作业帮 > 国际内审师 > 教育资讯

2016年国际内审《经营分析和信息技术》复习资料(4)[1]

来源:学生作业帮助网 编辑:作业帮 时间:2024/03/29 20:51:44 国际内审师
2016年国际内审《经营分析和信息技术》复习资料(4)[1]
2016年国际内审《经营分析和信息技术》复习资料(4)[1]国际内审师
应急计划

  14.1 Contingency Planning

  应急计划

  应急计划或业务持续性计划的目的是当组织及其信息系统在灾难事件发生时,能够减少或避免关键业务中断,保证组织生存且持续运营。应急计划应纳入企业IT总体规划,并成为企业风险管理框架的组成部分。

  保证企业的业务持续性是最高管理层的职责,应急计划的制定不是某个人或某个部门的事情,必须组成一个团队,该团队及其领导人应具有足够的权威,能够和相关部门和人员进行充分的沟通。应定期对员工进行风险管理培训,并使每一个人明确其在业务持续性计划中所承担的角色和责任。

  完整的应急计划实施包括业务影响分析和目标设定、运行分类和重要性分析、计划制定、计划测试和实施、检测:

  ◆ 业务影响分析(BIA)是制定应急计划的首发步骤,它对每一种可能影响企业正常运营的潜在风险,如火灾、洪水、飓风、系统崩溃、数据丢失、黑客攻击和恐怖袭击等事件发生的可能性及后果进行评估。

  ◆ 确定风险后,应根据不同业务可以承受的后果(如宕机时间、恢复成本)对业务进行分类和重要性分析,以此来制定不同类别业务的保护级别和恢复顺序。不同的组织拥有不同的业务分类和优先级,以下是一种可能的分类:

  ■ 关键(Critical)系统:远程通信和核心处理,如订单处理、开票和发运

  ■ 重要(Vital)系统:财务(应收/应付、总账)和客服。

  ■ 敏感(Sensititive)系统:薪资和终端用户数据。

  ■ 非关键(Noncritical)系统:人力资源、预算和采购。

  ◆ 制定计划:应急计划应该考虑到方方面面,如备份和恢复的技术手段、财产保险、人员角色和通信方式、恢复阶段的员工交通和生活设施等。以下是恢复计划中应包括的若干内容:

  ■ 简明介绍

  ■ 团队职责列表和紧急联系方式

  ■ 备份计划和异地备份的地点

  ■ 问题升级的流程

  ■ 行动计划,包括恢复的时间期限、恢复策略以及关于硬件、软件、网络和远程通信的分类计划

  ■ 保险文件

  ◆ 测试和实施计划: 计划有效性的最佳证据是对计划进行了成功的测试。最好的测试是在生产环境,并且拥有同等规模的业务量情况下完成的。有些业务系统可能无法进行全面的实战性测试,只能进行模拟中断测试和纸面上的串行测试,此时应精心设计测试环境,使之尽可能接近实际环境。

  ◆ 监测:最好的计划如果不进行更新也会过时,当组织的结构和运营发生改变时,灾难恢复计划必须随之改变,以保证恢复计划的及时、有效。

  14.2 Backup & Recovery Technologies and Facilities

  备份恢复技术和设施

  故障弱化保护(fail—soft protection)是发生紧急故障时的第一道屏障,当系统发生自身故障时,故障弱化保护控制可将故障的影响限制在一定范围内,或仅导致系统性能的下降。故障弱化技术包括:

  磁盘冗余磁盘阵列RAID:将多只容量较小的、相对廉价的硬盘驱动器进行有机组合,使其性能超过一只昂贵的大硬盘,并且当其中一块或几块硬盘发生故障时,只会降低读写速度而不会丢失数据。 RAID技术使用三种冗余技术:镜像、校验和条带集。

  虚拟存储:存储虚拟化概念是将多个物理存储设备结合成一个逻辑虚拟存储设备的方法,存储虚拟化的好处是存储设备可以在无需中断系统的情况下调整。

  服务器双机热备:两台服务器同时运行相同或不同的任务,当其中一台服务器故障时,另一台可以接管其关键任务,从而保证关键任务的不间断运行。

  负载均衡/服务器集群:通过负载均衡,流量可以被动态分配到一组运行相同应用程序的服务器组中的不同服务器上,这样可以避免某台服务器过载,也可以确保在某一台服务器故障时,不会停机。

  数据异地备份是防止系统故障或重大灾难时的数据保存手段,根据备份数据的产生方式可分为脱机和联机备份,根据备份数据的存放地点和防灾难级别可分为异楼备份(防火灾)、异城备份(防地震、洪水)、跨国备份(防战争)。

  ◆ 脱机异地备份:利用磁带机,定期对数据进行备份(全备份或增量备份)后通过物理手段送至存放地。

  ◆ 联机异地备份:通过网络进行联机实时备份。

  ■ 电子链接——通过电子线路自动传送数据备份和实现数据的自动恢复。

  ■ 远程日志——通过电子线路自动传送处理国际内审师