ITサービス継続性の概要
ITサービス継続性管理を実装する目的は、ITサービスの可用性(可用性の概要、「DevOpsの運用と保守シリーズ:可用性管理」を参照)とパフォーマンスが災害発生時に十分なレベルに維持されるようにすることです。実際、継続性管理は現在の災害復旧管理(IT側)です。
定義:災害(ITIL 4)
組織に大きな損失または大きな損失をもたらす突然の事故。イベントを災害として分類するには、イベントが組織によって事前定義された特定のビジネス影響基準を満たしている必要があります。
現在、多くの企業、特に銀行、証券、保険、消費者金融などの金融業界で継続性管理を行っています。企業は最初に規制要件に対応する必要があります。国際および国内の標準化組織と監視機関の両方が、継続性に関する一連の管理基準を発行しています。以下を参照してください(一部)。
| 国際標準 | ISO 22301:2012ビジネス継続性管理 |
| 国家標準 | GB / T30146-2013公安事業継続管理システムの要件 |
| 国家標準 | GB / T20988-2007情報セキュリティ技術情報システム災害復旧仕様 |
| 業界標準 | 保険情報システムの災害復旧管理ガイドライン(Bao Jian Fa [2008] No. 20) |
| 業界標準 | 銀行業界における重要な情報システムの緊急管理の基準 |
| 業界標準 | JR / T 0044—2008銀行業界情報システム災害復旧管理仕様 |
第二に、サービスの継続性を確保することはますます重要かつ困難になっています。特にデジタル変革の文脈では、多くの企業のビジネスはITシステムに大きく依存しており、ITサービスの継続性がますます重要になっています。深刻なサービスの中断は、企業に壊滅的な影響を与える可能性があります。
ITIL 2では、サービス継続性管理プロセスはサービス提供のプロセスの1つです。ITIL 3では、継続性管理はサービス設計のプロセスです。ITIL2と比較して、プロセスアクティビティに大きな変更はありませんが、リスク管理方法が詳細に説明されています。では、ITIL4のITサービス継続性管理の新しいハイライトは何ですか?
ITサービス継続性の用語
定義:サービス継続性
災害または破壊的なイベントが発生した後、許容可能な事前定義されたレベルでサービス運用を継続するサービスプロバイダーの能力。
この定義では、継続性管理の範囲を災害として定義する必要があります。継続性管理は、壊滅的なイベントの計画と対応の手段です。壊滅的でないイベントの管理は、通常、次のようなITサービス継続性管理の実践には含まれていません。
●小さな不具合。ビジネスへの影響に応じて、障害は軽微な障害または重大な障害と見なす必要があります。影響を受けるメンテナンスアクション、障害スケール、障害時間などの要因を考慮することが重要です。
●戦略的、政治的、市場または業界のイベント
定義:サービス継続性計画
サービス継続性計画は、サービスプロバイダーが対応し、回復し、サービスの中断後に通常のレベルに戻るようにガイドします。
サービス継続計画には通常、次のものが含まれます。
●対応計画:火災やネットワーク攻撃などの被害を防ぐために、サービスプロバイダーが破壊的なイベントに最初にどのように対応するか。
●復旧計画:サービスプロバイダーがサービスを復旧してRTOとRPOを達成する方法。
●通常の運用計画の再開:サービスプロバイダーが復旧後に通常の運用を再開する方法。
指標:RTOおよびRPO
定義:RTO回復時間目標
サービスの中断後、ビジネス機能が失われるまでに経過する可能性のある最長の時間は、組織に深刻な影響を及ぼします。これは、製品またはアクティビティを復元するか、リソースを復元する必要がある、合意された最長の時間を表します。
定義:RPOリカバリポイントの目的
アクティビティが再開されたときにアクティビティを効果的に実行するには、アクティビティで使用されている情報をこの時点まで復元する必要があります。
RTOは、事業を中断できる期間を規定しています。RPOは、データ損失が許容される期間を指定します。通常、RTOとRPOは継続性管理のメトリックとして使用され、SLAに書き込まれます。
サービス継続性管理プロセス
サービス継続性管理活動は、次の5つのプロセスに分けられます。
●サービス継続性管理のガバナンス
●ビジネスインパクト分析
●サービス継続計画の策定・維持
●テストサービス継続計画
●対応と復旧。
1.サービス継続性管理のガバナンス
サービス継続性ガバナンスには、主に3つのアクティビティが含まれます。範囲の定義、戦略の選択、および認識と運動計画の作成です。一般に、継続的な企業には大きな主要なビジネスはなく、ITシステムはさらに複雑でインタラクティブです。経済効率のために、すべてのアプリケーションとインフラストラクチャコンポーネントがバックアップされることを企業が保証することは不可能です。そのため、最初にBIA(ビジネス要件分析)に従って主要なビジネスとコンポーネントを決定します。次に、さまざまなレベルに応じて、さまざまな災害復旧方法とドリル計画を選択します。
2.ビジネス影響分析BIA
ビジネスへの影響分析には、次のアクティビティが含まれます。
●VBF認識
●中断の結果の分析
●VBF相互依存認識
●サービス継続性要件を決定する
ITIL 4は、これらのアクティビティの特定の実装方法を提供していません。特にBIAの開発方法についての記事を書きます。BIAの難しさは、技術的な実装レベルにあります。システムアーキテクトが関与する必要があり、リスク評価には技術者も必要です。
3.サービス継続性計画を作成して維持します
このプロセスに含まれる手順は次のとおりです。
●サービス継続戦略策定
●サービス継続計画の策定
●サービス継続計画の予備テスト
サービス継続性戦略には、継続性のレベル、対応するRTOおよびRPOの目標、可用性の目標、および実行のレベルを含めることができます。といった:
金融セクターにおけるクラウドコンピューティングプラットフォームの耐災害性のレベル要件
影響範囲 |
危険のレベル |
||
軽微な影響 |
一般的な影響 |
深刻な影響 |
|
内部補助管理 |
レベル1 |
レベル2 |
レベル3 |
内部運用管理 |
レベル2 |
レベル3 |
レベル4 |
市民、法的人物およびその他の組織の経済的権利 |
レベル3 |
レベル4 |
レベル5 |
国家の財政の安定と財政秩序 |
レベル4 |
レベル5 |
レベル6 |
キーインジケーター:
耐災害性レベル |
RTO |
RPO |
可用性 |
レベル3 |
<= 24時間 |
<= 24時間 |
|
レベル4 |
<= 4時間 |
<= 1時間 |
|
レベル5 |
<= 30分 |
ほぼ0に等しい |
|
レベル6 |
<= 2分 |
0 |
訓練レベルは、「保険業界情報システム災害復旧管理ガイドライン(Bao Jian Fa [2008] No. 20)」に、卓上訓練、シミュレーション訓練、実際の戦闘訓練、部分訓練、および完全訓練として規定されています。
4.テスト継続性計画
このプロセスには、実行演習と継続的なレビューの2つのアクティビティが含まれます。
5.対応と回復
応答には、対応するサプライヤのサービス継続性計画の呼び出しが含まれます。
ITサービスの継続性と可用性の相関関係と違い
最初に違いについてお話ししましょう。
目的の観点から、サービス継続性管理には、重大な影響を及ぼさない軽微な障害または短期的な障害の処理は含まれていません。発生の可能性や可能性に関係なく、大きな損傷に関連するリスクに焦点を当てています。通常、これらは緊急事態です:火災、洪水、停電、データセンターの障害など。可用性管理の実践は、サービスプロバイダーとユーザーへの障害の悪影響を無視しませんが、プロセス内の個々のコンポーネントのわずかな中断も考慮します。
測定指標に関しては、サービス継続性はRTOとRPOであり、可用性指標はMTTR、MIBF、および可用性%です。
連絡先について話しましょう。
サービスの継続性と可用性は、実装方法でVBFとリスク評価を使用し、サービス障害のBIA分析が必要です。したがって、実装プロセス中に形成されたドキュメントと出力コンテンツは、これら2つのプラクティスで使用できます。システムトポロジ図、VBF、およびリスク評価がITサービスの運用および保守管理にとってどれほど重要であるかがわかります。これらは基本的な情報であり、これら2つのプラクティスに加えて、構成管理にも使用できます。残念ながら、多くの企業がこの基本的なレベルで欠けています。多くの人が高度な方法論と技術について言及していますが、基盤が整っていないため、運用と保守の管理が混乱し、信頼できる証拠がありません。
総括する
災害への備えを行う場合、ITILによって説明されているITサービス継続性管理だけを見るだけでは十分ではありません。また、規制要件を解釈するために業界標準と管理基準を組み合わせる必要があります。主な理由は、ITILで説明されているITサービス継続性管理の実践は主にITレベルで説明されているが、企業の運営・維持管理の観点から「事業継続性管理」を実施すべきである。残念ながら、ITIL 4にはこのレベルに関する説明がいくつかありますが、説明は十分に包括的ではありません。事業継続管理の規制解釈については、後ほど書きます。
継続性管理は、方法論と技術的実装の点で非常に複雑であり、特に多くの企業が現在、クラウドアーキテクチャとマイクロサービスに新しいテクノロジーを適用しています。災害への備えを行う方法とその技術的解決策が現在議論されています。現在、サービス継続性管理を専門とする多くの企業が市場に出回っており、企業も継続性管理を外部委託することを選択できますが、その効果はまだ不明です。