信息系统容灾备份管理制度

1、总则

1.1、目的

为保护XXXXX单位的信息系统，提升灾难恢复的能力，规范灾难恢复的过程，特制定本管理制度。

1.2、范围

本制度适用于XXXXX单位信息系统容灾管理。

1.3、职责

网络安全与信息化管理部门统筹信息系统的容灾管理。具体的灾难恢复工作由灾难恢复领导小组、灾难恢复规划实施组和灾难恢复日常运行组落实。

1.4、术语和定义

灾难备份即为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份的过程。

灾难恢复即为了将信息系统从灾难造成的故障或瘫痪状态恢复到时可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。

恢复时间目标(RTO:recovery time objective)：灾难发生后，信息系统或业务功能从停顿到时必须恢复的时间要求。

恢复点目标(RPO:recovery point objective)：灾难发生后，系统和数据必须恢复到的时间点要求。

2、管理细则

2.1、容灾基本要求

1. 需充分考虑容灾系统建设对原有业务系统带来的影响。比如，采用数据复制技术对系统I/O 带来的延迟， 应用数据同步对日常业务处理系统带来的压力等。保证业务系统不会因容灾系统的建设而出现处理性能明显下降的问题。
2. 数据状态要保持同步。为保证在灾难发生时，业务可以成功地切换到灾备中心，就必须保证容灾系统数据同步机制的可靠性。
3. 容灾系统的日常维护工作要尽可能轻，并能承担部分业务处理和测试的工作。生产中心任何业务处理过程的改变都必须完整地复制到灾备中心。
4. 系统恢复时间要尽可能短。容灾系统主要是为了实现在主中心系统发生灾难时，可以在规定时间切换到灾备中心，保证数据不会丢失，并且继续向用户提供服务。
5. 可实现部分业务子系统的切换和回切。当人事变动、业务变化、IT 设施变化以及其他可能引起恢复规划文档失效的变化发生时， 应及时更新各恢复规划文档， 并在必要时启动模拟测试或演习，确保业务连续性系统的工作能力。
6. 容灾系统选择要遵循成熟稳定、高可靠性、可扩展性、透明性的原则。容灾方案可以选择多种技术组合方式。
7. 容灾系统设计需考虑应用系统的RTO和RPO要求，还应考虑数据及链路传输的安全，和业务连续性等因素。

2.2、容灾级别

可将容灾划分为六个等级，分别针对不同级别的容灾做出相应的应对措施。容灾级别参考国家《信息系统灾难恢复规范》（ GB/T 20988-2007 ）标准，如下表所示。

级别	内容	措施
6	数据零丢失和远程集群支持	实现远程数据实时备份，实现零丢失； 应用软件可以实现实时无缝切换； 远程集群系统的实时监控和自动切换能力；
5	实时数据传输及完整设备支持	实现远程数据复制技术； 具备通信网络自动或集中切换能力；
4	电子传输及完整设备支持	配置所需要的全部数据和通讯线路及网络设备，并处于就绪状态； 7*24 运行；更高的技术支持和运维管理；
3	电子传输和部分设备支持	配置部分数据，通信线路和网络设备； 每天实现多次的数据电子传输； 备用场地配置专制的运行管理人员；
2	备用场地支持	预定时间调配数据，通信线路和网络设备； 备用场地管理制度； 设备及网络紧急供货协议；
1	基本支持	每周至少做一次完全数据备份； 制定介质存取／验证和转储的管理制度； 完整测试和演练的灾难恢复计划；

2.3、容灾备份

2.3.1、容灾备份方式

1. 冷备份

备份系统未安装或未配置成与当前使用的系统相同或相似的运行环境, 应用系统数据没有及时装入备份系统。一旦发生灾难， 需安装配置所需的运行环境，用数据备份介质（磁带或光盘）恢复应用数据，手工逐笔或自动批量追补孤立数据，将终端用户通过通讯线路切换到备份系统，恢复业务运行。优点：设备投资较少，节省通信费用， 通信环境要求不高。缺点：恢复时间较长，一般要数天至一周，数据完整性与一致性较差。

1. 温备份

将备份系统已安装配置成与当前使用的系统相同或相似的系统和网络运行环境，安装了应用系统业务定期备份数据。一旦发生灾难，直接使用定期备份数据，手工逐笔或自动批量追补孤立数据或将终端用户通过通讯线路切换到备份系统，恢复业务运行。优点：设备投资较少，通信环境要求不高。缺点：恢复时间长，一般要十几个小时至数天，数据完整性与一致性较差。

1. 热备份

备份处于联机状态，当前应用系统通过高速通信线路将数据实时传送到备份系统， 保持备份系统与当前应用系统数据的同步；也可定时在备份系统上恢复应用系统的数据。一旦发生灾难，不用追补或只需追补很少的孤立数据，备份系统可快速接替生产系统运行，恢复营业。优点：恢复时间短，一般几十分钟到数小时，数据完整性与一致性最好，数据丢失可能性最小。缺点：设备投资大，通信费用高，通信环境要求高，平时运行管理较复杂。

2.3.2、数据备份与恢复

容灾过程中的数据备份与恢复可以参照《数据备份与恢复管理制度》。

2.3.3、设备和系统的备份与冗余

对设备和系统的备份与冗余，不同容实级别应有选择地满足以下要求的一项：

1. 设备备份要求：应实现设备备份与容错；指定专人定期维护和检查备份设备的状况，确保需要接入系统时能够正常运行；应根据实际需求限定备份设备接入的时间；
2. 系统热备份与冗余要求：应实现系统热备份与冗余，并指定专人定期维护和检查热备份和冗余设备的运行状况，定期进行切换试验，确保需要时能正常运行；应根据实际需求限定系统热备份和冗余设备切换的时间；
3. 系统远地备份要求：选择远离市区的地方或其他城市，建立系统远地灾备中心，确保主系统在遭到破坏中断运行时，远地系统能替代主系统运行，保证信息系统所支持的业务系统能按照需要继续运行。

2.4、容难恢复

2.4.1、灾难恢复工作范围

信息系统的灾难恢复工作，包括灾难恢复规划和灾备中心的日常运行、关键业务功能在灾难备份中心的恢复和重续运行，以及主系统的灾后重建和回退工作，还涉及突发事件发生后的应急响应。主要包括灾难恢复需求的确定，灾难恢复策略的制定，灾难恢复策略的实现，灾难恢复预案的制定、落实和管理。

1. 灾难恢复需求的确定：通过风险分析、业务影响分析，确定灾难恢复需求，确定业务系统的RTO和RPO要求。
2. 灾难恢复策略的制定：根据灾难恢复的资源(备用数据处理系统，备用网络系统，备用基础设施等)，成本效益，专业技术支持能务等制定灾难恢复策略。
3. 灾难恢复策略的实现：容灾系统的实现(验证、确认，安装调试等)，灾备中心的建设。
4. 灾难恢复预案的制定、落实和管理：灾难恢复预案的制定，预案的教育、培训和演练，灾难恢复预案的管理。

2.4.2、灾难恢复组织与职责

灾难恢复的组织机构由管理、业务、技术和后勤等人员组成，一般可设为灾难恢复领导小组、灾难恢复规划实施组和灾难恢复日常运行组。

灾难恢复领导小组是信息系统灾难恢复工作的组织领导机构，其职责是领导和决策信息系统灾难恢复的重大事宜。主要职责有审核并批准经费预算，审核并批准灾难恢复策略，审核并批准灾难恢复预案，批准灾难恢复预案的执行。

灾难恢复规划实施组的主要职责是负责灾难恢复的需求分析，提出灾难恢复策略和等级，灾难恢复策略的实现，制定灾难恢复预案，组织实验恢复预案的测试和演练。

灾难恢复日常运行组的主要职责是负责协助灾难恢复系统实施，灾难备份中心日常管理，灾难备份系统的运行和维护，灾难恢复的专业技术支持，参与和协助灾难恢复预案的教育、培训和演练，维护和管理灾难恢复预案，灾难发生后信息系统和业务功能的恢复。

2.4.3、灾难恢复规划的管理

应评估灾难恢复规则过程的风险、筹备所需资源、确定详细任务及时间表、监督和管理规划活动、跟踪和报告任务进展以及进行问题管理和变更管理。

2.4.4、灾难恢复演练

1. 灾难恢复演练按验证范围分为信息系统专项演练和信息系统全面演练，可采取桌面演练、模拟演练或实战演练的方式进行。
2. 由灾备运维管理负责人统筹各类信息系统的灾难恢复演练工作，应每年至少组织进行一次重要信息系统专项灾难恢复切换演练，每三年至少进行一次重要信息系统全面灾难恢复切换演练，以真实业务接管为目标，验证灾备中心有效接管生产系统及安全回切的能力。
3. 根据演练的方式和演练的影响范围，按照需要和管理要求，在灾难恢复演练前向上级机构报备，在演练结束后报送灾难恢复演练的总结和评估报告。
4. 演练实施过程包括：演练的规划与计划、演练方案的制定和审核、演练准备、演练实施、演练评估与总结、演练后续改进工作。

2.4.5、灾难恢复文档管理

1. 当灾难恢复预案文档中的各灾难恢复小组人员、联络方式有变动，应对灾难恢复预案的组织构架、人员名单、联系方式进行及时更新。
2. 当灾备中心的日常变更导致信息系统配置项更改时，应对灾难恢复预案的相关文档（包括切换手册）进行必要更新。
3. 当灾备中心的基础设施、设备、系统等资源进行重大变更时，应对灾难恢复预案的相关文档进行及时更新。
4. 在灾难恢复演练完成后，灾备运维管理负责人应根据对演练评估的结果，对灾难恢复预案及其相关文档进行必要的更新。
5. 每次演练完成后，灾备运维管理负责人应对灾难恢复预案及其相关文档进行审核，并根据审核结果制作新的修订版本。

2.4.6、灾难恢复的审计和备案

灾难恢复的等级评定、灾难恢复预案的制定应按有关规定进行审计和备案。

3、附则

本管理制度由XXXXX单位负责解释，自发布之日起实施。

4、附录和附件

附件1：灾难恢复小组名单

灾难恢复小组名单

小组名称	成员	联系方式
灾难恢复领导小组
灾难恢复规划实施组
灾难恢复日常运行组