信息系统应急演练咨询服务建议书 54页

ABCDEABCDE信息系统应急演练咨询服务项目服务方案建议书XXX全球服务（中国）有限公司2012年12月第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE专有信息声明本方案建议书属商业机密文件，书中的所有信息均为XXX机密信息，仅限于ABCDE项目组内部使用。务请妥善保管并且仅在与项目有关人员范围内使用，未经XXX公司明确作出的书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其它形式）对本文档的任何部分进行复制、存储、引入检索系统或者传播。尽管XXX已经尽力使本文档内容的完整性和有效性，但仍可能有技术方面不够准确的地方或印刷错误。若需求有所变化，XXX将对有关内容进行相对应的调整，并在本建议书未来版本中体现。XXX是BBMMWW公司的注册商标。本文档提及的其它公司、产品和服务的名称，可能是其它公司的商标或服务的标志。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE关于本文档文档信息文档名称ABCDE信息系统应急演练咨询服务项目服务方案建议书作者XXX全球服务（中国）有限公司说明本文档是XXX根据对ABCDE相关需求的理解，在与ABCDE相关领导和技术专家初步技术交流的基础上，从顾问的角度，为ABCDE提供的咨询服务方案建议书。文件名称ABCDE信息系统应急演练咨询服务项目服务方案建议书.doc修订历史(REVISIONHISTORY)RevSectionTypeDateAuthorRemarks1.02012-12-20XXSS创建内容范围本文档是ABCDE信息系统应急演练咨询服务项目服务方案建议书。适用的对象本文档仅适用于ABCDE信息系统应急演练咨询服务项目组及参与该项目的决策者、评审委员会。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE目录1.前言62.服务方案建议书导读73.项目综述83.1.项目背景83.2.项目目标83.3.XXX对本项目需求的描述和理解93.4.XXX在本项目中的优势93.4.1.XXX的服务方法103.4.2.行业经验303.4.3.服务团队304.XXX咨询服务方案314.1.项目管理服务314.1.1.工作目标314.1.2.工作内容314.1.3.项目提交成果324.2.应急预案开发334.2.1.服务目标334.2.2.服务内容334.3.应急预案宣传和培训404.3.1.服务目标404.3.2.服务内容414.3.3.服务交付成果414.4.应急演练414.4.1.服务目标414.4.2.服务内容424.4.3.服务交付成果424.5.服务实施计划435.项目的质量与进度管理、组织和报告445.1.项目组织架构445.1.1.项目领导小组445.1.2.项目经理455.1.3.资深业务连续与紧急事件恢复咨询顾问组（BCP咨询顾问组）45第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE5.1.4.高级信息系统架构专家（系统架构师）组455.1.5.系统运维管理、流程咨询顾问455.1.6.税务管理及行政管理专家465.1.7.高级技术、架构专家组（包括高级网络架构设计师、高级机房架构设计师、主机系统技术专家、存储区域网技术专家）465.2.项目质量与进度管理实施方案465.2.1.项目开始阶段的管理内容465.2.2.项目过程管理内容465.2.3.项目完成阶段的内容475.3.项目质量与进度管理服务内容475.3.1.项目计划管理475.3.2.项目范围和变更管理475.3.3.项目风险管理485.3.4.项目文档交付件管理495.3.5.项目成本管理505.3.6.项目问题管理505.3.7.项目质量管理515.3.8.项目沟通管理515.4.项目实施计划表525.5.主要项目人员简历525.5.1.项目经理525.5.2.资深业务连续与紧急事件恢复咨询顾问组（BCP咨询顾问组）535.5.3.高级信息系统架构专家（系统架构师）组565.5.4.系统运维管理、流程咨询顾问585.5.5.税务管理及行政管理专家615.5.6.高级技术、架构专家组（包括高级网络架构设计师、高级机房架构设计师、主机系统技术专家、存储区域网技术专家）626.XXX全球服务中国有限公司介绍706.1.XXX全球服务706.2.XXX全球服务部获得的荣誉706.3.客户满意度调查716.4.XXX全球服务部为客户提供端到端的服务727.结束语738.附录74第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.前言首先感谢ABCDE给予XXX公司参与ABCDE信息系统应急演练咨询服务项目的机会。XXX希望能凭借自身多年跨行业的灾难恢复和业务连续性咨询服务经验，协助ABCDE规划和管理其信息系统应急演练咨询项目，并对项目的各种技术要素进行设计和研究，从而降低ABCDE信息系统应急演练咨询服务项目的复杂度和风险，最终取得项目的成功。XXX公司在此热切期盼各位领导能百忙拔冗，高度关注本项目，XXX公司将随时响应ABCDE的要求和指示，并期盼能与ABCDE相关领导和专家一起，进一步修改和细化本项目设想，以期达成项目的早日启动和稳定执行。再次感谢各位领导的大力支持！第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.服务方案建议书导读本文档是针对ABCDE信息系统应急演练咨询服务项目需求的服务建议书，着重阐明XXX公司的服务实施方案。本文档由以下部分构成：第一、第二章，前言及导读，供ABCDE领导和评审委员会专家对本服务建议书的内容进行快速导读和定位。第三章，项目综述，综合阐述XXX对ABCDE需求的理解，XXX的服务方法论以及XXX在本项目中的优势。第四章，XXX服务方案，根据ABCDE信息系统应急演练咨询服务项目标书的要求，进行分项阐述XXX咨询服务内容，服务内容由服务目标、服务内容、服务交付成果、服务实施计划几部分组成。第五章，项目进度与质量管理，集中阐述XXX将在本项目里面采用的项目管理方法、项目组织架构和投入资源、人员资质。第六、七章，对XXX全球服务中国有限公司的概况进行介绍。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.项目综述1.1.项目背景ABCDE实施CTAIS省级集中以来，已有多个信息系统使用省级集中的模式运行，数据集中使信息系统的风险提高，系统故障的影响面随集中程度的提高而提高，这就要求数据中心有更强的应急处理能力，保证系统的安全、稳定运行。根据国家税务总局《税务管理信息系统运行维护体系管理办法（试行）》和省局相关管理办法，为加强全省GH信息系统应急工作的组织领导，省局下发了《关于印发ABCDE信息系统应急处理总体预案的通知》粤GH发〔2007〕66号和《关于成立ABCDE信息系统应急工作领导小组的通知》粤GH发〔2007〕67号的文件，成立了省局信息系统应急工作领导小组和办公室，下发了信息系统应急处理总体预案，各市局根据省局要求也相应建立了信息系统应急工作机构，负责本单位及下属机构的信息系统应急处理工作。为进一步加强全省GH信息系统应急工作的组织领导，保障信息系统稳定运行，提高处置信息系统运行过程中出现各种紧急情况的能力，保障全省GH信息系统稳定运行，确保相关工作的有序进行，有必要制定针对IT突发事件的应急处理详细工作预案，根据工作内容制定配套专项应急处理子预案，建立应急响应流程，制定工作职责，完善相应的应急响应措施，建立应急响应中心，完善应急平台建设，并制定应急演练方案，组织实施一次全省GH系统范围内的信息系统应急演练。为此，设立ABCDE信息系统应急演练咨询服务项目，制定应急预案，完善应急响应体系，提高应对突发事件的能力，保证在IT系统出现意外事件时，能够按照预定流程迅速恢复IT服务，满足业务可持续的需求。1.2.项目目标参照ITSM和BCM的方法论，针对IT突发事件的应急处理详细工作预案，根据工作内容制定配套专项应急处理子预案，建立应急响应流程，建立完善的IT应急响应体系，包括建立IT突发事件应急处理流程，完善相应的应急响应组织，制定工作职责，辅助以日常运维管理的流程和制度，完善相应的应急响应措施，建立应急响应中心，完善应急平台建设，并制定应急演练方案，组织实施一次全省GH系统范围内包含业务人员参加的信息系统应急演练。以提高其对IT突发事件的应对能力。通过IT应急预案的开发，提高广东省GH信息系统应对突发事件的能力，建立统一指挥、科学高效、规范有序的IT第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE应急管理体系，全面提高应对突发事件的综合指挥水平和应急处置能力，最大程度地减轻由突发事件引起的IT系统损失，保障纳税人合法权益，维护GH服务纳税人的良好社会形象。1.1.XXX对本项目需求的描述和理解XXX与ABCDE局通过一系列交流与座谈，逐渐明确了ABCDE局信息系统应急演练咨询服务项目的需求。具体内容包括：l业务连续性方法论分析§风险分析§业务影响分析§环境影响分析§业务连续性策略分析l应急预案的制定§协助构建IT系统突发事件应急管理体系，提出应急指挥（响应）中心建立的建议§应急管理组织与人员结构设计§突发事件应急响应流程设计§突发事件应急预案的制定§应急预案日常运维管理规范的制定§针对应急平台的设计和实现思路提供建议l应急预案的宣传和培训l应急预案的演练§应急预案的桌面演练§应急预案的真实演练1.2.XXX在本项目中的优势咨询项目的关键成功要素在于：l成熟的咨询方法第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE建议增加一个说明，例如，本项目采用XXXGSMethod方法论以及XXX业务连续性方法论，该方法已经在国内外大量项目中得到成功应用，包括包括第十六届亚洲运动会IT系统应急体系咨询项目，广州市社会保障系统灾备项目，广东地税大集中规划论证咨询项目，国家专利局容灾咨询项目，宁波海关容灾咨询项目，北京地税容灾项目等。l丰富的行业经验XXX在税务行业具有丰富的咨询规划、设计、实施、项目管理的经验，包括北京地税税收征管系统大集中项目的项目监管、架构咨询，北京地税容灾备份项目设计和实施，广东地税地方税收“大集中”信息化工程论证规划等众多省级税务部门信息化建设项目，同时，XXX也积极参与GH总局“金税三期”的论证、规划、和设计工作。l具备各方面相关技术的资质、稳定的咨询团队。XXX为本项目组建的项目团队具有应急响应咨询项目的经验，参与实施了以下项目第十六届亚洲运动会IT系统应急体系咨询项目，广州市社会保障系统灾备项目，广东地税大集中规划论证咨询项目等。在本咨询项目中，XXX全球服务部将广泛应用一系列经过实践检验、行之有效的服务方法，充分借鉴税务行业的广泛经验，选派和指定专职的资深顾问，以保障ABCDE信息系统应急演练咨询服务项目的成功。1.1.1.XXX的服务方法服务方法论的目的是保证在每一个项目中的服务质量与输出结果是一致的，可重复的，可考核的。XXX是服务方法论的创始者和倡导者，其服务方法由总体服务方法论GSMethod和各专业领域的专有方法论组成。GSMethod是各种服务方法论的总纲与指导。在本项目中，XXX项目组将使用GSMethod作为整体服务方法，同时结合业务规划、应用设计、部署架构设计、业务连续性、安全体系、网络设计等一系列专用方法，通过后台支撑的方法知识库，保障ABCDE全省应急演练咨询服务项目的成功实施。1.1.1.1.GSMethodXXX是I/T服务的倡导者和领导者，在长期从事I/T服务的工作中，XXX积累了丰富的经验和知识，也形成了众多的知识库（KnowledgeBase）。为了使这些知识和经验能够在服务于其它项目，以降低这些项目实施的风险、确保项目成功、加快项目实施的进度、并规范和标准化项目的实施和交付，XXX组织了各项目类型的资深专家，开发了XXXGlobalServiceMethod（简称GSMethod或theMethod）。GSMethod中涵盖了行业应用、I/T整合、规划与咨询、软件开发、I/T管理、业务连续性及容灾、项目管理、电子商务等各个方面的I/T服务方法论，可适用于几乎所有的I/T实施项目。在本项目中，我们在架构设计咨询工作中将使用GSMethod来作为项目实施的方法指导和规范。以下对GSMethod作简单的介绍。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEGSMethod是XXX基于行业经验和多年项目经验总结出的一套基于工作产品(WorkProduct)的成熟方法论。GSMethod为项目的顺利实施、项目成员的相互沟通定义了整体框架。项目成员可以在GSMethod的指导下充分利用过往项目的经验和交付件，实现项目与项目之间实施质量和交付质量的统一。GSMethod是XXX成为业界领先的服务提供商并通过服务为客户创造价值的有力保障。GSMethod是基于工作产品的工作方式，工作产品（WorkProduct）是项目组织和实施阶段的基本工作单位。XXX通过工作产品向客户介绍解决方案、管理项目执行、实施项目质量控制、管理知识资产和交付件。XXXGSMethod包含两个主要组件：工作产品（WorkProduct）和工作分解表（WorkBreakdownStructure）。实施模型（EngagementModel）定义了在一个项目中工作开展的步骤以及工作产品的开发顺序，它是由一系列的工作产品描述、开发指导文件以及工作依赖关系所组成的。实施模型根据项目需要对GSMethod的相应部分进行裁减，给出对该特定类型项目的工作产品建议，并对项目阶段、工作任务进行定义。每个工作任务又由输入、输出及执行工作的主体组成。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE从整体上，GSMethod由超过350种工作产品的定义所组成，这些工作产品来源于项目经验并经过理论升华总结而成，是项目实施的基本组件，对所有类型的项目都可以适用。工作组件根据需要，可以细分至六个不同范畴：“项目”：该范畴的工作产品用于项目定义、规划、管理及项目移交。WWPMM（项目管理方法论）的工作产品也包括在内。“业务”：该范畴的工作产品用于评估当前及未来客户业务状况，以便开发及实施相应的解决方案。“组织架构”：该范畴的工作产品用于评估客户组织架构和企业文化对于项目实施的影响，以便客户能够接受由项目实施所带来的变更，实现平滑过渡。“应用”：该范畴的工作产品用于组织应用开发的整个生命周期，包括应用设计、开发、测试及维护等。“架构”：该范畴的工作产品用于定义解决方案的整体架构，包括软硬件组成及其之间的相互关系。“运行维护”：该范畴的工作产品用于维持解决方案的持续运行，包括设备管理、问题汇报、信息系统管理及安全等领域。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.1.1.1.XXX业务连续性方法论从整个计算机系统的发展来看，容灾备份经过了一个很长时间的发展过程，在上个世纪60年代，通常进行的都是集中式处理系统，每个系统具备一些简单的灾难恢复计划，通常恢复时间也很长，都以周为单位计算，进行的数据备份和恢复也都处于被动式的模式。到了70年代，随着计算机系统的逐渐普及，应用逐渐有集中式系统转到分散式系统，这个时候，系统开始考虑一些简单的业务恢复计划，恢复的时间也开始以天为单位。到了90年代，网络的飞速发展，系统有开始走向集中，这个时候，对业务的连续性要求就更高，要求恢复时间也小时为单位，系统需要考虑避免高可用的风险。到了今天，企业应用系统进一步飞速发展，业务要求能够达到行业级别的业务连续计划，此时，要求实现业务系统的更高可用性，恢复时间甚至要求达到实时的水平。业务的发展使得企业对业务连续性的要求也越来越高。在业务连续性中，以下几个概念非常重要，它们也是衡量业务持续及容灾备份需求的指标。恢复时间目标（RTO）恢复时间目标（RecoveryTimeObjective，简称RTO）是指灾难发生后，从I/T系统宕机导致业务停顿时刻开始，到IT系统恢复至可支持各部门运作、业务恢复运营之时，此两点之间的时间段称为RTO。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE一般而言，RTO时间越短，即意味要求在更短的时间内恢复业务至可使用状态。虽然从管理的角度而言，RTO时间越短越好，但是，这同时也意味着更多成本的投入。对于不同行业的企业来说，其RTO目标一般是不相同的。即使是在同一行业，各企业因业务发展规模的不同，其RTO目标也会不尽相同。RTO目标的确定可以用下图来说明：如上所说，RTO目标越短，成本投入也越大。另一方面，各企业都有其在该发展阶段的单位时间赢利指数，该指数是通过业务影响分析（BusinessImpactAnalysis）咨询服务，以访谈、问答和咨询的方式得到确定的。在确定了企业的单位时间赢利指数后，就可以计算出业务停顿随时间而造成的损失大小。如上图，结合这两条曲线关系，我们将可以找到对该企业而言比较适合的RTO目标，即在该目标定义下，用于灾难备援的投入应不大于对应的业务损失。恢复点目标（RPO）恢复点目标（RecoveryPointObjective，简称RPO）是指对系统和应用数据而言，要实现能够恢复至可以支持各部门业务运作，系统及生产数据应恢复到怎样的更新程度。这种更新程度可以是上一周的备份数据，也可以是上一次交易的实时数据。与RTO目标不同，RPO目标的确定不是依赖于企业业务规模，而是取决于企业业务的性质和业务操作对数据的依赖程度。因此，RPO目标对相同行业的企业而言会有些接近，而对于不同行业的企业来说仍可能会有较大差距。RPO目标的确立仍是以咨询的方式，通过与各业务部门主管的交流，了解业务流程和IT应用的关系，以及通过回答问卷的方式，确定能够支持该企业核心业务的RPO目标。通常可以用以下1到5的等级来衡量企业业务连续性的成熟度。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE在长年灾难服务提供的过程中，XXX在业务持续服务方面形成了一套完整的实施方法论，如下图所示，它包括分析、设计、和实施三个阶段的咨询和技术服务，XXX又将该三个阶段工作划分为七个步骤，即“风险分析”、“业务影响分析”、“可恢复性评估”、“恢复策略制定”、“灾难恢复方案设计”、“业务持续计划设计”和“业务持续计划演练和维护”。XXX采用业务持续咨询方法论来规划和设计出企业的业务持续计划。该广受验证的实施方法论的7个步骤由三个阶段串连而成：第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEØ分析阶段包含“风险评估”、“业务影响分析”、及可恢复性评估。此阶段提供对灾害潜在损失、各种冲击、及现行恢复能力等方面的量化及质化的分析评估，同时也根据需求来向客户建议必需的措施及迅速的解决方案来实现完全的恢复能力。Ø设计阶段包含“恢复策略制定”及企业“灾难恢复整体解决方案设计”。此阶段根据分析阶段的结果来制定出企业的恢复策略，规划及设计出为实现企业业务持续所必需的行动与解决方案，以达到企业在组织、流程及技术层面的恢复需求。Ø实施阶段包含“业务持续计划设计”及“业务持续计划的演练和维护”。此阶段将建立业务持续计划、实施业务持续计划的桌面演练、执行业务持续计划及灾难恢复的测试、设计业务持续计划的维护方案。其中，业务持续计划中将包括企业的“业务恢复计划”和“技术恢复计划”。XXX建议，企业的业务持续计划的设计及拟定应该是一个持续并循环往复的过程，每一阶段都能持续不断的改进，并且在实际工作中体现有效性与高效性。上述业务持续计划的分析、设计与执行三个阶段，正如上图所绘，可根据其特性分类，分为与企业业务相关及技术相关的不同步骤，共分为以下七个步骤：Ø风险分析Ø业务影响分析Ø可恢复性评估Ø恢复策略制定第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEØ灾难恢复方案设计Ø业务持续计划设计Ø业务持续计划的演练与维护以下将分别介绍这七个步骤。1.1.1.1.1.风险分析风险分析（RiskAnalysis）分析可能对企业业务系统和IT系统的安全性造成威胁的各种风险因素并提出相应的对策和改进方案。因此，风险分析的工作将不仅仅只是提出补救措施，还将定义出对于风险的预防措施。风险分析的目标是：Ø对企业可能面临的主要威胁性风险进行质与量化的评估。Ø按照各风险的严重性，分别定义其所处的风险层次和级别。Ø根据各风险发生的可能性，分别定义其所处的风险级别。Ø定义风险矩阵图（如上图所示）。Ø提出应对风险的建议（避免风险、转移风险、或接受风险）。风险分析的进行方式为：Ø首先通过召开启动会议来说明风险分析的目的、参加人员需求与职责、设计及分发调查问卷、安排访谈与现场巡视的进度。Ø辨认现存风险：搜集财务资料、实施人员访谈、巡视当地状况、检查物理设施、分析搜集到的数据、审核各设施和设备的操作程序（包括IT和非IT）。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEØ评估风险冲击：检视损失冲击、开发评估分析细节、记录评估结论、定义冲击的等级和层次。Ø确定合理的减低风险威胁的处理方法和优先次序。Ø记录风险分析工作中的发现与建议。Ø制作书面《风险分析报告》Ø向管理阶层汇报工作成果和最终交付项目。实施风险分析给客户带来的效益是：Ø降低由于不安全、不可靠与不适宜的管理所造成的威胁和风险。风险分析的对象通常为“基础设施与技术”、“人的因素”、和“不可抗力”三个层面，同时，又分为内部原因和外部原因，具体如下表所示：基础设施和技术人的因素不可抗力内部员工外部人员气候自然灾害w硬件故障w技术缺陷w电源故障w电压波动w电源接地不良w电缆老化w空调损坏w消防设施毁坏w通讯线路中断w…w病毒w误操作w盗窃w蓄意破坏w粗心/无知w辞职w情绪波动w…w病毒w黑客攻击w误操作w入室行窃w蓄意破坏w间谍活动w示威活动w消防灌水w…w严寒w冰雪w恶劣气候w崩塌w雷击w龙卷风w海啸w交通中断w…w水位过高w地震w火灾w塌方w飞行器撞击w爆炸w火山爆发w…内部原因外部原因1.1.1.1.1.业务影响分析业务影响分析（BusinessImpactAnalysis第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE，简称BIA）收集、分析及汇总及排序当信息系统一旦遭遇灾害对各项重要关键性业务的影响程度，并依据其优先级提出恢复策略建议。通过业务影响分析可验证实施容灾解决方案的必要性及需求。业务影响分析的目标是：Ø确定企业的关键业务流程。Ø定义各关键业务可容许中断的最大时间长度。Ø确认各关键业务数据丢失的可容许程度。业务影响分析的进行方式为：Ø首先通过召开启动会议来说明业务影响分析的目的、参加人员需求与职责、设计及分发调查问卷、安排后续访谈行程。Ø执行后续访谈，收集问卷、与参加人员共同检查问卷内容以确定：w重要业务项目w恢复时间目标（RecoveryTimeObjectives）的需求w业务中断的影响w各部门执行恢复所需的资源Ø开发初步总结Ø举行复审会议来验证以下项目：w验证各业务项目恢复优先级w验证恢复时间目标w验证重要数据的完整第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEØ制作书面《业务影响分析报告》。Ø向管理阶层作总结报告。实施业务影响分析给客户带来的效益是：Ø了解不同中断时间对各业务造成的直接与间接损失及优先级。Ø开发恢复策略目标。1.1.1.1.1.可恢复性评估可恢复性评估（RecoverabilityAssessment）定义现行各业务流程的恢复能力及现行技术环境的特征，它将从架构、平台、技术、基础设施、组织结构、恢复流程等各层面来评估企业目前的恢复能力。在可恢复性评估中将证实企业当前的业务恢复能力，而在业务影响分析之后，可确定企业需要的恢复能力，这样，将可发现当前恢复能力与需要的恢复能力之间的差距，从而在“恢复策略制定”工作中，根据此差距可规划出企业的恢复策略。可恢复性评估的目标是：Ø评估使用现有处理流程与程序，IT作业目前是否能够恢复、需要多少时间恢复、以及可能的数据丢失数量。可恢复性评估的进行方式为：Ø首先通过召开启动会议来说明项目目的、参加人员的需求与职责、设计及分发调查问卷、安排访谈与现场访视行程。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEØ复审现有文件。Ø举行可恢复性评估研讨会。w记录现行备份时间长度与方式。w确定持续时段。w定义运行重要应用所需资源。Ø举行异地分储设施的稽查。Ø记录可恢复性评估结果。Ø定义适当的业务持续需求。Ø制作书面《可恢复性评估报告》。Ø向管理阶层作总结报告。实施可恢复性评估给客户带来的效益是：Ø正确地得出企业当前的恢复能力。Ø为恢复策略的制定提供理论依据。Ø评估恢复所需投资。1.1.1.1.1.制定恢复策略恢复策略制定（RecoveryStrategy）依据前述各项分析和评估的结果和发现，定义消减当前恢复能力与恢复能力目标之间差距的高层次计划（Highlevelplan）。业务影响分析（BIA）是一项深入的研究，用于确定业务之间的关键功能和其中的关键点。然后对该关键点及与其相关的可能发生的损失进行权衡，以决定可能的业务持续策略和所需成本。利用这一信息，管理层可以依照风险几率和业务需要的优先次序，制订出适当的业务持续策略。可恢复性评估与业务影响分析共同作用，对数据中心的流程和当前的恢复能力进行分析。着重于数据中心环境的分析，其中包括硬件、软件、网络和工作流程。通过正常的数据收集、深入的采访和数据分析，可恢复性评估将帮助您了解系统及其与整体业务之间的关系。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE根据业务影响分析所确定的恢复能力目标与可恢复性评估所确定的当前恢复能力的差距，即可设计和制定出各业务流程的恢复策略。使业务部门所需要的恢复方案（业务影响分析）和系统部门所具备的恢复能力（恢复能力）同步十分重要。通过业务影响分析和可恢复性评估所进行的顾问工作，将产生一个全面的业务持续策略，并提出为了业务持续所需要进行的改变，以及各种相关的具体建议；配合目前最新的IT可行技术，提出最适当的灾难恢复策略。制定恢复策略的目标是：Ø消减当前恢复能力与恢复能力目标之间差距的高层次计划（Highlevelplan）。Ø解决方案的投资估算。Ø建立短期、中期、长期策略。Ø提出对组织与运作的建议。恢复策略制定的进行方式为：Ø依据前述各项分析，配合目前技术，提出最适当的灾难恢复短、中、长期策略。Ø估算各种解决方案的投资成本与效益分析。Ø召开研讨会确认恢复策略。Ø向管理阶层作总结报告。实施恢复策略制定给客户带来的效益是：Ø明确了恢复方案的策略计划与所需投资。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.1.1.1.1.业务持续计划(应急预案)设计业务持续计划设计（BusinessContinuityPlanning，本文中对应本项目的应急预案或应急计划）定义、书面化与测试在灾难发生之前、之中与之后的企业营运组织架构与任务职责，以确定可被接受的业务持续运作的规范。XXX建议，业务持续计划将主要由“业务恢复计划”和“技术恢复计划”两方面来组成。其中，业务恢复计划为：当灾难事件发生时，为确保企业关键业务功能连续运作而必须遵循的恢复程序和实施细节。技术恢复计划为：当灾难事件发生时，在灾备中心建立和执行基础架构恢复所必须遵循的恢复程序，包括IT系统和相关设施。为有效并高效的实施业务持续计划，还必须为灾难恢复和业务持续设计相应的组织架构和人员职责。业务持续计划设计的目的是：Ø定义、制作、建置与测试于灾害发生前、中、后的组织架构设计与行动计划，以确保公司各重要关键业务的持续运作。业务持续计划设计的进行方式为：Ø首先召开启动会议来说明项目目的、参加人员需求与职责、分发业务规范工作手册（Workbook）、确定工作手册返回日期。Ø收集与分析工作手册内容。Ø确认系统各要素的备份处理：§重要应用系统§系统软/硬件§数据库§网络§特殊需求§备份处理§数据保存§系统安全第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEØ确认业务连续各要素的持续处理：§系统持续§本地用户§远程用户§入网机构§服务者§供货商§人员§特殊需求§次序/优先级Ø开发业务持续计划的细节。Ø确定各项工作的负责人及其应完成职责。Ø开发灾难通报程序。Ø开发人员、技术、物资、通讯、运输、后勤支援、信息发布、救援行动等的指挥协调机制。Ø开发业务恢复工作项目图表及时间安排。Ø开发回切作业处理：§设备修复与重购§建筑物重建§数据回归§业务切换Ø完成《业务持续计划》初稿。Ø制作业务持续计划的桌面演练计划，演练活动包括：演练时间、演练范围、目标、参加人员、所需资源、假设状况、衡量标准、过程叙述、结果讨论与计划维护。Ø建立业务持续计划维护的处理规范：包括正常计划维护、根据演练结果的维护、由于各项变更而产生的维护、定期维护、回切作业的维护。Ø在灾备技术系统建立后，实施业务持续计划实际测试。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEØ根据桌面演练与测试，完成对《业务持续计划》的完善和修订。Ø向管理阶层作总结报告。业务持续计划设计给客户带来的效益是：Ø建立紧急应变组织与行动的指导文件。Ø作为演练和测试的指导方针。Ø用于企业业务持续计划的稽核。1.1.1.1.1.业务持续计划的演练和维护业务持续计划的演练和维护通过对业务持续计划的桌面演练、实际测试、和维护管理，确保业务持续计划保持最新及有效性。XXX将在ABCDE应急预案开发完毕后，协助为ABCDE实施应急预案的实际测试（真实演练）。XXX建议ABCDE每年执行一次桌面演练和一次真实演练。业务持续计划的维护包括：Ø日常计划维护Ø根据演练结果的维护Ø由于各项变更而产生的维护Ø定期维护Ø恢复计划和回切计划的维护1.1.1.1.2.业务持续计划方法小结实施业务持续计划，可以降低由于灾害发生造成对于自身及客户的服务中断，避免客户权益受损而造成的纠纷甚至涉及诉讼赔偿。采用XXX业务持续计划方法论来规划、建立与确实执行一套完善的业务持续计划，在遭遇不可预料的灾害发生时，能够于计划时间内恢复重要关键性业务的持续运作，确实保障客户、员工的权益以及降低公司的财务损失于最低，以达成公司永久经营的理念。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.1.1.1.项目管理方法论XXX的项目管理方法解决了主要的项目管理问题，使得项目能够按时按预算完成，并为设计高质量的产品提供了保证。它侧重于对整个项目的启动、进行和结束的管理，解决了以下几方面的问题：l范围和变更管理l项目计划l风险降低l交付管理l配置管理l问题和解决方案l质量l沟通l故障管理1.1.1.1.1.项目启动在项目启动时，项目实施责任从项目建议经理移交到项目经理。项目经理筹建项目小组。一旦项目小组建立，项目经理向小组成员提供足够的实施信息。项目经理制定出详细的项目/服务及支持计划，与用户和合作厂商及子包商共同商讨以确保所有参与者能够在相同计划下开始工作。1.1.1.1.2.项目控制项目质量控制的目的是确保以下几点：l应用开发完成其内容，并达到预定的目标；l最终的系统是稳定的和可用的；l确保项目能按预定计划完成。因此，在项目进行中，需要设立若干控制点，以确保项目的质量是可控的，XXX第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE的项目控制主要包括以下几类：l系统方案质量控制；l业务质量控制；l项目初始阶段质量控制；l项目进行中质量控制；l项目结束阶段质量控制。整个控制过程可用下图来描述：XXX的质量控制队伍是独立于项目组的，作为XXX项目成功的重要因素和保障，在项目执行过程中始终与项目组保持密切联系。从另一个角度观察项目的开展，帮助项目组发现和解决项目执行中的问题，确保项目的成功。在方案交付阶段，项目管理与其他子过程并行执行。它从方案交付阶段开始直到项目完成。它的步骤和任务侧重于交付小组的管理工作。项目管理是一个不断重复的过程，许多任务例如“过程控制”要贯穿于项目的始终，而另外一些任务会因为突发事件而启动，例如：l用户、XXX或供应商要求改变需求l提前实现需求(AS)l用户处于紧急关头l交付品信息反馈第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEl实际过程与计划过程有差异l标识新的风险此过程在项目启动和项目结束之间与“实施方案“过程并行进行。它们是两个不同的方面。项目管理过程侧重于管理项目计划中定义的步骤，确保实现所有的承诺，及时向用户和XXX双方反馈情况，保证项目质量。其中最关键的工作是对计划外事件的管理(变更、风险等)，这些例外事件会在很大程度上影响用户的满意程度另外一个重要工作是合同管理，必须维护合同条款以确保履行所有合同中的义务。1.1.1.1.1.项目风险管理风险管理概述风险，多指对项目“不利”的不确定因素。这些不利的风险存在于任何项目中，并往往会给项目的推进和项目的成功带来负面影响。风险一旦发生，它的影响是多方面的，如导致项目产品/服务的功能无法满足客户的需要、项目费用超出预算、项目计划拖延或被迫取消等，其最终体现为客户满意度的降低。因此，识别风险、评估风险并采取措施应对风险即风险管理有着十分重要的意义。   风险管理的步骤：项目的风险是多方面的。为此，项目风险管理主要有以下几个步骤：风险识别、定性/定量风险分析、风险应对计划编制及风险监控。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE风险重估风险计划落实风险监控风险计划编制定性/定量风险分析风险识别/记录风险注销风险识别(RiskIdentification)风险识别是指识别并记录可能对项目造成不利影响的因素。风险识别不是一次性的工作，而需要更多系统的、横向的思维。几乎所有关于项目的计划与信息都可能作为风险识别的依据，如项目进度及成本计划、工作分解结构、项目组织结构、项目范围、类似项目的历史信息等。风险分析(RiskAnylise)其次，通过风险识别过程所识别出的潜在风险数量很多，但这些潜在的风险对项目的影响是各不相同的。“风险分析”即通过分析、比较、评估等各种方式，对确定各风险的重要性，对风险排序并评估其对项目可能后果，从而使项目实施人员可以将主要精力集中于为数不多的主要风险上，从而使项目的整体风险得到有效的控制。风险应对 (Riskresponse) 最常采用的应对威胁的几种措施是：规避、减轻、转移、接受。   风险监控(Riskmonitoring)风险监控主要包括以下任务：l在项目进行过程中跟踪已识别风险、监控残余风险并识别新风险。   第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEl保证风险应对计划的执行并评估风险应对计划执行效果。  l对突发的风险或“接受”的风险采取适当的权变措施。  1.1.1.1.1.项目结束项目经理在全部方案或主要时间表提交之后，组织项目评估。要求用户提出满意程度反馈。方案评估结果(功能及交付过程)做为XXX重复实施的重要依据。任务完成情况做为衡量“人力资源”和供应商的标准。项目经理主持研讨并总结汇报项目经验。1.1.2.行业经验XXX在税务行业具备丰富的行业经验，详细情况请参考投标文件中相关的项目经验证明材料。1.1.3.服务团队1.在项目资源上的优势XXX在本项目中将调配来自IGS（XXXGlobalService）等部门的资深专家和顾问，并利用业界久富盛名的XXX全球服务方法论（GSMethod）以及XXX长期从事I/T服务所积累的知识库ICM（IntellectualCapitalManagement），来为ABCDE提供优质的服务。其中，在GSMethod中，囊括了包括项目管理、行业应用、系统设计、软件开发、业务连续性及容灾、I/T管理等所有的I/T服务的项目实施方法论。2.XXX在项目管理上的优势成功的企业依赖成功的管理，同样，成功的项目需要成功的项目管理。XXX凭借在IT多年的成功经验和众多优秀的人才，更能深切地体会到项目管理对整个项目的重要性。一个成功的项目管理不仅意味着项目的计划，还包含其他众多的方面。XXX公司目前是世界拥有项目管理人才最多的公司之一，它独特的项目管理经验成为全世界的经典教材，因此到目前为止，全世界认证的项目管理专家有一半以上来自XXX公司。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.XXX咨询服务方案1.1.项目管理服务1.1.1.工作目标本项任务的目的是为项目计划、沟通、汇报、程序及合同任务建立一个框架，XXX项目经理有权代表XXX负责合同中规定的各项活动。1.1.2.工作内容1.项目启动l与ABCDE管理层确认项目目标与范围，完善整合的项目计划，并将项目内容细化；l召开项目启动会，介绍项目目标，范围和工作方法；l明确ABCDE和XXX双方项目组成员，形成联合项目小组，明确人员职责和分组情况；l制定项目工作方法，文档规范，汇报方式和周期；l项目正常运行所需的基础设施到位；l确定项目内外部需要调查的数据、资料，探索在需要时可利用的资源；l组内讨论和确定访谈对象、访谈问卷和时间表。对于ABCDE高层领导的访谈需提前两周预约，对于需要ABCDE提供的其它配合事项需提前三天预约。2.项目计划l与ABCDE的项目负责人讨论工作说明书和双方的合同责任；l准备一个详细的项目计划来确定和划分工作层次，设立项目小组任务阶段性完成的主要标志，以及阶段性完成的预定时间和达成的主要途径；l协调建立项目环境；第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEl制定变更控制计划；l制定项目状态汇报计划；l为ABCDE项目小组做定向指导。1.项目跟踪和汇报l根据项目计划衡量、跟踪和评估项目的进展；l与ABCDE项目负责人一起解决项目计划出现的例外情况；l审查项目的任务进展、日程安排和资源调配，并根据情况做出适当的改变；l与ABCDE项目小组一起召开例会，以检查项目进展状况；l在例行项目状况检查会议上，与ABCDE的项目负责人一起共同审查项目进展状况；l每周提交项目报告；l实施项目变更控制程序；l审查并分析项目变更需求；l审查ABCDE项目小组的工作成果。1.1.1.项目提交成果项目管理的项目提交成果包括《项目管理计划》、《项目启动报告》、《项目周报》。主要内容如下：l明确公司目前面临的主要问题和咨询项目工作的重点；l成员角色矩阵，明确项目组构成、人员和职责；l制定详细整合的项目工作计划，包括项目分工、阶段成果和工作进度审核时间；l提供公司高层和项目管理小组对项目进行监控和沟通交流的基础。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.1.应急预案开发1.1.1.服务目标应急预案开发的目标是通过风险评估和业务影响分析，设计并明确详细的灾难恢复流程以及所需的环境和资源，配合ABCDE设计相应的应急响应组织与人员，结合目前的恢复技术方案制定业务连续性计划与灾难恢复计划，调整日常运维管理规范，并给出应急平台设计建议。1.1.2.服务内容1.1.2.1.风险分析咨询服务工作目标风险分析咨询服务的目标是针对ABCDEIT系统进行风险分析，确定相关信息系统所面临的潜在风险，风险的发生可能性以及风险等级，并通过分析结果导出相应的灾难场景和制定出相应的预防控制措施，同时也为业务影响分析和业务连续性战略制定提供基础和依据。工作内容风险分析咨询服务内容包括识别信息系统面临的自然的和人为的威胁，分析各种威胁发生的可能性，定性描述可能造成的损失，并确定对风险的防范和控制措施。风险分析服务具体包括以下内容：l开发风险分析调查问卷，为填写问卷和访谈人员召开一次讨论会，介绍项目背景、工作方法、访谈过程和调查问卷填写方式。l收集信息：通过实施人员访谈、巡视当地状况等方式来搜集相关资料和信息。l分析信息：对收集到的资料和信息进行分析和评估，如记录评估结论、判别风险级别、确定合理的减低风险威胁的处理方法和优先次序、记录发现与建议等。§对ABCDE关键信息资产所面临的灾难性事件（威胁）进行定义、分析和描述，并进行定性的分析评估；第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE§根据风险严重性和风险发生的可能性，评价风险及确定风险级别；§识别减少/降低风险、威胁或隐患的方法，提出应对各类风险的具体建议。l准备报告：对得到的结果按照ABCDE要求进行整理并准备报告，提交书面《风险分析报告》。l召开风险分析报告讨论会，向ABCDE项目领导小组汇报工作成果。项目提交成果《ABCDE信息系统风险分析和应对报告》，分析可能对企业业务系统和IT系统的安全性造成威胁的各种风险因素并提出相应的对策和改进方案，确定各类事件会对业务系统造成的影响，其中主要包含以下部分：l风险分析咨询方法l风险分析信息收集l风险因素评估l风险分析结论l风险应对建议1.1.1.1.业务影响分析咨询服务工作目标业务影响分析咨询服务的目标包括：l确定关键业务功能和支持关键业务功能的关键应用系统；l确定系统中断不同时间对业务的损失和影响；l确定业务系统的容灾指标，包括系统的恢复目标和恢复优先顺序；第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE工作内容XXX将针对ABCDE业务系统（调查范围详见附录E系统列表）的特点，设计有针对性的调查问卷，通过和相关部门的访谈和会议，完成资料的收集工作。并对资料进行分析整理，完成业务影响分析报告。业务影响分析的主要内容包括：l开发业务影响分析调查问卷，为填写问卷和访谈人员召开一次讨论会，介绍项目背景、工作方法、访谈过程和调查问卷填写方式；l收集调查问卷反馈，分析调查问卷提供信息，为业务影响分析研讨会做准备；l与访谈人员就调查问卷内容举行一次为期不超过两天的访谈，确认信息包括：§业务系统功能§业务系统受损时不可量化损失情况§应用实现方式§应用不可用时的后备手段§后备手段数据丢失情况§业务关键时段§可接受应用停顿和数据丢失情况§现有灾备相关组织架构和管理制度的评估l分析访谈所收集信息，得出各关键业务系统可容许中断的最大时间长度，确认各关键业务的恢复时间目标（RTO）需求。l分析各关键业务系统数据丢失的可容许程度，确认各关键业务系统的恢复点目标（RPO）需求。l确定恢复需求：§分析各关键业务系统性能下降容忍度，确定最低恢复要求；§分析各关键业务系统间的相互影响程度，确定系统的恢复顺序；l举行为期一天的业务影响分析讨论会，讨论并最终确定各主要生产与管理系统具体的灾难恢复目标。l准备报告：对得到的结果按照ABCDE第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE要求进行整理并准备报告，提交书面《业务影响分析报告》。l召开业务影响分析报告讨论会，向ABCDE项目领导小组汇报工作成果。项目提交成果《ABCDE信息系统业务影响分析报告》，组织对各业务系统的基础信息调研工作，联合用户的业务人员和技术人员，进行相关的业务影响分析调研访谈，评估各种突发事件对业务系统的影响程度以确定关键的量化指标其中主要包含以下部分：l业务影响分析咨询方法l业务影响分析信息收集l业务功能、重要性、服务时段与关键时间点分析l业务中断影响与容忍度分析l灾备恢复策略建议1.1.1.1.环境影响分析工作目标当前环境分析主要是收集目前的系统现状，从基础设施、组织结构、恢复流程等各层面来评估ABCDE现行各业务流程的恢复能力，了解信息系统现状和应急体系可利用的IT资产信息。工作内容该任务主要负责收集目前ABCDE信息系统现状，并对系统现状进行整理、分类和分析。并从多个层面对系统的可恢复能力进行调研，了解目前系统响应突发事件的能力，明确信息系统现状和应急体系可利用的IT资产信息，并提出相关的改进建议。l系统现状调研lXXX提供一个信息收集模版，包括各软硬件平台和备份系统现状的典型内容；第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEl进行相关访谈；l根据访谈的结果，XXX作进一步的分析，并向ABCDE项目组进行初步汇报；l提交《ABCDE信息系统现状调研报告》予ABCDE项目组。l可恢复能力分析l和ABCDE一起确认各信息系统可恢复能力分析的访谈单位；lXXX制定可恢复能力的分析表格，根据系统现状进行初步分析，并和各访谈单位一起确认；l根据访谈的结果，XXX作进一步的分析，并向ABCDE项目组进行初步汇报；l根据沟通结果，XXX通过研讨会的形式，最终确定目前的可恢复能力，和业务影响分析所需要的可恢复能力进行比较，找出现状和预期目标之间的差距；并根据差距提出相关的改进建议；项目交付成果在环境影响分析中，XXX将递交交付件《ABCDE系统现状调研报告》1.1.1.1.业务连续性策略咨询工作目标业务连续性战略咨询服务的目标是结合ABCDE的具体情况，以及前期风险分析及业务影响分析确定的关键系统对应国家标准GBT20988-2007《信息系统灾难恢复规范》中定义的灾难恢复策略级别，识别和确定在应急事件中需要保存的所有业务、数据或资源的备份，并确定其处理需求，建立消减当前业务连续性水平和目标水平之间差距的业务连续性战略。工作内容XXX将在风险分析、业务影响分析和环境分析的基础上，结合ABCDE的具体情况，按照成本风险平衡原则制定业务连续性战略，主要内容包括：l安排两次与ABCDE的高层领导的访谈，了解ABCDE高层业务发展战略；第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEl根据风险分析和业务影响分析得到的灾难恢复目标，确定各业务的灾难恢复等级及要求，同时参考国务院信息化办公室发布的国家标准GBT20988-2007《信息系统灾难恢复规范》中的灾难恢复等级划分内容制定业务连续性策略；l召开业务连续性战略报告讨论会，向ABCDE项目组及高层领导进行汇报。项目提交成果业务连续性战略咨询服务的项目提交成果为《ABCDE业务连续性策略报告》，主要包含以下部分：l高层访谈纪要lABCDE业务系统恢复等级l业务连续性策略规划1.1.1.1.IT系统突发事件应急管理计划咨询工作目标IT系统突发事件应急管理计划咨询的目标是结合前期风险分析、业务影响分析的结果，根据ABCDE业务连续性策略，协助ABCDE构建IT系统突发事件应急管理体系；定义应急响应组织架构；明确详细的应急管理流程，以及所需的环境和资源；对应急管理中突发事件应急预案提出规范；协助ABCDE对日常运维管理规范进行相应的调整；并对IT系统应急平台提出设计建议。工作内容l结合前期风险分析、业务影响分析的结果，根据ABCDE业务连续性策略，协助ABCDE构建IT系统突发事件应急管理体系，提出应急指挥（响应）中心的建设建议l应急管理组织与人员结构设计第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE§结合IT系统突发事件应急管理体系明确目前ABCDE的组织架构§对ABCDE应急管理恢复组织与人员结构进行初步设计§向ABCDE项目组进行汇报，并根据汇报结果对应急管理组织与人员结构进行调整§对灾难恢复组织与人员结构中的角色和责任进行细化§向ABCDE进行高层汇报§协助ABCDE建立应急响应组织l突发事件应急响应流程设计§完成ABCDE应急响应流程设计l突发事件应急预案的制定突发事件应急预案是当突发事件发生时，业务部门为确保企业关键业务功能连续运作而必须遵循的恢复流程和步骤。lXXX将针对ABCDE业务的特点，设计有针对性的调查问卷，通过和相关部门的访谈和会议，完成资料的收集工作。并对资料进行分析整理，完成适合ABCDE现状的突发事件应急预案模板。主要内容包括：开发突发事件应急预案调查问卷，为填写问卷和访谈人员召开一次讨论会，介绍项目背景、工作方法、访谈过程和调查问卷填写方式；收集调查问卷反馈，分析调查问卷提供信息与访谈人员就调查问卷内容举行一次为期不超过两天的访谈，确认信息包括：u业务功能，并指明关键功能u业务恢复步骤u关键资源u在IT不可用的情况下如何维持业务u如何在IT系统恢复的情况下恢复业务§基于调研结果，开发适合ABCDE现状的突发事件应急预案模板u对应急预案提出应急预案编写规范第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEu对应急预案中涉及到IT恢复手段相关的技术内容提出技术手册规范准备报告：对得到的结果按照ABCDE要求进行整理，提交书面《ABCDE信息系统突发事件应急预案》。l为应急管理体系制定配套的管理与规章，根据应急响应的要求，对日常运维管理规范进行相应的调整§制定日常运维管理服务团队结构§制定应急管理维护流程§制定应急管理文档日常管理流程§制定应急管理演练组织流程l结合XXX为其它客户建设应急平台的经验，针对应急平台的设计和实现思路提供设计建议项目提交成果l《ABCDE信息系统突发事件应急预案》，协助ABCDE信息中心建立IT系统突发事件应急预案，应急预案内容包含：应急响应组织架构，管理、决策、指挥和执行流程、相关恢复步骤、应急指挥（处理）中心设置等等。l《ABCDE信息系统突发事件应急预案日常运维手册》：制定针对应急预案中包含的组织、流程、设备、技术进行日常管理和运维的具体操作流程，包含预案的更新流程、文档日常管理流程、演练组织流程等。l《ABCDE信息系统应急平台建议报告》，针对应急平台的设计和实现思路提供设计建议。1.1.应急预案宣传和培训1.1.1.服务目标应急预案开发完成后，应对各级税务机构根据IT应急预案内容，有组织、有计划地开展IT应急宣传教育活动。由XXX提供培训手册，协助ABCDE组织相关培训工作，对ABCDEIT第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE应急组织机构各级人员提供相关培训，目的是使其掌握IT应急管理知识、应急预案、相关应急程序、应急指挥技能、报告程序和方式、信息管理等知识。1.1.1.服务内容l开发培训计划l与各相关部门交流确定培训目的、培训计划和参与培训人员名单l开发应急预案培训手册及培训教程l对IT应急组织机构各级人员提供应急预案培训培训时间为三天培训地点位于广州市内，由ABCDE指定并支付场地费用1.1.2.服务交付成果《ABCDE信息系统突发事件应急预案培训手册》：根据应急预案编写简明易懂的培训手册，方便税务系统人员快速了解应急预案的内容。1.2.应急演练1.2.1.服务目标预案开发完毕后，针对应急预案将进行相关的演练，演练将包括2次桌面演练和一次有业务人员参加的真实演练，演练的范围可能覆盖全省GH系统。演练的目的是使IT应急组织机构各级人员以及业务人员掌握IT应急管理知识、应急预案、相关应急程序、应急指挥技能、报告程序和方式、信息管理等知识及真实操作技能。1.2.2.服务内容l确定应急演练的场景第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEl根据演练场景及应急预案，制定桌面演练计划l协助组织桌面应急演练，根据设定的灾难场景，依照演练计划实施桌面演练§对演练流程进行监督§记录演练活动、所需时间、发生问题与障碍等§进行演练后的汇报§根据桌面演练结果修改演练计划及应急预案l根据桌面演练的结果，制定真实演练计划l协助组织真实应急演练，根据设定的灾难场景，依照演练计划实施真实演练§对演练流程进行监督§记录演练活动、所需时间、发生问题与障碍等§进行演练后的汇报§根据真实演练结果修改应急预案1.1.1.服务交付成果l《ABCDE信息系统突发事件应急预案演练计划》，制定详细的应急预案演练方案。包括：演练目标、演练范围、演练时间进度、参与人员、具体操作流程等。l《ABCDE信息系统突发事件应急预案演练总结报告》,针对应急预案的成果进行总结，对可能出现的问题提出详细的解决方案建议。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.1.服务实施计划工作内容第一周第二周第三周第四周第五周第六周第七周第八周第九周第十周第十一周第十二周项目管理风险分析咨询业务影响分析咨询环境影响分析业务连续性策略咨询IT系统突发事件应急管理计划咨询协助构建IT系统突发事件应急管理体系应急管理组织与人员结构设计突发事件应急响应流程设计突发事件应急预案的制定调整日常运维管理规范对应急平台的设计和实现思路提供建议应急预案宣传和培训应急演练第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.项目的质量与进度管理、组织和报告XXX公司作为业务连续计划咨询服务的专业提供商，深刻了解到应急演练咨询服务项目复杂度高、实施周期长、工作关联度高的特点，从而更加体会到项目管理对整个应急演练咨询服务项目的重要性。为了圆满完成规划和管理项目的咨询工作、保障项目实施的顺利、平稳进行，XXX公司将组织一支精干由多名经验丰富咨询顾问及技术专家的服务队伍，运用先进的项目管理方法，对ABCDE信息系统应急演练咨询服务项目进行科学的管理，保证项目按时、按质、高效得地达到预定的项目目标。具体来说，XXX将从以下九个方面对项目进行管理，包括：项目整体管理、项目范围管理、项目进度管理、项目成本管理、项目质量管理、项目人力资源管理、项目沟通管理、项目风险管理、项目采购管理。而每个项目管理流程，又会再细分成若干子流程，如：计划、实施、控制和收尾等。考虑到本项目的的复杂性和重要性，ABCDE有关领导的指导和相关技术和业务人员的参与，对于本项目来说，也是至关重要的。1.1.项目组织架构为了保证ABCDE全省应急演练咨询服务项目能够顺利快速投产，XXX公司计划与ABCDE共同成立项目组织机构来共同组织、配合，以管理和控制和实施此项目：1.1.1.项目领导小组项目领导小组的成员来自ABCDE的相关项目负责人和XXX公司的有关部门主管，它将负责：·协调整个项目的规划和责任目标的确定·监督并协调项目的实施进程·定期审核项目经理就项目进展执行情况的书面报告·对项目中存在的问题做出决策·协调解决重大问题和突发事件1.1.2.项目经理XXX公司将为ABCDE应急演练咨询服务项目指派一名资深项目经理，带领XXX公司的项目组为ABCDE提供应急演练咨询服务。与此同时，ABCDE第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE也应相应配备项目经理或者项目负责人，配合和协调咨询过程的工作，XXX项目经理将在总体上负责本咨询项目的计划、组织、实施、协调、人员配置并监督工作情况及进度等工作，负责各方的沟通联系，负责项目的管理，带领高效的团队在指定的时间和项目费用内完成项目，并负责咨询方交付件的质量。ABCDE项目经理管理负责协调ABCDE项目组的计划、资源和活动。项目经理的职责是：·负责向项目领导小组定期报告项目进展情况·就项目中存在的问题提出解决建议·对项目进行有计划地组织管理，并检查项目进展情况·负责协调和客户的关系。其人员简历参见后文5.5节。1.1.1.资深业务连续与紧急事件恢复咨询顾问组（BCP咨询顾问组）该小组的成员全部由XXX的资深BCP咨询顾问师组成，负责为ABCDE提供包括各部门系统的调研、风险分析、业务影响分析、信息系统应急处理执行预案设计、组织结构和流程制定等工作。其人员简历参见后文5.5节。1.1.2.高级信息系统架构专家（系统架构师）组该小组的成员全部由XXX的高级架构师组成，负责为ABCDE提供业务连续和紧急事件恢复总体框架设计，以及协助项目的计划、组织、任务分解分配、执行等工作。其人员简历参见后文5.5节。1.1.3.系统运维管理、流程咨询顾问该顾问人员为具有ITILManager、具有ISO20000认证的咨询顾问，负责协助完成信息系统应急处理执行预案的总体设计、流程设计。其人员简历参见后文5.5节。1.1.4.税务管理及行政管理专家该专家为XXX为本项目配备的熟悉和理解税收业务和行政管理发展趋势和现状的税务系统专家，负责协助项目工作，确保项目设计符合ABCDE的业务发展要求。其人员简历参见后文5.5节。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.1.1.高级技术、架构专家组（包括高级网络架构设计师、高级机房架构设计师、主机系统技术专家、存储区域网技术专家）这些小组的成员由XXX的高级专家如网络架构设计师、机房架构设计师、服务器专家、存储专家、数据库专家、中间件专家等组成，在项目经理的带领下、咨询顾问和架构设计师的指导下，对项目的具体技术和产品进行评估设计和数据分析，并对本项目提供技术咨询支持。这部分人选在项目具体实施过程中根据需要在相关阶段参与。其人员简历参见后文5.5节。1.2.项目质量与进度管理实施方案为了能保障服务项目的顺利完成，XXX准备分以下几个阶段对整个项目进行管理：1.2.1.项目开始阶段的管理内容·项目的接管，需求详细调查和分析·需求分析及项目内容的确认·项目组人员及任务确认·确认项目的范围和目标并明确界定工作及职责范围·完成详细的项目实施计划·制订工作计划和服务内容·制订应急计划1.2.2.项目过程管理内容·跟踪项目进度·控制工作质量和预算·安排项目小结的会议·进行阶段总结检查，准备阶段总结报告·处理变更和意外的情况·按要求修改实施的计划和工作安排表·制订下一个阶段的计划1.2.3.项目完成阶段的内容·评估项目的完成情况·项目总结工作第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE·客户的反馈意见的处理·给客户提供下一步的工作建议报告1.1.项目质量与进度管理服务内容1.1.1.项目计划管理在项目开始前，服务商的项目经理将准备一个项目计划来确定各阶段划分和工作层次，并且为整个项目组(包括服务商和ABCDE项目成员)设立阶段性完成的标志（里程碑）。在项目实施过程中，项目经理将根据情况对项目的任务进展、日程安排和资源调配作出适当的改变。特别是在项目变更后，根据项目领导小组的审议结果调整项目计划,并不断调整一份为完成有关合同所要求的项目主要里程碑时间表。来自服务商和客户的业务和技术人员应该定期考察并修改这份时间表，从技术上监督项目管理的执行。1.1.2.项目范围和变更管理在实施一个复杂系统的过程中，项目的变更几乎是不可避免的。项目的变更包括，由于客户需求的改变而造成的项目范围的扩大或缩小；双方人员安排的改变而造成的项目进度计划的改变等等。为此服务商的项目经理将与客户的项目经理一起对项目的进度和状态进行评估、协商和决策，并在必要时，向本项目的管理委员会提交项目变更请求和按照项目协调委员会的审议结果调整和执行项目计划。1.1.3.项目风险管理每个项目都会面临各种各样的风险，有偶发的、人为的、内部的、外部的原因，为此，对项目进行风险评估，以采取相应措施来降低可能出现的风险是项目管理必不可少的过程。在项目实施过程中，要确保及时获得项目进程中所需的各种信息，及时预见、报警和防范工程实施中可能出现的各种风险，从而保证最小程度的差误损失。以下是一个工程可能遇到的风险及减轻风险的因素的例子：外部风险减轻风险的因素业务需求改变（业务转型、市场变化和成长）Ø制定并管理一个已被清楚定义的工程范围Ø在制定工程范围时，尽早获得客户高级管理人员的承诺Ø制定项目的阶段性总结制度，并要求在下一阶段工程开始前，能得到管理层对上一阶段总结的批准和认可Ø项目成员防止项目范围的变更，并坚持执行已定义且已获得批准的项目变更程序。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDEØ当遇到不可避免的改变时，如业务转型时，需要确定项目范围改变的程度。对整个项目实施和成本的影响应尽可能快地得到管理层的批准。资源冲突或约束Ø尽早指明项目资源需求（项目小组和关键用户）Ø在项目小组内，制定任务和责任Ø获得管理层的承诺和支持Ø监控和管理关键用户的可用性厂商产品和服务交付延迟延迟Ø尽早指明产商和系统集成商造成的延迟Ø根据厂商、系统集成商和用户的要求，建立补救措施和计划Ø通报所有相关的合作伙伴因此可能造成的项目延迟Ø得到产商和客户管理层对于项目的修改计划和费用的批准内部风险减轻风险的因素客户承诺Ø作为项目开始的一个关键步骤，需建立一个指导小组，成员包括客户项目主管、最终用户项目主管、客户项目经理和一个核心用户小组。Ø得到项目主管的所有承诺Ø项目主管提名建立项目用户小组，确保小组成员全时间投入本项目并了解项目的重要性，提供全力的支持。客户的项目经理直接向项目主管负责。Ø清楚制定项目的组织架构和责任Ø建立和沟通对整个组织最有效的工作方式Ø在项目开始时，与最终用户沟通项目的实施方法和里程碑及时批准工作项目和决定Ø坚持已指定并获得批准的决定，根据项目任务和责任改变管理的方针和程序Ø增强关键用户的权利，使牵涉批准和事件解决过程的人员最为精简Ø建立和管理清楚定义的交付项目范围改变Ø从第一阶段开始，建立和管理清楚定义的项目范围Ø所有项目成员了解和交流防止项目范围改变的策略Ø项目成员防止项目范围的变更Ø坚持执行已定义且已获得批准的项目变更程序Ø沟通工程计划，管理双方的期望Ø记下此项目范围之外的其他合作机会Ø紧密而持续监控范围改变引起的结果和冲击厂商的管理Ø尽早得到各厂商的承诺Ø定义和明确各厂商在此项目中的任务和责任Ø对进度和工程质量进行定期检查Ø第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE项目成员的期望、情绪和流动建立和明确项目成员的任务、责任以及上下级关系Ø工作重点在于阶段性实施的整体完成工作任务Ø建立相关的奖励和奖金制度Ø提前作出其他新合作机会的人员安排Ø引导团队的建立Ø鼓励培训和个人成长Ø在项目实施期间对项目成员提供帮助，管理项目成员的变更项目成员的专业知识和能力Ø项目合作伙伴确保为此项目提供适当的资源Ø强调团队工作和知识共享Ø监控项目成员的专业知识和能力及培训需求，并根据需要对人员的任务和责任作出调整1.1.1.项目文档交付件管理　XXX将严格对工程文档进行管理。具体包括：n客户原始资料、合同、项目计划、项目进度、项目投资、项目预算n项目设计、施工、验收的标准、依据和规范n会议记录、洽商、备忘录等n建立信息控制制度，包括文件收发记录、文件存档、会议记录管理、相关票据管理等。n服务商和客户双方若要对文档进行修改，需经对方讨论后确认，在对文件进行讨论之前两个工作日向对方的项目经理或/和有关的项目小组成员提交文件稿。在文件经过讨论且对其的修改得到客户和产商项目经理的批准之后，必须在五个工作日之内向对方的项目经理提交修改后的文件或将文件完成修改的确定日期通知对方的项目经理。1.1.2.项目成本管理项目成本管理是项目管理的主要目标之一，项目管理的职责是在规定的时间内、规定的约束条件下完成给定的任务，而项目的成本就是一个主要的约束条件。XXX针对应急演练咨询服务项目的项目成本的特点，通过四个管理过程实现对应急演练咨询服务项目的成本控制，这四个过程是资源计划、成本估计、成本预算、成本控制，下面分别说明四个管理过程的具体措施。n资源计划第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE资源计划的过程是基于对项目的范围划分、工作内容分解结构、资源库的分析、组织策略的确定，以及以往的历史资料，采用专家判断法与头脑风暴法得出项目实施中的资源需求。n成本估计成本估计的过程是基于项目资源需求、工作内容分解结构、资源单价、活动时间的估计、财务图表以及历史资料，采用类比估计的方法计算出项目成本估计、详细说明、成本管理计划。n成本预算成本预算的过程是基于项目成本估计、工作内容分解结构、项目进度，采用成本估计的方法得出基准成本。n成本控制成本控制过程是基于基准成本、执行情况、改变的需求、成本管理计划，采用成本改变控制系统得出修改后的成本估计与预算更新。1.1.1.项目问题管理　项目管理尤其是大项目管理中，一个最重要的问题就是如何快速、高效地发现问题、解决问题，XXX针对灾难备份与恢复项目中问题的特点，采用问题分级、层层落实、及时跟踪的方法进行管理，具体的管理措施说明如下：　首先，组建一个问题管理的组织架构，该架构包含客户与产商的项目经理及双方的问题管理专员；　其次，制订项目问题管理的处理流程、问题的分级原则、不同等级问题的处理原则、问题跟踪原则、例会制度等，并对相关人员及合作方进行培训；第三，定期组织召开项目问题报告例会（可以考虑放在项目例会中报告），定期回顾项目问题及解决情况；第四，根据项目问题管理的执行情况，不断优化解决流程。1.1.2.项目质量管理　项目质量管理包括制定项目质量管理计划、项目质量保证体系、项目质量控制的实施。　项目质量管理计划中涵盖了具体的项目质量目标，相关质量标准，具体的技术参数，测试方法及手段，抽样比例，责任人员，质量问题处理措施等。　项目质量保证体系，是通过一套标准化的流程，确保项目质量达到预先设定的质量目标。　按照项目质量管理计划及项目质量保证体系的要求，进行项目计划的编制和实施。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.1.1.项目沟通管理　在项目管理的整个过程中，沟通管理贯穿了从项目计划，项目执行，项目控制，项目收尾的各个阶段。项目的成功离不开沟通管理，只有良好的沟通管理，项目经理才能调动项目团队的力量和发挥项目项干系人的作用，使项目顺利进行。　在项目实施过程中，项目经理在客户项目经理的配合下，根据项目计划，跟踪、衡量和评估项目的进度和状态。如果出现与项目计划不同的情况，则与客户项目经理一起，根据项目变更控制程序进行处理。而且，根据项目协调委员会的授权，项目经理可在必要时调整项目变更控制程序，以更好地平衡工程的效率和质量。　在常规的项目状况检讨会议上，项目经理将与客户的项目经理共同检查项目的进展情况，并对项目的状况进行报告。项目经理在需要时还会参加客户定期举行的对项目的检讨或/和汇报会议。项目经理一般每一周或两周将举行一次项目汇报会议，在需要时，也可按项目阶段性完成标志举行。在每次汇报一会议以后，都提交一份项目状况报告，包括以下内容：n上阶段完成的任务n本阶段计划的任务n存在的问题和计划采取的措施n遗留问题跟踪n延迟任务情况及采取的措施n所需的支持1.2.项目实施计划表项目签定合同后，XXX公司将与ABCDE的有关负责人一起，根据ABCDE2008、2009年度的工作计划安排，结合实际情况，制订一个更加详细而可行的服务项目实施计划表。XXX公司按照这个实施计划，为ABCDE提供应急演练咨询服务。1.3.主要项目人员简历1.3.1.项目经理第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.XXX全球服务中国有限公司介绍XXX的咨询服务与技术服务作为业务连续性相辅相成的两大组成部分，有能力帮助客户对隐藏的各种风险做出最大程度上的防护，以保证客户业务的健康发展。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.结束语“客户第一”，“一切为客户着想”始终是XXX的服务原则与信念。XXX会在ABCDE应急演练咨询项目中珍惜每一个服务机会，达到双赢的结果。我们坚信在ABCDE各级领导的指导及有关部门的大力协助和配合下，在XXX公司高水平的专家和工程师们全心全意的工作下，在我们规范化的项目管理协调下，我们一定会按照ABCDE的要求圆满完成此项服务任务。我们相信同时也期待着这个服务项目会为ABCDE的大发展带来积极而深远的影响。最后，再次对ABCDE给予我们的信任表示深深感谢！第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书 ABCDE1.附录附件一、ABCDE信息系统应急演练咨询服务项目工作说明书(SOW)是本服务建议书不可分割的必要组成部分。第54页/共54页ABCDE信息系统应急演练咨询服务项目方案建议书