数据中心业务连续性等级评价白皮书2023.docx

目录一、概述11.l编写背景11.2相关标准21. 3编制方法和过程2二、等级模型31.1 数据中心的定义和分类31.2 数据中心业务范围以及本标准的数据中心分类72. 3数据中心业务连续性等级分级8三、等级构造与分值计算93. 1等级构造93.1.1 数据中心设施可用性93.1.2 数据中心业务连续性管理能力93.1.3 数据中心业务运行效果103. 2分值计算103.3等级的确定10四、评分规则104. 1设施可用性要素及评分规则104. 2管理能力要素及评分规则134. 3运行效果评分规则34五、数据中心业务连续性等级建设与评价354.1 业务连续性等级建设354.2 业务连续性成熟度评价354.2.1 评价流程355. 2.2评价方法375.3 自评价流程和要点375.3.1 自评价方式375.3.2 自评价流程385.3.3 自评价交付物395.4 第三方评估流程和要点405.4.1 第三方机构评价流程405.4.2 第三方机构评价内容41六、典型实践3506.1 数据中心业务中断案例426.2 数据中心业务连续性组织架构示例436.3 风险评估（RA）案例436.4 业务影响分析（BlA）案例456.5 业务连续性计划案例456.6 预警与沟通案例466.7 人员意识与培训案例466.8 资源建设与维护案例476.9 演练与改进案例47一、概述11编写背景在国家标准GB/T33136-2016信息技术服务数据中心服务能力成熟度模型中，服务连续性管理被列入成为数据中心管理的一个重要的能力项。GB/T33136国家标准编制过程中，很多专家认为在GB/T33136中能力项要求的基础上，需要编制专门的数据中心业务连续性能力领域的国家标准，用于具体指导数据中心业务连续性能力的建设，于是提出了国家标准提案。在GB/T33136国家标准实施的过程中，通过走访各类数据中心，发现目前各类数据中心在业务连续性管理领域存在许多问题（参见业务连续性管理在数据中心的应用现状刊于数据中心建设+ISSN1726-5924总第227期），数据中心往往仅进行了灾备建设，而没有进行全面的业务连续性管理，需要尽快推动有关标准制定工作。2019年10月17日，国家市场监督管理总局、国家标准委下达2019年第三批推荐性国家标准制修订项目（国标委发（2019）29号）公告，信息技术服务数据中心业务连续性等级评价准则（以下称本标准）正式获批立项，标准计划号20193178-T-469。国家标准计划下达后，突发新冠疫情。在很多数据中心管理者都亲身经历过非典疫情的大背景下，大多数据中心仍没有制定处置疫情的业务连续性计划，只是被动地按照属地政府部门和疾控部门的要求采取必要的防控措施。很少有数据中心能够多想一步，与属地相关部门密切互动，及时了解和掌握当地人员和场所隔离的具体措施和要求，并在此基础上提前制定和落实当本数据中心发生需要隔离人员或场所时，如何保持业务连续等比较全面的预案。随着疫情的发展，越来越多的数据中心管理者认识到，数据中心的业务连续性管理不仅仅是灾备，他们开始对数据中心业务连续性管理有了比较全面的思考和认识，表示他们越来越深刻理解在GBZT33136编制过程中提出编写本标准的重要意义，询问标准编制进度。据国家发改委发布的来自国家信息中心的统计数据，占我国全社会用电量约2%的数据中心，支撑了占全国GDP约36.2%的数字经济规模（已剔除这些业务中与数据中心不直接相关的部分），数据中心在国民经济中发挥越来越重要的关键作用。当前随着中国制造2025、网络强国战略、国家大数据战略、两化融合、互联网+、一带一路、云计算、大数据、CPS（信息物理网络）等新的一批国家战略制定和新技术如火如荼地发展，不仅将使数据中心建设进入了一个高潮期，同时，各行各业也对数据中心越来越依赖。随着各行各业数字化转型的逐步深入，元宇宙的充分发展，在银行业后，将诞生更多对数据中心和信息技术高度依赖的行业，数据中心支撑的GDP占比还会继续提升，数据中心对提升全社会生产效率和全要素生产率作用巨大，数据中心服务的中断不再是数据中心自己的事，将会成为一个系统性的社会风险，数据中心安全生产成为总体国家安全观的重要组成部分，必须引起高度的重视。在此背景下，本标准开始征集参编单位，并启动标准编制工作。刚刚开始征集参编单位，就获得了积极响应，近30家单位首批报名。编制单位中，有一半是数据中心组织（包括运营商数据中心、第三方数据中心等独立的数据中心企业和包括银行、保险、证券、航空等企业内设的数据中心组织），另一半则是数据中心的服务商。参编单位包括央企总部、央企专业子公司、地方国企、香港上市公司、境内上市公司、金融科技公司、管理咨询公司、信息技术服务公司、数据中心建设公司等，具有广泛的代表性。本标准进入征求意见阶段后，仍有公司表示希望参与编制。标准编制完成后，为了方便大家更好地理解和应用标准，我们组织了标准的主要编写者编制了本白皮书。1.2相关标准1、国家标准化管理部门和行业监管机构的早期标准和监管指引国家标准化管理部门很早就开始在数据中心业务连续性管理有关领域开展了相关标准制定工作。发布了GB/T20988-2007信息安全技术信息系统灾难恢复规范等国家标准。部分行业监管机构也陆续发布了一些行业标准和指导文件，例如：人民银行金融行业标准JR/T0044-2008银行业信息系统灾难恢复管理规范、保监会保险业信息系统灾难恢复管理指引、民航业民用航空重要信息系统灾难备份与恢复管理规范、银监会商业银行业务连续性监管指引等等这些标准和指引在某些方面为数据中心服务连续性管理提供了有力的支持。2、业务连续性管理领域的标准2012年起，我国开始构建业务连续性管理相关的国家标准体系，陆续开始发布业务连续性管理领域的国家标准，例如：.GBT31595-2015公共安全业务连续性管理体系指南（等同ISO22313:2012）.GBT35625-2017公共安全业务连续性管理体系业务影响分析指南（BIA）（等同IS0/TS22317:2015）.GBT38299-2019公共安全业务连续性管理体系供应链连续性指南（等同ISO22318:2015）.GBT40755-2021公共安全业务连续性管理体系业务连续性管理能力评估指南.GBT30146-2023安全与韧性业务连续性管理体系要求（等同ISo22301:2019）这些国家标准主要都是等同采用ISO国际标准，2021年发布的GB/T40755是该领域的第一部自研国标（本标准有望成为第二部自研国标，也是第一部业务连续性管理领域的行业应用国标）。但是这些标准要求过于通用，不能体现数据中心业务特点，往往导致将数据中心服务对象的业务当作是数据中心业务，不能很好指导数据中心的业务连续性工作。本标准业务连续性管理能力部分，与GB/T40755给出的框架保持一致，并针对数据中心的业务特点进行了细化完善。3、信息技术服务领域与连续性管理有关的标准GB/T2887-2011计算机场地通用规范规定了数据中心场地的可用性水平，为开展数据中心业务连续性管理工作奠定了一定技术基础。该标准也成为本标准判定数据中心可用性水平的重要依据。IS020000-1：2018Informationtechnology-Servicemanagement-Part1:Servicemanagementsystems、GB/T33136-2016信息技术服务数据中心服务能力成熟度模型等标准，都有关于服务连续性的要求，但是其要求过于笼统。本标准可以对其进行很好的补充。1.3编制方法和过程本标准的编制方法和过程遵循了ITSS系列标准的编制方法和过程，保持了与FrSS系列标准和业务连续性管理领域标准的一致性。本标准来源于2019年10月17日，国家市场监督管理总局、国家标准委下达2019年第三批推荐性国家标准制修订项目（国标委发（2019）29号）公告，本标准计划号20193178-1469。本标准属于信息技术服务标准体系（5.0版）中“基础服务标准”板块下的“数据中心”部分。本标准以公开征集参编单位的方式，征集了参编单位，并组成了标准工作组。根据标准工作组的任务分工，牵头单位负责标准的组织与实施、相关资料的搜集和调研、标准框架编制、标准内容起草、反馈意见整理、定稿、报批等工作。成员单位根据分工安排，完成组长分配的标准编制任务、参与标准讨论和征求意见的反馈。2021年1月29日，召开本标准启动会暨第一次封闭编写工作会议。通过线上会议形式召开。本次会议启动了本标准的编写工作，参会专家就标准大纲结构和内容框架进行讨论，明确了后续工作计划。2021年3月4日至3月5日，本标准第二次封闭会议在上海召开。本次会议完成了标准大纲的讨论、编写和定稿，为后续全体人员的封闭编写做好准备。2021年3月30日至4月1日，本标准第三次封闭编写会在北京召开。本次会议对本标准的编写大纲进行了确认，完成编写组的分组分工，各小组充分讨论并形成了小组草案；会议对后续工作作出安排，计划2021年6月份提交草案。2021年5月11日至5月12日，在北京召开第四次封闭编写工作会议在北京召开，完成本标准草案的编写。2021年7月14日至7月16日，在北京召开第五次封闭编写工作会议在北京召开，会议形成本标准征求意见稿。2021年8月开始公开征求意见，并组织两次专家征求意见会议。1）第一次专家征求意见会：9月18日线上会议形式进行，本次会议有来自中体彩科技发展有限公司、上海计算机软件技术开发中心、北京大学（天津滨海）新一代信息技术研究院、一体化指挥调度技术国家工程实验室、中国人民银行清算总中心、应急管理部通信信息中心等6家单位专家出席，反馈意见29条，采纳17条，未采纳12条。2）第二次专家征求意见会：12月13日通过线上会议形式进行，本次会议有来自中国应急管理学会标准化专业委员会、中国人寿、中国计量科学研究院、中治研（北京）国际信息技术研究院、中国计算机用户协会信息科技审计分会、海通证券等6家单位专家出席，反馈意见6条，采纳6条。2021年12月，完成征求意见的修改处理。形成标准送审稿，完成标准审查。2022年3月，标准编制组根据审查意见修改，形成标准报批稿。、等级模型2.1数据中心的定义和分类什么是数据中心？目前尚无统一的定义。比较典型的对“数据中心”的定义有两种：1、以GB50174数据中心设计规范为代表，将数据中心定义为：为集中放置的电子信息设备提供运行环境的建筑场所，可以是一栋或几栋建筑物，也可以是一栋建筑物的一部分，包括主机区、辅助区、支持区和行政管理区等。2、以GB/T33136信息技术服务数据中心服务能力成熟度模型和GB/T32910.1数据中心资3源利用第1部分：术语为代表，将数据中心定义为：由计算机场地（机房）、其他基础设施、信息系统软硬件、信息资源（数据）和人员以及相应的管理制度组成的实体。本标准中所称数据中心沿用了第2种定义，因为本标准聚焦数据中心业务连续性，一组建筑，乃至建筑中的IT设备系统，都是不存在业务的概念的，只有一个包括了人员和制度的组织实体才会存在业务这个概念。平台资源（操作系统、数据库、中间件）虚拟资源（网络资源、计算资源' 存储资源）PaaS服务IaaS服务 1JI -托管服务-U口口口口门业务系统服务IUHIUHllllTLllHllllHlll:SaaS服务在国家标准GB/T28827.4-2019信息技术服务运行维护第4部分：数据中心服务要求中，对数据中心所拥有的资源进行了进一步的层次划分，如下图所示。物理奥源（网络、服务器、存储）机房JS础设施（电气系统、通风空调系统、消防系统、智能化系统）图1数据中心的资源层次如图所示，一个数据中心可能拥有上图所示的全部或者部分层次的资源。拥有的资源不同，数据中心所能提供的服务也不同。数据中心目前并没有一个统一的分类方法，不同的视角对数据中心的分类不同。D按照数据中心资源分层服务的视角这种分类方法是基于数据中心拥有图1数据中心的资源层次中的不同层次的资源，可以提供不同的服务来分类的。数据中心类型特点业务处理服务数据中心这类数据中心拥有应用系统资源，并直接或者间接拥有其他资源，可以直接支撑组织的业务。算力服务数据中心这类数据中心拥有信息系统硬件资源（物理资源），并直接或者间接拥有机房基础设施资源，提供算力服务，供业务系统使用。其中拥有并使用以云计算技术为代表的虚拟资源提供算力服务的数据中心又被称为云计算数据中心。场地服务数据中心仅拥有机房基础设施资源，为信息系统硬件提供稳定的电力供应和运行环境的数据中心。场地服务数据中心只拥有机房基础设施资源，可以为信息系统硬件提供稳定的电力供应和运行环境，俗称服务器农场。依据机房基础设施可用性水平不同，按照第ii种分类方法，将这类数据中心分为A、B、C三个等级。算力服务数据中心至少会拥有信息系统硬件资源（物理资源），提供算力服务，客户可以将其业务系统部署到这些硬件设备上，这种服务通常称为物理机服务或者裸金属服务。现在只提供物理机服务的数据中心越来越少，这种服务更多地是以一种金融服务的方式来提供融资租赁。取而代之的是，目前更多地提供算力服务的数据中心还会拥有自己的以云计算技术为代表的虚拟资源，客户可以将业务应用部署到虚拟机上，这种提供算力服务的数据中心，也被称作云计算数据中心。业务处理服务数据中心，这种数据中心拥有自己的应用系统和数据，依托直接或者间接拥有的算力资源，支持组织业务，创造业务价值。2）数据中心基础设施可用性等级视角根据国家标准GB/T2887计算机场地通用规范和GB50174数据中心设计规范，目前国内数据中心分为A级、B级、C级数据中心。A级为“容错”系统，可靠性和可用性等级最高；B级为“冗余”系统，可靠性和可用性等级居中；C级为满足基本需要，可靠性和可用性等级最低。数据中心的建设标准应根据数据中心的使用性质、数据丢失或网络中断在经济或社会上造成的损失或影响程度确定建设等级。数据中心的使用性质主要是指数据中心所处行业或领域的重要性，最主要的衡量标准是由于基础设施故障造成网络信息中断或重要数据丢失在经济和社会上造成的损失或影响程度。数据中心按照哪个等级标准进行建设，应由建设单位根据数据丢失或网络中断在经济或社会上造成的损失或影响程度确定，同时还应综合考虑建设投资。等级高的数据中心可靠性提高，但投资也相应增加。3）数据中心规模视角2013年，工业和信息化部、发展改革委、国土资源部、电监会、能源局关于数据中心建设布局的指导意见（工信部联通（2013）13号）中，对数据中心的规模进行了如下划分：数据中心类型规模超大型数据中心大于等于10000个标准机架大型数据中心3000100（X）个标准机架中、小数据中心小于3000个标准机架注：此处标准机架为换算单位，以功率2.5千瓦为一个标准机架。按数据中心项目规范工程建设强制性国家标准（征求意见稿），数据中心设计用电负荷划分对应的数据中心规模如下：建设规模超大型大型中型小型设计最大用电负荷P（MVA）P>4040>P>1010>P>5P<54）其他分类方法数据中心拥有者视角从数据中心的拥有者和服务对象的不同，往往对数据中心进行如下分类。数据中心类型特点自有数据中心组织为了自身的业务需要自建的用于支撑自身业务的数据中心外包数据中心由其他组织建设的供没有自有数据中心（或者自有数据中心能力不足）的组织租用的数据中心。自有数据中心往往由具有足够实力的企业自主建设，该数据中心主要用于支持企业自身的业务。例如，大型银行自建的用于处理自身银行业务的数据中心、通信运营商自建的用于处理本运营商自身漫游清算业务的数据中心等。有些组织的自有数据中心，会利用自身富余的数据中心资源，向同业提供外包数据中心服务，例如某大银行会利用自己的数据中心，为乡镇银行提供数据中心服务（同业外包）；也有的组织由于自有数据中心资源不足，也会在自有数据中心的基础上使用外包数据中心服务。外包数据中心基于经营主体不同，又可以分为两类：运营商数据中心和运营商独立数据中心。运营商数据中心，顾名思义，就是由通信运营商建设的供其他企业使用的数据中心。互联网时代初期，企业接入互联网不便，运营商在为企业提供互联网接入服务的同时，也会在其互联网节点机房中为客户提供一定数量的机位，客户可以将其数据中心设备部署于此，方便客户向其用户提供基于互联网的服务。虽然运营商数据中心在网络接入方面具有优势，但是随着企业数据中心对业务连续性要求的不断提高，为了避免单一运营商的网络接入中断而给自己的业务造成严重影响，往往要求网络接入要来自至少两个不同运营商的多路由，而由于运营商之间的竞争关系，这一要求很难被满足。运营商独立数据中心，往往也被称作第三方数据中心。由于该类数据中心不是运营商建设的，客户使用此类数据中心时，可以选择任意运营商网络，而各运营商也很乐意提供网络接入服务，可以很好地满足多路由接入需求。按照数据中心的服务领域划分数据中心类型特点公共服务数据中心政务数据中心支持政府政务服务的数据中心，如海关信息中心、人民银行数据中心、金税工程数据中心等学校数据中心支持院校教学的数据中心（过去常称为网络中心）医院数据中心企业数据中心（EDC）金融数据中心为银行、保险、证券等金融行业服务的数据中心工业企业数据中心为工业企业、制造业企业等提供服务的数据中心航空数据中心如各航司数据中心、航信数据中心等互联网数据中心（IDC）本意指提供互联网服务（如提供微信服务、互联网游戏服务等）的数据中心，现在引申为提供互联网接入服务（具有ISP资质）的外包数据中心。按照数据中心的服务领域不同，数据中心可以分为很多种类。在这种分类下，往往对应着不同的数据中心监管部门。例如公共服务数据中心由国家机关事务管理局监管、银行保险数据中心由国家金融监督管理总局监管等。按照数据中心在信息技术架构中的用途和地位进行划分随着业务连续性要求越来越高，传统的单一业务应用系统或者系统加数据备份的方式已经不能满足业务连续性的要求，各种不同的业务系统高可用方案随之诞生。应对不同的高可用方案，也就产生了如下的数据中心分类。数据中心类型特点生产中心承载组织业务的关键数据中心。组织的业务应用系统在此数据中心中运行。灾备中心为了确保在生产中心遭遇灾难场景无法提供服务的情况下，组织的业务不因生产中心的中断而中断，通常会建设灾备中心。平时灾备中心通过特定的机制与生产中心保持某种程度的同步，当生产中心不能提供服务时，灾备中心接替生产中心提供一定程度的服务。灾备中心根据其与生产中心的空间距离不同，可分为同城灾备中心和异地灾备中心。为了充分利用资源，有的灾备中心还会承担测试任务。多活中心业务应用系统采用多活架构被部署到不同的数据中心。正常运行时，业务需求按照负载均衡策略被分配到不同数据中心进行处理，并在多活数据中心间保持同步。当多活架构中的某个数据中心服务中断时，剩余数据中心可以立刻接管该中断数据中心的服务。2.2数据中心业务范围以及本标准的数据中心分类从本标准对数据中心的定义可以看出，数据中心是一个组织实体，这个组织实体包括硬（场地、设施、系统、数据）、软（人及规章制度）两个部分，这构成了一个数据中心对外（其他组织）或者对内（上级组织或者其他部门）提供服务的必要基础。一个数据中心所能提供的服务就是这个数据中心的业务。数据中心所提供的服务是为了支持这个数据中心的客户（内部或者外部的）业务，为了与客户的业务进行区分，数据中心的业务通常也称为服务。本标准对数据中心主要按照前面第i种方式进行分类，主要包括机房基础设施服务（场地服务）、云计算服务（算力服务）、业务处理服务三类，并对三类不同类型的数据中心分别规定了可用性水平的评价方法。从数据中心的组织范围来看，一个数据中心要提供上述一种或多种类型的服务，需要有信息科技管理部门来规划整个数据中心技术架构、需要有工程管理部门来建设数据中心基础设施、需要有软件开发部门来开发自研信息系统、需要有系统集成部门来整合各种资源部署各类系统、需要有运维部门来对所有这些设施、系统、架构进行运营维护。从数据中心“硬”的部分看，运维阶段是一个数据中心全生命周期中最长的阶段也是最主要的价值创造阶段；从数据中心“软”的部分看，数据中心往往是指这个运维部门，这时数据中心是一个运维组织。但是也有很多数据中心除了是一个运维组织外，也包括前述一个或者多个其他的部门的职责，甚至直接就是一个具备很强IT能力的业务组织。数据中心业务与数据中心组织范围相关，依托于同一组资源，组织范围不同，该数据中心组织的业务也不同。一个数据中心通常会维护一个完整的服务目录来界定本数据中心的业务范围，并与本数据中心的需方组织（可能是外部的，也可能是上级组织或者是属于同一上级组织的其他组织）通过签署服务水平协议（可参考1S020000-1、SJZT11691）来明确具体业务。2.3数据中心业务连续性等级分级数据中心业务连续性等级自低向高依次为起始级、发展级、稳健级、优秀级和卓越级，并用一、二、三、四、五表示，每个等级表明数据中心业务连续性的能力水平。较高的等级涵盖了低于其等级的全部要求，见图2。图2数据中心业务连续性等级不同业务连续性等级对应数据中心拥有不同可用性级别的设施、不同的业务连续性管理水平以及维持业务连续性的可靠结果。五个级别的主要特征如下：a）起始级（一级）：数据中心拥有开展业务活动所需的基本设施，缺乏开展业务连续性管理工作的意识。数据中心在中断事件发生时，主要依赖数据中心现有的资源和措施，以及相关人员的个人能力来维持和恢复运营。b）发展级（二级）：数据中心拥有开展业务活动所需的基础设施，数据中心的业务连续性管理工作已有简单规划。数据中心为应对中断事件，在机制、资源、措施及人员能力方面开展了预先准备，但这些准备工作在充分性和有效性方面存在明显的不足。c）稳健级（三级）：数据中心拥有开展业务活动所需的基础设施以及冗余设施，在冗余能力范围内，不因一般故障而导致业务中断。数据中心的业务连续性管理工作经过系统地策划，并且有措施确保相关工作受控执行。数据中心为应对中断事件，在机制、资源、措施及人员能力方面都有较充分和有效的准备。d）优秀级（四级）：数据中心拥有开展业务活动所需的容错设施，不应因单一意外事故而导致业务中断。数据中心的业务连续性管理工作是体系化的，并且注重通过各种措施确保相关工作得到严格执行。数据中心为应对可能发生的冲击在机制、资源、措施及人员能力方面开展了相当充分且有效的准备。此外，数据中心实现了绩效量化监测与评估，并予以持续改进。e）卓越级（五级）：数据中心拥有开展业务活动所需的容错设施，不应因单一意外事故而导致业务中断，对多因意外事故具有较强的容错能力。数据中心的业务连续性管理工作是严格体系化的，并且强调通过全面的技术措施确保相关工作严格且高效执行。数据中心为应对中断事件在机制、资源、措施及人员能力方面开展了充分地、有效的准备。数据中心在其经营活动中量化并监测其绩效，予以持续改进以追求更佳绩效。三、等级构造与分值计算3.1 等级构造数据中心不同业务连续性等级对应数据中心拥有不同可用性级别的设施、不同的业务连续性管理水平以及维持业务连续性的可靠结果。数据中心的业务连续性等级也是由数据中心设施可用性、数据中心业务连续性管理能力和数据中心业务运行效果三个方面共同确定的。数据中心设施（基础设施、信息系统硬件、软件和数据）的可用性等级值（L）,表明了数据中心在应对威胁以及灾难场景时可以使用的资源的容错程度，是开展业务连续性管理工作的基础，是本标准的技术部分。数据中心业务连续性管理能力值（M）表明数据中心在威胁以及灾难场景来临之前、期间以及之后开展预防、准备、响应及恢复业务的管理能力，是本标准的管理部分。由于灾难场景不常见，在整个评价周期内可能都不会出现，使用前述两个方面对数据中心业务连续性等级进行认定，只能靠分析、模拟和演练进行验证，与真实能力尚存一定差距。由于实践是检验真理的唯一标准，因此本标准引入了数据中心业务运行效果作为评价的一个方面，用以对评价结果进行修正。3.1.1 数据中心设施可用性数据中心设施可用性等级值由基础设施可用性等级值和信息系统（硬件、软件和数据等）可用性等级值加权聚合而成。本标准附录A给出了不同类型数据中心的设施可用性等级值（L）的取值规则。3.1.2 数据中心业务连续性管理能力数据中心业务连续性管理能力可分解为组织与领导力，业务影响分析和风险评估，业务连续性策略、解决方案和计划，培训与宜贯，资源建设与维护，演练、监视、测量和改进6个方面，即6个能力域；每个能力域又由若干能力子域构成；每个能力子域又包括若干能力项。本标准附录B给出了数据中心业务连续性管理能力构造，该能力构造与GB/T40755附录A给出的能力构造一致；本标准附录C给出了数据中心业务连续性管理能力的能力项指标评分规则，其中指标得分取该指标各子项得分最低值，指标得分不满足1分的要求时，该指标得0分；本标准附录D给出了能力域、能力子域和能力项权重建议，数据中心或评价机构也可根据自身情况确定各指标权重；数据中心业务连续性管理能力值（M）由：能力域、能力子域、能力项评分结果分层、加权、聚合而成。本标准附录E给出了数据中心业务连续性管理能力值（M）分层、加权、聚合的计算方法。3.3.3数据中心业务运行效果数据中心业务运行效果综合考虑了包括中断事件情况、应急恢复处置、业务影响程度等方面。本标准附录F给出了数据中心业务运行效果值（N）取值规则。3.2分值计算数据中心的业务连续性等级得分I由数据中心设施可用性等级值L、数据中心业务连续性能力指标M和数据中心业务运行效果指标N三个方面共同确定，即数据中心的业务连续性等级得分I=（L*0.3+M*0.7）*N式中：1.数据中心设施（基础设施、信息系统硬件、软件和数据）可用性等级值；M数据中心业务连续性管理能力值。N数据中心业务运行效果值。通过前期调研，发现目前行业里普遍存在重建设轻管理和重技术轻管理的现状，特别是随着新技术的逐步普及，出现了技术替代管理的趋势。钱学森认为，研制导弹，三分靠技术，七分靠管理。如今“三分技术，七分管理”已经成为包括网络安全领域在内等各个领域的一句至理名言。本标准也是按照“三分技术，七分管理”，来分配权重:O3.3等级的确定以数据中心的业务连续性等级得分（I）为基础，综合考虑数据中心设施可用性等级（L）得分情况，确定数据中心的业务连续性等级。本标准附录G给出了数据中心的业务连续性等级的确定规则，在数据中心的业务连续性等级得分（I）的基础上，对每一个等级提出了对数据中心设施（基础设施、信息系统硬件、软件和数据）可用性等级值（L）的最低要求。四、评分规则4.1设施可用性要素及评分规则4.1.1 评价项说明本标准所指数据中心采用GB/T33136信息技术服务数据中心服务能力成熟度模型和GB/T32910.1数据中心资源利用第1部分：术语中的定义：由计算机场地（机房）、其他基础设施、信息系统软硬件、信息资源（数据）和人员以及相应的管理制度组成的实体。数据中心设施是数据中心提供给需方的基础设施、信息系统硬件（物理和虚拟资源）、软件和数据。本标准中的数据中心基础设施等同于GB50174数据中心设计规范的数据中心定义，即为集中放置的电子信息设备提供运行环境的建筑场所，可以是一栋或几栋建筑物，也可以是一栋建筑物的一部分，包括主机区、辅助区、支持区和行政管理区等。数据中心信息系统硬件资源由物理资源与虚拟资源组成，其中物理资源包括网络资源、服务器资源与存储资源，虚拟资源包括虚拟化网络资源、虚拟化计算资源与虚拟化存储资源等。数据中心信息系统软件资源由平台软件（基础软件）与应用软件组成，其中平台软件包括操作系统、数据库、中间件等。数据中心设施可用性等级值由基础设施可用性等级值和信息系统（硬件、软件和数据等）可用性等级值加权聚合而成。4.1.2 评价要点数据中心设施可用性等级值（L）应按照如下规则分两种情况计算获取。第一种仅提供机房基础设施服务或者仅提供云计算服务的数据中心，或者同时提供基础设施服务与云计算服务的数据中心，则数据中心设施可用性等级值（L）仅由数据中心基础设施可用性确定（Ll）确定：WJAI）GB50174根据数据中心基础设施的使用性质、数据丢失或网络中断在经济或社会上造成的损失或影响程度划分为A级、B级和C级三级。数据中心基础设施的可用性和可靠性A级最高，B级居中，C级最低。本标准采用GB/T2887和GB50174对不同级别的数据中心基础设施制定的技术要求。数据中心基础设施可用性等级Ll的评价要点在于数据中心基础设施所属的等级以及是否有不同物理地址的基础设施用于容错。本标准根据数据中心基础设施所属的级别以及容错组合，将数据中心基础设施可用性分为1至5五个等级，各等级的可用性要求依次升高。数据中心基础设施可用性等级Ll取值见表A.1数据中心基础设施可用性。表数据中心基础设旅可用性数据中心基础设施可用性等级Ll数据中心基础设施可用性等级描述（依据GB/T2887或GB50174的等级划分）1有基础设施2C类基础设施3B类基础设施4A类基础设施或2个（含）以上不同物理地址的B类基础设施52个（含）以上不同物理地址的A类基础设施或3个（含）以上不同物理地址的B类基础设施应引导关键信息系统采用高可用方案分布部署在不同物理地址的基础设施中提供基础设施服务的数据中心，评价范围为该数据中心所拥有或者可支配的并可用于提供基础设施服务的基础设施；提供云计算服务或提供业务处理服务的数据中心，评价范围该数据中心提供云计算服务或者业务处理服务所依托的基础设施第二种仅提供业务处理服务的数据中心，或者同时提供业务处理服务与前款一种或多种服务的数据中心，则数据中心设施可用性等级值（L）由数据中心基础设施可用性和信息系统硬件、软件和数据可用性等级值（L2）共同确定：1.=O.3*L1+0.7*L20信息系统硬件、软件和数据可用性等级L2分为1至5五个等级，评价要点一是是否具备基础的生产信息系统，二是具备怎样的冗余/容错系统，三是生产信息系统和冗余/容错信息系统是否运行稳定，四是冗余/容错信息系统是否真实接管过业务以及接管能力。信息系统硬件、软件和数据可用性等级L2取值见表A.2信息系统硬件、软件和数据可用性。1级对信息系统的高可用没有要求。2级重点要求生产系统稳定运行的基础上在本地有专有的冷备设施随时准备接替生产系统。3级重点要求与生产系统不在同一物理地址部署了灾备系统，且实现了接管生产系统。4级重点要求采用了多活和远程集群技术，且已经实现实现数据零丢失、业务秒级切换。5级在4级的基础上重点要求节能及多故障点情况下可满负载运行。表信息系统硬件、软件和数据可用性信息系统硬件、软件和数据可用性等级1.2信息系统硬件、软件和数据可用性等级描述1具有支撑本数据中心客户业务所需的基本的信息系统2具有支撑本数据中心客户业务所需的基本的信息系统，具备有效的冷备设施；已经完成生产系统建设并稳定运行；冷备设施已完成配置并专项使用3采用具有生产系统和灾备系统（与生产系统不在同一物理地址）的高可用技术，实现实时数据传输及完整设备支持；已经完成生产系统和灾备系统建设并稳定运行：已经实现生产环境灾备切换，灾备系统可正常接管4采用多活的高可用技术和远程集群支持，可实现数据零丢失、业务秒级切换；已经完成多活生产系统的稳定运行；已经实现节点中断后的业务秒级切换采用多活的高可用技术和远程集群支持，且每个活动节点可实现冗余设置，可实现数据零丢失、业务秒级切换，冗余设施具有节能运行模式；5已经完成多活生产系统的稳定运行；已经实现节点中断后的业务秒级切换；多个节点中断后仍可实现满负载运行4. 2管理能力要素及评分规则缴投与方针数据中心业务连续性管理能力，结合数据中心特点，参考GB/T30146和GB/T40755等国家标准，分解为17个领域，包括：D1/F1组织环境分析、D1/F2业务连续性方针、D1/F3驱动机制、D1/F4领导机构、D1/F5日常管理组织、D1/F6中断响应组织、D2/F1业务影响分析、D2/F2风险评估、D3/F1业务连续性策略、D3/F2预警和沟通、D3/F3业务连续性计划、D4/F1培训、D4/F2宜贯、D5/F1资源建设与维护、D6/F1演练与改进、D6/F2监视与测量、D6/F3改进。1、组织层面数据中心应明确业务连续性方针，构建内部组织和治理机制：结合数据中心方向、定位，以及客户或整体组织的业务和服务目标、法律法规和监管要求等，开展数据中心层面的组织环境分析（D1/F1）；基于分析结果，明确业务连续性方针（D1/F2）,满足相关方要求，并传达给数据中心各相关方；明确数据中心最高管理者在业务连续性方面的承诺和职责，确定业务连续性方针，建立决策和驱动机制（D1/F3）,确保资源投入，指导和支持数据中心业务连续性的构建和运营；设置数据中心管理层作为业务连续性的领导机构（D1/F4）,负责人员、财务、设施、设备、技术、信息等资源的落实，并推动各项业务连续性活动、任务，保证数据中心业务连续性效果；构建日常管理组织（D1/F5）和中断响应组织（D1/F6）作为“平时”和“战时”组织，在数据中心设备设施和资源投入的基础上，执行和落实各项业务连续性活动和任务。2、实施层面数据中心应开展业务影响分析和风险评估：识别数据中心的关键业务/服务和重要运营活动，明确恢复目标和连续性要求，确定关键资源和重要外包活动，并梳理业务一活动一资源一外包各层面的依赖关系，持续和稳定地开展业务影响分析（D2/F1）；定期开展风险评估（D2/F2）,从技术设施、管理措施等方面全面识别、分析和评价数据中心业务连续性风险，并与数据中心其他领域的风险评估活动协调一致；3、数据中心应明确业务连续性策略，制定业务连续性计划，并推动执行和落实：基于业务影响分析和风险评估成果，制定业务连续性策略（D3/F1）,明确业务连续性活动和任务的计划和执行要求，识别重要资源配置需求，建立业务连续性日常管理和中断响应的相关工作流程和机制，满足数据中心业务需要，以及其他相关管理领域要求。对于数据中心设施、信息系统软硬件、信息等管理对象，应建立巡检、监控、预警的手段和工具，对于内外部相关方，应明确日常管理和中断响应的沟通