災(zāi)備建設(shè)思路

金稅工程（三期）容災(zāi)方案建設(shè)思路根據(jù)金稅工程（三期）的項目建設(shè)要求，各信息系統(tǒng)的數(shù)據(jù)將逐步集中到省級處理平臺，其核心應(yīng)用也將逐步上收到省級處理平臺和總局處理平臺。目前，國家稅務(wù)總局以及各省國、地稅務(wù)部門現(xiàn)有業(yè)務(wù)嚴重依賴信息系統(tǒng)，其新業(yè)務(wù)的開展也離不開信息系統(tǒng)的支持，大量重要的稅務(wù)數(shù)據(jù)通過信息系統(tǒng)的網(wǎng)絡(luò)和主機應(yīng)用進行傳輸和處理。一旦這些機房因為電力、水災(zāi)、火災(zāi)等因素而無法正常運作，如果沒有異地災(zāi)備中心提供服務(wù)，則將會直接影響到業(yè)務(wù)系統(tǒng)的正常運行,其影響面也將直接波及到全省乃至全國。作為金稅工程（三期）的一個重要組成部分，災(zāi)備系統(tǒng)的建設(shè)本身是一個大的系統(tǒng)工程，它的建設(shè)必須要考慮業(yè)務(wù)需求、組織架構(gòu)、流程分析、技術(shù)手段、外部環(huán)境等諸多因素。而且由于稅務(wù)系統(tǒng)數(shù)據(jù)與應(yīng)用的災(zāi)備需求的復(fù)雜性和難度，這就需要制定出一套完善的方案。在災(zāi)備項目設(shè)計、實施過程中各相關(guān)機構(gòu)和人員嚴格遵循該方案執(zhí)行，才能最大程度規(guī)避風險，保證災(zāi)備項目的成功實施。一、災(zāi)難恢復(fù)等級劃分根據(jù)國務(wù)院信息化工作辦公室于2005年4月下發(fā)的《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》中的定義，災(zāi)難恢復(fù)等級可以劃分為6個不同的等級，根據(jù)不同的災(zāi)難恢復(fù)需求確定災(zāi)難恢復(fù)等級，不同的災(zāi)難恢復(fù)等級，其解決方案可根據(jù)災(zāi)難恢復(fù)登記以下主要方面所達到的程度分為七級，即從低到高有七種不同層次的災(zāi)難恢復(fù)解決方案?？梢愿鶕?jù)金稅工程（三期）各業(yè)務(wù)的系統(tǒng)及數(shù)據(jù)的重要性以及恢復(fù)策略，來設(shè)計選擇災(zāi)難恢復(fù)方案和計劃。根據(jù)《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》的定義，災(zāi)難恢復(fù)級別的選擇，主要決定以下七個要素：數(shù)據(jù)備份系統(tǒng)備用數(shù)據(jù)處理系統(tǒng)備用網(wǎng)絡(luò)系統(tǒng)備用基礎(chǔ)設(shè)施技術(shù)支持運營維護管理災(zāi)難恢復(fù)預(yù)案國信辦在《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》中定義的災(zāi)難恢復(fù)等級劃分標準，具體內(nèi)容如下：A.1第1級基本支持第一級災(zāi)難恢復(fù)應(yīng)具有技術(shù)和管理支持如表A．1所示。表A.SEQ表_A.\*ARABIC1第1級災(zāi)難恢復(fù)的技術(shù)和管理支持要素要求A.1.1數(shù)據(jù)備份系統(tǒng)完全數(shù)據(jù)備份至少每周一次；備份介質(zhì)場外存放。A.1.2備用數(shù)據(jù)處理系統(tǒng)—A.1.3備用網(wǎng)絡(luò)系統(tǒng)—A.1.4備用基礎(chǔ)設(shè)施有符合介質(zhì)存放條件的場地。A.1.5技術(shù)支持—A.1.6運行維護支持有介質(zhì)存取、驗證和轉(zhuǎn)儲管理制度；按介質(zhì)特性對備份數(shù)據(jù)進行定期的有效性驗證。A.1.7災(zāi)難恢復(fù)預(yù)案有相應(yīng)的經(jīng)過完整測試和演練的災(zāi)難恢復(fù)預(yù)案A.2第2級備用場地支持第二級災(zāi)難恢復(fù)應(yīng)具有技術(shù)和管理支持如表A．2所示。表A.SEQ表_A.\*ARABIC2第2級災(zāi)難恢復(fù)的技術(shù)和管理支持要素要求A.2.1數(shù)據(jù)備份系統(tǒng)完全數(shù)據(jù)備份至少每周一次；備份介質(zhì)場外存放。A.2.2備用數(shù)據(jù)處理系統(tǒng)災(zāi)難發(fā)生時能在預(yù)定時間內(nèi)調(diào)配所需的數(shù)據(jù)處理設(shè)備到場。A.2.3備用網(wǎng)絡(luò)系統(tǒng)災(zāi)難發(fā)生時能在預(yù)定時間內(nèi)調(diào)配所需的通信線路和網(wǎng)絡(luò)設(shè)備到位。A.2.4備用基礎(chǔ)設(shè)施有符合介質(zhì)存放條件的場地；有滿足信息系統(tǒng)和關(guān)鍵業(yè)務(wù)功能恢復(fù)運作要求的備用場地。A.2.5技術(shù)支持—A.2.6運行維護支持有介質(zhì)存取、驗證和轉(zhuǎn)儲管理制度；按介質(zhì)特性對備份數(shù)據(jù)進行定期的有效性驗證；有備用場地管理制度；與相關(guān)廠商有符合災(zāi)難恢復(fù)時間要求的緊急供貨協(xié)議；與相關(guān)運營商有符合災(zāi)難恢復(fù)時間要求的備用通信線路協(xié)議。A.2.7災(zāi)難恢復(fù)預(yù)案有相應(yīng)的經(jīng)過完整測試和演練的災(zāi)難恢復(fù)預(yù)案。A.3第3級電子傳輸和部分設(shè)備支持第三級災(zāi)難恢復(fù)應(yīng)具有技術(shù)和管理支持如表A．3所示。表A.SEQ表_A.\*ARABIC3第3級災(zāi)難恢復(fù)的技術(shù)和管理支持要素要求A.3.1數(shù)據(jù)備份系統(tǒng)完全數(shù)據(jù)備份至少每天一次；備份介質(zhì)場外存放；每天多次利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。A.3.2備用數(shù)據(jù)處理系統(tǒng)配備災(zāi)難恢復(fù)所需的部分數(shù)據(jù)處理設(shè)備。A.3.3備用網(wǎng)絡(luò)系統(tǒng)配備部分通信線路和相應(yīng)的網(wǎng)絡(luò)設(shè)備。A.3.4備用基礎(chǔ)設(shè)施有符合介質(zhì)存放條件的場地；有滿足信息系統(tǒng)和關(guān)鍵業(yè)務(wù)功能恢復(fù)運作要求的場地。A.3.5技術(shù)支持在備用場地有專職的計算機機房運行管理人員。A.3.6運行維護支持按介質(zhì)特性對備份數(shù)據(jù)進行定期的有效性驗證；有介質(zhì)存取、驗證和轉(zhuǎn)儲管理制度；有備用計算機機房管理制度；有備用數(shù)據(jù)處理設(shè)備硬件維護管理制度；有電子傳輸數(shù)據(jù)備份系統(tǒng)運行管理制度。A.3.7災(zāi)難恢復(fù)預(yù)案有相應(yīng)的經(jīng)過完整測試和演練的災(zāi)難恢復(fù)預(yù)案。A.4第4級電子傳輸及完整設(shè)備支持第四級災(zāi)難恢復(fù)應(yīng)具有技術(shù)和管理支持如表A．4所示。表A.SEQ表_A.\*ARABIC4第4級災(zāi)難恢復(fù)的技術(shù)和管理支持要素要求A.4.1數(shù)據(jù)備份系統(tǒng)完全數(shù)據(jù)備份至少每天一次；備份介質(zhì)場外存放；每天多次利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地。A.4.2備用數(shù)據(jù)處理系統(tǒng)配備災(zāi)難恢復(fù)所需的全部數(shù)據(jù)處理設(shè)備，并處于就緒狀態(tài)或運行狀態(tài)。A.4.3備用網(wǎng)絡(luò)系統(tǒng)配備災(zāi)難恢復(fù)所需的通信線路；配備災(zāi)難恢復(fù)所需的網(wǎng)絡(luò)設(shè)備，并處于就緒狀態(tài)。A.4.4備用基礎(chǔ)設(shè)施有符合介質(zhì)存放條件的備用場地；有符合備用數(shù)據(jù)處理系統(tǒng)和備用網(wǎng)絡(luò)設(shè)備運行要求的場地；有滿足關(guān)鍵業(yè)務(wù)功能恢復(fù)運作要求的場地；以上場地應(yīng)保持7x24運作。A.4.5技術(shù)支持在備用場地有：7x24專職計算機機房管理人員；專職數(shù)據(jù)備份技術(shù)支持人員；專職硬件、網(wǎng)絡(luò)技術(shù)支持人員。A.4.6運行維護支持有介質(zhì)存取、驗證和轉(zhuǎn)儲管理制度；按介質(zhì)特性對備份數(shù)據(jù)進行定期的有效性驗證；有備用計算機機房運行管理制度；有硬件和網(wǎng)絡(luò)運行管理制度；有電子傳輸數(shù)據(jù)備份系統(tǒng)運行管理制度。A.4.7災(zāi)難恢復(fù)預(yù)案有相應(yīng)的經(jīng)過完整測試和演練的災(zāi)難恢復(fù)預(yù)案。A.5第5級實時數(shù)據(jù)傳輸及完整設(shè)備支持第五級災(zāi)難恢復(fù)應(yīng)具有技術(shù)和管理支持如表A．5所示。表A.SEQ表_A.\*ARABIC5第5級災(zāi)難恢復(fù)的技術(shù)和管理支持要素要求A.5.1數(shù)據(jù)備份系統(tǒng)完全數(shù)據(jù)備份至少每天一次；備份介質(zhì)場外存放；采用遠程數(shù)據(jù)復(fù)制技術(shù)，并利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)實時復(fù)制到備份場地。A.5.2備用數(shù)據(jù)處理系統(tǒng)配備災(zāi)難恢復(fù)所需的全部數(shù)據(jù)處理設(shè)備，并處于就緒或運行狀態(tài)。A.5.3備用網(wǎng)絡(luò)系統(tǒng)配備災(zāi)難恢復(fù)所需的通信線路；配備災(zāi)難恢復(fù)所需的網(wǎng)絡(luò)設(shè)備，并處于就緒狀態(tài)；具備通信網(wǎng)絡(luò)自動或集中切換能力。A.5.4備用基礎(chǔ)設(shè)施有符合介質(zhì)存放條件的備用場地；有符合備用數(shù)據(jù)處理系統(tǒng)和備用網(wǎng)絡(luò)設(shè)備運行要求的場地；有滿足關(guān)鍵業(yè)務(wù)功能恢復(fù)運作要求的場地；以上場地應(yīng)保持7x24運作。A.5.5技術(shù)支持在備用場地有：7x24專職計算機機房管理人員；7x24專職數(shù)據(jù)備份技術(shù)支持人員；7x24專職硬件、網(wǎng)絡(luò)技術(shù)支持人員。A.5.6運行維護支持有介質(zhì)存取、驗證和轉(zhuǎn)儲管理制度；按介質(zhì)特性對備份數(shù)據(jù)進行定期的有效性驗證；有備用計算機機房運行管理制度；有硬件和網(wǎng)絡(luò)運行管理制度；有實時數(shù)據(jù)備份系統(tǒng)運行管理制度。A.5.7災(zāi)難恢復(fù)預(yù)案有相應(yīng)的經(jīng)過完整測試和演練的災(zāi)難恢復(fù)預(yù)案。A.6第6級數(shù)據(jù)零丟失和遠程集群支持第六級災(zāi)難恢復(fù)應(yīng)具有技術(shù)和管理支持如表A．6所示。表A.SEQ表_A.\*ARABIC6第6級災(zāi)難恢復(fù)的技術(shù)和管理支持要素要求A.6.1數(shù)據(jù)備份系統(tǒng)完全數(shù)據(jù)備份至少每天一次；備份介質(zhì)場外存放；遠程實時備份，實現(xiàn)數(shù)據(jù)零丟失。A.6.2備用數(shù)據(jù)處理系統(tǒng)備用數(shù)據(jù)處理系統(tǒng)具備與生產(chǎn)數(shù)據(jù)處理系統(tǒng)一致的處理能力并完全兼容；應(yīng)用軟件是“集群的”，可實時無縫切換；具備遠程集群系統(tǒng)的實時監(jiān)控和自動切換能力。A.6.3備用網(wǎng)絡(luò)系統(tǒng)配備與生產(chǎn)系統(tǒng)相同等級的通信線路和網(wǎng)絡(luò)設(shè)備；備用網(wǎng)絡(luò)處于運行狀態(tài)；最終用戶可通過網(wǎng)絡(luò)同時接入主、備中心。A.6.4備用基礎(chǔ)設(shè)施有符合介質(zhì)存放條件的備用場地；有符合備用數(shù)據(jù)處理系統(tǒng)和備用網(wǎng)絡(luò)設(shè)備運行要求的場地；有滿足關(guān)鍵業(yè)務(wù)功能恢復(fù)運作要求的場地；以上場地應(yīng)保持7x24運作。A.6.5技術(shù)支持在備用場地有：7x24專職計算機機房管理人員；7x24專職數(shù)據(jù)備份技術(shù)支持人員；7x24專職硬件、網(wǎng)絡(luò)技術(shù)支持人員；7x24專職操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用軟件技術(shù)支持人員。A.6.6運行維護支持有介質(zhì)存取、驗證和轉(zhuǎn)儲管理制度；按介質(zhì)特性對備份數(shù)據(jù)進行定期的有效性驗證；有備用計算機機房運行管理制度；有硬件和網(wǎng)絡(luò)運行管理制度；有實時數(shù)據(jù)備份系統(tǒng)運行管理制度；有操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用軟件運行管理制度。A.6.7災(zāi)難恢復(fù)預(yù)案有相應(yīng)的經(jīng)過完整測試和演練的災(zāi)難恢復(fù)預(yù)案。A.7災(zāi)難恢復(fù)等級評定原則 如要達到某個災(zāi)難恢復(fù)等級，應(yīng)同時滿足該等級中7個要素的要求。A.8容災(zāi)中心的等級 容災(zāi)中心的等級等于其可以支持的災(zāi)難恢復(fù)最高等級。 示例：可支持1至5級的災(zāi)難備份中心的級別為5級。二、災(zāi)備項目建設(shè)流程隨著信息化技術(shù)的發(fā)展，災(zāi)備項目建設(shè)目標已經(jīng)從對災(zāi)難的預(yù)防向保證業(yè)務(wù)連續(xù)性轉(zhuǎn)變，如何能保證各項業(yè)務(wù)在災(zāi)難發(fā)生后連續(xù)運行成為災(zāi)備項目建設(shè)圍繞的核心。參照業(yè)務(wù)連續(xù)性的十個最佳實踐，一個完整的災(zāi)備項目建設(shè)應(yīng)包括以下幾個階段1、項目啟動和管理確定業(yè)務(wù)持續(xù)計劃（BCP）實施過程的相關(guān)需求，包括獲得管理支持、以及組織和管理項目使其符合時間和預(yù)算的限制要求。2、風險評估和控制確定可能造成機構(gòu)及其設(shè)施中斷的災(zāi)難、具有負面影響的事件和周邊環(huán)境因素，以及事件可能造成的損失、防止或減少潛在損失影響的控制措施，提供成本效益分析以調(diào)整控制措施方面的投資，達到消減風險的目的。同時，由于風險會隨著系統(tǒng)的發(fā)展而變化，所以風險管理過程也必須是動態(tài)的。3、業(yè)務(wù)影響分析確定由于中斷和預(yù)期災(zāi)難可能對機構(gòu)造成的影響，以及用來定量和定性分析這種影響的技術(shù)。確定關(guān)鍵功能、恢復(fù)優(yōu)先順序和相關(guān)性以便確定恢復(fù)時間。4、制定業(yè)務(wù)連續(xù)性策略確定和指導(dǎo)備用業(yè)務(wù)恢復(fù)運行策略的選擇，以便在恢復(fù)時間目標范圍內(nèi)恢復(fù)業(yè)務(wù)和信息技術(shù)，并維持機構(gòu)的關(guān)鍵功能。5、應(yīng)急響應(yīng)和運作制定和實施用于事件響應(yīng)以及對事件所引起狀況進行穩(wěn)定的規(guī)程，包括建立和管理緊急事件運作中心，該中心用于在緊急事件中發(fā)布命令。6、設(shè)計、制定和實施業(yè)務(wù)連續(xù)性計劃設(shè)計、制定和實施業(yè)務(wù)連續(xù)性計劃，以便在恢復(fù)時間目標范圍內(nèi)完成恢復(fù)。7、知識培養(yǎng)和培訓(xùn)項目準備建立對機構(gòu)人員進行意識培養(yǎng)和技能培訓(xùn)的項目，以便業(yè)務(wù)連續(xù)性計劃能夠得到制定、實施、維護和執(zhí)行。8、維護和演練業(yè)務(wù)連續(xù)性計劃對預(yù)先計劃和計劃間的協(xié)調(diào)性進行演練、并評估和記錄計劃演練的結(jié)果。制定維持連續(xù)性能力和BCP文檔更新狀態(tài)的方法，使其與機構(gòu)的策略方向保持一致。通過與適當標準的比較來驗證BCP的效率，并使用簡明的語言報告驗證的結(jié)果。9、公共關(guān)系和危機通信制定、協(xié)調(diào)、評價和演練在危機情況下與媒體交流的計劃；制定、協(xié)調(diào)、評價和演練與員工及其家庭、主要客戶、關(guān)鍵供應(yīng)商、業(yè)主／股東以及機構(gòu)管理層進行溝通和在必要情況下提供心理輔導(dǎo)的計劃，確保所有利益群體能夠得到所需的信息。10、與監(jiān)管和公共當局的協(xié)調(diào)建立適用的規(guī)程和策略，用于同監(jiān)管部門和公共部門協(xié)調(diào)與溝通，以確保符合現(xiàn)行的法令和法規(guī)。以上是一個通用型流程，在實際應(yīng)用中，根據(jù)金稅工程（三期）稅務(wù)應(yīng)用的需求和特點，結(jié)合金稅工程（三期）業(yè)務(wù)連續(xù)性建設(shè)的實際需求，我們可以簡化并適當改變上述標準流程?？梢砸罁?jù)下列容災(zāi)規(guī)劃步驟：1．災(zāi)難類型分析（風險分析）2．業(yè)務(wù)影響分析3．容災(zāi)策略制訂4．容災(zāi)方案設(shè)計5．容災(zāi)設(shè)施資源及容災(zāi)IT系統(tǒng)建設(shè)6.業(yè)務(wù)連續(xù)性計劃&災(zāi)難恢復(fù)計劃制定與維護7．容災(zāi)系統(tǒng)運營管理維護8.演練及測試每一個步驟的相關(guān)職責一般會落在“計劃協(xié)調(diào)人”或“應(yīng)急計劃制訂人”的身上，他們通常是相關(guān)部門領(lǐng)導(dǎo)。協(xié)調(diào)人在其他相關(guān)系統(tǒng)或業(yè)務(wù)處理部門的協(xié)助下制定應(yīng)急策略；應(yīng)急計劃協(xié)調(diào)人通常管理應(yīng)急計劃的制定和執(zhí)行。其過程如下圖所示，是一個周而復(fù)始的過程，隨著內(nèi)部環(huán)境的變化隨時靈活變化：圖1：災(zāi)難備份項目實施過程以下將針對這幾個階段作一些詳細的介紹。階段一、災(zāi)難類型分析（風險分析）風險分析(RiskAnalysis)是針對國家稅務(wù)總局總局數(shù)據(jù)中心和各省國、地稅局數(shù)據(jù)中心進行。根據(jù)國際災(zāi)難備份行業(yè)規(guī)范，任何準備建設(shè)災(zāi)難備份系統(tǒng)的機構(gòu)，首先應(yīng)該對自身的工作現(xiàn)狀、風險以及隨之所遭受的業(yè)務(wù)影響有清醒認知，并應(yīng)盡可能多地考慮到所有可能的風險情況，并同時兼顧兩個方面--預(yù)防和控制。這就需要對機構(gòu)的物理環(huán)境進行調(diào)查研究，并進行相應(yīng)的風險分析。在本階段，需要進行詳細而量化的風險分析，通過識別可能發(fā)生的危險事件，分析危險的脆弱性，即危險事件發(fā)生的可能性，評估危險對總局以及各省國、地稅局資產(chǎn)所造成的損失。圖2：風險分析流程圖上圖展示了風險分析的流程。首先是識別確認潛在的危險，這些危險的來源可能是：各種區(qū)域性的天然災(zāi)難，如洪水、地震、疫病等；人為事故或蓄意破壞造成的嚴重災(zāi)難，如火災(zāi)、恐怖主義襲擊等；安全威脅、硬件、網(wǎng)絡(luò)或通信故障；災(zāi)難性的應(yīng)用系統(tǒng)錯誤。所有的危險都應(yīng)納入風險評估范圍，并且應(yīng)對各種危險的可能來源地進行較準確的定位。對于每一種危險的來源都應(yīng)該認識到：危險的類型；危險的程度；危險發(fā)生的可能性。如果按照危險的破環(huán)類型或程度來分，它們對業(yè)務(wù)的影響可以分為：經(jīng)營場所及設(shè)備完全破環(huán)；經(jīng)營場所及設(shè)備部分破環(huán)；經(jīng)營場所及設(shè)備完好，但人員不能進入，比如疫病的隔離、恐怖威脅造成的人員疏散等。風險分析的最后結(jié)果應(yīng)該是一份有關(guān)風險效益分析的詳細陳述報告，要有對危險的精確描述、哪些危險可能發(fā)生，以及需要采取的保障業(yè)務(wù)連續(xù)性和減少損失的措施。這份報告還應(yīng)該描述清楚任何現(xiàn)有的前提或者限制因素。階段二、業(yè)務(wù)影響分析業(yè)務(wù)影響分析(BusinessImpactAnalysis)是對金稅工程（三期）關(guān)鍵性的業(yè)務(wù)功能、以及當這些功能一旦失去作用時可能造成的損失和影響的分析。包括：業(yè)務(wù)功能影響分析哪種業(yè)務(wù)功能對于金稅工程（三期）的整體戰(zhàn)略而言是生死攸關(guān)的該功能在多長時間內(nèi)失效不會造成影響和損失金稅工程（三期）的其他業(yè)務(wù)功能由于該功能的失效會受到何種影響--運營影響分析該功能的失效可能造成的稅收收入影響--財務(wù)影響分析該功能是否會對社會關(guān)系造成影響—納稅人信心的損失，社會穩(wěn)定的影響什么是最大的/可承受的/可允許的失效業(yè)務(wù)功能的恢復(fù)條件（即災(zāi)難恢復(fù)資源資源分析，又稱Pro）要使該功能連續(xù)，需要哪些資源和數(shù)據(jù)紀錄最少的資源需求是什么哪些資源可能來自稅務(wù)系統(tǒng)外部它與金稅工程（三期）其他功能的依賴關(guān)系以及依賴程度金稅工程（三期）的其他功能與該功能的依賴關(guān)系以及依賴程度該功能與稅務(wù)系統(tǒng)的外部業(yè)務(wù)/供應(yīng)商/其他廠商的依賴關(guān)系以及依賴程度在缺少試驗環(huán)境的情況下進行恢復(fù)，需采取怎樣的預(yù)防措施或檢驗手段業(yè)務(wù)功能分類關(guān)鍵功能--如果這類功能被中斷或失效，就會徹底危及金稅工程（三期）的業(yè)務(wù)并造成嚴重損失?；A(chǔ)功能--這些功能一旦失效將會嚴重影響稅務(wù)系統(tǒng)長期運營的能力。必要功能—稅務(wù)系統(tǒng)可以繼續(xù)運營，但這些功能的失效會在很大程度上限制稅收業(yè)務(wù)的效率。有利功能--這些功能對稅務(wù)系統(tǒng)是有利的；但它們的缺失不會影響稅務(wù)系統(tǒng)的運營能力。在本階段，應(yīng)該針對各種業(yè)務(wù)流程進行分析，通過走訪各業(yè)務(wù)部門的相關(guān)人員，了解各種業(yè)務(wù)流程本身對稅收業(yè)務(wù)的重要程度，同時根據(jù)定性和定量的分析方法，分析了解每一類業(yè)務(wù)的恢復(fù)需求：所需的恢復(fù)時間、最大允許的數(shù)據(jù)丟失量、運行所需的IT環(huán)境以及對其它應(yīng)用程序或數(shù)據(jù)依賴程度等等。具體體現(xiàn)在IT系統(tǒng)上，是三個指標：數(shù)據(jù)恢復(fù)點目標（RECOVERYPOINTOBJECTIVE）：體現(xiàn)為該流程在災(zāi)難發(fā)生后，恢復(fù)運轉(zhuǎn)時數(shù)據(jù)丟失的可容忍程度，即恢復(fù)到哪一個時間點；恢復(fù)時間目標（RECOVERYTIMEOBJECTIE）：體現(xiàn)為該流程在災(zāi)難發(fā)生后，需要恢復(fù)的緊迫性也即多久能夠得到恢復(fù)的問題；網(wǎng)絡(luò)恢復(fù)目標（NETWORKRECOVERYOBJECTIVE）：即業(yè)務(wù)網(wǎng)點什么時候才能通過備份網(wǎng)絡(luò)與數(shù)據(jù)中心重新恢復(fù)通信的指標；這三個指標直接影響所使用的容災(zāi)策略及技術(shù)方案，并指導(dǎo)容災(zāi)系統(tǒng)的投入成本?？梢杂孟聢D表示：圖3.業(yè)務(wù)影響分析曲線在該圖中，橫坐標為災(zāi)難持續(xù)時間，縱坐標為災(zāi)難損失，在某一程度以下屬于可接受的程度，即橫虛線所示。對于不同的業(yè)務(wù)流程，這三個指標可能相差非常之大，各個流程本身對這三個目標的優(yōu)先程度也是不一樣的，有的流程可能要求數(shù)據(jù)丟失的程度較小，但恢復(fù)時間可以較長，而另一些流程可能要求短時間內(nèi)恢復(fù)，但數(shù)據(jù)的丟失程度可以放大一些。這種可接受決策應(yīng)該由負責該流程的業(yè)務(wù)部門綜合考慮后做出。階段三、容災(zāi)策略制訂在本階段，結(jié)合以上各階段的分析成果，以及在容災(zāi)上的投入能力，制訂稅務(wù)系統(tǒng)短期、長期范圍內(nèi)的容災(zāi)策略和目標，并有意識地將本身的人員組成和組織架構(gòu)做出調(diào)整以適應(yīng)策略要求。最重要的是制訂出容災(zāi)實施步驟，優(yōu)先解決最為重點的問題。如下圖所示：圖4.容災(zāi)策略制訂階段四、容災(zāi)技術(shù)方案設(shè)計容災(zāi)方案可供選擇的范圍很大，但所有的容災(zāi)方案都必須考慮的因素包括恢復(fù)時間、實施與維護容災(zāi)策略所需的投入等。容災(zāi)恢復(fù)時間的需求越短，所需的實施成本就越大，實施難度也就越高?；謴?fù)時間與投入的比值可以用以下這張曲線圖加以說明：圖5.容災(zāi)方案選擇圖中的各種層次方案可以分別滿足不同的數(shù)據(jù)恢復(fù)目標和恢復(fù)時間目標，需要根據(jù)業(yè)務(wù)影響分析的結(jié)果，針對每一種業(yè)務(wù)流程，綜合選擇能夠滿足容災(zāi)目標的方案。階段五、容災(zāi)設(shè)施資源及容災(zāi)IT系統(tǒng)建設(shè)容災(zāi)中心的設(shè)施資源及容災(zāi)IT系統(tǒng)建設(shè)也是保證金稅工程（三期）容災(zāi)系統(tǒng)正常運轉(zhuǎn)的重要環(huán)節(jié)。容災(zāi)設(shè)施資源及容災(zāi)IT系統(tǒng)建設(shè)的基礎(chǔ)性和重要性可以通過下圖來表示：圖6：容災(zāi)備份體系建設(shè)階段在本階段，需要對金稅工程（三期）容災(zāi)中心的設(shè)施資源進行詳細的規(guī)劃和設(shè)計，容災(zāi)中心的建筑工程、中心環(huán)境（外部與內(nèi)部）、機房結(jié)構(gòu)、物理安全、交通流向組織、電力供應(yīng)與保障等環(huán)節(jié)都要按照容災(zāi)的實際需求進行科學(xué)的分析，最終達到金稅工程（三期）容災(zāi)的實際要求。在容災(zāi)設(shè)施資源建設(shè)過程中，我們要充分考慮到：容災(zāi)中心基礎(chǔ)設(shè)施建設(shè)容災(zāi)中心IT恢復(fù)場地建設(shè)容災(zāi)中心IT恢復(fù)資源建設(shè)業(yè)務(wù)恢復(fù)場地建設(shè)業(yè)務(wù)恢復(fù)資源建設(shè)。階段六、業(yè)務(wù)連續(xù)性計劃及災(zāi)難恢復(fù)計劃制定與維護有了信息系統(tǒng)的恢復(fù)方案，只能夠保證在災(zāi)難環(huán)境下，信息系統(tǒng)的恢復(fù)能夠保證業(yè)務(wù)影響分析的目標，但是業(yè)務(wù)的連續(xù)性并不只是信息系統(tǒng)的恢復(fù)，還包括辦公場地、辦公設(shè)備、緊急流程、指揮架構(gòu)、人員調(diào)度等等多方面、各部門的綜合考慮。只有業(yè)務(wù)流程執(zhí)行過程的每一個環(huán)節(jié)都達到容災(zāi)目標的要求，才能夠認為業(yè)務(wù)影響分析的目標得到了滿足。制定業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)計劃的具體內(nèi)容可以通過下圖來表示：圖7：災(zāi)難恢復(fù)規(guī)劃（DRP）vs業(yè)務(wù)連續(xù)性規(guī)劃（BCP）一般來說，應(yīng)該設(shè)立一個由領(lǐng)導(dǎo)掛帥，各業(yè)務(wù)部門和信息部門聯(lián)合組成的一個容災(zāi)組織工作體系，具體包括：指揮領(lǐng)導(dǎo)小組、容災(zāi)工作小組、業(yè)務(wù)恢復(fù)小組、IT恢復(fù)小組、運營管理團隊、后勤及人力資源保障等等。圖8.容災(zāi)組織架構(gòu)圖由領(lǐng)導(dǎo)小組指揮，業(yè)務(wù)恢復(fù)團隊和業(yè)務(wù)恢復(fù)團隊分別執(zhí)行應(yīng)急響應(yīng)計劃、災(zāi)難恢復(fù)計劃、業(yè)務(wù)恢復(fù)計劃，運營管理團隊負責容災(zāi)系統(tǒng)的運營管理和日常維護、問題收集和解決、系統(tǒng)變更和測試演練等工作，后勤保障和人力資源保障提供支持，從而達到容災(zāi)設(shè)計的目標。階段七、容災(zāi)系統(tǒng)運行管理維護在本階段，容災(zāi)系統(tǒng)運行管理維護主要分為日常運行階段、應(yīng)急和恢復(fù)階段及接替生產(chǎn)運營服務(wù)階段圖9：容災(zāi)系統(tǒng)運營管理階段劃分參照國際IT服務(wù)管理最佳實踐ITIL的標準（具體內(nèi)容見下圖），金稅工程（三期）容災(zāi)系統(tǒng)的運行管理應(yīng)滿足三大要求：高度響應(yīng)要求。高響應(yīng)要求是金稅工程（三期）容災(zāi)系統(tǒng)運營管理的重中之重，也是對金稅工程（三期）容災(zāi)系統(tǒng)災(zāi)難恢復(fù)系統(tǒng)運營管理隊伍的最直接考驗，其關(guān)注的是提供支持的及時性與工作導(dǎo)向。當宣告災(zāi)難恢復(fù)后，只有高響應(yīng)度的容災(zāi)系統(tǒng)，才能夠按既定的操作流程在第一時間為發(fā)生災(zāi)難的國地稅數(shù)據(jù)中心進行應(yīng)急與切換工作，并根據(jù)發(fā)生災(zāi)難的國地稅數(shù)據(jù)中心的特殊要求提出合理的解決方案并接替生產(chǎn)運營，盡最大可能減輕災(zāi)難事件造成的影響。高度可靠性要求高度可靠性要求是金稅工程（三期）容災(zāi)系統(tǒng)的基本保障，從管理手段和操作流程上保證響應(yīng)度與可用性的落地。具體體現(xiàn)在對現(xiàn)有人員、資源與技術(shù)在執(zhí)行層面上的標準化、制度化、規(guī)范化，才能在不可預(yù)測的災(zāi)難事件發(fā)生時，容災(zāi)災(zāi)備系統(tǒng)能夠真正意義地起到災(zāi)難恢復(fù)、業(yè)務(wù)連續(xù)的保障作用。高度可用性要求高度可用性要求是運營管理體系的基礎(chǔ)，從容災(zāi)中心資源、業(yè)務(wù)正常處理流程與人員的支持上為應(yīng)急響應(yīng)、系統(tǒng)切換與接替生產(chǎn)運行的服務(wù)工作奠定基礎(chǔ)。圖10：容災(zāi)系統(tǒng)運營管理體系階段八、演練、測試任何制訂的計劃，都必須經(jīng)過不斷的測試和修正，才能滿足信息系統(tǒng)不斷發(fā)展的需求。同時，通過測試過程，也能夠使內(nèi)部各部門及人員熟悉自己在業(yè)務(wù)連續(xù)性計劃中所扮演的角色，做到胸有成竹，才能夠在災(zāi)難真正發(fā)生的時刻有條不紊地開展恢復(fù)的過程。測試的過程可以分為“紙上談兵”和實地演習(xí)兩種方式，根據(jù)需要及對業(yè)務(wù)影響的不同分別采用。需要注意的是，無論平時的測試如何完善，也沒有辦法預(yù)測可能發(fā)生的災(zāi)難情況。關(guān)鍵人員的損失或者關(guān)鍵文檔的丟失，都有可能對災(zāi)難恢復(fù)計劃的執(zhí)行造成巨大影響。因此，在災(zāi)難演練過程中要注意到人員的交叉?zhèn)浞萸闆r，除了每個人自己所擔負的責任外，盡量做到關(guān)鍵步驟有后備人選作為應(yīng)變。三、容災(zāi)項目各階段主要工作內(nèi)容容災(zāi)項目建設(shè)是一個系統(tǒng)工程，包含一系列的工作及計劃的制訂，包括業(yè)務(wù)連續(xù)性計劃、業(yè)務(wù)恢復(fù)計劃BRP，應(yīng)急響應(yīng)計劃、災(zāi)難恢復(fù)計劃(DRP)等內(nèi)容。相比于其它機構(gòu)和領(lǐng)域，信息系統(tǒng)更容易受到各種災(zāi)難的傷害而導(dǎo)致中斷，特別是在許多情況下，關(guān)鍵資源可能屬于不可控范圍（如電力系統(tǒng)中斷和通訊系統(tǒng)中斷），于是有效的災(zāi)難恢復(fù)計劃、履行計劃和對計劃進行有效地測試對于削減系統(tǒng)風險與各種服務(wù)的不可用性就顯得非常重要了。為了保證業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)計劃的成功執(zhí)行，容災(zāi)體系的管理者應(yīng)該做到以下幾點：1.理解災(zāi)難恢復(fù)計劃和業(yè)務(wù)連續(xù)性計劃的全部過程及其在整個運行連續(xù)性計劃和業(yè)務(wù)連續(xù)性計劃過程中的地位。2.制定或復(fù)查其應(yīng)急策略及計劃過程并運用計劃周期要素，包括預(yù)備計劃、業(yè)務(wù)影響分析和容災(zāi)恢復(fù)策略等。3.制定和復(fù)查其災(zāi)難恢復(fù)計劃策略，重點在于計劃的維護、培訓(xùn)以及對應(yīng)急計劃的演練。災(zāi)難恢復(fù)計劃描述災(zāi)難恢復(fù)預(yù)案(DisasterRecoveryPlan)，是指當災(zāi)難發(fā)生時，迅速采取措施，確保關(guān)鍵業(yè)務(wù)系統(tǒng)能夠持續(xù)進行，盡量減少企業(yè)的業(yè)務(wù)損失的計劃或框架。災(zāi)難恢復(fù)測試和演練將以災(zāi)難恢復(fù)預(yù)案為基礎(chǔ)進行。災(zāi)難恢復(fù)預(yù)案需具有清晰的結(jié)構(gòu)和詳細的行動步驟，包括所需行動的檢查表、角色的解釋和資源的定義等。不同職責的人員都有其說明各自的行動步驟的災(zāi)難恢復(fù)預(yù)案文檔，所有的災(zāi)難恢復(fù)預(yù)案的統(tǒng)一執(zhí)行，將保證金稅工程（三期）稅收業(yè)務(wù)運行恢復(fù)正常，幫助各稅務(wù)部門達到其業(yè)務(wù)連續(xù)運作的目標。災(zāi)難恢復(fù)計劃階段描述分析評估評估金稅工程（三期）容災(zāi)系統(tǒng)的恢復(fù)目標、實現(xiàn)方案、系統(tǒng)架構(gòu)、行動計劃和操作流程等資料，建立相應(yīng)的預(yù)案模板，確定哪些是目前金稅工程（三期）所缺少的流程，哪些流程文檔需要整合。制訂災(zāi)難恢復(fù)預(yù)案概述根據(jù)對金稅工程（三期）容災(zāi)系統(tǒng)的分析，確定災(zāi)難恢復(fù)預(yù)案的框架，并開始準備災(zāi)難恢復(fù)預(yù)案的概述部分內(nèi)容。概述是對災(zāi)難恢復(fù)預(yù)案的目標、范圍、前提假設(shè)及組織職責等策略性的說明。包括：目的：說明制定計劃的目的。還應(yīng)該說明劃分幾個階段時，每個階段所要實現(xiàn)的目標是什么。指標和范圍：定義災(zāi)難恢復(fù)的目標，如恢復(fù)時間目標（RTO）和恢復(fù)點目標（RPO），以及其他性能指標等。說明預(yù)案的作用范圍，解決哪些問題，不解決哪些問題。說明有哪些部門和運營業(yè)務(wù)需要實施災(zāi)難恢復(fù)預(yù)案。必備條件/前提條件和限制因素：形成一份災(zāi)難恢復(fù)預(yù)案的前提條件需要在此說明。在某些情況下，還須說明災(zāi)難會后規(guī)劃成功的必備條件。組織和職責：災(zāi)難恢復(fù)團隊的組織/負責人選、下屬哪些分支團隊、團隊的作用和責任等，都必須在此說明。制定災(zāi)難應(yīng)急響應(yīng)計劃制訂金稅工程（三期）災(zāi)難應(yīng)急響應(yīng)計劃。災(zāi)難應(yīng)急響應(yīng)計劃的內(nèi)容包括對預(yù)警及通知流程、應(yīng)急處理流程、損失評估、災(zāi)難宣告以及聯(lián)絡(luò)通訊清單等等。預(yù)警及通知流程：任何人員在發(fā)現(xiàn)緊急事件時，應(yīng)立即執(zhí)行災(zāi)難預(yù)警及通知流程，對事件進行通告，為減少損失贏得時間。通知流程中應(yīng)包含通訊聯(lián)絡(luò)清單。應(yīng)急處理流程：在接到災(zāi)難預(yù)警和通知后，執(zhí)行相關(guān)應(yīng)急處理流程對各種緊急事件的進行響應(yīng)處理。在實施過程中應(yīng)將國稅總局和各省國地稅局原有緊急事件響應(yīng)流程與轉(zhuǎn)換為災(zāi)難恢復(fù)預(yù)案的規(guī)程。損害評估：確定在災(zāi)難發(fā)生后，由損害評估人員確定事態(tài)的嚴重程度。由災(zāi)難恢復(fù)責任人召集相應(yīng)的專業(yè)人員對災(zāi)難事件進行慎重評估，確認災(zāi)難事件對信息系統(tǒng)造成的影響程度，確定下一步將要采取的行動。災(zāi)難宣告：應(yīng)預(yù)先制定災(zāi)難恢復(fù)預(yù)案啟動的條件。當損害評估的結(jié)果達到一項或多項啟動條件時，將正式發(fā)出災(zāi)難宣告，宣布啟動災(zāi)難恢復(fù)預(yù)案，并根據(jù)宣告流程通知各有關(guān)部門。聯(lián)絡(luò)清單：列出災(zāi)難恢復(fù)相關(guān)人員和組織的聯(lián)絡(luò)表。聯(lián)絡(luò)方式包括固定電話、移動電話、對講機、電子郵件和住址等。人員疏散計劃制定災(zāi)難恢復(fù)預(yù)案災(zāi)難恢復(fù)一旦決定災(zāi)難切換，則進入災(zāi)難恢復(fù)流程。災(zāi)難恢復(fù)預(yù)案的內(nèi)容是對災(zāi)難恢復(fù)的程序進行說明和描述。在原有操作文檔的基礎(chǔ)上整理災(zāi)難恢復(fù)流程和操作手冊。按照災(zāi)難恢復(fù)的目標要求和業(yè)務(wù)恢復(fù)先后順序，明確相應(yīng)的團隊/責任人以及具體任務(wù)，在災(zāi)難備份中心恢復(fù)支持關(guān)鍵業(yè)務(wù)功能的數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)。災(zāi)難恢復(fù)預(yù)案的大部分文檔是采用操作手冊方式，由一系列簡單明確的指令構(gòu)成，恢復(fù)團隊完全可以按照這些指令進行恢復(fù)操作。計劃中需要描述時間、地點、人員、設(shè)備和每一步的詳細操作步驟，同時還包括特定情況發(fā)生時各團隊之間進行協(xié)調(diào)的指令。重續(xù)運行重續(xù)運行是指災(zāi)難備份中心的系統(tǒng)替代生產(chǎn)系統(tǒng)，支持關(guān)鍵業(yè)務(wù)功能的提供。這一階段包含生產(chǎn)系統(tǒng)運行管理所涉及的主要工作，包含重續(xù)運行的所有操作流程和規(guī)章制度。對于災(zāi)難恢復(fù)預(yù)案團隊中的各個小組需要指定各自應(yīng)該采取的行動及每個小組要完成指定的任務(wù)。有關(guān)業(yè)務(wù)重續(xù)運行的決策過程、需要采取什么行動，以及重續(xù)運行哪些業(yè)務(wù)到何種程度等等，也需要在此加以說明。制訂災(zāi)后回退計劃災(zāi)后回退計劃包括對生產(chǎn)系統(tǒng)的重建，中止災(zāi)難備份系統(tǒng)的運行，將系統(tǒng)回退到原生產(chǎn)系統(tǒng)。回退計劃將確定回退的策略，以及相關(guān)團隊/負責人的角色責任和大的階段計劃。由于重建工作視災(zāi)難情況會有很大區(qū)別，因此回退計劃中不涉及具體的操作流程。災(zāi)難恢復(fù)預(yù)案維護管理對于金稅工程（三期）災(zāi)難恢復(fù)預(yù)案，制訂其維護管理流程，包括如何對計劃文檔進行保存與分發(fā)；以及制訂測試演練、維護變更的要求以保持災(zāi)難恢復(fù)預(yù)案的持續(xù)有效等。保存與分發(fā)經(jīng)過審核和批準的災(zāi)難恢復(fù)預(yù)案，應(yīng)設(shè)定專人負責保存與分發(fā)；具有多份拷貝在不同的地點保存，如生產(chǎn)中心和備份中心；在每次更新修訂后所有拷貝統(tǒng)一更新。維護和變更管理為了保證災(zāi)難恢復(fù)預(yù)案的有效性，需要建立周期性進行維護變更管理流程，包括：建立災(zāi)難恢復(fù)預(yù)案的定期演練和評審和修訂制度。結(jié)合備份中心變更管理制度，確保業(yè)務(wù)流程的變化、信息系統(tǒng)的變更、人員的變更都應(yīng)在災(zāi)難恢復(fù)預(yù)案中及時反映；容災(zāi)項目各階段工作內(nèi)容及工作成果在金稅工程（三期）容災(zāi)項目建設(shè)過程中，不同的階段所涉及的具體內(nèi)容和結(jié)果如下表所示：階段描述工作成果描述風險分析階段《風險分析報告》對國家稅務(wù)總局和各省國地稅局數(shù)據(jù)中心風險分析的概要，結(jié)論以及建議。報告還包括每一次調(diào)查及會見的記錄和搜集資料的匯總。風險分析報告主要內(nèi)容包括：確定數(shù)據(jù)中心可能面對的危險評估各種危險發(fā)生的可能性評估危險真正發(fā)生時所造成的損失分析數(shù)據(jù)中心的風險評估對風險采用控制措施對可采用的風險控制措施提出建議業(yè)務(wù)影響分析階段《業(yè)務(wù)影響分析報告概述》對金稅工程（三期）的業(yè)務(wù)影響分析的概要，結(jié)論以及建議。報告還包括每一次調(diào)查及會見的記錄和搜集資料的匯總?！稑I(yè)務(wù)影響分析報告》業(yè)務(wù)影響分析報告主要內(nèi)容包括：業(yè)務(wù)功能可接受的中斷時間分析確定關(guān)鍵的業(yè)務(wù)功能，確定各個業(yè)務(wù)功能的依賴關(guān)系確定各個業(yè)務(wù)系統(tǒng)的恢復(fù)時