灾难恢复有章可循

2007-11-26 《中国计算机报》 文/郭涛

如果现在还有厂商宣称灾难恢复分为7等级，您要注意，这种说法已经不再符合标准。因为从2007年11月1日开始，灾难恢复行业国家标准《信息系统灾难恢复规范》（GB/T 20988-2007）（以下简称《规范》）开始实施，它将信息系统灾难恢复能力划分为6个等级。

GDS万国数据服务有限公司副总裁、首席灾备专家汪琪，是《信息系统灾难恢复规范》主要起草人之一。

从灾难恢复到业务连续性

人们通常所说的灾难恢复涵盖了面向灾难所做的数据备份、应急处置、恢复、重建和回退等，但这只限于IT系统的范围。从IT系统进一步延伸出去，包括IT支持的业务系统的恢复，如业务单元的恢复、管理体系和运作体系的恢复，以及对相关组织和人的影响等，则是业务连续性考虑的范畴。

无论是业务连续性规划（BCP）还是业务连续性管理（BCM），其本质是相同的，都是从业务和管理的角度去考虑当灾难发生后，如何对整个体系，包括管理体系、业务运作体系、IT支撑体系、后勤保障体系等进行恢复，最终实现整个功能体系的恢复。

上世纪70年代，灾难恢复市场刚刚兴起，欧美等国家也是从灾难恢复做起，当时大家关心的也只是数据和IT系统的恢复。到了上世纪90年代，欧美等国家才开始谈论业务恢复。从欧美等国家的相关标准来看，谈得更多的是业务连续性管理，因为在这些国家，灾难恢复和业务连续性管理是由风险控制和业务部门来驱动的。而我国的《规范》是一个关于信息系统灾难恢复的技术规范，这是因为我国现阶段的灾难恢复建设主要还是由IT来驱动的。GDS万国数据服务有限公司副总裁、首席灾备专家汪琪表示：“从灾难恢复到业务连续性管理，这是一个不断演进的过程。《规范》在方法论方面也是采用业务连续性的理论，并与国际标准接轨，只是考虑到中国用户的实际情况和可操作性等问题，目前的《规范》主要关注的还是信息系统的灾难恢复问题。”

从《指南》发布到《规范》出台的两年多时间里，我国灾难恢复建设的发展速度很快。“我们现在做的许多项目已经超出了灾难恢复的范围，是完全的BCM管理项目。”汪琪举例说，“比如我们的一个银行客户，他们在实施业务连续性管理项目时，牵头的单位已经不是IT部门，而是企业的风险管理和业务部门。从实践来看，整个行业正从单纯的灾难恢复向业务连续性管理过渡。”

市场细分

《规范》的出台对于那些提供相关解决方案的厂商来说是不是一道更高的门槛？汪琪认为，与其说《规范》是一道门槛，不如说《规范》的出台将导致市场细分。以前，提供相关存储解决方案或软件解决方案的厂商都可以说自己有能力提供灾难恢复解决方案，但如果按照《规范》的内容，这些厂商解决的仅仅是一个技术环节的问题，《规范》中涉及到的众多与灾难恢复相关的管理方面的问题，上述厂商却无能为力。灾难恢复市场将走向多元化，有提供数据备份和恢复解决方案的公司，也有专门提供灾难恢复规划和灾难恢复预案制定的咨询公司，还有像GDS万国数据这样提供服务的公司，为用户提供整合所有资源、流程、产品和管理的合规服务。

对于那些已经或准备在国外上市的中国企业来说，如果其信息灾难恢复系统是按照《规范》中的要求进行实施的，那么不必进行改动就能完全满足当地法规和审计的要求。因为《规范》与国际标准是兼容的，其理论基础相同，都是在业务连续性这个大框架下制定的。参照《规范》，国内各行业也在制定自己的行业管理规范，比如《银行业信息系统灾难恢复管理规范》已经是送审稿。《规范》只是对灾难恢复的工作范围、组织机构、规划管理等做了最基本的规定，各行业可以在此基础上，针对实际情况再进行细分，比如灾难恢复做到哪个等级。

本专题主要还是从信息系统灾难恢复方面给了行业用户一些建议。但是，实现信息系统的灾难恢复还只是第一步，未来还要逐渐过渡到实现业务连续性。

《信息系统灾难恢复规范》新在哪里

《信息系统灾难恢复规范》（以下简称《规范》）是在2005年以文件形式发布的《重要信息系统灾难恢复指南》（以下简称《指南》）的基础上进行反复修改后推出的。《指南》是文件，而《规范》是国家标准，这表明我国的灾难恢复建设正朝着规范化、标准化迈进，并与国际标准接轨。《指南》主要针对的是银行、电力、民航、铁路、证券、税务、海关、保险等关系国计民生的重点行业信息系统灾难恢复，而《规范》则是具有普遍适用性的灾难恢复技术规范。

《指南》中定义的有关灾难恢复的专业术语有15个，而在《规范》中增加到25个，增加的主要是与业务连续性相关的一些术语。相对于SHARE78，《规范》借鉴了其中的分等级管理思想，同时根据中国的信息系统现状做了改进和扩展，更具可操作性。《规范》根据数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、技术支持能力、运行维护支持能力、灾难恢复预案7个要素将信息系统灾难恢复能力划分为6个等级。