业务连续性计划.docVIP

业务连续性计划及实施指引 1.0 目的 本计划旨在公司遇到突发事件导致业务中断时能够迅速响应并按计划恢复，使IT基础设施及信息系统能够支持业务操作的正常运行，从而确保业务运营的连续性。 2.0 适用范围 本计划适应于支付宝（中国）网络技术有限公司蚂蚁金服客权服务外包框架服务项目在公司遭受自然灾害情况或公司自身的软硬件故障、人员管理、业务管理等风险情况 3.0 原则 业务连续性计划的制定、评估、实施及制度修订应当遵循业务中断时间最小化的原则。 4.0 定义 4.1 业务连续性计划 指组织为避免关键业务功能中断，减少业务风险而建立的一个控制过程，它包括对支持关键功能的人力、物力和关键功能所需的最小级别服务水平的连续性保证。 4.2 灾难恢复计划 灾难恢复计划是一个全面的状态，它包括在事前，事中，和灾难对信息系统资源造成重大损失后所采取的行动。灾难恢复计划是对于紧急事件的应对过程。在中断的情况下提供后备的操作，在事后处理恢复和抢救工作。 4.3 恢复点 指一个过去的时间点，当灾难或紧急事件发生时，数据可以恢复到的时间点。 4.4 恢复时间 是指灾难发生后，从IT系统当机导致业务停顿之刻开始，到IT系统恢复至可以支持各部门运作，业务恢复运营之时，此两点之间的时间段。 4.5 自然灾害 包括但不限于火灾、地震、火山爆发、滑坡、泥石流、海啸、台风、洪水等突发性灾难。 4.6 人为灾害 包括但不限于误操作、病毒、火灾、业务管理问题等。 4.7软硬件故障/灾害、外部攻击、其它灾害 包括但不限于软硬件故障、病毒、黑客攻击、人员短缺等 5.0 职责 5.1 评估实施领导小组 5.1.1 当遭遇故障灾害需要完全重构IT基础设施及信息系统时，公司层面应成立业务连续性评估实施领导小组，由公司领导、综合部、运营部、技术部等相关部门的部门经理/总监共同组成，小组成员不少于5人。 5.1.2 评估实施领导小组负责业务连续性计划的具体组织和资源保障，负责审议业务恢复实施方案和执行计划。 5.2 评估实施执行小组 5.2.1 当遭遇故障或灾害需要完全重构IT基础设施及信息系统时，公司层面应成立业务连续性评估实施执行小组，由综合部、运营部、技术部以及其他相关部门共同组成，小组成员不少于5人。 5.2.2 实施执行小组负责业务连续性计划的具体人员组织和实施工作，制定详细业务恢复实施方案，报公司批准后执行。 5.3 技术部 5.3.1 业务连续性计划的归口管理执行部门。定期进行评估、实施、演练业务连续性计划，确保符合公司业务连续计划实施的有效性。 5.3.2 负责包括数据中心的重建、弱电布线、网络部署和服务器的搭建、信息系统安装部署、数据恢复以及最终恢复运行。 5.3.3 负责常规性数据灾难备份，定期举行恢复性测试，以确保备份数据的全面、准确、安全及可恢复。 5.4 综合部 综合部负责物理办公区网络布线，数据中心机房建设及其他IT基础设施建设的协助与配合； 5.5 运营部 运营部负责呼叫业务连续性计划恢复执行方案的审核和确认，负责呼叫业务运营体系恢复的组织与协调。 5.6 综合部 监督、检查和评估业务连续性计划实施过程的合规性、有效性。 6.0 数据备份与恢复 6.1 为确保业务数据的安全性，建立数据备份； 6.2 应建立常规性数据备份恢复机制，备份恢复应根据应用系统情况制定备份策略，制定专人实施备份操作，并进行备份有效性检查。同时，应定期进行业 务数据的备份及恢复性测试，提交恢复性测试报告； 6.3 数据灾难备份与恢复应遵循以下相关程序步骤： 编号 步骤 事项 执行人 1 制定备份策略 根据各应用系统的重要程度、访问频率、用户范围等因素制定备份策略，策略包括备份频率、备份方式以及备份介质的保存方式等。 技术部 2 执行备份操作 根据备份策略按时执行备份操作。 技术部 3 备份情况核查 定期确认备份操作结果，确保所有系统的备份都按时、全面和准确的完成。 技术部 4 定期恢复测试备份有效性 技术部从备份磁带（或其他备份介质）中恢复数据到灾备业务系统，最终使用部门验证备份数据是否完整和准确。 每年至少进行一次备份有效性测试，各部门安排成员轮流参加演练。 技术部 相关使用部门 7.0 业务连续性恢复 业务连续性恢复应遵照既定的恢复组织及执行程序，包括发布评估受灾等级和状况、制定恢复执行计划、系统全面测试及恢复运行等。 7.1 因自然灾害完全损坏，具体见下表： 编号 步骤 事项 执行部门 1 评估受灾等级和状况 按照最坏情况的评估标准，情况如下： 1) 灾难破坏情况：信息机房完全毁坏，无法使用 2)业务影响程度：所有系统平台全部损坏，无法使用 3)机房重建选址：原址损坏，只能新选地址重建机房 4)挽救的设备清单和测试情况：挽救的设备数量为零，