场地环境说明 ..................................... 错误!未定义书签。

3.1.1 建筑物环境要点说明............................ 错误!未定义书签。

3.1.2 机房环境要点说明.............................. 错误!未定义书签。

3.2 风险分析 ....................................................... 10

3.2.1 风险各要素说明............................................... 10

3.2.2 风险分析..................................................... 13

3.3 风险处置及管理措施建议 .......................................... 16 II

如何防范本地IT系统风险 ——通过RA分析加固现有IT系统

3.3.1 风险处置说明................................................. 16

3.3.2 风险管理措施建议............................................. 17

3.3.3 持续评估和更新............................................... 19

第四章 风险分析结论 .................................................. 21

4.1 风险分析结论 .................................................... 21

4.2 采用“风险关注”策略的风险 ...................................... 22

4.3 采用“风险管控”策略的风险 ...................................... 22

4.3.1 “风险管控后再评估”策略..................................... 23

4.3.2 “遗留风险”策略............................................. 25

III

如何防范本地IT系统风险 ——通过RA分析加固现有IT系统

前言

业务连续管理是灾难事故的预防和反应机制，是一系列灾难恢复事先准备的策略和规划，确保其在面临突发的灾难事故时，运作的关键功能能持续、有效的发挥作用，以保证业务的正常和连续。业务连续管理规划不仅仅包括IT灾难恢复体系，而且包括关键业务运作体系、人员组织架构体系、重要记录和文档体系以及其它重要资源的恢复和持续，是在对组织进行风险分析和业务影响分析的基础上，建立健全相应的管理组织架构、灾难备份中心运营管理体系、应急响应计划、灾难恢复计划及重续运行计划等，以减轻灾难对于组织的影响。

业务连续管理的建设是一项周密的系统工程，需要与客户的经营管理的整体目标相协调，并以渐进分阶段的方法实施。根据国际灾难备份协会（DRI International）公布的业务连续性规划最佳实践，一个标准的业务连续管理应包含如下内容：

? 项目启动和管理，确定业务连续管理实施过程的相关需求，包括获得管理支持、组织和管理项目使其符合时间和预算的限制要求。

? 风险评估和控制，分析可能造成场地及设施中断的灾难、具有负面影响的事件和周边环境因素；分析事件可能造成的损失和减少潜在损失影响的控制措施；在成本效益分析基础上制订控制措施的投资，达到消减风险的目的。

? 业务影响分析，用定性和定量的方法确定由于中断和预期灾难可能对机构造成的影响。确定关键业务功能、恢复优先顺序和相关性以制订明确恢复时间目标。

? 制定业务连续性策略，确定业务恢复运行策略，以在恢复时间目标范围内恢复业务和信息技术，并维持机构的关键功能运作。

? 应急响应和运作，制定和实施用于事件响应和控制事件损失的业务流程，包括建立和管理指挥中心在紧急事件中进行损失评估、灾难等级识别、灾难宣告等。

? 制定和实施业务连续性计划，设计、制定和实施业务连续性规划，完成灾难备份信息系统和业务恢复体系的建设，以保障在恢复时间目标范围内完成恢复。

? 意识培养和培训，对业务连续管理人员进行培养和技能培训，以使业务连续性计划能够顺利地实施、维护和执行。

? 维护和演练业务连续性计划，对灾难恢复和业务连续管理进行演练，并评估和记录计划演练的结果，以维护更新BCP文档，保持业务连续性能力，并使其与机构的连续性策略保持一致。

? 公共关系和危机通信，制定、协调、评价和演练在危机情况下与灾难恢复队伍和相关员工、客户、供应商、股东和管理者的通信方案，制定与公共机构的交流计划。

? 与监管和公共当局的协调，建立适用的规程和策略，用于同监管部门和公共部门协调与沟通，以确保符合现行的法令和法规。

- 1 -

如何防范本地IT系统风险 ——通过RA分析加固现有IT系统

本文主要介绍如何通过风险分析，来对现有IT系统进行分析、评估、管控，为更有效地加固现有IT系统，和建设灾难备份及恢复体系提供依据。本文主要以某IT系统所在的场地环境做范例，通过对IT系统所在场地环境的运行状况的梳理，识别场地环境的潜在风险，并依据防范或控制风险的可行性，提出相应的风险控制措施，同时帮助灾备建设人员梳理业务连续性工程建设过程中风险分析阶段的工作思路。

- 2 -