青岛ISO20000,青岛ISO20000认证,青岛ISO20000认证机构,青岛信息技术服务管理体系认证：ISO20000认证|服务连续性管理流程各步骤详解

 

1.确定连续性管理范围
（1）定义组织策略
有关IT服务连续性管理的政策应当尽早地制定并充分传达给组织内所有的相关人员，从而使他们意识到实施IT服务连续性管理的需求；同时管理层也需要明确表达他们的承诺。
（2）识别应用IT连续性管理流程的相关领域
运用各种不同的风险评估方法来估计IT服务风险发生的概率，为了管理这些风险，组织需要制定风险预防和风险恢复方案。
此外，还需要确定适当的管理架构和应对灾难的流程。
（3）分配资源
需要投入人力和物力建立一个IT服务连续性管理环境。
青岛ISO20000认证组织需要对员工进行培训来保证员工有能力实施风险预防和灾难恢复措施。
2.业务影响分析
·服务的恢复和预防：服务在灾难发生后仍可以继续运作一段时间，因而其重点是恢复服务；而在其他情况下，没有IT服务的支持业务将完全不能运作，因而其重点将是预防；
·服务分析：对某些不重要的服务而言，可以规定在灾难发生时使用能力和可用性有限的应急服务。但需要注意的是，即便是在灾难恢复期间，服务级别也只有在与客户达成协议之后才能进行修改。对于关键性服务来说，必须在进行预防和制定恢复方案之间选择某种平衡；
·基础架构分析：在完成服务分析之后，需要评估服务和IT资源之间的依赖关系，灾难恢复服务所需要的额外资源；
·此外，ISO20000信息技术服务管理体系认证单位还需要考虑灾难扩散影响的层叠效应
3.风险评估
·通过确认业务中存在的威胁和薄弱环节以及相关的预防措施可以为管理层提供有价值的信息
·优先考虑使用各种预防措施。如果所有这类预防措施全都用上了，则有必要进一步确定是否还存在需要制定应急计划的残余风险
·风险分析。确认相关的IT组件（资产），包括建筑物、计算机设施、系统和数据等；分析这些资产所面临的威胁以及这些威胁之间的相关程度，并估计灾难发生的可能性（高中低）；要确认这些资产的薄弱环节，并进行分类（高中低）；根据各IT组件的具体情况评估威胁和薄弱环节，从而评估风险的级别。
4.制定连续性计划
连续性负责人制定《服务连续性计划》，内容如下：
（1）需要安装和测试的硬件和网络组件
（2）需恢复的应用系统、数据库和数据
（3）安全性要求和质量标准
（4）明确分配每个目标采取措施的责任
（5）计划性维护所需的停机时间
（6）测试计划及安排
（7）对服务和系统组件的依赖程度
（8）专门的接口、人员及其职责
（9）明确所有需要支持该计划的具体的活动程序
5.连续性计划测试
连续性负责人根据《服务连续性计划》的要求，ISO20000认证组织开展连续性测试活动，确保：
（1）应针对特定的情形实施并具有明确的目标和成功标准
（2）测试计划应包含对恢复计划、活动程序和相关的技术组件的初始测试
（3）测试应与客户或客户代表、相关部门协商，共同进行
（4）测试失败的结果应记录并评审，并输入服务改进计划
（5）连续性测试每年至少应进行一次，以识别计划中的弱点以及被忽略的变更，在IT基础架构的配置项发生重大变更后还需要实施进一步的测试
（6）连续性负责人在测试完成后拟制《连续性计划测试报告》，并上报IT服务部经理
（7）对相关人员进行连续性方面的意识培养，使他们将维护连续性作为常规的工作
6.组织和实施计划
组织架构安排：确定和分配实施连续性计划的组织机构及其职责。
实施规划：制定实施计划
实施风险降低措施：故障发生直接影响服务的可用性，因此实施风险降低措施必须结合可用性管理进行。
实施备用方案：恢复方案的实施有赖于一系列的备用方案，包括场所、系统及通信灯方面。对于备用方案需要进行测试、操作培训及维护以确保需要时可以立即启动备用方案。
设计计划实施流程：详细描述实施计划各步骤如何开展，并形成文档化，以保证实施人员可以直接按照流程文档实施恢复方案。
初始测试：在实施前进行初始化测试，保证连续性计划和流程的有效性。
7.运行管理
对IT服务部的IT支持人员进行连续性方面的意识培养，使他们将维护连续性作为常规地工作。
对可采用的连续性流程进行定期评审以确保经常性地更新。
每年至少应进行必要的连续性流程测试。
评审和测试以后需要进行日常的变更管理，因此也需要连续性得到及时更新。
进行包括IT恢复人员和业务人员的培训，以保证在必要的时候他们有能力完成业务恢复工作。
保证连续性生命周期的最后流程得到IT服务部和业务部门领导的确认，以保证连续性流程的运营流程得到顺利的执行。

【相关文章】

•   ISO20000认证|服务连续性管理流程各步骤详解