DB11T 1289-2015 信息技术灾难恢复系统成本效益评估规范

ICS35.020L02DB11北京市地方标准DB11/T1289—2015信息技术灾难恢复系统成本效益评估规范InformationTechnologyCost-benefitevaluationspecificationofdisasterrecoverysystem2015-12-30发布2016-04-01实施北京市质量技术监督局发布DB11/T1289—2015I目次前言.................................................................错误！未定义书签。引言................................................................................III1范围...............................................................................12术语和定义.........................................................................13缩略语.............................................................................24评估框架...........................................................................24.1基本框架.......................................................................24.2主要内容.......................................................................35评估流程...........................................................................35.1评估实施过程...................................................................35.2评估准备.......................................................................35.3经济效益分析...................................................................55.4社会效益分析...................................................................55.5成本效益评估...................................................................75.6评估结果使用...................................................................85.7评估文档记录...................................................................8附录A（资料性附录）灾难恢复系统经济效益评估方法...................................10附录B（资料性附录）灾难恢复系统社会效益评估方法...................................12附录C（资料性附录）灾难恢复系统成本效益计算示例...................................13参考文献.............................................................................16DB11/T1289—2015II前言本标准按照GB/T1.1-2009给出的规则起草。本标准由北京市经济和信息化委员会提出并归口。本标准由北京市经济和信息化委员会组织实施。本标准主要起草单位：北京市政务信息安全应急处置中心、北京邮电大学、万国数据服务有限公司。本标准主要起草人：王宗君、王枞、张涛、陈钊、刘建毅、关继铮、张勇、刘鹏、刘国伟、雷鸣涛、于俊。DB11/T1289—2015III引言随着北京市各政府部门、企事业单位以及各行各业对灾难恢复需求日益增强，在限定资源下，灾难恢复系统的成本、收益备受关注。对灾难恢复系统进行成本效益评估，可以确保资源合理配置、确保灾难恢复系统预期收益，也是北京地区灾难恢复系统建设的实际需要。灾难恢复系统成本效益是从经济效益和社会效益角度，全面地分析灾难恢复系统规划、设计、实施、运维、废弃等信息系统生命周期各阶段的系统成本，结合相关收益评价指标，评估灾备系统运行前后经济、社会效益的变化趋势，为灾难恢复系统预期效益的预测及实际效益的评价提供科学依据。为了有效进行灾难恢复建设的事前论证和事后评估，满足北京市信息化和灾难恢复建设的需求，本规范在国家标准GB/T20988-2007的基础上对灾难恢复系统成本效益评估进行了规范，规定了从经济效益和社会效益两方面综合评估灾难恢复系统成本效益，定义了从发展趋势、增长率等方面评价经济效益，从业务连续性能力、政务安全、应急能力、服务质量、用户满意度、企事业信息化等方面评价社会效益。DB11/T1289—20151信息技术灾难恢复系统成本效益评估规范1范围本标准规定了灾难恢复系统成本效益评估的评估框架和评估流程。本标准适用于灾难恢复系统的成本效益评估。2术语和定义GB/T20988-2007界定的以及下列术语和定义适用于本文件。2.1灾难disaster由于人为或自然的原因，造成信息系统严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。通常导致信息系统需要切换到灾难备份中心运行。[GB/T20988-2007，定义3.8]2.2灾难恢复disasterrecovery为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。[GB/T20988-2007，定义3.9]2.3灾难恢复系统disasterrecoverysystem用于灾难恢复目的，由备用数据处理中心、备用的工作环境、备用生活设施和技术支持及运行管理人员组成的信息系统及场所。2.4灾难恢复系统成本效益disasterrecoverysystemcost-benifit灾难恢复系统投入运行后，其为组织带来的经济效益和社会效益。经济效益包括成本与经济收益，社会效益包括社会经济影响、应急恢复能力和社会满意度。2.5灾难恢复系统经济成本disasterrecoverysystemeconomiccost用于实现灾难恢复功能所需投入，包括用于场地、设备、软件、工具、人力资源、外包服务等方面的资金投入。2.6DB11/T1289—20152灾难恢复系统经济收益disasterrecoverysystemeconomicincome灾难恢复系统在接替生产系统运行期间所产生的业务收益，以及保障业务连续性所产生的后期间接性业务收益。2.7灾难恢复系统业务收益disasterrecoverysystembusinessincome发生灾难后，灾难恢复系统接管生产系统运行期间，为组织所产生的业务收益(如资金、固定资产等，未建立灾难恢复系统的组织在此期间的业务收益为零）。2.8灾后直接性经济收益directeconomicincomeafterdisaster灾难恢复系统投入运行后用于规避因业务中断造成的经济损失值。2.9灾后间接性业务收益indirectbusinessincomeafterdisaster灾难恢复系统产生的间接性业务收益，包括由于客户数量增加所带来的业务收益增长、得到监管机构和股东认可所带来的投资增长、上市公司股票市值的增长、新业务增加所带来的业务增长。3缩略语下列缩略语适用于本文件。RTO：恢复时间目标（RecoveryTimeObjective）4评估框架4.1基本框架灾难恢复系统成本效益由经济效益和社会效益组成，如图1。各阶段成本总和接替运行及保障业务连续性所获得的收益对社会经济的贡献大小对社会政治的影响程度服务社会的程度大小经济效益分析社会效益分析灾难恢复系统成本效益成本计算经济收益计算评价社会经济效益评价应急恢复能力评价社会满意度图1灾难恢复系统成本效益构成分析DB11/T1289—201534.2主要内容4.2.1经济效益分析经济效益分析的主要内容是：a)对一定时间跨度（T）内，灾难恢复系统所花费的成本进行计算；b)对一定时间跨度（T）内，应用灾难恢复系统可为组织获得的经济收益；c)评价灾难恢复系统对经济效益的影响。4.2.2社会效益分析社会效益分析的主要内容是：a)评价一定时间跨度（T）内，组织应用灾难恢复系统所获得的社会经济影响；b)评价一定时间跨度（T）内，组织应用灾难恢复系统的应急恢复能力；c)评价一定时间跨度（T）内，组织应用灾难恢复系统所获得的社会满意度；d)根据成本及经济收益，计算一定时间跨度T内的经济效益；e)根据社会经济影响、应急恢复能力和社会满意度，评价一定时间跨度T内的社会效益。5评估流程5.1评估实施过程灾难恢复系统成本效益评估的实施过程如图2所示。图2灾难恢复系统成本效益评估实施过程5.2评估准备5.2.1概述在实施成本效益评估前，评估准备主要内容包括：DB11/T1289—20154a)确定成本效益评估的目标；b)确定成本效益评估的范围；c)组建适当的评估管理与实施团队；d)进行数据采集及分析；e)确定评估依据及方法；f)制定成本效益管理方案；g)取得最高管理者对成本效益评估方案的同意。5.2.2确定目标根据灾难恢复系统运行情况及组织业务持续发展的实际状况，按照灾难恢复有关法律法规的规定等内容，分析灾难恢复系统投入运行前后组织的不同收益及成本效益关系。5.2.3确定范围灾难恢复系统成本效益评估范围可以是组织灾难恢复系统规划、设计、建设、实施及废弃各阶段的成本效益，也可以是某一阶段的成本效益，或可以是一定时间跨度（T）内的成本效益。5.2.4组建团队开展组织内部评估，由管理层、相关业务骨干、信息技术专员等人员组成评估小组。进行外部评估，除评估方、被评估方组成评估小组外，可组建由双方相关负责人参加的评估领导小组，必要时聘请相关专业的技术专家和技术骨干组成专家小组。评估实施团队做好评估前的表格、文档、检测工具等各项准备工作，进行灾难恢复系统成本效益评估技术和保密教育，制定评估过程管理等相关规定。可根据被评估方要求，双方签署保密合同，必要时签署个人保密协议。5.2.5数据采集评估小组进行充分的数据准备，数据采集的内容包括但不限于：a)灾难恢复各阶段成本；b)灾难恢复系统运行日志；c)财务数据；d)灾难恢复系统预期收益数据；e)其它灾难恢复系统数据。5.2.6确定依据根据数据采集及分析结果，确定评估依据和评估方法。评估依据包括但不限于：a)现行国际标准、国内标准、行业标准、地方标准；b)行业主管部门对灾难恢复的要求和制度；c)数据样本规律等。根据评估依据考虑评估的目的、范围、时间、效果、人员素质等因素以选择具体的成本效益计算方法，并根据相关准则确定相关的成本效益判断依据，以期得出准确的结论。5.2.7制定方案成本效益评估方案的内容包括但不限于：a)团队组织：包括评估团队成员、组织结构、角色、责任等内容；DB11/T1289—20155b)工作计划：灾难恢复系统成本效益评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容；c)时间进度安排：项目实施的时