《数据中心业务连续性等级评价白皮书2023.docx》由会员分享,可在线阅读,更多相关《数据中心业务连续性等级评价白皮书2023.docx(49页珍藏版)》请在优知文库上搜索。
1、目录一、概述11.l编写背景11.2相关标准21. 3编制方法和过程2二、等级模型31.1 数据中心的定义和分类31.2 数据中心业务范围以及本标准的数据中心分类72. 3数据中心业务连续性等级分级8三、等级构造与分值计算93. 1等级构造93.1.1 数据中心设施可用性93.1.2 数据中心业务连续性管理能力93.1.3 数据中心业务运行效果103. 2分值计算103.3等级的确定10四、评分规则104. 1设施可用性要素及评分规则104. 2管理能力要素及评分规则134. 3运行效果评分规则34五、数据中心业务连续性等级建设与评价354.1 业务连续性等级建设354.2 业务连续性成熟度评
2、价354.2.1 评价流程355. 2.2评价方法375.3 自评价流程和要点375.3.1 自评价方式375.3.2 自评价流程385.3.3 自评价交付物395.4 第三方评估流程和要点405.4.1 第三方机构评价流程405.4.2 第三方机构评价内容41六、典型实践3506.1 数据中心业务中断案例426.2 数据中心业务连续性组织架构示例436.3 风险评估(RA)案例436.4 业务影响分析(BlA)案例456.5 业务连续性计划案例456.6 预警与沟通案例466.7 人员意识与培训案例466.8 资源建设与维护案例476.9 演练与改进案例47一、概述11编写背景在国家标准GB
3、/T33136-2016信息技术服务数据中心服务能力成熟度模型中,服务连续性管理被列入成为数据中心管理的一个重要的能力项。GB/T33136国家标准编制过程中,很多专家认为在GB/T33136中能力项要求的基础上,需要编制专门的数据中心业务连续性能力领域的国家标准,用于具体指导数据中心业务连续性能力的建设,于是提出了国家标准提案。在GB/T33136国家标准实施的过程中,通过走访各类数据中心,发现目前各类数据中心在业务连续性管理领域存在许多问题(参见业务连续性管理在数据中心的应用现状刊于数据中心建设+ISSN1726-5924总第227期),数据中心往往仅进行了灾备建设,而没有进行全面的业务连
4、续性管理,需要尽快推动有关标准制定工作。2019年10月17日,国家市场监督管理总局、国家标准委下达2019年第三批推荐性国家标准制修订项目(国标委发(2019)29号)公告,信息技术服务数据中心业务连续性等级评价准则(以下称本标准)正式获批立项,标准计划号20193178-T-469。国家标准计划下达后,突发新冠疫情。在很多数据中心管理者都亲身经历过非典疫情的大背景下,大多数据中心仍没有制定处置疫情的业务连续性计划,只是被动地按照属地政府部门和疾控部门的要求采取必要的防控措施。很少有数据中心能够多想一步,与属地相关部门密切互动,及时了解和掌握当地人员和场所隔离的具体措施和要求,并在此基础上提
5、前制定和落实当本数据中心发生需要隔离人员或场所时,如何保持业务连续等比较全面的预案。随着疫情的发展,越来越多的数据中心管理者认识到,数据中心的业务连续性管理不仅仅是灾备,他们开始对数据中心业务连续性管理有了比较全面的思考和认识,表示他们越来越深刻理解在GBZT33136编制过程中提出编写本标准的重要意义,询问标准编制进度。据国家发改委发布的来自国家信息中心的统计数据,占我国全社会用电量约2%的数据中心,支撑了占全国GDP约36.2%的数字经济规模(已剔除这些业务中与数据中心不直接相关的部分),数据中心在国民经济中发挥越来越重要的关键作用。当前随着中国制造2025、网络强国战略、国家大数据战略、
6、两化融合、互联网+、一带一路、云计算、大数据、CPS(信息物理网络)等新的一批国家战略制定和新技术如火如荼地发展,不仅将使数据中心建设进入了一个高潮期,同时,各行各业也对数据中心越来越依赖。随着各行各业数字化转型的逐步深入,元宇宙的充分发展,在银行业后,将诞生更多对数据中心和信息技术高度依赖的行业,数据中心支撑的GDP占比还会继续提升,数据中心对提升全社会生产效率和全要素生产率作用巨大,数据中心服务的中断不再是数据中心自己的事,将会成为一个系统性的社会风险,数据中心安全生产成为总体国家安全观的重要组成部分,必须引起高度的重视。在此背景下,本标准开始征集参编单位,并启动标准编制工作。刚刚开始征集
7、参编单位,就获得了积极响应,近30家单位首批报名。编制单位中,有一半是数据中心组织(包括运营商数据中心、第三方数据中心等独立的数据中心企业和包括银行、保险、证券、航空等企业内设的数据中心组织),另一半则是数据中心的服务商。参编单位包括央企总部、央企专业子公司、地方国企、香港上市公司、境内上市公司、金融科技公司、管理咨询公司、信息技术服务公司、数据中心建设公司等,具有广泛的代表性。本标准进入征求意见阶段后,仍有公司表示希望参与编制。标准编制完成后,为了方便大家更好地理解和应用标准,我们组织了标准的主要编写者编制了本白皮书。1.2相关标准1、国家标准化管理部门和行业监管机构的早期标准和监管指引国家
8、标准化管理部门很早就开始在数据中心业务连续性管理有关领域开展了相关标准制定工作。发布了GB/T20988-2007信息安全技术信息系统灾难恢复规范等国家标准。部分行业监管机构也陆续发布了一些行业标准和指导文件,例如:人民银行金融行业标准JR/T0044-2008银行业信息系统灾难恢复管理规范、保监会保险业信息系统灾难恢复管理指引、民航业民用航空重要信息系统灾难备份与恢复管理规范、银监会商业银行业务连续性监管指引等等这些标准和指引在某些方面为数据中心服务连续性管理提供了有力的支持。2、业务连续性管理领域的标准2012年起,我国开始构建业务连续性管理相关的国家标准体系,陆续开始发布业务连续性管理领
9、域的国家标准,例如:.GBT31595-2015公共安全业务连续性管理体系指南(等同ISO22313:2012).GBT35625-2017公共安全业务连续性管理体系业务影响分析指南(BIA)(等同IS0/TS22317:2015).GBT38299-2019公共安全业务连续性管理体系供应链连续性指南(等同ISO22318:2015).GBT40755-2021公共安全业务连续性管理体系业务连续性管理能力评估指南.GBT30146-2023安全与韧性业务连续性管理体系要求(等同ISo22301:2019)这些国家标准主要都是等同采用ISO国际标准,2021年发布的GB/T40755是该领域的第
10、一部自研国标(本标准有望成为第二部自研国标,也是第一部业务连续性管理领域的行业应用国标)。但是这些标准要求过于通用,不能体现数据中心业务特点,往往导致将数据中心服务对象的业务当作是数据中心业务,不能很好指导数据中心的业务连续性工作。本标准业务连续性管理能力部分,与GB/T40755给出的框架保持一致,并针对数据中心的业务特点进行了细化完善。3、信息技术服务领域与连续性管理有关的标准GB/T2887-2011计算机场地通用规范规定了数据中心场地的可用性水平,为开展数据中心业务连续性管理工作奠定了一定技术基础。该标准也成为本标准判定数据中心可用性水平的重要依据。IS020000-1:2018Inf
11、ormationtechnology-Servicemanagement-Part1:Servicemanagementsystems、GB/T33136-2016信息技术服务数据中心服务能力成熟度模型等标准,都有关于服务连续性的要求,但是其要求过于笼统。本标准可以对其进行很好的补充。1.3编制方法和过程本标准的编制方法和过程遵循了ITSS系列标准的编制方法和过程,保持了与FrSS系列标准和业务连续性管理领域标准的一致性。本标准来源于2019年10月17日,国家市场监督管理总局、国家标准委下达2019年第三批推荐性国家标准制修订项目(国标委发(2019)29号)公告,本标准计划号2019317
12、8-1469。本标准属于信息技术服务标准体系(5.0版)中“基础服务标准”板块下的“数据中心”部分。本标准以公开征集参编单位的方式,征集了参编单位,并组成了标准工作组。根据标准工作组的任务分工,牵头单位负责标准的组织与实施、相关资料的搜集和调研、标准框架编制、标准内容起草、反馈意见整理、定稿、报批等工作。成员单位根据分工安排,完成组长分配的标准编制任务、参与标准讨论和征求意见的反馈。2021年1月29日,召开本标准启动会暨第一次封闭编写工作会议。通过线上会议形式召开。本次会议启动了本标准的编写工作,参会专家就标准大纲结构和内容框架进行讨论,明确了后续工作计划。2021年3月4日至3月5日,本标
13、准第二次封闭会议在上海召开。本次会议完成了标准大纲的讨论、编写和定稿,为后续全体人员的封闭编写做好准备。2021年3月30日至4月1日,本标准第三次封闭编写会在北京召开。本次会议对本标准的编写大纲进行了确认,完成编写组的分组分工,各小组充分讨论并形成了小组草案;会议对后续工作作出安排,计划2021年6月份提交草案。2021年5月11日至5月12日,在北京召开第四次封闭编写工作会议在北京召开,完成本标准草案的编写。2021年7月14日至7月16日,在北京召开第五次封闭编写工作会议在北京召开,会议形成本标准征求意见稿。2021年8月开始公开征求意见,并组织两次专家征求意见会议。1)第一次专家征求意
14、见会:9月18日线上会议形式进行,本次会议有来自中体彩科技发展有限公司、上海计算机软件技术开发中心、北京大学(天津滨海)新一代信息技术研究院、一体化指挥调度技术国家工程实验室、中国人民银行清算总中心、应急管理部通信信息中心等6家单位专家出席,反馈意见29条,采纳17条,未采纳12条。2)第二次专家征求意见会:12月13日通过线上会议形式进行,本次会议有来自中国应急管理学会标准化专业委员会、中国人寿、中国计量科学研究院、中治研(北京)国际信息技术研究院、中国计算机用户协会信息科技审计分会、海通证券等6家单位专家出席,反馈意见6条,采纳6条。2021年12月,完成征求意见的修改处理。形成标准送审稿
15、,完成标准审查。2022年3月,标准编制组根据审查意见修改,形成标准报批稿。、等级模型2.1数据中心的定义和分类什么是数据中心?目前尚无统一的定义。比较典型的对“数据中心”的定义有两种:1、以GB50174数据中心设计规范为代表,将数据中心定义为:为集中放置的电子信息设备提供运行环境的建筑场所,可以是一栋或几栋建筑物,也可以是一栋建筑物的一部分,包括主机区、辅助区、支持区和行政管理区等。2、以GB/T33136信息技术服务数据中心服务能力成熟度模型和GB/T32910.1数据中心资3源利用第1部分:术语为代表,将数据中心定义为:由计算机场地(机房)、其他基础设施、信息系统软硬件、信息资源(数据)和人员以及相应的管理制度组成的实体。本标准中所称数据中心沿用了第2种定义,因为本标准聚焦数据中心业务连续性,一组建筑,乃至建筑中的IT设备系统,都是不存在业务的概念的,只有一个包括了人员和制度的组织实体才会存在业务这个概念。平台资源(操作系统、数据库、中间件)虚拟资源(网络资源、计算资源 存储资源)PaaS服务IaaS服务 1JI -托管服务-U口口口口门业务系统服务IUHIUHlll