報告

全市技術彈性標準

目的和範圍

城市備災、應變、復原和復原力 (DPR3) 政策合規性需要全市技術復原力標準。全市 DPR3 政策要求市府首席資訊長 (CCIO) 和市首席資訊安全官 (CCISO) 制定可實現的技術彈性標準,以確保在災難期間和災難後提供公共服務。

本文件中確定的要求適用於由城市運營或為城市運營的所有技術平台和服務。代表本市工作的所有部門、委員會、民選官員、員工、承包商、合作夥伴、投標者和供應商都必須遵守本政策。

部門的 IT 領導、營運和技術團隊、緊急/災難管理專業人員和聯絡人負責實施以下要求。

標準要求

城市部門必須採用以下最低彈性要求。各部門應制定相當於或高於全市範圍要求的技術彈性要求。

需要彈性規劃的都市系統

彈性標準適用於以下類型的技術:

  • 本地 IT 基礎架構 - 在城市架構內部署和託管的軟體系統、資料庫和硬體基礎架構。部門工作人員管理和維護部門的 IT 平台和基礎設施。只有部門內經過授權的人員才能存取系統存取位於部門區域網路本地的軟體和資料。
  • 混合雲 IT 基礎架構 - 混合雲是指由本地基礎架構、私有雲服務或公有雲組成的混合運算、儲存和軟體服務環境。混合雲是公有雲和私有雲的組合,通常在兩者之間編排單一 IT 解決方案。
  • 雲端IT基礎設施(即基礎設施即服務(IaaS)、平台即服務(PaaS))和軟體即服務(SaaS)-雲端運算透過網際網路提供IT基礎設施和業務應用服務。這些資源包括資料儲存、伺服器、資料庫、網路和軟體。
  • 技術基礎設施-技術基礎設施的元件由相互依賴的元素組成,例如網路元件、伺服器、作業系統和設備。
  • 營運技術 (OT) - 透過直接監視和控制工業設備、資產、流程和事件來檢測或引起變化的硬體或軟體。 OT 在工業控制系統 (ICS) 中很常見,例如監控和資料收集 (SCADA) 系統或樓宇管理系統。

系統分析和優先排序

所有技術業務系統都必須進行盤點,並記錄描述業務目的、用戶群、儲存或處理的資料以及任何監管要求的資訊。

各部門將對每個庫存 IT 業務系統進行業務影響分析 (BIA),以了解災難/中斷對業務運營的影響、恢復的依賴關係以及恢復目標。已完成的 BIA 是部門 IT 營運連續性計畫 (COOP)/災難復原計畫 (DRP) 的組成部分之一。

  • BIA 將建立每個系統的復原時間目標 (RTO) 和復原點目標 (RPO)。
    • RTO 是系統在事故發生後恢復正常使用的最大可容忍停機時間。例如,如果關鍵公共安全應用程式必須在重大公共安全影響發生前 30 分鐘內恢復並可用,則該部門在 BIA 中為該技術業務系統設定了 30 分鐘的 RTO。
    • RPO 是發生不可接受的影響之前可容忍的最大資料遺失量。例如,如果關鍵公共衛生應用程式無法容忍超過 15 分鐘的事務資料遺失,該部門會在 BIA 中為該技術業務系統設定 15 分鐘的恢復點目標 (RPO)。
  • BIA 將每個系統分成第 1 層到第 4 層。
    • 第 1 層 – 如果沒有此服務/技術,該部門就無法運作,即使是在很短的時間內。對營運和潛在資料遺失的影響非常大,例如,公共安全系統、城市管理的生命線、無線電基礎設施、城市和部門網路以及企業技術/應用程式的中斷。第 1 層系統要求 RTO 為 0 到 4 小時,RPO 小於 15 分鐘。
    • 第 2 層 – 該部門可以在短時間內在沒有此服務/技術的情況下運作。對業務的影響和潛在的資料遺失都很大。第 2 層系統要求 RTO 介於 4 到 24 小時之間,RPO 低於 1 小時。
    • 第 3 層 – 該部門可以在較長時間內解決該服務/技術的損失問題。最終,服務/技術需要恢復正常使用,以防止財務、客戶、營運或法律/監管影響。第 3 層系統要求 RTO 和 RPO 少於 14 天。
    • 第 4 層 – 該部門可以在沒有此服務/產品的情況下長時間運行,在此期間將透過備份/替代方法支援服務/技術。第 4 層系統要求 RTO 和 RPO 少於 30 天。
  • 部門主管和 CIO/IT 總監將批准 BIA。

角色和責任

全市 DPR3 政策規定了營運和技術團隊以及緊急/災害管理專業人員的角色和職責。

  • 部門營運和技術團隊應: 
    • 依照本標準中定義的要求建構和實施彈性
    • 與部門緊急/災難管理專業人員協調,確保 IT COOP/DRP 是最新的並按指定的定期計劃完成彈性測試 
  • 部門緊急/災害管理專業人員應: 
    • 透過與技術團隊和領導層合作,支持部門實施和遵守全市彈性要求
    • 與部門領導和必要的營運或技術團隊協調,更新和維護 IT COOP/DRP
    • 透過定期與技術和營運團隊協調來促進技術彈性測試 
  • 技術部網路安全辦公室 - 技術風險與彈性團隊應: 
    • 向所有城市部門提供實施所需的指導和資源,例如 BIA、IT COOP 和 DR 測試計劃模板
    • 創建和維護中央線上技術風險和彈性系統,以追蹤部門的彈性標準實施進度並支援 IT COOP 年度審查/更新
    • 向 COIT 報告不合規情況
  • 市府採購辦公室及部門採購專家應: 
    • 支持在採購過程中納入彈性要求

實施要求

  • 部門必須在本標準發布日期後三個月內清點其係統,並在六個月內進行 BIA,此後每年進行一次
  • 部門必須在本標準發布之日起 12 個月內為 1 級和 2 級系統制定彈性實施計劃
  • 部門必須在本標準發布日期後的12 個月內實施和測試第1 級系統的彈性,並在本標準發布日期後的15 個月內實施和測試第2 級系統的彈性,並在此後每年實施和測試
  • 各部門應考慮在本標準發布後的 24 個月內實施第 3 級系統的彈性,此後每兩年實施一次

例外情況

標準的例外情況應由 COIT 政策審查委員會逐案批准。 

全市技術彈性要求不得取代可能適用於特定城市部門的州或聯邦要求。