企業(yè)IT信息安全規(guī)劃企業(yè)IT信息安全規(guī)劃第1頁應用系統(tǒng)信息化建設目標IT安全信息安全管理信息安全技術支持類運行類決議類專業(yè)類信息化藍圖分類之（五）IT安全IT治理IT組織機構IT人員IT流程和制度IT運維企業(yè)服務平臺企業(yè)服務總線（ESB）業(yè)務流程管理（BPM）基礎設施平臺數(shù)據(jù)中心基礎架構安全與管理網(wǎng)絡與鏈路桌面終端企業(yè)IT信息安全規(guī)劃第2頁XX集團信息安全體系框架及設計目標基于XX集團信息化安全現(xiàn)實狀況和設計標準，提出信息安全未來建設目標制訂和實施符合國家《信息系統(tǒng)安全等級保護基礎要求》以及XX集團信息系統(tǒng)現(xiàn)實狀況安全管理策略和規(guī)范在信息中心設置信息安全崗位，并完善職責規(guī)范制訂明確信息安全策略，定時進行安全風險評定和審核，并制訂連續(xù)改進計劃對關鍵安全技術平臺防病毒、防火墻、入侵檢測系統(tǒng)實現(xiàn)，統(tǒng)一安全產(chǎn)品選型、統(tǒng)一安全產(chǎn)品布署、統(tǒng)一安全策略公布統(tǒng)一內(nèi)部基礎網(wǎng)絡規(guī)劃，對不一樣安全要求內(nèi)網(wǎng)接入進行訪問控制管理建設滿足業(yè)務需求信息系統(tǒng)災難恢復能力安全技術安全管理安全管理制度安全管理機構人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理物理層面安全控制網(wǎng)絡層面安全控制主機層面安全控制應用層面安全控制數(shù)據(jù)層面安全控制企業(yè)IT信息安全規(guī)劃第3頁信息安全管理對象與標準介紹安全管理職責分離標準對于一些包括敏感數(shù)據(jù)處理計算機系統(tǒng)安全管理而言，以下工作應分開進行：系統(tǒng)操作和系統(tǒng)開發(fā)相分離。這么系統(tǒng)開發(fā)者即使知道系統(tǒng)有那些安全漏洞也沒有機會利用；機密資料接收和傳送相分離。這么任何一方都無法對資料進行篡改；安全管理和系統(tǒng)管理相分離。這么可使制訂安全辦法人并不能親自實施這些安全辦法而對其起到制約作用；系統(tǒng)操作和備份管理相分離。結合日志管理，以實現(xiàn)對數(shù)據(jù)處理過程監(jiān)督；除要符合中國安全規(guī)范外，還要符合國際規(guī)范，如ISO27001、ISO17799等。郵件系統(tǒng)要防止出現(xiàn)列入黑名單情況。安全管理多人負責標準、任期有限標準多人負責標準：出于相互監(jiān)督和相互備份考慮，如只有單人負責，則若發(fā)生安全問題時此人不在崗就不能處理，或者他本人有安全問題時，極難覺察。任期有限標準：出于監(jiān)督目標，負責系統(tǒng)安全和系統(tǒng)管理人員要有一定輪換制度，以預防由單人長久負責一個系統(tǒng)安全而造成漏洞。安全管理對象安全管理對象是整個系統(tǒng)而不是系統(tǒng)中某個或一些元素。系統(tǒng)全部組成要素都是管理對象，從系統(tǒng)內(nèi)部看，安全管理包括計算機、網(wǎng)絡、操作、人事和信息資源；從外部環(huán)境看，安全管理包括法律、道德、文化傳統(tǒng)和社會制度等方面內(nèi)容企業(yè)IT信息安全規(guī)劃第4頁信息安全管理是一個連續(xù)性閉環(huán)過程評定風險決議支持實施控制評測安全管理信息安全管理信息安全管理可定義為含有四個主要階段連續(xù)過程：評定風險：識別組織風險并區(qū)分其嚴重程度。這些風險可能與特定IT系統(tǒng)和資產(chǎn)相關或無關；決議支持：依據(jù)定義成本-收益分析過程確定并選擇控制處理方案；實施控制：布署并操作全方面控制處理方案以降低信息安全風險；衡量評測：確定并匯報已布署控制辦法有效性，以將風險管理至可接收等級。企業(yè)IT信息安全規(guī)劃第5頁為保障信息安全制度執(zhí)行和落實，必需明確信息安全職能，建立對應信息安全組織對標國家《信息系統(tǒng)安全等級保護基礎要求》，當前XX基礎建立對應信息安全組織和職能應設置安全主管、安全管理各個方面責任人崗位，并定義各責任人職責；應設置系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位，并定義各個工作崗位職責。崗位設置人員配置授權和審批溝通和合作審核和檢驗應配置一定數(shù)量系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等；安全管理員不能兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。應依據(jù)各個部門和崗位職責明確授權審批部門及同意人，對系統(tǒng)投入運行、網(wǎng)絡系統(tǒng)接入和主要資源訪問等關鍵活動進行審批；應針對關鍵活動建立審批流程，并由同意人簽字確認。應加強各類管理人員之間、組織內(nèi)部機構之間以及信息安全職能部門內(nèi)部合作與溝通。定時進行安全檢驗，檢驗內(nèi)容包含系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況?，F(xiàn)實狀況設置了明確信息安全崗位職責，但未設專員進行日常運行監(jiān)管。當前相關管理人員配置不夠，個別崗位無專職人員。信息中心對XX網(wǎng)絡安全接入與資源訪問建立了明確審批流程。當前信息安全工作僅限于信息人員內(nèi)部，缺乏與其它業(yè)務部門合作與溝通。XX未制訂信息安全內(nèi)部審計、管理評審及有效性度量相關制度，未成立安全內(nèi)部審核小組。安全組織職能要求描述非常微弱比較微弱很好非常好普通企業(yè)IT信息安全規(guī)劃第6頁信息安全現(xiàn)實狀況評定——安全管理差距概述現(xiàn)實狀況總體評價：XX已經(jīng)編制信息安全管理規(guī)范，并已于年開啟推廣；XX信息系統(tǒng)建設和運維安全管理力度相對微弱；安全管理人員配置不夠；相關流程和制度執(zhí)行有待改進。主要存在問題：初步改進提議：當前XX內(nèi)部已建立專職信息安全組織和人員，但從事信息安全相關工作人員信息安全從業(yè)資質(zhì)認證覆蓋百分比不夠。XX信息系統(tǒng)建設和運維安全管理力度相對微弱；安全管理人員配置不夠，相關流程和制度執(zhí)行有待改進。信息安全內(nèi)部審計、管理評審及有效性度量等相關制度需進行完善。深入提升從事信息安全相關工作人員信息安全從業(yè)資質(zhì)認證覆蓋百分比。深入加強信息系統(tǒng)相關安全管理人員配置，按攝影關崗位要求配置專員進行管理。盡快完善相關管理制度。企業(yè)IT信息安全規(guī)劃第7頁信息安全現(xiàn)實狀況評定——安全技術差距概述現(xiàn)實狀況總體評價：經(jīng)過實施第一期SOC平臺對集團總部已經(jīng)布署全部安全設施進行集中管控。后續(xù)將逐步推進SOC平臺到各下屬企業(yè)，經(jīng)過在各下屬企業(yè)分節(jié)點布署數(shù)據(jù)采集引擎方法，將節(jié)點數(shù)據(jù)逐步匯聚到集團SOC平臺中。對關鍵系統(tǒng)實施災難恢復方案，備份方式主要采取數(shù)據(jù)異地容災備份。XXSOC平臺在應用過程中缺乏專員進行系統(tǒng)運行、維護以及系統(tǒng)相關問題管理。主要存在問題：初步改進提議：XXSOC平臺在應用過程中缺乏專員進行系統(tǒng)運行、維護以及系統(tǒng)相關問題管理。深入提升從事信息安全相關工作人員信息安全從業(yè)資質(zhì)認證覆蓋百分比。深入加強信息安全系統(tǒng)建設和運維安全管理力度，相關安全管理人員按攝影關要求盡快配置到位。企業(yè)IT信息安全規(guī)劃第8頁XX信息化安全現(xiàn)實狀況評價總結非常微弱比較微弱很好非常好普通名稱內(nèi)容評定分數(shù)安全管理XX已編制信息安全管理規(guī)范，并于開啟推廣。XX信息系統(tǒng)建設和運維安全管理力度相對微弱。安全管理人員配置不夠，相關流程和制度執(zhí)行有待改進。XX信息安全內(nèi)部審計、管理評審及有效性度量等方面有待加強。安全技術經(jīng)過第一期SOC平臺對集團總部全部安全設施進行集中管控。后續(xù)逐步推進SOC平臺到各下屬企業(yè)，經(jīng)過在各下屬企業(yè)分節(jié)點布署數(shù)據(jù)采集引擎方法，將節(jié)點數(shù)據(jù)逐步匯聚到集團SOC平臺中。需深入提升從事信息安全相關工作人員信息安全從業(yè)資質(zhì)認證覆蓋百分比。需深入加強信息安全系統(tǒng)建設和運維安全管理力度，相關安全管理人員按攝影關要求盡快配置到位。企業(yè)IT信息安全規(guī)劃第9頁XX集團信息安全設計標準外部標準企業(yè)需求可實施性覆蓋度方案設計要滿足國資委信息化評測標準（安全個別）、公安部信息安全要求、電監(jiān)會信息安全要求、XX集團企業(yè)安全規(guī)范等信息化安全方面要求或標準信息化安全方案制訂應充分考慮XX集團信息化應用現(xiàn)實狀況及發(fā)展方向，與應用系統(tǒng)分布及基礎架構相匹配安全方案才能保障信息化安全可靠運行在方案設計時，需要充分考慮實施中風險，以及實施周期和成本，對潛在風險必須做充分分析并給出對應處理對策全覆蓋安全體系，對象范圍覆蓋最終用戶、服務器端以及信息網(wǎng)絡，在企業(yè)內(nèi)部做到信息安全死角為零可管理性安全平臺設計應充分考慮到后期運行層面與管理層面平衡性企業(yè)IT信息安全規(guī)劃第10頁國家經(jīng)過出臺《信息系統(tǒng)安全等級保護基礎要求》，明確了信息安全管理規(guī)范框架管理制度制訂和公布評審和修訂崗位設置人員配置授權和審批溝通和合作審核和檢驗人員錄用人員離崗人員考評安全意識教育和培訓外部人員訪問管理系統(tǒng)定級安全方案設計產(chǎn)品采購和使用自行軟件開發(fā)外包軟件開發(fā)工程實施測試驗收系統(tǒng)交付系統(tǒng)立案等級測試安全服務商選擇環(huán)境管理資產(chǎn)管理介質(zhì)管理設備管理監(jiān)控管理和安全中心網(wǎng)絡安全管理系統(tǒng)安全管理惡意代碼防范密碼管理變更管理備份與恢復管理安全事件處置應急預案管理安全管理制度安全管理機構人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理安全技術安全管理國資委央企信息化評價，重點考查信息安全參考標準和認證情況，信息技術安全機制建設情況，采取安全辦法信息化安全事故情況，與此框架相吻合 企業(yè)IT信息安全規(guī)劃第11頁目錄XX集團信息化藍圖架構信息安全規(guī)劃信息安全目標框架及設計目標信息安全目標體系XX容災體系企業(yè)IT信息安全規(guī)劃第12頁管理制度制訂信息安全工作總體方針和安全策略，說明集團安全工作總體目標、范圍、標準和安全框架等應對安全管理活動中主要管理內(nèi)容建立安全管理制度應對安全管理人員或操作人員執(zhí)行主要管理操作建立操作規(guī)程制訂和公布應指定或授權專門部門或人員負責安全管理制度制訂應組織相關人員對制訂安全管理制度進行論證和審定應將安全管理制度以某種方式公布到相關人員手中評審和修訂應定時對安全管理制度進行評審，對存在不足或需要改進安全管理制度進行修訂信息安全目標體系-XX安全管理制度安全技術安全管理企業(yè)IT信息安全規(guī)劃第13頁溝通和合作應加強各類管理人員之間、組織內(nèi)部機構之間以及信息安全職能部門內(nèi)部合作與溝通與保持合作單位、公安機關、電信企業(yè)合作與溝通

審核和檢驗安全管理員應負責定時進行安全檢驗，檢驗內(nèi)容包含系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等情況崗位設置應設置專職安全主管、安全管理各個方面責任人崗位，并定義各責任人職責應設置系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等崗位，并定義各個工作崗位職責人員配置應配置一定數(shù)量系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員等安全管理員不能兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等授權和審批應依據(jù)各個部門和崗位職責明確授權審批部門及同意人，對系統(tǒng)投入運行、網(wǎng)絡系統(tǒng)接入和主要資源訪問等關鍵活動進行審批應針對關鍵活動建立審批流程，并由同意人簽字確認信息安全目標體系-XX安全管理機構安全技術安全管理企業(yè)IT信息安全規(guī)劃第14頁安全意識教育和培訓應對各類人員進行安全意識教育、崗位技能培訓和相關安全技術培訓應通知人員相關安全責任和懲戒辦法，并對違反違反安全策略和要求人員進行懲戒應制訂安全教育和培訓計劃，對信息安全基礎知識、崗位操作規(guī)程等進行培訓外部人員訪問管理應確保在外部人員訪問受控區(qū)域前得到授權或?qū)徟夂笥蓪T全程陪同或監(jiān)督，并登記立案人員錄用應規(guī)范人員錄用過程，對被錄用人員身份、背景和專業(yè)資格等進行審查，對其所含有技術技能進行考評應與從事關鍵崗位人員簽署保密協(xié)議人員離崗應規(guī)范人員離崗過程，及時終止離崗員工全部訪問權限應取回各種身份證件、鑰匙、徽章等以及機構提供軟硬件設備應辦理嚴格調(diào)離手續(xù)人員考評應定時對各個崗位人員進行安全技能及安全認知考評信息安全目標體系-集團人員安全管理安全技術安全管理企業(yè)IT信息安全規(guī)劃第15頁系統(tǒng)交付應制訂系統(tǒng)交付清單，并依據(jù)交付清單對所交接設備、軟件和文檔等進行清點應對負責系統(tǒng)運行維護技術人員進行對應技能培訓應確保提供系統(tǒng)建設過程中文檔和指導用戶進行系統(tǒng)運行維護文檔安全服務商選擇應確保安全服務商選擇符合國家相關要求應與選定安全服務商簽署與安全相關協(xié)議，明確約定相關責任應確保選定安全服務商提供技術支持和服務承諾，必要與其簽署服務協(xié)議外包軟件開發(fā)應依據(jù)開發(fā)要求檢測軟件質(zhì)量應確保提供軟件設計相關文檔和使用指南應在軟件安裝之前檢測軟件包中可能存在惡意代碼應要求開發(fā)單位提供軟件源代碼，并審查軟件中可能存在后門測試驗收應對系統(tǒng)進行安全性測試驗收在測試驗收前應依據(jù)設計方案或協(xié)議要求等制訂測試驗收方案，在測試驗收過程中應詳細統(tǒng)計測試驗收結果，并形成測試驗收匯報應組織相關部門和相關人員對系統(tǒng)測試驗收匯報進行審定，并簽字確認工程實施應指定或授權專門部門或人員負責工程實施過程管理應制訂詳細工程實施方案，控制工程實施過程信息安全目標體系-系統(tǒng)建設管理（1）安全技術安全管理企業(yè)IT信息安全規(guī)劃第16頁系統(tǒng)定級應明確信息系統(tǒng)邊界和安全保護等級應以書面形式說明信息系統(tǒng)確定為某個安全保護等級方法和理由應確保信息系統(tǒng)定級結果經(jīng)過相關部門同意安全方案設計應依據(jù)系統(tǒng)安全保護等級選擇基礎安全辦法，依據(jù)風險分析結果補充和調(diào)整安全辦法應以書面形式描述對系統(tǒng)安全保護要求、策略和辦法等內(nèi)容，形成系統(tǒng)安全方案應對安全方案進行細化，形成能指導安全系統(tǒng)建設、安全產(chǎn)品采購和使用詳細設計方案應組織相關部門和相關安全技術教授對安全設計方案合理性和正確性進行論證和審定，而且經(jīng)過同意后，才能正式實施產(chǎn)品采購和使用應確保安全產(chǎn)品采購和使用符合國家相關要求應確保密碼產(chǎn)品采購和使用符合國家密碼主管部門要求應指定或授權專門部門負責產(chǎn)品采購自行軟件開發(fā)應確保開發(fā)環(huán)境與實際運行環(huán)境物理分開應制訂軟件開發(fā)管理制度，明確說明開發(fā)過程控制方法和人員行為準則應確保提供軟件設計相關文檔和使用指南，并由專員負責保管信息安全目標體系-系統(tǒng)建設管理（2）安全技術安全管理安全方案設計自行軟件開發(fā)企業(yè)IT信息安全規(guī)劃第17頁介質(zhì)管理應確保介質(zhì)存放在安全環(huán)境中，對各類介質(zhì)進行控制和保護，并實施存放環(huán)境專員管理應對介質(zhì)歸檔和查詢等過程進行統(tǒng)計，并依據(jù)存檔介質(zhì)目錄清單定時盤點應對需要送出維修或銷毀介質(zhì)，首先去除其中敏感數(shù)據(jù)，預防信息非法泄漏應依據(jù)所承載數(shù)據(jù)和軟件主要程度對介質(zhì)進行分類和標識管理密碼管理應使用符合國家密碼管理要求密碼技術和產(chǎn)品環(huán)境管理應指定專門部門或人員定時對機房供配電、空調(diào)、溫濕度控制等設施進行維護管理應配置機房安全管理人員，對機房出入、服務器開機或關機等工作進行管理應建立機房安全管理制度，對相關機房物理訪問物品帶進、帶出機房和機房環(huán)境安全等方面管理作出要求應加強對辦公環(huán)境保密性管理，包含工作人員調(diào)離辦公室應馬上交還該辦公室鑰匙和不在辦公區(qū)接待來訪人員等資產(chǎn)管理應編制與信息系統(tǒng)相關資產(chǎn)清單，包含資產(chǎn)責任部門、主要程度和所處位置等內(nèi)容應建立資產(chǎn)安全管理制度，要求信息系統(tǒng)資產(chǎn)管理責任人員或責任部門，并規(guī)范資產(chǎn)管理和使用信息安全目標體系-系統(tǒng)運維管理（1）安全技術安全管理企業(yè)IT信息安全規(guī)劃第18頁設備管理應對信息系統(tǒng)相關各種設備（包含備份和冗余設備）、線路等指定專門部門或人員定時進行維護管理應建立基于申報、審批和專員負責設備安全管理制度，對信息系統(tǒng)各種軟硬件設備選型、采購、發(fā)放和領用等過程進行規(guī)范化管理應對終端計算機、工作站、便攜機、系統(tǒng)和網(wǎng)絡等設備操作和使用進行規(guī)范化管理，按操作規(guī)程實現(xiàn)關鍵設備（包含備份和冗余設備）開啟/停頓、加電/斷電等操作應確保信息處理設備必須經(jīng)過審批才能帶離機房或辦公地點變更管理應確認系統(tǒng)中要發(fā)生主要變更，并制訂對應變更方案系統(tǒng)發(fā)生主要變更前，應向主管領導申請，審批后方可實施變更，并在實施后向相關人員通告信息安全目標體系-系統(tǒng)運維管理（2）惡意代碼防范管理應提升全部用戶防病毒意識，通知及時升級防病毒軟件，在讀取移動存放設備上數(shù)據(jù)以及網(wǎng)絡上接收文件或郵件之前，先進行病毒檢驗，對外來計算機或存放設備接入網(wǎng)絡系統(tǒng)之前也應進行病毒檢驗應指定專員對網(wǎng)絡和主機進行惡意代碼檢測并保留檢測統(tǒng)計應對防惡意代碼軟件授權使用、惡意代碼庫升級、定時匯報等作出明確要求安全技術安全管理企業(yè)IT信息安全規(guī)劃第19頁網(wǎng)絡安全管理應指定人員對網(wǎng)絡進行管理，負責運行日志、網(wǎng)絡監(jiān)控統(tǒng)計日常維護和報警信息分析和處理工作應建立網(wǎng)絡安全管理制度，對網(wǎng)絡安全配置、日志保留時間、安全策略、升級與打補丁、口令更新周期等方面作出要求應依據(jù)廠家提供軟件升級版本對網(wǎng)絡設備進行更新，并在更新前對現(xiàn)有主要文件進行備份應定時對網(wǎng)絡系統(tǒng)進行漏洞掃描，對發(fā)覺網(wǎng)絡系統(tǒng)安全漏洞進行及時修補應對網(wǎng)絡設備配置文件進行定時備份應確保全部與外部系統(tǒng)連接均得到授權和同意信息安全目標體系-系統(tǒng)運維管理（3）系統(tǒng)安全管理應依據(jù)業(yè)務需求和系統(tǒng)安全分析確定系統(tǒng)訪問控制策略應定時進行漏洞掃描，對發(fā)覺系統(tǒng)安全漏洞及時進行修補應安裝系統(tǒng)最新補丁程序，在安裝系統(tǒng)補丁前，應首先在測試環(huán)境中測試經(jīng)過，并對主要文件進行備份后，方可實施系統(tǒng)補丁程序安裝應建立系統(tǒng)安全管理制度，對系統(tǒng)安全策略、安全配置、日志管理和日常操作流程等方面作出要求應依據(jù)操作手冊對系統(tǒng)進行維護，詳細統(tǒng)計操作日志，包含主要日常操作、運行維護統(tǒng)計、參數(shù)設置和修改等內(nèi)容，禁止進行未經(jīng)授權操作應定時對運行日志和審計數(shù)據(jù)進行分析，方便及時發(fā)覺異常行為安全技術安全管理企業(yè)IT信息安全規(guī)劃第20頁備份與恢復管理應識別需要定時備份主要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等應要求備份信息備份方式、備份頻度、存放介質(zhì)、保留期等應依據(jù)數(shù)據(jù)主要性及其對系統(tǒng)運行影響，制訂數(shù)據(jù)備份策略和恢復策略，備份策略指明備份數(shù)據(jù)放置場所、文件命名規(guī)則、介質(zhì)替換頻率和數(shù)據(jù)離站運輸方法應急預案管理應在統(tǒng)一應急預案框架下制訂不一樣事件應急預案，應急預案框架應包含開啟應急預案條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容應對系統(tǒng)相關人員進行應急預案培訓，應急預案培訓應最少每年舉行一次信息安全目標體系-系統(tǒng)運維管理（4）安全事件處置應匯報所發(fā)覺安全弱點和可疑事件，但任何情況下用戶均不應嘗試驗證弱點應制訂安全事件匯報和處置管理制度，明確安全事件類型，要求安全事件現(xiàn)場處理、事件匯報和后期恢復管理職責應依據(jù)國家相關管理部門對計算機安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生影響，對本系統(tǒng)計算機安全事件進行等級劃分應統(tǒng)計并保留全部匯報安全弱點和可疑事件，分析事件原因，監(jiān)督事態(tài)發(fā)展，采取辦法防止安全事件發(fā)生安全技術安全管理企業(yè)IT信息安全規(guī)劃第21頁目錄XX集團信息化藍圖架構信息安全規(guī)劃信息安全目標框架及設計目標信息安全目標體系XX容災體系企業(yè)IT信息安全規(guī)劃第22頁容災建設時需要充分考慮實用性、可擴展性、規(guī)范性、可操作性和兼容性容災是確保信息和信息系統(tǒng)安全一項主要辦法，其建設過程中應充分考慮以下原因：實用性立足依靠現(xiàn)有數(shù)據(jù)中心及機房，適當考慮再建或其它方案。本著此項標準能夠提升已經(jīng)有投資利用率、縮短災備方案實施時間并降低人員維護成本?？蓴U展性具備良好擴展能力以適應未來業(yè)務發(fā)展需要。XX集團災備恢復計劃設計將滿足XX集團業(yè)務中、長久發(fā)展需要?；诙嗄陙順I(yè)務快速發(fā)展及對未來業(yè)務增加預測，系統(tǒng)設計充分考慮前瞻性和可擴充性。規(guī)范性滿足國家相關災備管理規(guī)范、標準要求。依靠XX集團在現(xiàn)有信息安全基礎上建立符合發(fā)電行業(yè)特色集團信息安全標準，作為集團一，二，三級單位遵從標準?？刹僮餍允褂脴I(yè)界成熟和實用各種備份與恢復技術，保障XX集團業(yè)務數(shù)據(jù)及基礎設施在災難后快速恢復。使用成熟數(shù)據(jù)備份介質(zhì)且應保障其輕易使用，如磁帶、磁盤陣列等。兼容性采取開放技術標準和協(xié)議，允許系統(tǒng)中兼容不一樣廠商產(chǎn)品，降低成本，而且，伴隨業(yè)務應用系統(tǒng)功效逐步擴充和數(shù)據(jù)量增加，能夠愈加輕易地實現(xiàn)容災系統(tǒng)擴充。安全技術安全管理企業(yè)IT信息安全規(guī)劃第23頁容災是保障數(shù)據(jù)安全主要方式，容災實現(xiàn)方式主要有數(shù)據(jù)級、應用級和業(yè)務級恢復時間投資連續(xù)可用業(yè)務級快速恢復應用級能夠恢復數(shù)據(jù)級分小時天周容災方式業(yè)務恢復速度恢復難度技術難度運維成本投資數(shù)據(jù)級較慢RTO>二十四小時高較低較低較低應用級較快RTO<12小時較低較高較高較高業(yè)務級連續(xù)可用RTO<0.5小時低高高高數(shù)據(jù)級容災是僅將生產(chǎn)中心數(shù)據(jù)完整地復制到容災中心容災方式。數(shù)據(jù)級容災是異地容災最低級形式，也是最基礎方式，是實現(xiàn)更高級容災方式基礎，但僅能夠確保數(shù)據(jù)是可用，若技術策略選擇得當，能夠確保業(yè)務數(shù)據(jù)完整性。應用級容災是指在數(shù)據(jù)級容災實現(xiàn)數(shù)據(jù)可用基礎上，深入實現(xiàn)應用可用性，確保業(yè)務能夠快速恢復。容災系統(tǒng)應用不改變原有業(yè)務處理邏輯，是對生產(chǎn)中心系統(tǒng)基礎復制。業(yè)務級容災是生產(chǎn)中心與容災中心對業(yè)務請求同時進行處理容災方式，能夠確保業(yè)務連續(xù)可用，但投資很高。通常容災恢復目標依據(jù)恢復時間和恢復數(shù)據(jù)量可定義分為兩種，分別為恢復時間目標RTO和恢復點目標RPO。依據(jù)RTO指標，容災方式可分為數(shù)據(jù)級、應用級和業(yè)務級。安全技術安全管理企業(yè)IT信息安全規(guī)劃第24頁RPO：RPO(RecoveryPointObjective)是指災難發(fā)生后，容災系統(tǒng)能把數(shù)據(jù)恢復到災難發(fā)生前時間點數(shù)據(jù)，它是衡量企業(yè)在災難發(fā)生后會丟失多少數(shù)據(jù)指標。RPO可簡單描述為企業(yè)能容忍最大數(shù)據(jù)丟失量。另外，容災還要考慮系統(tǒng)數(shù)據(jù)丟失量RPO功效：因為實現(xiàn)“零數(shù)據(jù)丟失”需要巨大基礎架構、帶寬和軟件成本，這就使“零數(shù)據(jù)丟失”只能夠用于極度昂貴數(shù)據(jù)，而不能用于全部情況。所以企業(yè)需要確切地確定它能夠負擔在一次災難中丟失多少數(shù)據(jù)。RPO就是用來幫助企業(yè)分析和評定數(shù)據(jù)丟失量工具/指標。時間數(shù)據(jù)備份點數(shù)據(jù)按照固點頻率進行備份在這個時間段內(nèi)丟失數(shù)據(jù)就是企業(yè)所能容忍最大數(shù)據(jù)丟失量主服務器備份服務器確定RPO步驟：1、到所要考查數(shù)據(jù)系統(tǒng)用戶以及這些領域管理層去，問詢在災難發(fā)生時候他們能夠承受數(shù)據(jù)丟失量。2、在選擇數(shù)據(jù)備份系統(tǒng)時候，基于軟件復制系統(tǒng)、基于硬件鏡像、BusinessContinuanceVolume（BCV）和其它統(tǒng)計工具，以及無數(shù)基于磁帶系統(tǒng)都是可選。3、混合使用或者匹配使用這些類型系統(tǒng)，以創(chuàng)建能夠滿足從幾分鐘到多