ITSS：數(shù)據(jù)中心業(yè)務連續(xù)性等級評價白皮書2023

數(shù)據(jù)中心業(yè)務連續(xù)性等級評價白皮書DCBCM數(shù)據(jù)中心業(yè)務連續(xù)性等級評價白皮書2023年10月15日發(fā)布近年來，隨著中國制造2025、網(wǎng)絡強國戰(zhàn)略、國家大數(shù)據(jù)戰(zhàn)略、兩化融合、互聯(lián)網(wǎng)+、一帶一路、云計算、大數(shù)據(jù)等新的一批國家戰(zhàn)略制定和新技術如火如荼的發(fā)展，作為新基建的重要領域之一，中國數(shù)據(jù)中心行業(yè)發(fā)展進入快車道。信息技術的應用帶來網(wǎng)絡流量高增長，結合企業(yè)及政府和社會的信息化建設，驅(qū)動著數(shù)據(jù)中心不斷向大型化、復雜化演進。隨著業(yè)務應用數(shù)據(jù)大集中，以及國家發(fā)改委、中央網(wǎng)信辦、工信部、國家能源局四部門提出加快實現(xiàn)數(shù)據(jù)中心集約化、規(guī)?；⒕G色化發(fā)展的要求，也帶來了數(shù)據(jù)中心運行風險的大集中。當前各行各業(yè)數(shù)字化轉(zhuǎn)型逐步深入，元宇宙應用深入探索，在銀行業(yè)后，將誕生更多對數(shù)據(jù)中心及信息技術系統(tǒng)高度依賴的行業(yè)，數(shù)據(jù)中心對提升全社會生產(chǎn)效率和全要素生產(chǎn)率作用巨大，數(shù)據(jù)中心服務的中斷不再是數(shù)據(jù)中心自己的事，將會成為一個系統(tǒng)性的社會風險，數(shù)據(jù)中心安全生產(chǎn)成為總體國家安全觀的重要組成部分，直接關系到企業(yè)的根本，也給數(shù)據(jù)中心從業(yè)人員帶來新的挑戰(zhàn)。國標GB/T42581-2023《信息技術服務數(shù)據(jù)中心業(yè)務連續(xù)性等級評價準則》在此背景下應運而生。本標準采用GB/T40755-2021《公共安全業(yè)務連續(xù)性管理體系業(yè)務連續(xù)性管理能力評估指南》給出的能力框架，針對數(shù)據(jù)中心的業(yè)務特點為不同類型的數(shù)據(jù)中心提供了評價方法，全面地指導數(shù)據(jù)中心業(yè)務連續(xù)性能力建設和提升，彌補了數(shù)據(jù)中心業(yè)務連續(xù)性管理效果缺乏量化衡量的問題。本標準也是業(yè)務連續(xù)性管理領域第一部行業(yè)應用國標。為給國內(nèi)各類數(shù)據(jù)中心組織，實施GB/T42581-2023提供參考，促進國家標準落地，國標編寫組組織相關核心成員編寫了這本白皮書。探索無止境，實踐出真知。衷心期待本書能帶給廣大的數(shù)據(jù)中心同仁諸多幫助與啟發(fā)，同時也希望以本書為契機，促進數(shù)據(jù)中心同仁對提升我國數(shù)據(jù)中心業(yè)務連續(xù)性能力的探討。我們希望閱讀這本白書就像參加一場研討會，踴躍發(fā)言的不僅有那些跋山涉水的過來人，也有求知若渴、虛心請教的后來人。大家在交流中收獲，在分享中進步。最終的目的只有一個：推動作為數(shù)字經(jīng)濟的發(fā)動機和壓艙石的數(shù)據(jù)中心量化升級，逐漸成熟，確保數(shù)據(jù)中心及其所支撐的數(shù)字經(jīng)濟這艘巨輪始終在正確的航道上乘風破浪，使命必達！神州信息總裁李鴻春2023.6.1.神州數(shù)碼系統(tǒng)集成服務有限公司，北京太極華?？萍脊煞萦邢薰?，管易眾享（北京）科技有限公司，中國電子技術標準化研究院，中國太平洋保險（集團）股份有限公司，上海浦東發(fā)展銀行股份有限公司，北京同創(chuàng)永益科技發(fā)展有限公司，中國計量科學研究院，成方金融信息技術服務有限公司，中鐵信大數(shù)據(jù)科技有限公司，興業(yè)銀行股份有限公司，成都泰一鏈科技有限公司，北京世紀互聯(lián)寬帶數(shù)據(jù)中心有限公司，上海數(shù)騰軟件科技股份有限公司，上海北宙企業(yè)管理咨詢有限公司，中國光大銀行股份有限公司，中平信息技術有限責任公司，中國質(zhì)量認證中心，廣州賽寶聯(lián)睿信息科技有限公司，重慶市通信建設有限公司，北京賽迪認證中心有限公司，中國民航信息網(wǎng)絡股份有限公司，深圳前海微眾銀行股份有限公司，云南省網(wǎng)絡應急指揮中心，武漢吧噠科技股份有限公司，廣州賽寶認證中心服務有限公司，北京銀信長遠科技股份有限公司，上海上證數(shù)據(jù)服務有限責任公司，南京云信達科技有限公司，上海翰緯信息科技有限公司，普元信息技術有限公司，上?；鸺麛?shù)字科技有限公司袁曄棟、肖建一、趙勇祥、劉登科、王睿珷、劉強、趙杰、王雪松、朱愛斌、張勇、鄭星、武彤、肖鑫、李淳、沈慶飛、楊曉平、陳澤佳、陳振毅、門美玲、黃旭昌、湯維、周行健、徐禮長、周曉明、賀永紅、張宏偉、鄭涓、陳凱、黃建新、鄭浩、龔才語、馬烈、田瑞杰、黃耿冬、楊瑛、周高登、郝姝琪、陳楊，洪偉，杜建新，翁振邦，邱利公，陳宏峰，潘建民，劉鶴、毛夢非一、概述 1.1編寫背景 1.2相關標準 1.3編制方法和過程 2二、等級模型 2.1數(shù)據(jù)中心的定義和分類 32.2數(shù)據(jù)中心業(yè)務范圍以及本標準的數(shù)據(jù)中心分類 72.3數(shù)據(jù)中心業(yè)務連續(xù)性等級分級 8三、等級構造與分值計算 3.1等級構造 93.1.1數(shù)據(jù)中心設施可用性 93.1.2數(shù)據(jù)中心業(yè)務連續(xù)性管理能力 93.3.3數(shù)據(jù)中心業(yè)務運行效果 3.2分值計算 3.3等級的確定 10四、評分規(guī)則 4.1設施可用性要素及評分規(guī)則 4.2管理能力要素及評分規(guī)則 134.3運行效果評分規(guī)則 34五、數(shù)據(jù)中心業(yè)務連續(xù)性等級建設與評價 5.1業(yè)務連續(xù)性等級建設 355.2業(yè)務連續(xù)性成熟度評價 355.2.1評價流程 5.2.2評價方法 5.3自評價流程和要點 375.3.1自評價方式 5.3.2自評價流程 5.3.3自評價交付物 5.4第三方評估流程和要點 405.4.1第三方機構評價流程 405.4.2第三方機構評價內(nèi)容 41六、典型實踐 3506.1數(shù)據(jù)中心業(yè)務中斷案例 426.2數(shù)據(jù)中心業(yè)務連續(xù)性組織架構示例 436.3風險評估（RA）案例 436.4業(yè)務影響分析（BIA）案例 456.5業(yè)務連續(xù)性計劃案例 456.6預警與溝通案例 466.7人員意識與培訓案例 466.8資源建設與維護案例 476.9演練與改進案例 471一、概述在國家標準GB/T33136-2016《信息技術服務數(shù)據(jù)中心服務能力成熟度模型》中，服務連續(xù)性管理被列入成為數(shù)據(jù)中心管理的一個重要的能力項。GB/T33136國家標準編制過程中，很多專家認為在GB/T33136中能力項要求的基礎上，需要編制專門的數(shù)據(jù)中心業(yè)務連續(xù)性能力領域的國家標準，用于具體指導數(shù)據(jù)中心業(yè)務連續(xù)性能力的建設，于是提出了國家標準提案。在GB/T33136國家標準實施的過程中，通過走訪各類數(shù)據(jù)中心，發(fā)現(xiàn)目前各類數(shù)據(jù)中心在業(yè)務連續(xù)性管理領域存在許多問題（參見《業(yè)務連續(xù)性管理在數(shù)據(jù)中心的應用現(xiàn)狀》刊于《數(shù)據(jù)中心建設+》ISSN1726-5924總第227期數(shù)據(jù)中心往往僅進行了災備建設，而沒有進行全面的業(yè)務連續(xù)性管理，需要盡快推動有關標準制定工作。2019年10月17日，國家市場監(jiān)督管理總局、國家標準委下達2019年第三批推薦性國家標準制修訂項目（國標委發(fā)〔2019〕29號）公告，《信息技術服務數(shù)據(jù)中心業(yè)務連續(xù)性等級評價準則》（以下稱本標準）正式獲批立項，標準計劃號20193178-T-469。國家標準計劃下達后，突發(fā)新冠疫情。在很多數(shù)據(jù)中心管理者都親身經(jīng)歷過非典疫情的大背景下，大多數(shù)據(jù)中心仍沒有制定處置疫情的業(yè)務連續(xù)性計劃，只是被動地按照屬地政府部門和疾控部門的要求采取必要的防控措施。很少有數(shù)據(jù)中心能夠多想一步，與屬地相關部門密切互動，及時了解和掌握當?shù)厝藛T和場所隔離的具體措施和要求，并在此基礎上提前制定和落實當本數(shù)據(jù)中心發(fā)生需要隔離人員或場所時，如何保持業(yè)務連續(xù)等比較全面的預案。隨著疫情的發(fā)展，越來越多的數(shù)據(jù)中心管理者認識到，數(shù)據(jù)中心的業(yè)務連續(xù)性管理不僅僅是災備，他們開始對數(shù)據(jù)中心業(yè)務連續(xù)性管理有了比較全面的思考和認識，表示他們越來越深刻理解在GB/T33136編制過程中提出編寫本標準的重要意義，詢問標準編制進度。據(jù)國家發(fā)改委發(fā)布的來自國家信息中心的統(tǒng)計數(shù)據(jù)，占我國全社會用電量約2%的數(shù)據(jù)中心，支撐了占全國GDP約36.2%的數(shù)字經(jīng)濟規(guī)模（已剔除這些業(yè)務中與數(shù)據(jù)中心不直接相關的部分數(shù)據(jù)中心在國民經(jīng)濟中發(fā)揮越來越重要的關鍵作用。當前隨著中國制造2025、網(wǎng)絡強國戰(zhàn)略、國家大數(shù)據(jù)戰(zhàn)略、兩化融合、互聯(lián)網(wǎng)+、一帶一路、云計算、大數(shù)據(jù)、CPS（信息物理網(wǎng)絡）等新的一批國家戰(zhàn)略制定和新技術如火如荼地發(fā)展，不僅將使數(shù)據(jù)中心建設進入了一個高潮期，同時，各行各業(yè)也對數(shù)據(jù)中心越來越依賴。隨著各行各業(yè)數(shù)字化轉(zhuǎn)型的逐步深入，元宇宙的充分發(fā)展，在銀行業(yè)后，將誕生更多對數(shù)據(jù)中心和信息技術高度依賴的行業(yè)，數(shù)據(jù)中心支撐的GDP占比還會繼續(xù)提升，數(shù)據(jù)中心對提升全社會生產(chǎn)效率和全要素生產(chǎn)率作用巨大，數(shù)據(jù)中心服務的中斷不再是數(shù)據(jù)中心自己的事，將會成為一個系統(tǒng)性的社會風險，數(shù)據(jù)中心安全生產(chǎn)成為總體國家安全觀的重要組成部分，必須引起高度的重視。在此背景下，本標準開始征集參編單位，并啟動標準編制工作。剛剛開始征集參編單位，就獲得了積極響應，近30家單位首批報名。編制單位中，有一半是數(shù)據(jù)中心組織（包括運營商數(shù)據(jù)中心、第三方數(shù)據(jù)中心等獨立的數(shù)據(jù)中心企業(yè)和包括銀行、保險、證券、航空等企業(yè)內(nèi)設的數(shù)據(jù)中心組織另一半則是數(shù)據(jù)中心的服務商。參編單位包括央企總部、央企專業(yè)子公司、地方國企、香港上市公司、境內(nèi)上市公司、金融科技公司、管理咨詢公司、信息技術服務公司、數(shù)據(jù)中心建設公司等，具有廣泛的代表性。本標準進入征求意見階段后，仍有公司表示希望參與編制。2標準編制完成后，為了方便大家更好地理解和應用標準，我們組織了標準的主要編寫者編制了本1、國家標準化管理部門和行業(yè)監(jiān)管機構的早期標準和監(jiān)管指引國家標準化管理部門很早就開始在數(shù)據(jù)中心業(yè)務連續(xù)性管理有關領域開展了相關標準制定工作。發(fā)布了GB/T20988-2007《信息安全技術信息系統(tǒng)災難恢復規(guī)范》等國家標準。部分行業(yè)監(jiān)管機構也陸續(xù)發(fā)布了一些行業(yè)標準和指導文件，例如：人民銀行金融行業(yè)標準JR/T0044—2008《銀行業(yè)信息系統(tǒng)災難恢復管理規(guī)范》、保監(jiān)會《保險業(yè)信息系統(tǒng)災難恢復管理指引》、民航業(yè)《民用航空重要信息系統(tǒng)災難備份與恢復管理規(guī)范》、銀監(jiān)會《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》等等這些標準和指引在某些方面為數(shù)據(jù)中心服務連續(xù)性管理提供了有力的支持。2、業(yè)務連續(xù)性管理領域的標準2012年起，我國開始構建業(yè)務連續(xù)性管理相關的國家標準體系，陸續(xù)開始發(fā)布業(yè)務連續(xù)性管理領域的國家標準，例如：....GB/T31595-2015《公共安全業(yè)務連續(xù)性管理體系指南》（等同ISO22313:2012)....GB/T35625-2017《公共安全業(yè)務連續(xù)性管理體系業(yè)務影響分析指南（BIA）》（等同ISO/TS22317:2015)....GB/T38299-2019《公共安全業(yè)務連續(xù)性管理體系供應鏈連續(xù)性指南》（等同ISO22318:2015)....GB/T40755-2021《公共安全業(yè)務連續(xù)性管理體系業(yè)務連續(xù)性管理能力評估指南》....GB/T30146-2023《安全與韌性業(yè)務連續(xù)性管理體系要求》（等同ISO22301:2019)這些國家標準主要都是等同采用ISO國際標準，2021年發(fā)布的GB/T40755是該領域的第一部自研國標（本標準有望成為第二部自研國標，也是第一部業(yè)務連續(xù)性管理領域的行業(yè)應用國標）。但是這些標準要求過于通用，不能體現(xiàn)數(shù)據(jù)中心業(yè)務特點，往往導致將數(shù)據(jù)中心服務對象的業(yè)務當作是數(shù)據(jù)中心業(yè)務，不能很好指導數(shù)據(jù)中心的業(yè)務連續(xù)性工作。本標準業(yè)務連續(xù)性管理能力部分，與GB/T40755給出的框架保持一致，并針對數(shù)據(jù)中心的業(yè)務特點進行了細化完善。3、信息技術服務領域與連續(xù)性管理有關的標準GB/T2887-2011《計算機場地通用規(guī)范》規(guī)定了數(shù)據(jù)中心場地的可用性水平，為開展數(shù)據(jù)中心業(yè)務連續(xù)性管理工作奠定了一定技術基礎。該標準也成為本標準判定數(shù)據(jù)中心可用性水平的重要依據(jù)。ISO20000-1：2018Informationtechnology-Servicemanagement-Part1:Servicemanagementsystems、GB/T33136-2016《信息技術服務數(shù)據(jù)中心服務能力成熟度模型》等標準，都有關于服務連續(xù)性的要求，但是其要求過于籠統(tǒng)。本標準可以對其進行很好的補充。本標準的編制方法和過程遵循了ITSS系列標準的編制方法和過程，保持了與ITSS系列標準和業(yè)務連續(xù)性管理領域標準的一致性。3本標準來源于2019年10月17日，國家市場監(jiān)督管理總局、國家標準委下達2019年第三批推薦性國家標準制修訂項目（國標委發(fā)〔2019〕29號）公告，本標準計劃號20193178-T-469。本標準屬于信息技術服務標準體系（5.0版）中“基礎服務標準”板塊下的“數(shù)據(jù)中心”部分。本標準以公開征集參編單位的方式，征集了參編單位，并組成了標準工作組。根據(jù)標準工作組的任務分工，牽頭單位負責標準的組織與實施、相關資料的搜集和調(diào)研、標準框架編制、標準內(nèi)容起草、反饋意見整理、定稿、報批等工作。成員單位根據(jù)分工安排，完成組長分配的標準編制任務、參與標準討論和征求意見的反饋。2021年1月29日，召開本標準啟動會暨第一次封閉編寫工作會議。通過線上會議形式召開。本次會議啟動了本標準的編寫工作，參會專家就標準大綱結構和內(nèi)容框架進行討論，明確了后續(xù)工作計劃。2021年3月4日至3月5日，本標準第二次封閉會議在上海召開。本次會議完成了標準大綱的討論、編寫和定稿，為后續(xù)全體人員的封閉編寫做好準備。2021年3月30日至4月1日，本標準第三次封閉編寫會在北京召開。本次會議對本標準的編寫大綱進行了確認，完成編寫組的分組分工，各小組充分討論并形成了小組草案；會議對后續(xù)工作作出安排，計劃2021年6月份提交草案。2021年5月11日至5月12日，在北京召開第四次封閉編寫工作會議在北京召開，完成本標準草案的編寫。2021年7月14日至7月16日，在北京召開第五次封閉編寫工作會議在北京召開，會議形成本標準征求意見稿。2021年8月開始公開征求意見，并組織兩次專家征求意見會議。1）第一次專家征求意見會：9月18日線上會議形式進行，本次會議有來自中體彩科技發(fā)展有限公司、上海計算機軟件技術開發(fā)中心、北京大學（天津濱海）新一代信息技術研究院、一體化指揮調(diào)度技術國家工程實驗室、中國人民銀行清算總中心、應急管理部通信信息中心等6家單位專家出席，反饋意見29條，采納17條，未采納12條。2）第二次專家征求意見會：12月13日通過線上會議形式進行，本次會議有來自中國應急管理學會標準化專業(yè)委員會、中國人壽、中國計量科學研究院、中治研（北京）國際信息技術研究院、中國計算機用戶協(xié)會信息科技審計分會、海通證券等6家單位專家出席，反饋意見6條，采納6條。2021年12月，完成征求意見的修改處理。形成標準送審稿，完成標準審查。2022年3月，標準編制組根據(jù)審查意見修改，形成標準報批稿。二、等級模型什么是數(shù)據(jù)中心？目前尚無統(tǒng)一的定義。比較典型的對“數(shù)據(jù)中心”的定義有兩種：1、以GB50174《數(shù)據(jù)中心設計規(guī)范》為代表，將數(shù)據(jù)中心定義為：為集中放置的電子信息設備提供運行環(huán)境的建筑場所，可以是一棟或幾棟建筑物，也可以是一棟建筑物的一部分，包括主機區(qū)、輔助區(qū)、支持區(qū)和行政管理區(qū)等。2、以GB/T33136《信息技術服務數(shù)據(jù)中心服務能力成熟度模型》和GB/T32910.1《數(shù)據(jù)中心資4數(shù)據(jù)中心業(yè)務連續(xù)性等級評價白皮書DCBCM源利用第1部分：術語》為代表，將數(shù)據(jù)中心定義為：由計算機場地(機房)、其他基礎設施、信息系統(tǒng)軟硬件、信息資源(數(shù)據(jù))和人員以及相應的管理制度組成的實體。本標準中所稱數(shù)據(jù)中心沿用了第2種定義，因為本標準聚焦數(shù)據(jù)中心業(yè)務連續(xù)性，一組建筑，乃至建筑中的IT設備系統(tǒng)，都是不存在業(yè)務的概念的，只有一個包括了人員和制度的組織實體才會存在在國家標準GB/T28827.4-2019《信息技術服務運行維護第4部分：數(shù)據(jù)中心服務要求》中，對數(shù)據(jù)中心所擁有的資源進行了進一步的層次劃分，如下圖所示。托管服務服務如圖所示，一個數(shù)據(jù)中心可能擁有上圖所示的全部或者部分層次的資源。擁有的資源不同，數(shù)據(jù)中心所能提供的服務也不同。數(shù)據(jù)中心目前并沒有一個統(tǒng)一的分類方法，不同的視角對數(shù)據(jù)中心的分類不同。1)按照數(shù)據(jù)中心資源分層服務的視角這種分類方法是基于數(shù)據(jù)中心擁有圖1數(shù)據(jù)中心的資源層次中的不同層次的資源，可以提供不同數(shù)據(jù)中心類型特點業(yè)務處理服務數(shù)據(jù)中心這類數(shù)據(jù)中心擁有應用系統(tǒng)資源，并直接或者算力服務數(shù)據(jù)中心這類數(shù)據(jù)中心擁有信息系統(tǒng)硬件資源(物理資源),并直接或者間接擁有機房基礎設施資源，提供算力服務，供業(yè)務使用以云計算技術為代表的虛擬資源提供算力為云計算數(shù)據(jù)中心。場地服務數(shù)據(jù)中心僅擁有機房基礎設施資源，為信息系統(tǒng)硬件提供穩(wěn)行環(huán)境的數(shù)據(jù)中心。場地服務數(shù)據(jù)中心只擁有機房基礎設施資源，可以為信息系統(tǒng)硬件提供行環(huán)境，俗稱服務器農(nóng)場。依據(jù)機房基礎設施可用性水平不同，按照第ii種分類方法，將這類數(shù)據(jù)中心分為A、B、C三個等級。5算力服務數(shù)據(jù)中心至少會擁有信息系統(tǒng)硬件資源（物業(yè)務系統(tǒng)部署到這些硬件設備上，這種服務通常稱為物理機服務或者裸金屬服務?，F(xiàn)在只提供物理機服務的數(shù)據(jù)中心越來越少，這種服務更多地是以一種金融服務的方式來提供——融資租賃。取而代之的是，目前更多地提供算力服務的數(shù)據(jù)中心還會擁有自己的以云計算技術為代表的虛擬資源，客戶可以將業(yè)務應用部署到虛擬機上，這種提供算力服務的數(shù)據(jù)中心，也被稱作云計算數(shù)業(yè)務處理服務數(shù)據(jù)中心，這種數(shù)據(jù)中心擁有自己的應用系統(tǒng)和數(shù)據(jù)，依托直接或者間接擁有2)數(shù)據(jù)中心基礎設施可用性等級視角A級為“容錯”系統(tǒng)，可靠性和可用性等級最B級為“冗余”系統(tǒng)，可靠性和可用性等數(shù)據(jù)中心的建設標準應根據(jù)數(shù)據(jù)中心的使用性質(zhì)、數(shù)據(jù)丟失或網(wǎng)絡中斷在經(jīng)濟或社會上造成數(shù)據(jù)中心的使用性質(zhì)主要是指數(shù)據(jù)中心所處行業(yè)或領域的重要性，最主要的衡量標準是由于基礎設施故障造成網(wǎng)絡信息中斷或重要數(shù)據(jù)丟失在經(jīng)濟和社會上造成的損失或影響程度。數(shù)據(jù)中心按照哪個等級標準進行建設，應由建設單位根據(jù)數(shù)據(jù)丟失或網(wǎng)絡中斷在經(jīng)濟或社會上造成的損失或影響程度確定，同時還應綜合考慮建設投資。等級高的數(shù)據(jù)中心可靠性提高，但投資也相應3)數(shù)據(jù)中心規(guī)模視角2013年，工業(yè)和信息化部、發(fā)展改革委、國土資源部、電監(jiān)會、能源局《關于數(shù)據(jù)中心建設數(shù)據(jù)中心類型規(guī)模超大型數(shù)據(jù)中心大于等于10000個標準機架大型數(shù)據(jù)中心3000—10000個標準機架中、小數(shù)據(jù)中心小于3000個標準機架按《數(shù)據(jù)中心項目規(guī)范》工程建設強制性國家標準4)其他分類方法6從數(shù)據(jù)中心的擁有者和服務對象的不同，往往自有數(shù)據(jù)中心往往由具有足夠?qū)嵙Φ钠髽I(yè)自主建設，該數(shù)據(jù)中心主要用于支持企業(yè)自身的業(yè)務。例如，大型銀行自建的用于處理自身銀行業(yè)務的數(shù)據(jù)中心、通信運營商自建的用于處理本運例如某大銀行會利用自己的數(shù)據(jù)中心，為鄉(xiāng)鎮(zhèn)銀行于自有數(shù)據(jù)中心資源不足，也會在自有數(shù)據(jù)中心的基礎上使用外運營商數(shù)據(jù)中心，顧名思義，就是由通信運營商建設的供其他企業(yè)使用的數(shù)據(jù)中心?；ヂ?lián)網(wǎng)時代初期，企業(yè)接入互聯(lián)網(wǎng)不便，運營商在為企業(yè)提供互聯(lián)網(wǎng)接入服務的同時，也會在其互聯(lián)網(wǎng)節(jié)點機房中為客戶提供一定數(shù)量的機位，客戶可以將其數(shù)據(jù)中心設備部署于此，方便客戶向其用戶提供基于互聯(lián)網(wǎng)的服務。雖然運營商數(shù)據(jù)中心在網(wǎng)絡接入方面具有優(yōu)勢，但是隨著企業(yè)數(shù)據(jù)中心對業(yè)務連續(xù)性要求的不斷提高，為了避免單一運營商的網(wǎng)絡接入中斷而給自己的業(yè)務造成嚴重影響，往往要求網(wǎng)絡接入要來自至少兩個不同運營商的多路由，而由于運營商之間的競爭關系，客戶使用此類數(shù)據(jù)中心時，可以選擇任意運營商網(wǎng)絡，而各運營商也很樂意提供網(wǎng)絡接入服務，數(shù)據(jù)中心政務數(shù)據(jù)中心支持政府政務服務的數(shù)據(jù)中心，如海關信息中心、人民銀行數(shù)據(jù)中心、金稅工程數(shù)據(jù)中心等學校數(shù)據(jù)中心支持院校教學的數(shù)據(jù)中心（過去常稱為網(wǎng)絡中心）醫(yī)院數(shù)據(jù)中心……企業(yè)數(shù)據(jù)（EDC）金融數(shù)據(jù)中心為銀行、保險、證券等金融行業(yè)服務的數(shù)據(jù)中心工業(yè)企業(yè)數(shù)據(jù)中心為工業(yè)企業(yè)、制造業(yè)企業(yè)等提供服務的數(shù)據(jù)中心7航空數(shù)據(jù)中心如各航司數(shù)據(jù)中心、航信數(shù)據(jù)中心等……互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）本意指提供互聯(lián)網(wǎng)服務（如提供微信服務、互聯(lián)網(wǎng)游戲服務等）的數(shù)據(jù)中心，現(xiàn)在引申為提供互聯(lián)網(wǎng)接入服務（具有ISP資質(zhì)）的外包數(shù)據(jù)中心。按照數(shù)據(jù)中心的服務領域不同，數(shù)據(jù)中心可以分為很多種類。在這種分類下，往往對應著不同的數(shù)據(jù)中心監(jiān)管部門。例如公共服務數(shù)據(jù)中心由國家機關事務管理局監(jiān)管、銀行保險數(shù)據(jù)中心隨著業(yè)務連續(xù)性要求越來越高，傳統(tǒng)的單一業(yè)務應用系統(tǒng)或者系統(tǒng)加數(shù)據(jù)備份的方式已經(jīng)不能滿足業(yè)務連續(xù)性的要求，各種不同的業(yè)務系統(tǒng)高可用方案隨之誕生。應對不同的高可用方案，承載組織業(yè)務的關鍵數(shù)據(jù)中心。組織的業(yè)務應用業(yè)務不因生產(chǎn)中心的中斷而中斷，通常會建設災中心通過特定的機制與生產(chǎn)中心保持某種程度的不能提供服務時，災備中心接替生產(chǎn)中心提供一備中心根據(jù)其與生產(chǎn)中心的空間距離不同，可分業(yè)務應用系統(tǒng)采用多活架構被部署到不同的數(shù)從本標準對數(shù)據(jù)中心的定義可以看出，數(shù)據(jù)中心是一個組織實體，這個組織實體包括硬（場或者對內(nèi)（上級組織或者其他部門）提供服務的必要基礎。一個數(shù)據(jù)中心所能提供的服務就是這個數(shù)據(jù)中心的業(yè)務。數(shù)據(jù)中心所提供的服務是為了支持這個數(shù)據(jù)中心的客戶（內(nèi)部或者外部的）業(yè)務，為了與客戶的業(yè)務進行區(qū)分，數(shù)據(jù)中心的業(yè)本標準對數(shù)據(jù)中心主要按照前面第i種方式進行分類，主要包括機房基礎設施服務（場地服從數(shù)據(jù)中心的組織范圍來看，一個數(shù)據(jù)中心要提供上述一種或多種類型的服務，需要有信息8科技管理部門來規(guī)劃整個數(shù)據(jù)中心技術架構、需要有工程管理部門來建設數(shù)據(jù)中心基礎設施、需要有軟件開發(fā)部門來開發(fā)自研信息系統(tǒng)、需要有系統(tǒng)集成部門來整合各種資源部署各類系統(tǒng)、需要有運維部門來對所有這些設施、系統(tǒng)、架構進行運營維護。從數(shù)據(jù)中心“硬”的部分看，運維階段是一個數(shù)據(jù)中心全生命周期中最長的階段也是最主要的價值創(chuàng)造階段；從數(shù)據(jù)中心“軟”的部分看，數(shù)據(jù)中心往往是指這個運維部門，這時數(shù)據(jù)中心是一個運維組織。但是也有很多數(shù)據(jù)中心除了是一個運維組織外，也包括前述一個或者多個其他的部門的職責，甚至直接就是一個具備很強IT能力的業(yè)務組織。數(shù)據(jù)中心業(yè)務與數(shù)據(jù)中心組織范圍相關，依托于同一組資源，組織范圍不同，該數(shù)據(jù)中心組織的業(yè)務也不同。一個數(shù)據(jù)中心通常會維護一個完整的服務目錄來界定本數(shù)據(jù)中心的業(yè)務范圍，并與本數(shù)據(jù)中心的需方組織(可能是外部的，也可能是上級組織或者是屬于同一上級組織的其他組織)通過簽署服務水平協(xié)議(可參考ISO20000-1、SJ/T11691)來明確具體業(yè)務。2.3數(shù)據(jù)中心業(yè)務連續(xù)性等級分級數(shù)據(jù)中心業(yè)務連續(xù)性等級自低向高依次為起始級、發(fā)展級、穩(wěn)健級、優(yōu)秀級和卓越級，并用一、二、三、四、五表示，每個等級表明數(shù)據(jù)中心業(yè)務連續(xù)性的能力水平。較高的等級涵蓋了低于其等級卓越級(五)卓越級(五)優(yōu)秀級(四)穩(wěn)健級(三)發(fā)展級(二)起始級(一)不同業(yè)務連續(xù)性等級對應數(shù)據(jù)中心擁有不同可用性級別的設施、不同的業(yè)務連續(xù)性管理水平以及a)起始級(一級):數(shù)據(jù)中心擁有開展業(yè)務活動所需的基本設施，缺乏開展業(yè)務連續(xù)性管理工作的意識。數(shù)據(jù)中心在中斷事件發(fā)生時，主要依賴數(shù)據(jù)中心現(xiàn)有的資源和措施，以及相關人b)發(fā)展級(二級):數(shù)據(jù)中心擁有開展業(yè)務活動所需的基礎設施，數(shù)據(jù)中心的業(yè)務連續(xù)性管理工作已有簡單規(guī)劃。數(shù)據(jù)中心為應對中斷事件，在機制、資源、措施及人員能力方面開展了c)穩(wěn)健級(三級):數(shù)據(jù)中心擁有開展業(yè)務活動所需的基礎設施以及冗余設施，在冗余能力范圍內(nèi)，不因一般故障而導致業(yè)務中斷。數(shù)據(jù)中心的業(yè)務連續(xù)性管理工作經(jīng)過系統(tǒng)地策劃，并9且有措施確保相關工作受控執(zhí)行。數(shù)據(jù)中心為應對中斷事件，在機制、資源、措施及人員能力方面都有較充分和有效的準備。d)優(yōu)秀級（四級數(shù)據(jù)中心擁有開展業(yè)務活動所需的容錯設施，不應因單一意外事故而導致業(yè)務中斷。數(shù)據(jù)中心的業(yè)務連續(xù)性管理工作是體系化的，并且注重通過各種措施確保相關工作得到嚴格執(zhí)行。數(shù)據(jù)中心為應對可能發(fā)生的沖擊在機制、資源、措施及人員能力方面開展了相當充分且有效的準備。此外，數(shù)據(jù)中心實現(xiàn)了績效量化監(jiān)測與評估，并予以持續(xù)改進。e)卓越級（五級數(shù)據(jù)中心擁有開展業(yè)務活動所需的容錯設施，不應因單一意外事故而導致業(yè)務中斷，對多因意外事故具有較強的容錯能力。數(shù)據(jù)中心的業(yè)務連續(xù)性管理工作是嚴格體系化的，并且強調(diào)通過全面的技術措施確保相關工作嚴格且高效執(zhí)行。數(shù)據(jù)中心為應對中斷事件在機制、資源、措施及人員能力方面開展了充分地、有效的準備。數(shù)據(jù)中心在其經(jīng)營活動中量化并監(jiān)測其績效，予以持續(xù)改進以追求更佳績效。三、等級構造與分值計算數(shù)據(jù)中心不同業(yè)務連續(xù)性等級對應數(shù)據(jù)中心擁有不同可用性級別的設施、不同的業(yè)務連續(xù)性管理水平以及維持業(yè)務連續(xù)性的可靠結果。數(shù)據(jù)中心的業(yè)務連續(xù)性等級也是由數(shù)據(jù)中心設施可用性、數(shù)據(jù)中心業(yè)務連續(xù)性管理能力和數(shù)據(jù)中心業(yè)務運行效果三個方面共同確定的。數(shù)據(jù)中心設施（基礎設施、信息系統(tǒng)硬件、軟件和數(shù)據(jù)）的可用性等級值（L)，表明了數(shù)據(jù)中心在應對威脅以及災難場景時可以使用的資源的容錯程度，是開展業(yè)務連續(xù)性管理工作的基礎，是本標準的技術部分。數(shù)據(jù)中心業(yè)務連續(xù)性管理能力值（M）表明數(shù)據(jù)中心在威脅以及災難場景來臨之前、期間以及之后開展預防、準備、響應及恢復業(yè)務的管理能力，是本標準的管理部分。由于災難場景不常見，在整個評價周期內(nèi)可能都不會出現(xiàn)，使用前述兩個方面對數(shù)據(jù)中心業(yè)務連續(xù)性等級進行認定，只能靠分析、模擬和演練進行驗證，與真實能力尚存一定差距。由于實踐是檢驗真理的唯一標準，因此本標準引入了數(shù)據(jù)中心業(yè)務運行效果作為評價的一個方面，用以對評價結果進行修正。數(shù)據(jù)中心設施可用性等級值由基礎設施可用性等級值和信息系統(tǒng)（硬件、軟件和數(shù)據(jù)等）可用性等級值加權聚合而成。本標準附錄A給出了不同類型數(shù)據(jù)中心的設施可用性等級值（L）的取值規(guī)則。數(shù)據(jù)中心業(yè)務連續(xù)性管理能力可分解為組織與領導力，業(yè)務影響分析和風險評估，業(yè)務連續(xù)性策略、解決方案和計劃，培訓與宣貫，資源建設與維護，演練、監(jiān)視、測量和改進6個方面，即6個能力域；每個能力域又由若干能力子域構成；每個能力子域又包括若干能力項。本標準附錄B給出了數(shù)據(jù)中心業(yè)務連續(xù)性管理能力構造，該能力構造與GB/T40755附錄A給出的能力構造一致；本標準附錄C給出了數(shù)據(jù)中心業(yè)務連續(xù)性管理能力的能力項指標評分規(guī)則，其中指標得分取該指標各子項得分最低值，指標得分不滿足1分的要求時，該指標得0分；本標準附錄D給出了能力域、能力子域和能力項權重建議，數(shù)據(jù)中心或評價機構也可根據(jù)自身情況確定各指標權重；數(shù)據(jù)中心業(yè)務連續(xù)性管理能力值（M）由：能力域、能力子域、能力項評分結果分層、加權、聚合而成。本標準附錄E給出了數(shù)據(jù)中心業(yè)務連續(xù)性管理能力值（M）分層、加權、聚合的計算方法。數(shù)據(jù)中心業(yè)務運行效果綜合考慮了包括中斷事件情況、應急恢復處置、業(yè)務影響程度等方面。本標準附錄F給出了數(shù)據(jù)中心業(yè)務運行效果值（N）取值規(guī)則。數(shù)據(jù)中心的業(yè)務連續(xù)性等級得分I由數(shù)據(jù)中心設施可用性等級值L、數(shù)據(jù)中心業(yè)務連續(xù)性能力指標M和數(shù)據(jù)中心業(yè)務運行效果指標N三個方面共同確定，即數(shù)據(jù)中心的業(yè)務連續(xù)性等級得分=(?0.3+?0.7）?式中：L——數(shù)據(jù)中心設施（基礎設施、信息系統(tǒng)硬件、軟件和數(shù)據(jù)）可用性等級值；M——數(shù)據(jù)中心業(yè)務連續(xù)性管理能力值。N——數(shù)據(jù)中心業(yè)務運行效果值。通過前期調(diào)研，發(fā)現(xiàn)目前行業(yè)里普遍存在重建設輕管理和重技術輕管理的現(xiàn)狀，特別是隨著新技術的逐步普及，出現(xiàn)了技術替代管理的趨勢。錢學森認為，研制導彈，三分靠技術，七分靠管理。如今“三分技術，七分管理”已經(jīng)成為包括網(wǎng)絡安全領域在內(nèi)等各個領域的一句至理名言。本標準也是按照“三分技術，七分管理”，來分配權重。以數(shù)據(jù)中心的業(yè)務連續(xù)性等級得分（I）為基礎，綜合考慮數(shù)據(jù)中心設施可用性等級（L）得分情況，確定數(shù)據(jù)中心的業(yè)務連續(xù)性等級。本標準附錄G給出了數(shù)據(jù)中心的業(yè)務連續(xù)性等級的確定規(guī)則，在數(shù)據(jù)中心的業(yè)務連續(xù)性等級得分（I）的基礎上，對每一個等級提出了對數(shù)據(jù)中心設施（基礎設施、信息系統(tǒng)硬件、軟件和數(shù)據(jù)）可用性等級值（L）的最低要求。四、評分規(guī)則本標準所指數(shù)據(jù)中心采用GB/T33136《信息技術服務數(shù)據(jù)中心服務能力成熟度模型》和GB/T32910.1《數(shù)據(jù)中心資源利用第1部分：術語》中的定義：由計算機場地（機房）、其他基礎設施、信息系統(tǒng)軟硬件、信息資源（數(shù)據(jù)）和人員以及相應的管理制度組成的實體。數(shù)據(jù)中心設施是數(shù)據(jù)中心提供給需方的基礎設施、信息系統(tǒng)硬件（物理和虛擬資源）、軟件和數(shù)據(jù)。本標準中的數(shù)據(jù)中心基礎設施等同于GB50174《數(shù)據(jù)中心設計規(guī)范》的數(shù)據(jù)中心定義，即為集中放置的電子信息設備提供運行環(huán)境的建筑場所，可以是一棟或幾棟建筑物，也可以是一棟建筑物的一部分，包括主機區(qū)、輔助區(qū)、支持區(qū)和行政管理區(qū)等。數(shù)據(jù)中心信息系統(tǒng)硬件資源由物理資源與虛擬資源組成，其中物理資源包括網(wǎng)絡資源、服務器資源與存儲資源，虛擬資源包括虛擬化網(wǎng)絡資源、虛擬化計算資源與虛擬化存儲資源等。數(shù)據(jù)中心信息系統(tǒng)軟件資源由平臺軟件（基礎軟件）與應用軟件組成，其中平臺軟件包括操作系統(tǒng)、數(shù)據(jù)庫、中間件等。數(shù)據(jù)中心設施可用性等級值由基礎設施可用性等級值和信息系統(tǒng)（硬件、軟件和數(shù)據(jù)等）可用性等級值加權聚合而成。數(shù)據(jù)中心設施可用性等級值（L）應按照如下規(guī)則分兩種情況計算獲取。第一種僅提供機房基礎設施服務或者僅提供云計算服務的數(shù)據(jù)中心，或者同時提供基礎設施服務與云計算服務的數(shù)據(jù)中心，則數(shù)據(jù)中心設施可用性等級值（L）僅由數(shù)據(jù)中心基礎設施可用性確定（L1）確定：GB50174根據(jù)數(shù)據(jù)中心基礎設施的使用性質(zhì)、數(shù)據(jù)丟失或網(wǎng)絡中斷在經(jīng)濟或社會上造成的損失或影響程度劃分為A級、B級和C級三級。數(shù)據(jù)中心基礎設施的可用性和可靠性A級最高，B級居中，C級最低。本標準采用GB/T2887和GB50174對不同級別的數(shù)據(jù)中心基礎設施制定的技術要求。數(shù)據(jù)中心基礎設施可用性等級L1的評價要點在于數(shù)據(jù)中心基礎設施所屬的等級以及是否有不同物理地址的基礎設施用于容錯。本標準根據(jù)數(shù)據(jù)中心基礎設施所屬的級別以及容錯組合，將數(shù)據(jù)中心基礎設施可用性分為1至5五個等級，各等級的可用性要求依次升高。數(shù)據(jù)中心基礎設施可用性等級L1取值見表A.1數(shù)據(jù)中心基礎設施可用性。表數(shù)據(jù)中心基礎設施可用性數(shù)據(jù)中心基礎設施可用性等級L1數(shù)據(jù)中心基礎設施可用性等級描述（依據(jù)GB/T2887或GB50174的等級劃分）1有基礎設施2C類基礎設施3B類基礎設施4A類基礎設施或2個（含）以上不同物理地址的B類基礎設施52個（含）以上不同物理地址的A類基礎設施或3個（含）以上不同物理地址的B類基礎設施應引導關鍵信息系統(tǒng)采用高可用方案分布部署在不同物理地址的基礎設施中提供基礎設施服務的數(shù)據(jù)中心，評價范圍為該數(shù)據(jù)中心所擁有或者可支配的并可用于提供基礎設施服務的基礎設施；提供云計算服務或提供業(yè)務處理服務的數(shù)據(jù)中心，評價范圍該數(shù)據(jù)中心提供云計算服務或者業(yè)務處理服務所依托的基礎設施第二種僅提供業(yè)務處理服務的數(shù)據(jù)中心，或者同時提供業(yè)務處理服務與前款一種或多種服務的數(shù)據(jù)中心，則數(shù)據(jù)中心設施可用性等級值（L）由數(shù)據(jù)中心基礎設施可用性和信息系統(tǒng)硬件、軟件和數(shù)據(jù)可用性等級值（L2）共同確定：L=0.3?L1+0.7?L2信息系統(tǒng)硬件、軟件和數(shù)據(jù)可用性等級L2分為1至5五個等級，評價要點一是是否具備基礎的生產(chǎn)信息系統(tǒng)，二是具備怎樣的冗余/容錯系統(tǒng)，三是生產(chǎn)信息系統(tǒng)和冗余/容錯信息系統(tǒng)是否運行穩(wěn)定，四是冗余/容錯信息系統(tǒng)是否真實接管過業(yè)務以及接管能力。信息系統(tǒng)硬件、軟件和數(shù)據(jù)可用性等級L2取值見表A.2信息系統(tǒng)硬件、軟件和數(shù)據(jù)可用性。1級對信息系統(tǒng)的高可用沒有要求。2級重點要求生產(chǎn)系統(tǒng)穩(wěn)定運行的基礎上在本地有專有的冷備設施隨時準備接替生產(chǎn)系統(tǒng)。3級重點要求與生產(chǎn)系統(tǒng)不在同一物理地址部署了災備系統(tǒng)，且實現(xiàn)了接管生產(chǎn)系統(tǒng)。4級重點要求采用了多活和遠程集群技術，且已經(jīng)實現(xiàn)實現(xiàn)數(shù)據(jù)零丟失、業(yè)務秒級切換。5級在4級的基礎上重點要求節(jié)能及多故障點情況下可滿負載運行。表信息系統(tǒng)硬件、軟件和數(shù)據(jù)可用性信息系統(tǒng)硬件、軟件和數(shù)據(jù)可用性等級L2信息系統(tǒng)硬件、軟件和數(shù)據(jù)可用性等級描述1具有支撐本數(shù)據(jù)中心客戶業(yè)務所需的基本的信息系統(tǒng)2具有支撐本數(shù)據(jù)中心客戶業(yè)務所需的基本的信息系統(tǒng)，具備有效的冷備設施；已經(jīng)完成生產(chǎn)系統(tǒng)建設并穩(wěn)定運行；冷備設施已完成配置并專項使用3采用具有生產(chǎn)系統(tǒng)和災備系統(tǒng)（與生產(chǎn)系統(tǒng)不在同一物理地址）的高可用技術，實現(xiàn)實時數(shù)據(jù)傳輸及完整設備支持；已經(jīng)完成生產(chǎn)系統(tǒng)和災備系統(tǒng)建設并穩(wěn)定運行；已經(jīng)實現(xiàn)生產(chǎn)環(huán)境災備切換，災備系統(tǒng)可正常接管4采用多活的高可用技術和遠程集群支持，可實現(xiàn)數(shù)據(jù)零丟失、業(yè)務秒級切換；已經(jīng)完成多活生產(chǎn)系統(tǒng)的穩(wěn)定運行；已經(jīng)實現(xiàn)節(jié)點中斷后的業(yè)務秒級切換組織與方針組織與方針數(shù)據(jù)中心業(yè)務連續(xù)性等級評價白皮書DCBCM5采用多活的高可用技術和遠程集群支持，且每個活動節(jié)點可實現(xiàn)冗零丟失、業(yè)務秒級切換，冗余設施具有節(jié)能運行模式；已經(jīng)完成多活生產(chǎn)系統(tǒng)的穩(wěn)定運行；已經(jīng)實現(xiàn)節(jié)點中斷后的業(yè)務秒級切換；多個節(jié)點中斷后仍可實現(xiàn)滿負載運行4.2管理能力要素及評分規(guī)則分析與評估計劃與實施計劃與實施培訓測量與改進測量數(shù)據(jù)中心業(yè)務連續(xù)性管理能力，結合數(shù)據(jù)中心特點，參考GB/T30146和GB/T40755等國家標準，分解為17個領域，包括：D1/F1組織環(huán)境分析、D1/F2業(yè)務連續(xù)性方針、D1/F3驅(qū)動機制、D1/F4領導務連續(xù)性策略、D3/F2預警和溝通、D3/F3業(yè)務連續(xù)性計劃、D4/F1培訓、D4/F2宣貫、D結合數(shù)據(jù)中心方向、定位，以及客戶或整體組織的業(yè)務和服務目標、法律法規(guī)和監(jiān)管要求等，開明確數(shù)據(jù)中心最高管理者在業(yè)務連續(xù)性方面的承諾和職責，確定業(yè)務連續(xù)性方針，建立決策和驅(qū)動機制(D1/F3),確保資源投入，指導和支持數(shù)據(jù)中心業(yè)務連續(xù)性的構建和運營；設置數(shù)據(jù)中心管理層作為業(yè)務連續(xù)性的領導機構信息等資源的落實，并推動各項業(yè)務連續(xù)性活動、任務，保證數(shù)據(jù)中心業(yè)務連續(xù)性效果；構建日常管理組織（D1/F5）和中斷響應組織（D1/F6）作為“平時”和“戰(zhàn)時”組織，在數(shù)據(jù)中心設備設施和資源投入的基礎上，執(zhí)行和落實各項業(yè)務連續(xù)性活動和任務。2、實施層面數(shù)據(jù)中心應開展業(yè)務影響分析和風險評估：識別數(shù)據(jù)中心的關鍵業(yè)務/服務和重要運營活動，明確恢復目標和連續(xù)性要求，確定關鍵資源和重要外包活動，并梳理業(yè)務－活動－資源－外包各層面的依賴關系，持續(xù)和穩(wěn)定地開展業(yè)務影響分析（D2/F1定期開展風險評估（D2/F2從技術設施、管理措施等方面全面識別、分析和評價數(shù)據(jù)中心業(yè)務連續(xù)性風險，并與數(shù)據(jù)中心其他領域的風險評估活動協(xié)調(diào)一致；3、數(shù)據(jù)中心應明確業(yè)務連續(xù)性策略，制定業(yè)務連續(xù)性計劃，并推動執(zhí)行和落實：基于業(yè)務影響分析和風險評估成果，制定業(yè)務連續(xù)性策略（D3/F1明確業(yè)務連續(xù)性活動和任務的計劃和執(zhí)行要求，識別重要資源配置需求，建立業(yè)務連續(xù)性日常管理和中斷響應的相關工作流程和機制，滿足數(shù)據(jù)中心業(yè)務需要，以及其他相關管理領域要求。對于數(shù)據(jù)中心設施、信息系統(tǒng)軟硬件、信息等管理對象，應建立巡檢、監(jiān)控、預警的手段和工具，對于內(nèi)外部相關方，應明確日常管理和中斷響應的溝通方式、渠道等，并保存預警和溝通記錄，落實預警和溝通（D3/F2）機制；對于各項數(shù)據(jù)中心業(yè)務活動和中斷風險，制定可操作性強的業(yè)務連續(xù)性計劃（D3/F3具備完整的應急、恢復場景，明確的資源配置計劃，演練方式和實施計劃，以及人員能力培養(yǎng)計劃，并與業(yè)務連續(xù)性策略匹配一致；在數(shù)據(jù)中心內(nèi)建立業(yè)務連續(xù)性培訓（D4/F1）和宣貫（D4/F2）機制，面向決策層、管理層及不同領域執(zhí)行層人員，開展業(yè)務連續(xù)性相關方針、職責、體系、策略、成果、計劃、活動的培訓和宣貫，持續(xù)提升業(yè)務連續(xù)性能力和意識；根據(jù)業(yè)務連續(xù)性策略和各項業(yè)務活動的連續(xù)性計劃，整體識別數(shù)據(jù)中心資源敞口，合理配置人員、財務、設施、設備、技術、信息等資源，落實數(shù)據(jù)中心設施、信息系統(tǒng)軟硬件、數(shù)據(jù)的資源建設和維護（D5/F1）要求；根據(jù)業(yè)務連續(xù)性策略和各項業(yè)務活動的連續(xù)性計劃，配合數(shù)據(jù)中心業(yè)務和其他管理領域的要求，建立演練與改進（D6/F1）機制，明確演練策略，制定演練計劃和方案，開展和控制演練，并根據(jù)演練結果進行改進。數(shù)據(jù)中心業(yè)務連續(xù)性等級評價白皮書DCBCM建立數(shù)據(jù)中心業(yè)務連續(xù)性體系的監(jiān)視與測量(D6/F2)機制，并與數(shù)據(jù)中心其他領域的監(jiān)視機制建立針對監(jiān)視評估工作中發(fā)現(xiàn)問題(數(shù)據(jù)中心業(yè)務連續(xù)性體系)的改進(D6/F3)機制，根據(jù)監(jiān)測和回顧結果，制定和開展改進任務，并與數(shù)據(jù)中心其他管理領域的改進項整合，提升數(shù)據(jù)中心業(yè)務以上17個領域作為能力子域，組成數(shù)據(jù)中心業(yè)務連續(xù)性管理能力，向上分類形成6個能力域，分17個能力子域向下細分為46個能力項。4.2.1D1/F1/P1內(nèi)部環(huán)境分析數(shù)據(jù)中心日常溝通機制(不同層面例會)、決策機制；數(shù)據(jù)中心主要業(yè)務(服務)流程或活動(服務、變更、應急、項目、財務、人力);數(shù)據(jù)中心物理環(huán)境和重要資產(chǎn)設備清單(含供貨商);數(shù)據(jù)中心供應商所提供的服務(運行中)以及交付情況。內(nèi)部環(huán)境分析的全面性；內(nèi)部環(huán)境分析時使用工具平臺的情況；內(nèi)部環(huán)境分析的方法。要求對數(shù)據(jù)中心外部相關環(huán)境作全面分析并形成記錄，外部環(huán)境包括但不限于：相關的法律法規(guī)和監(jiān)管要求；數(shù)據(jù)中心相關的政策；數(shù)據(jù)中心客戶關系；數(shù)據(jù)中心供應商和合作伙伴（維保、供電、市政、運營商等）關系；數(shù)據(jù)中心相關技術發(fā)展趨勢。外部環(huán)境分析的全面性；外部環(huán)境分析時使用工具平臺的情況；外部環(huán)境分析的方法。要求數(shù)據(jù)中心根據(jù)自身的目標和義務確定和回顧評審數(shù)據(jù)中心業(yè)務連續(xù)性方針，方針應當與數(shù)據(jù)中心的規(guī)模、性質(zhì)和復雜度相適應，并能夠反映數(shù)據(jù)中心的文化、依賴關系和運營環(huán)境。方針內(nèi)容包括但不限于：符合數(shù)據(jù)中心業(yè)務連續(xù)性發(fā)展需求的策略及所關聯(lián)的其他相關方針；實施數(shù)據(jù)中心業(yè)務連續(xù)性的要求；數(shù)據(jù)中心業(yè)務連續(xù)性管理相關的資金承諾；保持和運營數(shù)據(jù)中心業(yè)務連續(xù)性的承諾。方針內(nèi)容的全面性；方針與數(shù)據(jù)中心各個方面目標的匹配度；方針評審和回顧的機制及相關記錄。本能力項評分取2個能力子項得分的最低值。要求數(shù)據(jù)中心制定方針傳達和溝通的機制并形成溝通的記錄，包括但不限于：數(shù)據(jù)中心方針傳達范圍、形式與頻率；數(shù)據(jù)中心方針溝通與意見反饋形式；提高方針在數(shù)據(jù)中心認可程度的方式。方針溝通和傳達的機制；方針在數(shù)據(jù)中心內(nèi)溝通和傳達的記錄；數(shù)據(jù)中心內(nèi)相關人員對方針的理解和認可。要求最高管理者理解數(shù)據(jù)中心業(yè)務連續(xù)性管理的重要性并形成記錄，包括但不限于：對數(shù)據(jù)中心業(yè)務連續(xù)性管理的概念、價值、工作目標和內(nèi)容有深刻、全面地理解；對數(shù)據(jù)中心中斷事件可能造成的影響有深刻、全面的理解；在本數(shù)據(jù)中心的業(yè)務連續(xù)性管理建設有完整的計劃和持續(xù)的投入；將業(yè)務連續(xù)性管理目標分解并納入相關部門的績效考核體系。最高管理者對數(shù)據(jù)中心業(yè)務連續(xù)性管理重要性的理解程度；最高管理者對數(shù)據(jù)中心中斷事件可能造成的影響的理解程度；數(shù)據(jù)中心在業(yè)務連續(xù)性管理建設上的計劃及投入情況。業(yè)務連續(xù)性管理目標分解至相關部門績效考核的情況。要求最高管理者能夠支持數(shù)據(jù)中心業(yè)務連續(xù)性管理工作，包括但不限于：關注和支持數(shù)據(jù)中心業(yè)務連續(xù)性管理的工作；參與數(shù)據(jù)中心業(yè)務連續(xù)性管理的關鍵活動；給予必要的財務及人力資源投入；設立有專職的業(yè)務連續(xù)性管理的相關崗位。最高管理者對數(shù)據(jù)中心業(yè)務連續(xù)性管理工作的參與度；最高管理者對數(shù)據(jù)中心業(yè)務連續(xù)性管理工作的資源投入情況；數(shù)據(jù)中心內(nèi)業(yè)務連續(xù)性管理相關的崗位和人員配備情況。要求結合數(shù)據(jù)中心內(nèi)部與外部環(huán)境因素制定業(yè)務連續(xù)性管理的目標，包括但不限于：依據(jù)法律法規(guī)和監(jiān)管、客戶或業(yè)務部門的業(yè)務連續(xù)性需求，制定數(shù)據(jù)中心業(yè)務連續(xù)性建設目標和績效指標，并將業(yè)務連續(xù)性管理目標在數(shù)據(jù)中心內(nèi)部分解至相關部門（例如：納入各部門的績效考核體系定期對數(shù)據(jù)中心業(yè)務連續(xù)性建設目標和績效指標進行回顧。業(yè)務連續(xù)性目標與法律法規(guī)和監(jiān)管、客戶或業(yè)務部門的業(yè)務連續(xù)性需求的匹配程度；業(yè)務連續(xù)性管理目標在數(shù)據(jù)中心內(nèi)部的分解情況；定期對數(shù)據(jù)中心業(yè)務連續(xù)性建設目標和績效指標進行回顧的記錄。要求對數(shù)據(jù)中心管理層設置專門的業(yè)務連續(xù)性決策機構，有明確的職責目標，有相應的考核和獎懲機制，領導機構設置包括但不限于：數(shù)據(jù)中心管理層應設置業(yè)務連續(xù)性決策機構，并有明確的職責和相應的決策機制；應設置數(shù)據(jù)中心管理層中的一員負責業(yè)務連續(xù)性；數(shù)據(jù)中心管理層應確定業(yè)務連續(xù)性相關角色職責，并落實到相關崗位；數(shù)據(jù)中心管理層應確定匹配的業(yè)務連續(xù)性監(jiān)督管理機制；業(yè)務連續(xù)性領導機構應有對應的考核和獎懲機制。數(shù)據(jù)中心管理層設置的業(yè)務連續(xù)性決策機構的職責、目標和工作機制；數(shù)據(jù)中心管理層中負責數(shù)據(jù)中心業(yè)務連續(xù)性的人員；數(shù)據(jù)中心業(yè)務連續(xù)性管理相關角色和職責，并落實崗位；數(shù)據(jù)中心管理層對業(yè)務連續(xù)性領導機構工作的監(jiān)督管理機制和考核獎懲機制。要求對數(shù)據(jù)中心有明確的、系統(tǒng)性的履職記錄，與數(shù)據(jù)中心各領域管理目標相一致，對履職情況有考核有應用，領導機構履職包括但不限于：業(yè)務連續(xù)性領導機構按相關制度、組織架構進行履職，并有明確的、系統(tǒng)性的記錄；數(shù)據(jù)中心業(yè)務連續(xù)性工作中，領導機構的職責落實情況，以及與數(shù)據(jù)中心其他各管理領域的配合情況；數(shù)據(jù)中心管理層對業(yè)務連續(xù)性領導機構工作有效性的考核和應用情況。業(yè)務連續(xù)性領導機構在數(shù)據(jù)中心業(yè)務連續(xù)性工作中，履職記錄的系統(tǒng)性和完整性；數(shù)據(jù)中心管理層、其他各管理領域?qū)I(yè)務連續(xù)性領導機構工作的評價、考核和應用記錄。本能力項評分不得高于D1/F4/P1領導機構設置的評分。要求對數(shù)據(jù)中心有明確的業(yè)務連續(xù)性日常管理組織，且其他各主要部門均設置了業(yè)務連續(xù)性管理的相關人員，日常管理組織設置包括但不限于：數(shù)據(jù)中心業(yè)務連續(xù)性日常管理組織結構和角色設置；數(shù)據(jù)中心業(yè)務連續(xù)性日常管理組織的職責權限和工作流程、機制，其中職責應包含數(shù)據(jù)中心整體應急演練的組織和評價回顧；數(shù)據(jù)中心業(yè)務連續(xù)性日常管理組織覆蓋數(shù)據(jù)中心主要部門。數(shù)據(jù)中心業(yè)務連續(xù)性日常管理組織結構和角色設置的明確性、文件化和完整性；數(shù)據(jù)中心業(yè)務連續(xù)性日常管理組織職責權限和工作流程、機制的明確性、文件化和完整性；各主要部門，均應設置數(shù)據(jù)中心業(yè)務連續(xù)性管理的人員，并納入日常管理組織；數(shù)據(jù)中心應急演練的職責落實。要求對數(shù)據(jù)中心有明確的、系統(tǒng)性的履職記錄，與數(shù)據(jù)中心各領域管理目標相一致，對履職情況有考核有應用，日常管理組織履職包括但不限于：業(yè)務連續(xù)性日常管理組織按相關制度、組織架構進行履職，并有明確的、系統(tǒng)性的記錄；數(shù)據(jù)中心業(yè)務連續(xù)性工作中，日常管理組織的職責落實情況，以及與數(shù)據(jù)中心其他各管理領域的配合情況；數(shù)據(jù)中心管理層、業(yè)務連續(xù)性領導機構，對業(yè)務連續(xù)性日常管理組織工作有效性的考核和應用情況。業(yè)務連續(xù)性日常管理組織在數(shù)據(jù)中心業(yè)務連續(xù)性工作中，履職記錄的系統(tǒng)性和完整性；數(shù)據(jù)中心管理層、業(yè)務連續(xù)性領導機構對業(yè)務連續(xù)性日常管理組織工作的評價、考核和應用記錄；數(shù)據(jù)中心業(yè)務連續(xù)性日常管理組織定期組織的應急演練活動的計劃、方案和記錄；業(yè)務連續(xù)性日常管理組織地主動回顧和改進；日常管理組織履職和數(shù)據(jù)中心各領域管理目標相一致。本能力項評分不得高于D1/F5/P1日常管理組織設置的評分。要求對數(shù)據(jù)中心有業(yè)務連續(xù)性中斷響應組織架構的定義，且已指定確定的人員和相應的職責，且人員職責覆蓋中斷場景時數(shù)據(jù)中心各領域的管理要求，中斷響應組織設置包括但不限于：數(shù)據(jù)中心有業(yè)務連續(xù)性中斷響應組織結構和角色設置；數(shù)據(jù)中心有業(yè)務連續(xù)性中斷響應組織應有明確對應的崗位和人員；數(shù)據(jù)中心有業(yè)務連續(xù)性中斷響應組織的職責權限和工作流程、機制；數(shù)據(jù)中心有業(yè)務連續(xù)性中斷響應組織應具備明確的分工，并覆蓋中斷場景。數(shù)據(jù)中心業(yè)務連續(xù)性中斷響應組織結構和角色設置的明確性、文件化和完整性；數(shù)據(jù)中心業(yè)務連續(xù)性中斷響應組織職責權限和工作流程、機制的明確性、文件化和完整性；中斷響應組織設置已指定確定的人員和相應的職責；中斷響應組織設置的人員職責，覆蓋中斷場景時數(shù)據(jù)中心各領域的管理要求；中斷響應組織設置能夠與數(shù)據(jù)中心業(yè)務連續(xù)性計劃匹配。要求對數(shù)據(jù)中心有定期進行中斷演練活動，且中斷演練活動以實戰(zhàn)演練和模擬演練為主，中斷響應組織履職包括但不限于：應急事件發(fā)生后，中斷響應組織的到位和履職情況，并有明確的、系統(tǒng)性的記錄；按照日常管理組織的演練要求，中斷響應組織參與演練的到位和履職情況，并有明確的、系統(tǒng)性的記錄；數(shù)據(jù)中心管理層、業(yè)務連續(xù)性領導機構，對業(yè)務連續(xù)性中斷響應組織工作有效性的考核和應用情況。業(yè)務連續(xù)性中斷響應組織在數(shù)據(jù)中心應急處置過程中相關記錄的系統(tǒng)性和完整性；業(yè)務連續(xù)性中斷響應組織在數(shù)據(jù)中心定期中斷演練記錄的系統(tǒng)性和完整性；中斷響應組織相關人員有明確的職責體系，部分關鍵場景有預先準備的技術措施和可用資源并且進行回顧和改進，證明其完整履職的能力；數(shù)據(jù)中心管理層、業(yè)務連續(xù)性領導機構對業(yè)務連續(xù)性中斷響應組織工作的評價、考核和應用記錄；業(yè)務連續(xù)性中斷響應組織的主動回顧和改進。本能力項的評分不得高于D1/F6/P1中斷響應組織設置的評分。要求數(shù)據(jù)中心識別重要業(yè)務和優(yōu)先運營活動。包括但不限于：數(shù)據(jù)中心業(yè)務等級劃分標準；當前數(shù)據(jù)中心的業(yè)務等級情況列表；重要業(yè)務的優(yōu)先順序和時間范圍；數(shù)據(jù)中心運營活動等級劃分標準；當前數(shù)據(jù)中心重要運營活動清單；重要運營活動保障方案；重要業(yè)務與重要運營活動的關系識別方法；優(yōu)先活動的依賴關系。識別重要業(yè)務和優(yōu)先運營活動的全面性；識別重要業(yè)務和優(yōu)先運營活動所采用的方法；識別重要業(yè)務和優(yōu)先運營活動時所使用工具平臺的情況；優(yōu)先活動識別工作的持續(xù)性；與其他能力項的匹配性。本能力項評分取2個能力子項得分的最低值。在識別出優(yōu)先活動后，應該確定數(shù)據(jù)中心業(yè)務的恢復目標和持續(xù)要求，包括但不限于：數(shù)據(jù)中心業(yè)務連續(xù)性關鍵指標清單，如RTO（恢復時間目標）、RPO（恢復點目標）等；SLA協(xié)議的業(yè)務連續(xù)性具體要求指標；數(shù)據(jù)中心業(yè)務恢復的范圍；數(shù)據(jù)中心業(yè)務恢復的順序；數(shù)據(jù)中心業(yè)務恢復的處理能力要求?；謴湍繕撕统掷m(xù)要求的合理性、全面性；恢復目標和持續(xù)要求與數(shù)據(jù)中心其他管理域目標的一致性。為保證數(shù)據(jù)中心業(yè)務連續(xù)性，需要識別出影響業(yè)務連續(xù)性的關鍵資源，包括但不限于：影響數(shù)據(jù)中心業(yè)務連續(xù)性的關鍵人員及與其相關的培訓、教育等資源；數(shù)據(jù)中心持續(xù)運行的關鍵設施，包括適當?shù)墓ぷ鞯攸c和基礎設施；信息通信技術（ICT）系統(tǒng)，包括支持有效和高效方案管理的應用程序；對所有形式的成文信息的管理和控制；財務和資金。識別關鍵資源的準確性、全面性；識別關鍵資源所采用的方法；識別關鍵資源所使用工具平臺的情況；對關鍵資源管理是否流程化、制度化。本能力項評分取2個能力子項得分的最低值。因為數(shù)據(jù)中心的運營，涉及數(shù)十個以上的專業(yè)，單靠運營單位自身力量很難達到業(yè)務連續(xù)性的要求，所以數(shù)據(jù)中心需識別重要業(yè)務所依賴的關鍵外包活動。包括但不限于：數(shù)據(jù)中心業(yè)務外包的管理制度；數(shù)據(jù)中心外包單位的清單；數(shù)據(jù)中心重要外包活動相關的服務和設備清單；數(shù)據(jù)中心對外包商評價的機制；數(shù)據(jù)中心依賴外包的業(yè)務范圍；數(shù)據(jù)中心重要業(yè)務對外包的依賴程度。識別重要外包活動的合理性、全面性；識別重要外包活動所采用的方法；識別重要外包活動所使用的工具平臺情況；外包管理制度完整性；外包制度是否有效執(zhí)行。本能力項評分取2個能力子項得分的最低值。業(yè)務影響分析的成果為數(shù)據(jù)中心業(yè)務連續(xù)性策略的制訂提供依據(jù)，因此需要得到最高管理者的確認，本能力項評價包括但不限于：參與決策的管理者層級；管理者確認的流程、制度；管理者參與確認的記錄文件；管理者確認權限列表。對業(yè)務影響分析成果進行審議的方式和機制；最高管理者審定業(yè)務影響分析成果的記錄。要求對數(shù)據(jù)中心業(yè)務連續(xù)性面臨的風險進行識別并形成記錄，要求包括但不限于：風險識別的維度和風險因素，包括數(shù)據(jù)中心面臨的外部威脅以及數(shù)據(jù)中心內(nèi)部所存在的脆弱性。數(shù)據(jù)中心外部威脅需考慮自然災害（電力基礎設施事故；大面積停電事故；水利基礎設施事故；通訊基礎設施事故；危險化學品爆炸、泄露、火災；煙花爆竹生產(chǎn)、運輸、儲存、銷售場所火災或者爆炸以及燃放火災或者爆炸；周邊設施火災；水污染事件；空氣污染事件等）、公共衛(wèi)生事件（傳染病、食品安全等）、社會安全事件（群體性事件、恐怖襲擊、民族和宗教事件、涉外突發(fā)事件、網(wǎng)絡安全與信息安全事件等）、相關方關系（供電、供水、應急供油等基礎資源供應組織和關鍵供應商；屬地環(huán)保、疾控、勞動、消防、治安、聯(lián)防等政府機構；上級單位、監(jiān)管機構、主要客戶等業(yè)務相關單位）等方面；數(shù)據(jù)中心內(nèi)部脆弱性包括安全威脅、硬件、網(wǎng)絡或通信故障、災難性的應用系統(tǒng)錯誤等；風險場景的構建，包括單個因素或多個因素的場景。風險識別的頻率（定期、不定期）及識別周期的相關規(guī)定；風險識別的全面性；風險識別的方法；風險識別時使用工具平臺的情況；數(shù)據(jù)中心業(yè)務連續(xù)性風險識別活動與數(shù)據(jù)中心其他風險識別活動的一致性。本能力項評分取2個能力子項得分的最低值。要求對已識別出的影響數(shù)據(jù)中心業(yè)務連續(xù)性風險因素進行分析并形成記錄，要求包括但不限于：風險分析目標，如理解數(shù)據(jù)中心資產(chǎn)相關現(xiàn)狀、為數(shù)據(jù)中心業(yè)務連續(xù)性策略提供依據(jù)等；風險分析范圍，如數(shù)據(jù)中心業(yè)務范圍等；風險的類型，如自然災害、人為事故等；風險的影響程序，如重大影響、較大影響、一般影響、較低影響、無影響；風險發(fā)生的可能性，如極有可能、較大可能、一般可能、較低可能、基本不可能。風險分析的機制，以及風險分析結果的合理性；與數(shù)據(jù)中心其他領域的風險分析活動的一致性；風險分析時使用工具平臺的情況；風險分析開展的頻率；風險分析的方法。本能力項評分取2個能力子項得分的最低值。要求對已識別出的影響數(shù)據(jù)中心業(yè)務連續(xù)性的風險因素和風險分析的結果進行評價并形成記錄，要求包括但不限于：風險評價的定量分析模型的建立（風險發(fā)生概率*風險影響風險等級，如很高、高、中、低、很低；風險應對策略（接受、減輕、回避、轉(zhuǎn)嫁、冗余備份設計等風險評價報告的內(nèi)容（每類風險所對應的策略及分析風險評價的方法（依靠人員經(jīng)驗、檢查列表、頭腦風暴、信息系統(tǒng)等風險評價的定量和定性分析結果的評估。風險評價的機制，以及風險評價結果的合理性；與數(shù)據(jù)中心其他領域的風險評價活動的一致性；風險評價時使用工具平臺的情況；風險評價的方法。本能力項評分取2個能力子項得分的最低值。要求數(shù)據(jù)中心基于業(yè)務影響分析和風險分析的結果，并考慮成本因素，綜合選擇適宜的業(yè)務連續(xù)性策略以：保護優(yōu)先活動；穩(wěn)定、持續(xù)、重啟和恢復優(yōu)先活動；緩解、響應及控制影響。數(shù)據(jù)中心業(yè)務連續(xù)性策略的選擇需考慮以下因素：使數(shù)據(jù)中心中的優(yōu)先業(yè)務能夠在業(yè)務影響分析中確定的時間范圍內(nèi)以約定的能力重續(xù)；與數(shù)據(jù)中心可以承擔或不可承擔的風險的數(shù)量和類型相一致；策略應可管理且有合理的成本效益。業(yè)務連續(xù)性策略的可行性；實施業(yè)務連續(xù)性策略的條件。數(shù)據(jù)中心的業(yè)務連續(xù)性策略需有效實施，能夠滿足數(shù)據(jù)中心業(yè)務的持續(xù)要求。業(yè)務連續(xù)性策略滿足數(shù)據(jù)中心業(yè)務的程度。風險監(jiān)控對象包括但不限于：外部環(huán)境，如自然災害、社會事件等；組織人員，如人員安全和健康、人為事件等；物理環(huán)境，如機房場地安全、防電磁輻射、防靜電、防火等；基礎設施，如供配電、不間斷電源、新風、制冷、漏水檢測、地線、避雷系統(tǒng)等；網(wǎng)絡，如防火墻、入侵檢測、安全審計等；系統(tǒng)，如服務器操作系統(tǒng)、數(shù)據(jù)庫、中間件、應用軟件等；數(shù)據(jù)，如數(shù)據(jù)存儲、數(shù)據(jù)備份等；信息安全，如防病毒、用戶身份認證、安全日志審計跟蹤等；供應商和合作伙伴，供應商服務中斷、外包過度集中等。風險監(jiān)控對象覆蓋范圍的全面性；風險監(jiān)控時使用工具平臺的情況；風險監(jiān)控與數(shù)據(jù)中心其他領域監(jiān)控的集成性和一致性；風險監(jiān)控與溝通和流程工具平臺的集成性。要求數(shù)據(jù)中心通過建立高效的監(jiān)測機制，實現(xiàn)對風險及時、準確、全方位地管理，為業(yè)務連續(xù)性事件的預警、處置以及事后恢復等階段的工作做好準備。監(jiān)測預警涉及的關鍵活動，包括：確定風險監(jiān)測對象，建立監(jiān)控策略，實施監(jiān)測預警工具和平臺；監(jiān)測與預警的方法，包括但不限于被監(jiān)控對象和指標的設定方法、被監(jiān)控對象的指標數(shù)據(jù)采集方法、風險檢測模型或方法、預警提醒方法等；建立和維護閾值和其他標準，以確定事態(tài)類型（信息、警告或異常建立和維護各類型事態(tài)的處置策略和方法，以確保適當?shù)墓芾?；實施監(jiān)測預警，并對出現(xiàn)的風險進行處置，可基于風險監(jiān)測對象的特點，采用自動化方式。風險監(jiān)測與預警的機制和方法的有效性；風險監(jiān)測和預警工具平臺的主用和備用情況；風險監(jiān)測和預警時使用工具平臺的情況，以及工具平臺與數(shù)據(jù)中心其他管理領域的工具平臺的集成度。要求數(shù)據(jù)中心在處理中斷時，內(nèi)部保持不同層級和部門之間有效的溝通，考慮因素包括但不限于：溝通時機，如故障告警、預案發(fā)布、中斷事件前后等；溝通事項，如潛在威脅、處置措施、事件影響或損失等；溝通對象，如數(shù)據(jù)中心的專業(yè)技術人員、相關的事件處置人員、負責對外溝通的人員等；溝通內(nèi)容，如什么時間、什么地點、發(fā)生了什么、誰在現(xiàn)場、影響范圍、損失程度、已經(jīng)采取措施、正在做什么、需要什么配合等；溝通渠道和方式，如報告/報表、培訓、會議、公告、宣傳冊、郵件等；溝通原則，包括承擔責任、真實性、及時性、系統(tǒng)性、規(guī)范性等；溝通記錄的完整性、準確性和及時性；溝通工具，如電話、OA、電子郵件、釘釘、企業(yè)微信等。內(nèi)部溝通的機制（包括日常管理溝通和中斷響應溝通內(nèi)部溝通相關記錄的完整性和可追溯性；內(nèi)部溝通時使用工具平臺的情況（包括主備平臺的可用性）。本能力項評分取2個能力子項得分的最低值。數(shù)據(jù)中心在發(fā)生業(yè)務連續(xù)性事件時需保持對外通信聯(lián)絡，以及和政府、媒體、運營商等公共關系協(xié)調(diào)，考慮因素包括但不限于：溝通時機，如故障告警、中斷發(fā)生、中斷處置過程中和結束后等；溝通事項，如事件影響范圍和程度、采取的應對措施及其效果、事后處理措施等；溝通對象，如媒體、監(jiān)管機構、用戶、外包方、合作伙伴等；溝通內(nèi)容，如什么時間、什么地點、發(fā)生了什么、誰在現(xiàn)場、影響范圍、損失程度、已經(jīng)采取措施、正在做什么、需要什么配合等；溝通渠道和方式：發(fā)布會、報告、網(wǎng)站、電話熱線、手機短信等；溝通原則，包括統(tǒng)一性、真實性、及時性、連續(xù)性等；溝通記錄的完整性、準確性和及時性；危機溝通計劃及其演練要求。外部溝通的機制（包括日常管理溝通和中斷響應溝通外部溝通相關記錄的完整性和可追溯性。要求數(shù)據(jù)中心的業(yè)務連續(xù)性計劃能夠覆蓋全部的重要業(yè)務活動和中斷場景。業(yè)務連續(xù)性計劃對數(shù)據(jù)中心重要業(yè)務活動和中斷場景的覆蓋度。要求數(shù)據(jù)中心的業(yè)務連續(xù)性計劃與數(shù)據(jù)中心確定的業(yè)務連續(xù)性策略保持一致，盡可能減少影響。業(yè)務連續(xù)性計劃與策略的一致性包括但不限于：業(yè)務連續(xù)性計劃覆蓋業(yè)務影響分析結果中的數(shù)據(jù)中心各項業(yè)務和活動；業(yè)務連續(xù)性計劃覆蓋數(shù)據(jù)中心需要處置的全部風險；業(yè)務連續(xù)性計劃與業(yè)務連續(xù)性策略和恢復策略保持一致。業(yè)務連續(xù)性計劃與業(yè)務影響分析、風險評估、業(yè)務恢復策略等工作成果的一致性；確定業(yè)務連續(xù)性計劃與業(yè)務連續(xù)性策略一致性的方法。要求數(shù)據(jù)中心業(yè)務連續(xù)性計劃的內(nèi)容與要素完整。數(shù)據(jù)中心業(yè)務連續(xù)性計劃包括但不限于：目的和范圍；數(shù)據(jù)中心優(yōu)先活動的恢復目標和處置方法；數(shù)據(jù)中心業(yè)務連續(xù)性計劃的啟動和停止條件；數(shù)據(jù)中心相應的角色、職責和權限，并對應到崗位人員；工作和處置程序，包括事件應急、溝通程序、安全健康、業(yè)務恢復等；內(nèi)外部依賴關系和相互作用；資源要求。數(shù)據(jù)中心業(yè)務連續(xù)性計劃內(nèi)容的完備性；確定數(shù)據(jù)中心業(yè)務連續(xù)性計劃內(nèi)容完備的方法（通過評審或演練的方式）。要求數(shù)據(jù)中心發(fā)生中斷事件后，使用的計劃和程序由中斷響應組織提供，以控制對中斷的響應，實現(xiàn)快速重續(xù)活動。具體要求包括但不限于：中斷響應組織有明確職責分工，負責應對中斷的處置活動；中斷處置方法和程序，可由數(shù)據(jù)中心中斷響應組織人員按計劃和步驟操作，即可恢復數(shù)據(jù)中心業(yè)務，無需技術領域管理員參與；中斷響應和處置完成后，災后重建計劃可由數(shù)據(jù)中心相關技術領域完成；中斷響應組織中有明確的處置職責；中斷響應方法和程序的可操作性；中斷后的實際處置是由中斷響應組織中的相關角色完成。要求數(shù)據(jù)中心有明確的業(yè)務連續(xù)性培訓目標，通過培訓實施推動相關能力、意識提升，并定期回顧培訓效果。具體要求包括但不限于：數(shù)據(jù)中心有明確的、可度量、可落實的業(yè)務連續(xù)性培訓目標，并與業(yè)務連續(xù)性管理活動要求定期回顧培訓目標的達成情況?？啥攘亢涂蓪嵤┑臉I(yè)務連續(xù)性培訓目標；數(shù)據(jù)中心培訓工作和業(yè)務連續(xù)性培訓的關聯(lián)性；對培訓目標進行回顧和評審的機制以及相應的評審記錄。要求數(shù)據(jù)中心對相關人員有明確的業(yè)務連續(xù)性培訓要求，并定期回顧培訓效果。具體要求包括但不限于：應基于數(shù)據(jù)中心內(nèi)外部人員工作職責和崗位，明確業(yè)務連續(xù)性培訓要求，分析確定不同類別人員的業(yè)務連續(xù)性培訓計劃和培訓內(nèi)容（業(yè)務連續(xù)性管理人員應參與方法論等培訓，技術領域人員應參與演練等培訓實施業(yè)務連續(xù)性培訓，并跟蹤數(shù)據(jù)中心人員參與培訓的情況；定期回顧和評審培訓效果，對培訓對象和培訓內(nèi)容進行調(diào)整和優(yōu)化。培訓對象的分類方式，以及對應的培訓計劃和內(nèi)容；培訓執(zhí)行的有效性；培訓內(nèi)容和對象的回顧評審并持續(xù)優(yōu)化。要求數(shù)據(jù)中心業(yè)務連續(xù)性管理融入組織文化，對組織人員進行日常宣貫活動，宣貫內(nèi)容具體包括但不限于：數(shù)據(jù)中心業(yè)務連續(xù)性方針、目標，以及與數(shù)據(jù)中心其他領域目標的關聯(lián)；本崗位在數(shù)據(jù)中心業(yè)務連續(xù)性中的具體職責；數(shù)據(jù)中心業(yè)務連續(xù)性意識和持續(xù)改進意識。業(yè)務連續(xù)性宣貫內(nèi)容的完整性，以及與數(shù)據(jù)中心組織文化的匹配性；員工對業(yè)務連續(xù)性管理工作的認知程度。要求數(shù)據(jù)中心業(yè)務連續(xù)性宣貫的內(nèi)容，通過有效的實施形式，把業(yè)務連續(xù)性融入到組織文化中，宣貫形式包括但不限于：與數(shù)據(jù)中心相關員工就業(yè)務連續(xù)性體系建立和運作中出現(xiàn)的問題進行溝通協(xié)商；組織的內(nèi)部宣傳及刊物（包括新員工入職培訓）中包括業(yè)務連續(xù)性部分；體現(xiàn)在數(shù)據(jù)中心組織文化建設工作中；向最高管理者作業(yè)務連續(xù)性管理的工作簡報；定期和供應商溝通，以確保他們理解組織的業(yè)務連續(xù)性要求，并證明他們的能力能夠滿足約定的連續(xù)性能力；體現(xiàn)在數(shù)據(jù)中心日常能力意識提升活動中，數(shù)據(jù)中心內(nèi)員工對業(yè)務連續(xù)性方針的認知認可度。業(yè)務連續(xù)性宣貫形式的多樣性；員工對業(yè)務連續(xù)性管理工作的認知程度。要求數(shù)據(jù)中心建立資源敞口識別機制，持續(xù)完備地識別數(shù)據(jù)中心在業(yè)務中斷時需要但又缺乏的資源。數(shù)據(jù)中心資源敞口識別的機制；資源敞口識別的及時性和完備性。要求對數(shù)據(jù)中心內(nèi)部資源規(guī)劃做全面分析并形成記錄，資源規(guī)劃包括但不限于：數(shù)據(jù)中心資源規(guī)劃的分析、生成和批準；數(shù)據(jù)中心資源規(guī)劃的操作及執(zhí)行；數(shù)據(jù)中心資源規(guī)劃的評審回顧機制。資源規(guī)劃生成和批準的記錄；資源規(guī)劃的執(zhí)行記錄；資源規(guī)劃回顧和改進的記錄。要求對數(shù)據(jù)中心內(nèi)部資源覆蓋度進行全面分析并形成記錄，資源覆蓋度包括但不限于：數(shù)據(jù)中心資源涉及數(shù)據(jù)中心人員、信息和數(shù)據(jù)、數(shù)據(jù)中心機房及工作場所、設備設施及易耗品、通信和信息系統(tǒng)、供應商服務、財務資源等；數(shù)據(jù)中心方資源獲取方案和工作流程；數(shù)據(jù)中心方資源獲取的備用方案和工作流程。資源分析的覆蓋度；資源獲取方案及備用方案的可行性；資源獲取工作流程的記錄。要求對數(shù)據(jù)中心內(nèi)部資源更新與維護全面分析并形成記錄，資源更新與維護包括但不限于：數(shù)據(jù)中心資源定期更新與維護機制，以及對應的工作流程；數(shù)據(jù)中心主用資源的監(jiān)控、運行，備用資源的測試維護，以及對于不可用資源的處置，以保證資源可用性；數(shù)據(jù)中心資源更新與維護與業(yè)務資源的變更一致性和關聯(lián)性。數(shù)據(jù)中心資源更新維護機制；數(shù)據(jù)中心各類主備資源使用情況及可用性水平；數(shù)據(jù)中心資源更新維護，與業(yè)務資源的變更關系；數(shù)據(jù)中心資源更新維護與業(yè)務連續(xù)性策略和業(yè)務連續(xù)性計劃的一致性。數(shù)據(jù)中心的業(yè)務連續(xù)性程序和安排只有經(jīng)過演練并保持最新才被認為是可靠的，演練可以培養(yǎng)團隊精神、能力、信心和知識。演練前需對制訂充分的演練計劃，確定演練的范圍、策略和方案，并制定有效的風險控制策略：確定明確的演練目標，制訂充分的演練計劃；演練范圍覆蓋運營活動的恢復策略、業(yè)務連續(xù)性計劃、業(yè)務連續(xù)性資源及應急流程；演練策略和方案包括演練時間、地點、人員、目標、范圍、策略和風險控制等基本內(nèi)容；演練的風險控制策略涵蓋技術、業(yè)務、管理等各維度。演練計劃充分性、目標明確性、覆蓋范圍完整性；制定演練計劃時使用工具平臺的情況；演練策略和方案的完整性；各系統(tǒng)應急演練活動的計劃、方案；演練的形式（桌面演練、模擬演練、實戰(zhàn)演練實戰(zhàn)演練、模擬演練的占比；演練風險控制策略的有效性。本能力項評分取4個能力子項得分的最低值。要求對數(shù)據(jù)中心演練數(shù)量與頻率作全面分析并形成記錄，演練數(shù)量與頻率包括但不限于：數(shù)據(jù)中心演練數(shù)量與頻率；數(shù)據(jù)中心演練形式。演練數(shù)量與頻率；演練對于驗證相關機制、資源和文件的有效性；各系統(tǒng)應急演練活動計劃、方案匹配的相關記錄；演練的形式（桌面演練、模擬演練、實戰(zhàn)演練演練對促進相關人員掌握既定應急流程并提升應急能力的效果。要求對數(shù)據(jù)中心對演練過程進行嚴格、有效地控制，以保證演練過程的順利完成，達到預期的演練目標。演練過程控制的要求包括：數(shù)據(jù)中心演練過程控制措施及效果；數(shù)據(jù)中心演練過程保障措施及效果。演練過程控制情況和保障情況；演練時使用工具平臺的情況；演練目標的完成情況。本能力項評分取2個能力子項得分的最低值。要求數(shù)據(jù)中心在演練結束后進行總結和分析，考慮演練目的和目標的達成情況。演練總結的要求包括：演練總結報告應包括改進建議及建議執(zhí)行的時間表；定期對演練活動進行階段性總結和回顧；識別演練計劃、演練方案、業(yè)務連續(xù)性計劃的改進機會。對演練進行總結的相關記錄；演練總結報告內(nèi)容的完整性；基于演練總結識別出的相關改進機會。要求數(shù)據(jù)中心建立業(yè)務連續(xù)性管理的監(jiān)視機制，能夠為量化評估、改進提供所需的信息。監(jiān)視的要求包括：確定監(jiān)視的方式，包括：監(jiān)視的內(nèi)容；如何、何時和由誰進行監(jiān)視；設定績效指標，包括定性的和定量的；記錄數(shù)據(jù)和結果以促進后續(xù)的糾正措施分析。審查相關的歷史證據(jù)；監(jiān)視數(shù)據(jù)中心業(yè)務連續(xù)性方針和目標的實現(xiàn)程度；監(jiān)視數(shù)據(jù)中心業(yè)務連續(xù)性管理適用的法律法規(guī)；監(jiān)視其他不符合績效指標的證據(jù)。業(yè)務連續(xù)性管理的監(jiān)視機制；業(yè)務連續(xù)性管理的監(jiān)視內(nèi)容的全面性；業(yè)務連續(xù)性管理的監(jiān)視機制與數(shù)據(jù)中心其他領域的監(jiān)視機制的一致性；業(yè)務連續(xù)性管理監(jiān)視時使用工具平臺的情況。要求數(shù)據(jù)中心建立業(yè)務連續(xù)性管理體系的評估機制，以確定成功之處和需要糾正或改進的地方。評估工作的管理流程和管理要求清晰度；業(yè)務連續(xù)性管理體系的評估機制；定期進行評估的記錄；評估對改進工作的指導效果；與數(shù)據(jù)中心其他管理體系整合開展一體化評估工作情況。要求數(shù)據(jù)中心確定改進業(yè)務連續(xù)性管理的機會并實施必要的措施，以實現(xiàn)預期的結果。改進的要求如下：建立針對監(jiān)視評估工作中發(fā)現(xiàn)問題的改進機制；對于監(jiān)視評估過程中發(fā)現(xiàn)的問題進行及時、有效地整改。針對監(jiān)視評估工作中發(fā)現(xiàn)問題的改進機制完善性；監(jiān)視評估工作中發(fā)現(xiàn)問題的整改記錄；監(jiān)視評估工作中發(fā)現(xiàn)問題的整改的及時性和有效性；改進機制與其他管理領域的改進機制整合情況；改進時使用工具平臺的情況。數(shù)據(jù)中心業(yè)務運行效果關注數(shù)據(jù)中心在規(guī)定時期內(nèi)是否發(fā)生業(yè)務中斷、業(yè)務中斷發(fā)生的時段、業(yè)務中斷造成的行業(yè)或社會影響，以及業(yè)務中斷是否超出協(xié)議或行業(yè)要求。協(xié)議是指數(shù)據(jù)中心與需方事前約定或簽訂的服務協(xié)議。行業(yè)要求是指特定行業(yè)須遵循的業(yè)務連續(xù)性相關的標準，如《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》。重保期是指國家重大會議活動、節(jié)假日以及其他特殊時期。本標準評價數(shù)據(jù)中心業(yè)務連續(xù)性等級考察數(shù)據(jù)中心業(yè)務中斷情況的周期為一年。造成數(shù)據(jù)中心業(yè)務中斷原因包括不可抗力和非不可抗力。數(shù)據(jù)中心業(yè)務運行效果指標評價要點是數(shù)據(jù)中心一年內(nèi)業(yè)務中斷的結果、時段與影響。表F.1為數(shù)據(jù)中心業(yè)務運行效果值（N）的設置了四個離散值，數(shù)據(jù)中心業(yè)務中斷的負面影響越大取值越低，最高取值100%，最低取值80%。表數(shù)據(jù)中心業(yè)務連續(xù)性等級評價N數(shù)據(jù)中心一年內(nèi)發(fā)生的業(yè)務中斷事件未發(fā)生數(shù)據(jù)中心業(yè)務中斷；或者雖然發(fā)生，但業(yè)務中斷和應急處置