存儲級數(shù)據(jù)容災(zāi)方案模板

1、方案設(shè)計1. 用戶現(xiàn)狀與需求1.1. 用戶IT系統(tǒng)現(xiàn)狀用戶現(xiàn)有系統(tǒng)包括數(shù)據(jù)庫、應(yīng)用、WEB、郵件等系統(tǒng)，雖然是雙機(jī)架構(gòu)，但是其穩(wěn)定性和可靠性都沒有達(dá)到核心系統(tǒng)應(yīng)該具備的標(biāo)準(zhǔn)，而且直連的存儲架構(gòu)對于性能和管理型都有一定的局限性。業(yè)務(wù)數(shù)據(jù)是企業(yè)業(yè)務(wù)的生命線，如何保護(hù)好計算機(jī)系統(tǒng)里存儲的數(shù)據(jù)，保證系統(tǒng)穩(wěn)定可靠地運行，并為業(yè)務(wù)系統(tǒng)提供快捷可靠的訪問，是系統(tǒng)建設(shè)中最重要的問題之一。為了保護(hù)業(yè)務(wù)系統(tǒng)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)，我們必須對這些數(shù)據(jù)進(jìn)行有效的備份，并支持快速恢復(fù)。通過備份的方式將文件、數(shù)據(jù)庫等重要數(shù)據(jù)做一個副本，只能在本地建立數(shù)據(jù)保護(hù)。但因意外(如火災(zāi)、地震等)停止工作時，隨之而來的損失更是不可估量，為避

2、免類似風(fēng)險的存在，就需要建立異地容災(zāi)系統(tǒng)，整個應(yīng)用系統(tǒng)可以切換到另一處，使得該系統(tǒng)功能可以繼續(xù)正常工作，保證業(yè)務(wù)穩(wěn)定運行。1.2. 用戶需求1.2.1. 建設(shè)目標(biāo)從容災(zāi)的級別來說，可以規(guī)劃數(shù)據(jù)級容災(zāi)和應(yīng)用級容災(zāi)，根據(jù)業(yè)務(wù)種類多，業(yè)務(wù)方式多樣化的特點，僅建設(shè)一個數(shù)據(jù)級容災(zāi)是不夠，容災(zāi)發(fā)生時，業(yè)務(wù)快速的恢復(fù)是容災(zāi)系統(tǒng)的一大需求。應(yīng)用級容災(zāi)是建立在數(shù)據(jù)級容災(zāi)的基礎(chǔ)上，在容災(zāi)切換時，除了切換核心的數(shù)據(jù)庫數(shù)據(jù)外，還包含了IP地址切換（按客戶需要選擇），中間件服務(wù)，用戶級業(yè)務(wù)。應(yīng)用級容災(zāi)從流程上實現(xiàn)了全業(yè)務(wù)的連續(xù)性需求。從我們的災(zāi)難系統(tǒng)建設(shè)經(jīng)驗出發(fā)，xxx有限公司可以考慮以下業(yè)務(wù)連續(xù)性計劃目標(biāo)：²

3、;RPO（最大允許數(shù)據(jù)丟失時間）：零數(shù)據(jù)丟失²RTO（最大允許宕機(jī)時間）：30分鐘²應(yīng)用級容災(zāi)需求1.2.2. 需求分析用戶需要保障數(shù)據(jù)的長期安全可靠的，數(shù)據(jù)對于災(zāi)難的安全性和可恢復(fù)性：災(zāi)難切換時間要求災(zāi)難系統(tǒng)切換時間不超過30分鐘，最好在10分鐘內(nèi)實現(xiàn)。多種災(zāi)難切換方式提供自動災(zāi)難系統(tǒng)切換和手動災(zāi)難切換方式計劃內(nèi)維護(hù)要求提供計劃內(nèi)維護(hù)支持能力，計劃內(nèi)維護(hù)切換時間不多于10分鐘數(shù)據(jù)丟失性要求原則上要求零數(shù)據(jù)丟失，可以依據(jù)情況進(jìn)行調(diào)整數(shù)據(jù)同步方式提供同步和異步兩種方式備份和災(zāi)難備份方式采用物理備份方式實現(xiàn)物理部件失敗要求支持部分磁盤，文件系統(tǒng)，主機(jī)，磁盤柜等各種物理部件失敗導(dǎo)

4、致的失敗保護(hù)。站點失敗要求支持由于火災(zāi)，電力以及其他因素導(dǎo)致站點失敗的數(shù)據(jù)保護(hù)。邏輯失敗要求支持由于數(shù)據(jù)塊腐敗導(dǎo)致的數(shù)據(jù)庫無法啟動，數(shù)據(jù)丟失等邏輯失敗保護(hù)人類錯誤失敗要求支持由于人類誤操作以及入侵等導(dǎo)致人類錯誤失敗導(dǎo)致的數(shù)據(jù)保護(hù)或者恢復(fù)。生產(chǎn)系統(tǒng)的性能影響要求生產(chǎn)系統(tǒng)性能影響不超過5%生產(chǎn)系統(tǒng)可用性要求容災(zāi)系統(tǒng)不會降低生產(chǎn)系統(tǒng)可用性網(wǎng)絡(luò)鏈路分鐘級別短暫故障要求不會對生產(chǎn)系統(tǒng)產(chǎn)生影響網(wǎng)絡(luò)鏈路小時級別長期故障要求不會對生產(chǎn)系統(tǒng)產(chǎn)生影響網(wǎng)絡(luò)鏈路密集的秒級別短暫故障要求不會對生產(chǎn)系統(tǒng)產(chǎn)生影響網(wǎng)絡(luò)鏈路容錯支持網(wǎng)絡(luò)鏈路的容錯，可以利用網(wǎng)絡(luò)的備份鏈路，比如多路網(wǎng)卡等災(zāi)難系統(tǒng)的硬件故障由于災(zāi)難系統(tǒng)硬件故障導(dǎo)致

5、的災(zāi)難系統(tǒng)不可用不會對生產(chǎn)系統(tǒng)產(chǎn)生影響，比如網(wǎng)卡，磁盤以及控制卡等災(zāi)難系統(tǒng)的軟件故障由于災(zāi)難系統(tǒng)軟件故障導(dǎo)致的災(zāi)難系統(tǒng)不可用不會對生產(chǎn)系統(tǒng)產(chǎn)生影響，比如災(zāi)難系統(tǒng)管理軟件部件等網(wǎng)絡(luò)協(xié)議采用IP網(wǎng)絡(luò)實現(xiàn)網(wǎng)絡(luò)帶寬一般的百兆或者千兆帶寬RTT要求RTT要求在10ms以內(nèi)即可滿足要求，可以容忍部分時間的30ms響應(yīng)在線實施要求要求在備份系統(tǒng)實施期間保持生產(chǎn)系統(tǒng)運行存儲系統(tǒng)失敗的原址運行在生產(chǎn)系統(tǒng)主機(jī)可用的情況下可以支持系統(tǒng)原址運行部分文件失敗的原址運行在部分文件失敗的情況下可以支持系統(tǒng)原址運行2. 建議方案2.1設(shè)計原則通過對用戶具體環(huán)境和需求的分析，我們在針對性的方案設(shè)計上應(yīng)遵循以下原則：Ø

6、 最高的性價比，根據(jù)用戶的實際需求，提供合適的解決方案，在有限的資金許可范圍內(nèi)提供符合需求的方案。Ø 優(yōu)化的策略，關(guān)鍵業(yè)務(wù)系統(tǒng)和一般應(yīng)用系統(tǒng)優(yōu)先級的策略化，需要確保關(guān)鍵業(yè)務(wù)系統(tǒng)的數(shù)據(jù)不丟失。Ø 廣泛的適用性，支持異構(gòu)平臺，產(chǎn)品可以適應(yīng)不同類型的應(yīng)用、數(shù)據(jù)以及主機(jī)存儲設(shè)備。2.3.8容災(zāi)方案設(shè)計目前有很多種容災(zāi)技術(shù)，分類也比較復(fù)雜。根據(jù)用戶應(yīng)用系統(tǒng)特點的不同，應(yīng)用系統(tǒng)持續(xù)服務(wù)緊迫性的區(qū)別，應(yīng)有針對性的選擇容災(zāi)系統(tǒng)方案。（1）基于應(yīng)用程序容災(zāi)解決方案u 方案優(yōu)點· 應(yīng)用程序在本地、遠(yuǎn)端雙寫I/O；· 該方案能夠?qū)崿F(xiàn)業(yè)務(wù)系統(tǒng)在發(fā)生災(zāi)難時自動切換，保證業(yè)務(wù)的完全

7、連續(xù)性；u 方案缺點· 投資非常高，容災(zāi)軟件價格昂貴；· 實施復(fù)雜，應(yīng)用系統(tǒng)需要重新搭建；· 該方案完全由軟件實現(xiàn)，需消耗主機(jī)系統(tǒng)資源，效率底；（2） 基于數(shù)據(jù)庫復(fù)制的遠(yuǎn)程容災(zāi)解決方案u 方案優(yōu)點· 數(shù)據(jù)庫本身的遠(yuǎn)程復(fù)制（Oracle DB Guard）；· 實施相對簡便，支持異構(gòu)存儲；u 方案缺點· 只能復(fù)制數(shù)據(jù)庫文件，實現(xiàn)數(shù)據(jù)庫容災(zāi)；· 需要重新調(diào)試、安裝數(shù)據(jù)庫；· 停機(jī)時間較長；（3） 基于主機(jī)的遠(yuǎn)程數(shù)據(jù)復(fù)制軟件容災(zāi)解決方案u 方案優(yōu)點· 復(fù)制軟件在卷管理器層面截獲I/O，遠(yuǎn)程復(fù)制· 支持

8、異構(gòu)存儲；· 可以實現(xiàn)應(yīng)用的實時、自動切換；u 方案缺點· 需要重新配置存儲卷，停機(jī)時間較長；· 新增容災(zāi)系統(tǒng)需要增加軟件授權(quán)；（4） 基于存儲的遠(yuǎn)程數(shù)據(jù)復(fù)制容災(zāi)解決方案u 方案優(yōu)點· 智能存儲遠(yuǎn)程數(shù)據(jù)復(fù)制，技術(shù)較成熟；· 設(shè)備、軟件投資費用低；· 實施簡便，應(yīng)用系統(tǒng)僅需短時間停機(jī)；· 不需要對應(yīng)用、數(shù)據(jù)庫重新安裝調(diào)試；u 方案缺點· 只支持同一廠商同一系列存儲；· 不能實現(xiàn)應(yīng)用的實時、自動切換；根據(jù)用戶的應(yīng)用特點：建議使用基于存儲的容災(zāi)方案。2.3.9系統(tǒng)整體架構(gòu)本地災(zāi)備中心服務(wù)器均采用原有服務(wù)器，所有

9、服務(wù)器配置HBA卡，連接至用戶現(xiàn)有光纖交換機(jī)；新增存儲加入SAN網(wǎng)絡(luò)，存儲空間可根據(jù)業(yè)務(wù)需求，自由劃分給多套系統(tǒng)使用；新增一臺備份服務(wù)器，安裝NBU服務(wù)端，新增一臺HDS虛擬帶庫作為備份介質(zhì)保存?zhèn)浞輸?shù)據(jù)，實現(xiàn)SAN備份。主數(shù)據(jù)中心和災(zāi)備中心之間通過高速光纖鏈路連接，為數(shù)據(jù)復(fù)制和備份提供了很好的鏈路基礎(chǔ)。利用HDS 容災(zāi)管理軟件TrueCopy實現(xiàn)磁盤陣列之間數(shù)據(jù)的復(fù)制。建立同城異地容滅系統(tǒng)，通過數(shù)據(jù)同步保證在總部運行中心出現(xiàn)重大災(zāi)難故障時，能啟用災(zāi)備中心進(jìn)行正常交易。異地備份中心容災(zāi)中心新增容災(zāi)服務(wù)器、容災(zāi)交換機(jī)，新增的HDS AMS 2100作為容災(zāi)存儲設(shè)備，該備份中心只需要保存業(yè)務(wù)系統(tǒng)數(shù)據(jù)

10、一份可用的備份。當(dāng)本地機(jī)房癱瘓時，容災(zāi)服務(wù)器接管ERP及交易系統(tǒng)。3. 災(zāi)備中心運行維護(hù)方案3.1. 解決方案選擇保持業(yè)務(wù)持續(xù)性，恢復(fù)業(yè)務(wù)處理的方法可以包括與冷、溫或熱站點供應(yīng)商簽訂商業(yè)合同、移動站點、鏡像站點、與內(nèi)部或外部機(jī)構(gòu)簽訂互惠協(xié)議、與設(shè)備供應(yīng)商簽訂服務(wù)水平協(xié)議（SLA）。另外，在制定系統(tǒng)恢復(fù)策略時應(yīng)該考慮諸如獨立磁盤冗余陣列（RAID）、自動故障切換、不間斷電源（UPS）和鏡像系統(tǒng)等技術(shù)。業(yè)務(wù)持續(xù)性計劃必須包括在比較長的期間在備用設(shè)施中恢復(fù)和執(zhí)行系統(tǒng)運行的策略。通常，有三種備用站點可供選擇：n由機(jī)構(gòu)擁有或運行的專用站點 n與內(nèi)部或外部實體簽訂的互惠協(xié)議或協(xié)議備忘錄 n商業(yè)租用設(shè)施 無

11、論選擇哪種類型的備用站點，設(shè)施必須能夠支持應(yīng)急計劃中所定義的系統(tǒng)操作。三種站點類型可以根據(jù)運行的準(zhǔn)備程度進(jìn)行分類。這樣的話，站點可以被確定為冷站點、溫站點、熱站點、移動站點和鏡像站點。 根據(jù)BIA的結(jié)果和銀聯(lián)對業(yè)務(wù)持續(xù)性的要求，選擇的解決方案可以描述為：（1）建立異地容災(zāi)中心將完全復(fù)制生產(chǎn)中心的數(shù)據(jù)，并實現(xiàn)兩中心間的數(shù)據(jù)實時同步，其功能為：a正常工作狀態(tài)下，災(zāi)備中心將配置為生產(chǎn)中心的完全數(shù)據(jù)復(fù)制，以保證當(dāng)生產(chǎn)中心發(fā)生災(zāi)難時，數(shù)據(jù)的完整性。b當(dāng)生產(chǎn)中心的存儲系統(tǒng)及數(shù)據(jù)不可訪問時,可以通過對備份數(shù)據(jù)中心的數(shù)據(jù)的訪問。（2）建立災(zāi)備中心，生產(chǎn)中心的數(shù)據(jù)將完全復(fù)制到災(zāi)備中心，允許存在一定的時間差，但應(yīng)

12、滿足RPO和RTO要求。災(zāi)備中心配置有與生產(chǎn)中心架構(gòu)相同的服務(wù)器系統(tǒng)，在生產(chǎn)中心無法運行的情況下接替生產(chǎn)中心的生產(chǎn)業(yè)務(wù)，實現(xiàn)對業(yè)務(wù)持續(xù)性的要求。a正常工作狀態(tài)下，備份中心將配置為生產(chǎn)中心的數(shù)據(jù)復(fù)制源，以最大限度的不影響生產(chǎn)中心的主機(jī)和存儲系統(tǒng)的性能。b當(dāng)生產(chǎn)中心災(zāi)難發(fā)生時，災(zāi)備中心的完全復(fù)制數(shù)據(jù)將用于生產(chǎn)數(shù)據(jù)中心的數(shù)據(jù)同步，以保證當(dāng)生產(chǎn)中心災(zāi)難發(fā)生時，災(zāi)備中心沒有數(shù)據(jù)丟失；業(yè)務(wù)可以恢復(fù)運行。3.2. 業(yè)務(wù)持續(xù)性策略3.2.1. 日常運行狀態(tài)在沒有任何異常情況發(fā)生的情況下，系統(tǒng)按照正常的運行狀態(tài)運轉(zhuǎn)，工作人員按照各自的崗位職責(zé)開展工作。定期將工作內(nèi)容和工作結(jié)果向上級管理人員匯報并接受上級管理人員

13、的監(jiān)督和檢查。3.2.2. 切換流程切換流程分計劃內(nèi)切換流程和計劃外切換流程，首先討論計劃為切換流程。1. 發(fā)現(xiàn)并確定災(zāi)難情況運行中心運行保障室是負(fù)責(zé)發(fā)現(xiàn)可能導(dǎo)致業(yè)務(wù)系統(tǒng)災(zāi)難的事件的主要部門。同時，網(wǎng)絡(luò)維護(hù)室、系統(tǒng)維護(hù)室和安全管理室等其它部門應(yīng)該將所發(fā)現(xiàn)的可能導(dǎo)致災(zāi)難的時間隨時向運行保障室報告。2. 通知負(fù)責(zé)恢復(fù)的人員運行保障室按照預(yù)定程序通知業(yè)務(wù)持續(xù)管理小組的值班人員，值班人員需要監(jiān)控事件的發(fā)展，必要時將向業(yè)務(wù)持續(xù)小組負(fù)責(zé)人通報。當(dāng)發(fā)生可能導(dǎo)致業(yè)務(wù)處理中心的情況后，需要通知以下人員：u 信息中心主管u 業(yè)務(wù)持續(xù)管理小組負(fù)責(zé)人u 業(yè)務(wù)持續(xù)行政小組負(fù)責(zé)人u 負(fù)責(zé)維護(hù)發(fā)生以外事件的系統(tǒng)的部門負(fù)責(zé)人

14、3. 判斷異常影響程度，啟動BCP計劃啟動BCP計劃是業(yè)務(wù)持續(xù)管理小組和/或業(yè)務(wù)持續(xù)行政小組的職責(zé)。通常由業(yè)務(wù)持續(xù)管理小組和/或業(yè)務(wù)持續(xù)行政小組的負(fù)責(zé)人宣布BCP計劃的啟動。在被授權(quán)的組織會負(fù)責(zé)人確定需要啟動災(zāi)備站點后，宣布BCP計劃啟動。按照BCP所定義的工作內(nèi)容，損害評估小組和災(zāi)難恢復(fù)小組開始工作。4. 激活災(zāi)備站點在通知恢復(fù)的人員過程中，災(zāi)備站點的值班人員必須被通知并立即投入工作，做好業(yè)務(wù)運行環(huán)境的檢查等工作。關(guān)閉可能對恢復(fù)業(yè)務(wù)運行有影響的任何應(yīng)用系統(tǒng)，做好恢復(fù)業(yè)務(wù)運行的準(zhǔn)備。在收到BCP啟動的通知后，按照BCP所定義的操作流程，與生產(chǎn)中心陪著或獨立執(zhí)行業(yè)務(wù)恢復(fù)工作。5. 發(fā)布公告業(yè)務(wù)持

15、續(xù)管理小組的相關(guān)成員按照BCP所定義的工作內(nèi)容向外發(fā)布公告6. 提供業(yè)務(wù)恢復(fù)所需的服務(wù)在業(yè)務(wù)恢復(fù)以及業(yè)務(wù)在災(zāi)備站點運行期間，內(nèi)部和外部的支持團(tuán)隊以及相關(guān)工作人員按照BCP所定義的工作內(nèi)容為業(yè)務(wù)的持續(xù)運行服務(wù)。對于計劃內(nèi)切換流程，其大部分內(nèi)容與計劃為流程相同，通常由通知負(fù)責(zé)恢復(fù)的人員開始，直到提供業(yè)務(wù)恢復(fù)所需的服務(wù)。計劃內(nèi)切換可能是由于演習(xí)或需要進(jìn)行站點級的設(shè)備維護(hù)造成的，有很強(qiáng)的計劃性，災(zāi)備站點人員應(yīng)該提早完成恢復(fù)業(yè)務(wù)運行的準(zhǔn)備工作，如所有工作人員到位等。3.2.3. 非切換異常處理流程切換流程用于處理不會導(dǎo)致業(yè)務(wù)切換的異常事件，如部分設(shè)備的損壞沒有影響業(yè)務(wù)處理的正常運行，或備份中型和/或災(zāi)備

16、中心發(fā)生異常等。雖然這些異常事件不會對業(yè)務(wù)的運行造成直接影響，但是使系統(tǒng)整體的穩(wěn)定性降低，業(yè)務(wù)運行的風(fēng)險加大了，而且這樣的事件大量存在，應(yīng)該引起足夠的重視。初步計劃的非切換異常處理流程如下：1. 發(fā)現(xiàn)并確定災(zāi)難情況運行中心運行保障室是負(fù)責(zé)發(fā)現(xiàn)可能導(dǎo)致業(yè)務(wù)系統(tǒng)災(zāi)難的事件的主要部門。同時，網(wǎng)絡(luò)維護(hù)室、系統(tǒng)維護(hù)室和安全管理室等其它部門應(yīng)該將所發(fā)現(xiàn)的可能導(dǎo)致災(zāi)難的時間隨時向運行保障室報告。2. 通知負(fù)責(zé)恢復(fù)的人員運行保障室按照預(yù)定程序通知業(yè)務(wù)持續(xù)管理小組的值班人員，值班人員需要監(jiān)控事件的發(fā)展，必要時將向業(yè)務(wù)持續(xù)小組負(fù)責(zé)人通報。當(dāng)發(fā)生可能導(dǎo)致業(yè)務(wù)處理中心的情況后，需要通知以下人員：u 信息中心主管u 業(yè)

17、務(wù)持續(xù)管理小組負(fù)責(zé)人u 業(yè)務(wù)持續(xù)行政小組負(fù)責(zé)人u 負(fù)責(zé)維護(hù)發(fā)生以外事件的系統(tǒng)的部門負(fù)責(zé)人3. 判斷異常影響程度業(yè)務(wù)持續(xù)管理小組和/或業(yè)務(wù)持續(xù)行政小組的負(fù)責(zé)人在判斷異常影響程度的基礎(chǔ)上，做出不啟動BCP的決定。4. 異常處理在通知恢復(fù)的人員過程中，發(fā)生異常的站點的值班人員必須并立即投入異常恢復(fù)工作，并與內(nèi)部和外部的支援團(tuán)隊取得聯(lián)系，獲得相應(yīng)支持。4. 災(zāi)難恢復(fù)預(yù)案容災(zāi)系統(tǒng)建成之后，必須能夠發(fā)揮相應(yīng)的效益。鑒于本次容災(zāi)項目為數(shù)據(jù)級的容災(zāi)系統(tǒng)，在發(fā)生系統(tǒng)故障的時候，需要手工對應(yīng)用系統(tǒng)進(jìn)行切換，因此，我們應(yīng)對各種系統(tǒng)狀況提前做出操作預(yù)案，這樣才能保證容災(zāi)系統(tǒng)真正發(fā)揮效益。4.1. 計劃內(nèi)和計劃外停機(jī)的

18、切換步驟4.1.1. 計劃內(nèi)停機(jī)生產(chǎn)中心操作：u 檢查生產(chǎn)中心和容災(zāi)中心所有的主機(jī)、存儲、網(wǎng)絡(luò)、卷復(fù)制軟件是否都正常；u 正常停止生產(chǎn)中心的所有應(yīng)用；u 斷開產(chǎn)中心和容災(zāi)中心的復(fù)制關(guān)系；容災(zāi)中心操作：u 陣列上的卷MAP給容災(zāi)中心的主機(jī)；u 手工啟動應(yīng)用系統(tǒng)；4.1.2. 計劃外停機(jī)生產(chǎn)中心不能做任何操作的情況；容災(zāi)中心操作：u 陣列上的卷MAP給容災(zāi)中心的主機(jī)；u 手工啟動應(yīng)用測試；4.2. 設(shè)備故障的影響和處理4.2.1. 生產(chǎn)中心主機(jī)故障I 一臺主機(jī)問題；應(yīng)用切換到cluster另外的一臺主機(jī)；對應(yīng)用有小切換的影響；II 兩臺主機(jī)問題或者cluster問題；數(shù)據(jù)切換到容災(zāi)中心；在容災(zāi)中心

19、啟用應(yīng)用；對應(yīng)用有大切換影響；4.2.2. 生產(chǎn)中心存儲系統(tǒng)故障I陣列自己的冗余功能；替換故障備件；對應(yīng)用無影響；II 陣列不能冗余問題（2塊控制器故障；多塊硬盤同時故障），數(shù)據(jù)切換到容災(zāi)中心；在容災(zāi)中心啟用應(yīng)用；對應(yīng)用有大切換影響；4.2.3. 復(fù)制鏈路故障數(shù)據(jù)復(fù)制中斷；對應(yīng)用無影響；鏈路恢復(fù)后數(shù)據(jù)正常復(fù)制；4.2.4. 容災(zāi)中心設(shè)備故障容災(zāi)中心設(shè)備故障對應(yīng)用系統(tǒng)無影響。4.3. 實施風(fēng)險提示根據(jù)xxxx的業(yè)務(wù)應(yīng)用需求，本方案旨在用最低的投資達(dá)到xxxx所需在60分鐘心實現(xiàn)應(yīng)用系統(tǒng)切換的系統(tǒng)容災(zāi)效果，無法規(guī)避如下風(fēng)險因素：u 應(yīng)用系統(tǒng)的自動實施切換本方案在需要切換系統(tǒng)時，必須人工干預(yù)，無法實

20、現(xiàn)自動切換；u 數(shù)據(jù)庫數(shù)據(jù)異常當(dāng)數(shù)據(jù)庫數(shù)據(jù)存在異常時，容災(zāi)系統(tǒng)在進(jìn)行切換時首先需要進(jìn)行數(shù)據(jù)數(shù)據(jù)的回滾才能啟動數(shù)據(jù)庫，回滾時間視數(shù)據(jù)庫的數(shù)據(jù)量而定，可能會超出60分鐘的恢復(fù)時限。（所有容災(zāi)方案均無法規(guī)避該問題）u 同城災(zāi)難本容災(zāi)方案無法規(guī)避地震、電網(wǎng)大規(guī)模斷電等覆蓋全市的災(zāi)難恢復(fù)；5. 應(yīng)急管理預(yù)案5.1. 緊急響應(yīng)策略5.1.1. 緊急相應(yīng)策略概述緊急響應(yīng)策略包括三個部分：緊急事件響應(yīng)、恢復(fù)和復(fù)原。緊急事件響應(yīng)包括為保護(hù)生命和減輕損失所采取的最初行動策略?；謴?fù)是指繼續(xù)支持關(guān)鍵業(yè)務(wù)所采取的步驟。復(fù)原是回到業(yè)務(wù)的運行狀態(tài)。緊急響應(yīng)策略是用于減少緊急事件對業(yè)務(wù)連續(xù)性造成負(fù)面影響的一套機(jī)制、計劃、方法

21、和規(guī)程。緊急響應(yīng)策略包括建立和管理緊急事件運作中心，該中心用于在緊急事件中發(fā)布命令。緊急事件響應(yīng)方式概述緊急事件響應(yīng)方式根據(jù)不同類別的緊急事件，由有關(guān)部門組成緊急事件響應(yīng)指揮中心，用戶主管領(lǐng)導(dǎo)人擔(dān)任總指揮，統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一指揮緊急事件處理，協(xié)調(diào)、調(diào)動相關(guān)力量和資源，決定采取處理緊急事件的重大措施；確定對外口徑，指導(dǎo)對外新聞發(fā)布；其中容災(zāi)工作委員會 的主要指責(zé)是組織開展對緊急事件的監(jiān)測與報告、分析和預(yù)警；需要啟動緊急事件緊急預(yù)案時，提請決策層 批準(zhǔn)，進(jìn)行組織和協(xié)調(diào)專業(yè)技術(shù)機(jī)構(gòu)及其人員進(jìn)行現(xiàn)場調(diào)查與處理，實施現(xiàn)場撤離與搶修等緊急處理措施；組織制定有關(guān)的調(diào)查方案、技術(shù)標(biāo)準(zhǔn)和規(guī)范；依照條例規(guī)定及時對緊急

22、事件評估；發(fā)布、通報緊急事件信息，可以授權(quán)其他部門向社會發(fā)布本行政區(qū)域緊急事件信息；開展健康教育、技術(shù)人員培訓(xùn)和演練；會同有關(guān)部門提出物資和經(jīng)費儲備計劃；檢查督導(dǎo)緊急事件緊急預(yù)案的落實情況等。5.1.2. 緊急響應(yīng)和運作的需求1、識別潛在的緊急事件類型和所需的響應(yīng)（如火災(zāi)、危險物質(zhì)泄漏、疾病等）2、識別現(xiàn)有的、正確的緊急事件相應(yīng)規(guī)程通知規(guī)程：（1）內(nèi)部的（逐級規(guī)程），包括本地的、機(jī)構(gòu)的。（2）外部的（響應(yīng)規(guī)程），包括公共機(jī)構(gòu)和媒體、產(chǎn)品和服務(wù)的供應(yīng)商事件前的準(zhǔn)備：（1）根據(jù)災(zāi)難的類型：自然事件、事故、有意的破壞（2）管理和職權(quán)的連續(xù)性（3）指定人員的角色緊急措施：（1）疏散（2）醫(yī)療和人員咨詢

23、（3）危險材料響應(yīng)（4）滅火（5）通知（6）其他設(shè)施的穩(wěn)定：消減損失：測試規(guī)程和責(zé)任：3、建議制定還沒有的緊急事件規(guī)程，規(guī)程包括以下內(nèi)容：人員的保護(hù)：（3）人員集合的位置以及確保所有員工識別和安全的過程，如果需要包括適當(dāng)?shù)闹鸺夁^程（4）認(rèn)識和了解充分和更嚴(yán)格地履行任何相關(guān)法律要求的重要性（5）識別直接部署和后續(xù)合同的選項（6）了解法律規(guī)定的內(nèi)在意義事件的控制：（1）了解拯救和控制損失的原則（2）了解用于控制業(yè)務(wù)影響的緊急事件服務(wù)工作進(jìn)行補(bǔ)充的可用選項（3）了解業(yè)務(wù)功能本身控制災(zāi)難影響的可能性后果的評估：（1）分析形勢并提供有效的評估報告（2）評價事件對機(jī)構(gòu)的直接影響（3）將形勢通報給相關(guān)設(shè)施和

24、機(jī)構(gòu)其他地點中的員工（4）提供對媒體可能關(guān)注事項的理解并與現(xiàn)存的公共關(guān)系和/或市場部門聯(lián)合制定響應(yīng)方案決定最適宜的行動：（1）了解在建議或決定連續(xù)性選項過程中需要考慮的事項（2）了解緊急事件服務(wù)的角色（3）維護(hù)安全的原則（人員、物理和信息）4、將災(zāi)難恢復(fù)、業(yè)務(wù)連續(xù)性規(guī)程與緊急事件規(guī)程整合起來5、識別管理緊急事件的命令和控制需求設(shè)計和裝備緊急事件運作中心在事件中命令和決策的職權(quán)角色通信載體（如郵件、無線電、信使和移動電話等）6、建議制定對角色、職權(quán)進(jìn)行定義的命令和控制規(guī)程以及管理緊急事件的通信規(guī)程開啟緊急事件運作中心緊急事件運作中心的安全緊急事件運作中心團(tuán)隊的進(jìn)度安排緊急事件運作中心的管理和運作

25、關(guān)閉緊急事件運作中心7、緊急事件響應(yīng)和分類救護(hù)制定、實施和演練緊急事件響應(yīng)和分類救護(hù)規(guī)程，包括確定緊急事件中行動的優(yōu)先順序制定、實施和演練分類救護(hù)規(guī)程，如急救和醫(yī)療；確定地點和制定到附近醫(yī)院的運輸規(guī)程8、拯救和復(fù)原需求集合適當(dāng)?shù)膱F(tuán)隊：（7）了解通過電話進(jìn)行有效診斷的需要（8）了解在受到影響的地點對相關(guān)資源進(jìn)行有效集中的需要（9）制定內(nèi)部逐級規(guī)程以便在事件/響應(yīng)展開的現(xiàn)場提供所需等級的資源定義初始現(xiàn)場的行動策略：（1）了解對直接消減損失和拯救需求進(jìn)行識別的需要（2）了解其需求并在需要的情況下準(zhǔn)備站點保安、安全和穩(wěn)定措施計劃（3）識別保護(hù)現(xiàn)場資產(chǎn)的適當(dāng)方法，包括設(shè)備房產(chǎn)和文檔（4）認(rèn)識建立與外部機(jī)

26、構(gòu)聯(lián)絡(luò)的潛在需求（如法律法規(guī)、緊急事件服務(wù)如消防部門以及警察、保險公司、損失理賠等）（5）了解業(yè)務(wù)需求和對其進(jìn)行解釋以協(xié)助物理資產(chǎn)的恢復(fù)（6）與公共當(dāng)局建立設(shè)施訪問的規(guī)程（7）與第三方服務(wù)提供商盡力規(guī)程，包括適當(dāng)?shù)暮贤瑓f(xié)議9、確保緊急事件響應(yīng)規(guī)程與公共當(dāng)局的要求相統(tǒng)一5.1.3. 緊急響應(yīng)場所的分類和功能、建設(shè)描述緊急響應(yīng)場所至少包括避難所（shelter in place）、緊急操作中心EOC（emergency operation center）、緊急事件運作中心ICS（incident command center）；緊急響應(yīng)場所建設(shè)描述，包括建設(shè)內(nèi)容、設(shè)備需求、場地需求、環(huán)境需求等；緊

27、急事件運作中心ICS是緊急指揮體系的首腦部門，也是緊急事件處理指揮的場所。實現(xiàn)對緊急事件的分析、計劃、組織、協(xié)調(diào)和管理控制等指揮功能。緊急事件運作中心的總體目標(biāo)是：面對緊急事件，能夠為指揮首長和參與指揮的業(yè)務(wù)人員和專家，提供各種通訊和信息服務(wù)，提供決策依據(jù)和分析手段，和指揮命令實施部署和監(jiān)督方法能及時、有效地調(diào)集各種資源，實施事故、災(zāi)難控制和搶修救治工作，減輕緊急事件對生命安全和業(yè)務(wù)造成的威脅，用最有效的控制手段和最小的資源投入，將損失控制在最小范圍內(nèi)。緊急事件運作中心基本功能包括：1.緊急事件的評估與觸發(fā)啟動，根據(jù)對各種資料數(shù)據(jù)的分析評估，對事件進(jìn)行級別判定，經(jīng)核實后向相應(yīng)級別的部門提出預(yù)案

28、啟動建議。2.指揮功能：指揮現(xiàn)場為參加指揮首長提供會議設(shè)施、桌面終端網(wǎng)絡(luò)、電話系統(tǒng)。參謀人員為首長提供各種輔助決策信息。3.通訊功能：利用專線、因特網(wǎng)、衛(wèi)星網(wǎng)絡(luò)、電話設(shè)備、移動通訊設(shè)備與及其他相關(guān)單位的通訊網(wǎng)絡(luò)。4.信息收集分析功能：收集、整理各種相關(guān)信息資源。緊急事件運作中心應(yīng)急指揮系統(tǒng)具有以下六大功能：（1）可實現(xiàn)針對特定事件的特定范圍內(nèi)資源實時調(diào)度方案的輔助制定，合理配置有關(guān)資源，及時控制事件蔓延。（2）可實現(xiàn)對特定范圍內(nèi)緊急事件的實時監(jiān)測，及時發(fā)現(xiàn)突發(fā)事件。（3）可生成針對不同應(yīng)急事件的多種處理預(yù)案。（5）可實現(xiàn)具有真實感的虛擬環(huán)境下的事件演化模型，并對處理方案的預(yù)期效果進(jìn)行模擬。（6

29、）可實現(xiàn)相關(guān)資源管理業(yè)務(wù)和信息管理的統(tǒng)一性和一致性，并實現(xiàn)網(wǎng)絡(luò)化遠(yuǎn)程調(diào)度管理，從根本上提高管理效率。5.1.4. 緊急場所設(shè)施使用人員的權(quán)限分配建議制定對角色、職權(quán)進(jìn)行定義的命令和控制規(guī)程，考慮管理和職權(quán)的連續(xù)性。5.1.5. 緊急事件發(fā)生前的監(jiān)測、監(jiān)控與預(yù)警系統(tǒng)監(jiān)測、監(jiān)控與預(yù)警系統(tǒng)是緊急預(yù)警處理的基礎(chǔ)。平時細(xì)致有效的監(jiān)測與監(jiān)控是第一步。一旦發(fā)現(xiàn)有緊急事件出現(xiàn)，對局部事件進(jìn)行實時監(jiān)控，就可以展開及時的調(diào)查和分析，防止事件的擴(kuò)散，在全面分析和科學(xué)判斷的前提下，發(fā)出預(yù)警信號，提醒企業(yè)和社會進(jìn)行相關(guān)的應(yīng)對和準(zhǔn)備工作，防患于未然。監(jiān)測預(yù)警主要包括：u 火災(zāi)監(jiān)測u 供電監(jiān)測u 監(jiān)測u 急救監(jiān)測u 影響區(qū)

30、域監(jiān)測以上部分根據(jù)風(fēng)險分析來完善。預(yù)警系統(tǒng)是指對監(jiān)測數(shù)據(jù)進(jìn)行整合、分析和判斷，建立診斷和預(yù)測模型，對易造成重大危害的分布狀態(tài)及危險因素進(jìn)行早期報告。緊急事件緊急預(yù)警處理系統(tǒng)要想達(dá)到高效、快速反應(yīng)，首先必須形成完全覆蓋，不留漏點。但完全覆蓋必然涉及到社會的方方面面，其中包括許多單位和行政、事業(yè)單位。5.1.6. 緊急事件發(fā)生后的緊急事件響應(yīng)程序緊急事件的一般響應(yīng)程序是：緊急事件的一般處理程序包括事件通知、事件評估、緊急預(yù)案啟動及相關(guān)措施；5.1.6.1. 事件通知通知規(guī)程事件的發(fā)生可能有先兆也可能沒有先兆。例如，颶風(fēng)將影響某個地區(qū)或計算機(jī)病毒會在某日發(fā)作經(jīng)常會得到實現(xiàn)通知。但是，設(shè)備故障或者犯罪

31、活動就可能沒有先兆。通知規(guī)程應(yīng)該在計劃中包含這兩種情況。適當(dāng)?shù)耐ㄖ獙p少IT系統(tǒng)的影響是很重要的；在一些情況下，它可以為允許系統(tǒng)人員正常關(guān)閉系統(tǒng)避免系統(tǒng)崩潰贏得足夠的時間。在災(zāi)難發(fā)生后，應(yīng)該通知損害評估小組使其能夠確定事態(tài)的嚴(yán)重程度和下一步將要采取的行動。損害評估完成后，應(yīng)該通知相應(yīng)的恢復(fù)和支持小組?？梢酝ㄟ^各種方法完成通知，包括電話、傳呼、電子郵件或者移動電話。由于無法確定能否有效恢復(fù)，所以通過電子郵件發(fā)送通知應(yīng)該謹(jǐn)慎從事。在工作時間發(fā)送的通知應(yīng)該發(fā)送到辦公地址，在局域網(wǎng)停頓的事件中可以使用個人電子郵箱傳送消息。在影響廣泛的災(zāi)難事件中，有效的通知工具是電臺、電視廣播和WEB網(wǎng)站。通知策略應(yīng)該

32、定義在事件發(fā)生后人員無法聯(lián)絡(luò)時的規(guī)程。一種通知方法是呼叫樹。這種技術(shù)指定特定人員執(zhí)行通知任務(wù)，此人負(fù)責(zé)通知其他的恢復(fù)人員。呼叫樹應(yīng)該包括主要的和備用的聯(lián)絡(luò)方法，應(yīng)該討論在某個人無法聯(lián)系時應(yīng)該采取的規(guī)程。下面是一個呼叫樹（舉個例子）：需要通知的人員應(yīng)該在計劃附錄中的聯(lián)系清單中標(biāo)明。這個清單確定人員在其團(tuán)隊中的職位、姓名和聯(lián)絡(luò)信息（如家庭、工作電話號碼及傳呼號碼、電子郵件地址和家庭地址）。通知還應(yīng)該發(fā)給會因為不知情而受到負(fù)面影響的外部機(jī)構(gòu)或者互聯(lián)的伙伴系統(tǒng)。根據(jù)中斷類型的不同，POC可能具有恢復(fù)能力。所以，與外部機(jī)構(gòu)相連的每一個互聯(lián)系統(tǒng)應(yīng)相互協(xié)助，協(xié)助的方式應(yīng)該根據(jù)所提供的系統(tǒng)互聯(lián)協(xié)議確定。這些P

33、OC應(yīng)該被列入計劃的附錄中。通知中所傳遞的信息類型應(yīng)該在計劃中載明。所傳遞的信息數(shù)量和詳細(xì)程度可依據(jù)被通知的團(tuán)隊而定。根據(jù)需要，通知信息可以包括以下內(nèi)容：u 所發(fā)生或者將發(fā)生的緊急情況的性質(zhì)u 死亡或者受傷情況u 任何已知的評估結(jié)果u 響應(yīng)和恢復(fù)的細(xì)節(jié)u 何時何地召集會議介紹簡況或者聽取進(jìn)一步的響應(yīng)指令u 在評估期間進(jìn)行重新部署準(zhǔn)備的指令使用呼叫樹完成通知的指令（如果需要）5.1.6.2. 損害評估要確定緊急事件后如何實施緊急計劃，對系統(tǒng)損害性質(zhì)和程度的評估是非常重要的。這個損害評估應(yīng)該在能夠確保人員安全這個最優(yōu)先任務(wù)的前提下盡快完成。所以，如果可能，損害評估小組是第一個得到時間通知的小組。損

34、害評估規(guī)程對于不同的系統(tǒng)是不同的；但是應(yīng)該涉及到以下領(lǐng)域：u 造成緊急情況或者中斷的原因u 潛在的附加中斷和損失u 受到緊急情況影響的區(qū)域u 物理架構(gòu)（如計算機(jī)室結(jié)構(gòu)的完整性、電源、電信、以及制熱、通風(fēng)和空調(diào)）的狀況u IT設(shè)備的總量和功能狀態(tài)u IT設(shè)備及其存貨的損失類型u 被更換的項目（如硬件、軟件、固件或者支持材料）u 估計恢復(fù)正常服務(wù)所需的事件在書面計劃無法得到的情況下,具有損害評估職責(zé)的人員應(yīng)該了解和能夠執(zhí)行這些規(guī)程.一旦系統(tǒng)的影響被確定,就應(yīng)該將最新信息和對此情況的響應(yīng)計劃通知給適當(dāng)?shù)膱F(tuán)隊。通知應(yīng)該按照通知規(guī)程進(jìn)行。5.1.6.3. 計劃的啟動只有當(dāng)損害評估的結(jié)果顯示一個或多個系統(tǒng)

35、啟動條件被滿足時，IT緊急計劃才應(yīng)該被啟動。如果滿足啟動條件，緊急計劃協(xié)調(diào)人或者CIO應(yīng)啟動計劃。各機(jī)構(gòu)的啟動條件各不相同，應(yīng)該在緊急計劃策略條款中予以說明。條件可以基于以下方面：u 人員的安全和/或設(shè)施損失的程度u 系統(tǒng)損失的程度u 系統(tǒng)對于機(jī)構(gòu)使命的影響程度u 預(yù)期的中斷持續(xù)時間一旦明確了系統(tǒng)損害，緊急計劃協(xié)調(diào)人就可以選擇適當(dāng)?shù)幕謴?fù)策略并通知相關(guān)的恢復(fù)團(tuán)隊。5.1.6.4. 通知和啟動階段模板本階段涉及到用來探測和評估由（系統(tǒng)名稱）中斷造成的損害的最初行為。基于對事件的評估，可以通過緊急計劃協(xié)調(diào)人啟動計劃。在緊急情況下，在執(zhí)行通知和啟動規(guī)程前（機(jī)構(gòu)名稱）的最優(yōu)先任務(wù)是保護(hù)人員的健康和安全。

36、關(guān)聯(lián)人員的聯(lián)絡(luò)信息列在附錄中，通知順序如下：u 最初的反應(yīng)是通知緊急計劃協(xié)調(diào)人。所有已知的信息被傳遞給緊急計劃協(xié)調(diào)人。u （系統(tǒng)負(fù)責(zé)人）與（損害評估小組負(fù)責(zé)人）聯(lián)系并將事件通知他們。（緊急計劃協(xié)調(diào)人）指示團(tuán)隊負(fù)責(zé)人開始評估規(guī)程。u （損害評估小組負(fù)責(zé)人）通知小組成員并指導(dǎo)他們完成以下評估規(guī)程以確定損害的范圍和預(yù)計的恢復(fù)時間。如果由于安全條件的限制無法在本地繼續(xù)損害評估，（損害評估小組）可以遵循以下指導(dǎo)。損害評估規(guī)程：應(yīng)該列出詳細(xì)的行動規(guī)程，包括確定中斷原因、確定潛在的附加中斷或者損害、確定受影響的物理區(qū)域和物理設(shè)施的狀態(tài)、確定包括需要更換的IT設(shè)備在內(nèi)的IT設(shè)備的功能和總量的狀態(tài)、預(yù)計將服務(wù)恢

37、復(fù)到正常運行狀態(tài)所需的時間。u 接到（緊急計劃協(xié)調(diào)人）的通知后（損害評估小組負(fù)責(zé)人）應(yīng)該.u （損害評估小組）應(yīng)該.備用評估規(guī)程：u 接到（緊急計劃協(xié)調(diào)人）的通知后（損害評估小組負(fù)責(zé)人）應(yīng)該.u （損害評估小組）應(yīng)該.-當(dāng)完成損害評估后，（損害評估小組負(fù)責(zé)人）將結(jié)果通知（緊急計劃協(xié)調(diào)人）。-（緊急計劃協(xié)調(diào)人）對結(jié)果進(jìn)行評估并確定是否啟動緊急計劃以及是否需要重新進(jìn)行配置。-依據(jù)評估結(jié)果，在適當(dāng)?shù)那闆r下（緊急計劃協(xié)調(diào)人）將評估結(jié)果通知國家緊急情況相關(guān)人員（如警察、消防）。以下一個或者多個標(biāo)準(zhǔn)得到滿足將啟動緊急預(yù)案：1、（系統(tǒng)名稱）超過規(guī)定時間內(nèi)無法使用。2、設(shè)施受損并且超過規(guī)定時間內(nèi)無法使用。3、

38、其他適當(dāng)?shù)臉?biāo)準(zhǔn)。u 如果要啟動緊急預(yù)案，（緊急計劃協(xié)調(diào)人）要通知所有團(tuán)隊的負(fù)責(zé)人并將事件的細(xì)節(jié)以及是否需要重新配置通知他們。u 收到（緊急計劃協(xié)調(diào)人）的通知，團(tuán)隊負(fù)責(zé)人要通知各自團(tuán)隊。應(yīng)該將所有適當(dāng)信息通知團(tuán)隊成員，團(tuán)隊成員應(yīng)該做好響應(yīng)和重新配置的準(zhǔn)備。u （緊急計劃協(xié)調(diào)人）要通知（離站存儲設(shè)施）發(fā)生了緊急事件并且（損害評估確定的情況下）將所需材料送到（備用站點）。u （緊急計劃協(xié)調(diào)人）要通知（備用站點）發(fā)生了緊急事件并要求其為(機(jī)構(gòu))的到達(dá)進(jìn)行準(zhǔn)備。u （緊急計劃協(xié)調(diào)人）要將事件的大致情況通知剩余人員（通過通知規(guī)程）。5.1.6.5. 局部事故緊急響應(yīng)預(yù)案局部事故應(yīng)急預(yù)案指企業(yè)單位針對本單位

39、存在的現(xiàn)實危險和有可能發(fā)生的事故，在積極預(yù)防的基礎(chǔ)上，為避免和防止事故中人員傷亡和財產(chǎn)損失擴(kuò)大而實施應(yīng)急救援的組織方案和行動計劃。(一)應(yīng)急預(yù)案的編制原則1、應(yīng)根據(jù)本單位危險源的特點編制，要有較強(qiáng)的針對性。2、救援措施、避險要領(lǐng)應(yīng)該簡潔明了，有較強(qiáng)的可操作性。3、應(yīng)急救援預(yù)案的編制應(yīng)遵循企業(yè)自救與社會救援相結(jié)合的原則。(二)應(yīng)急預(yù)案的主要內(nèi)容1、危險源辨識及評價結(jié)果。2、事故類型及可能造成的危害分析。3、事故應(yīng)急救援及緊急避險措施。4、事故應(yīng)急救援組織指揮機(jī)構(gòu)、救援隊伍及職責(zé)分工。5、事故應(yīng)急救援器材、裝備。6、需請求社會救援的事項。7、事故應(yīng)急預(yù)案演練的考核評價標(biāo)準(zhǔn)。8、事故應(yīng)急預(yù)案管理制度

40、。(三)應(yīng)急預(yù)案制定的基本程序及要求應(yīng)急預(yù)案的制定是針對各項事故應(yīng)急措施(含信息)、程序和行動計劃的文件化過程。預(yù)案的制定應(yīng)按如下程序及要求進(jìn)行。1、危險源評估。通過辨識危險因素和危險部位，確定危險(危害)類型。2、事故類型與危害分析。事故類型與危害分析是在危險源評估的基礎(chǔ)上對其可能發(fā)生的危害類型進(jìn)行分析認(rèn)定，從而科學(xué)地預(yù)測可能發(fā)生事故的類型及事故產(chǎn)生危害的大小，以此作為制定事故應(yīng)急措施的依據(jù)。3、制定應(yīng)急措施。根據(jù)不同的事故類別、事故危害等，研究制定相應(yīng)的應(yīng)對措施。對可能發(fā)生無法直接施救或可產(chǎn)生較大次生災(zāi)害的事故要給予特別關(guān)注，制定緊急疏散等應(yīng)急措施，防止盲目施救導(dǎo)致傷亡擴(kuò)大。4、根據(jù)事故應(yīng)

41、急措施需要，制定應(yīng)急救援裝備、器材配置方案。主要包括搶險器材設(shè)備、人員防護(hù)裝備、通訊設(shè)備、救護(hù)器材設(shè)備的種類和數(shù)量等。5、制定應(yīng)急救援組織指揮機(jī)構(gòu)和應(yīng)急救援隊伍方案，并明確職責(zé)分工。保證事故應(yīng)急救援組織指揮機(jī)構(gòu)在發(fā)生事故時能根據(jù)事故狀況實施有效的協(xié)調(diào)指揮；應(yīng)急救援隊伍能夠?qū)嵤┯行У膽?yīng)急搶險、排險、救援、救護(hù)等工作。6、分析確定需社會救援的事項。為了在發(fā)生重、特大事故時能夠及時得到有效的社會救援支持，應(yīng)依據(jù)可能發(fā)生的事故類型及危害，分析確定需要社會救援的事項，納入預(yù)案管理。7、制定有關(guān)人員培訓(xùn)內(nèi)容和預(yù)案演練考核標(biāo)準(zhǔn)。為使應(yīng)急指揮人員和救援隊伍掌握應(yīng)急指揮與救援要領(lǐng)，危險崗位工作人員掌握事故狀態(tài)下

42、應(yīng)急搶險或避險逃生的要領(lǐng)，應(yīng)研究制定相關(guān)培訓(xùn)內(nèi)容和預(yù)案演練考核標(biāo)準(zhǔn)。8、形成預(yù)案。在上述工作的基礎(chǔ)上，經(jīng)過專家評審和領(lǐng)導(dǎo)審批后，作為執(zhí)行性文件。特大事故應(yīng)急救援預(yù)案應(yīng)報有關(guān)管理部門備案。 (四)預(yù)案措施的落實與管理應(yīng)急救援預(yù)案確定后，企業(yè)單位的主要負(fù)責(zé)人要組織預(yù)案措施的落實工作。 (五)預(yù)案演練預(yù)案演練是保證一旦發(fā)生事故，預(yù)案可以有效發(fā)揮作用的重要環(huán)節(jié)。演練的主要內(nèi)容：1、事故報告與接報。包括第一時間的事故現(xiàn)場人員或事故發(fā)現(xiàn)人員的報告；事故單位接報響應(yīng)；事故單位向當(dāng)?shù)卣捌鋺?yīng)急保障系統(tǒng)報告，請求外圍應(yīng)急救援支援及其接報響應(yīng)。2、事故發(fā)生后第一時間的現(xiàn)場應(yīng)急搶險或避險。3、事故應(yīng)急調(diào)度指揮部指揮與搶險。包括指揮部人員迅速趕赴現(xiàn)場預(yù)定位置指揮搶