災害防備、應變、復原和復原力政策（DPR3）

舊金山市和縣（市）致力於為自然災害（例如地震、洪水）和人為災害（例​​如網路、主動攻擊）以及可能對城市業務運營產生不利影響的各種事件做好準備。我們準備工作的關鍵要素是 IT 系統的彈性，透過對這些系統及其環境進行適當的預防和保護，以及在應用程式、系統或基礎設施環境發生故障時快速恢復它們的能力。以 IT 為重點的災難準備、反應、復原和復原力 (DPR3) 政策為紐約市的 IT 復原力提供了清晰、一致且可實現的標準，適用於災難之前、期間和之後的所有城市部門。這些標準旨在確保持續提供關鍵的、依賴 IT 的公共服務，以應對任何事件。

DPR3 政策要求所有市政府部門制定、測試和維護以部門 IT 為中心的業務連續性計劃（IT COOP），也稱為 IT 應急計劃，以滿足市政府部門管理和支援的所有關鍵 IT 系統/應用程序在發生中斷的關鍵系統運行需求。

IT COOP 的目標包括：

1. 資料保護與恢復
2. 保護硬體、軟體和設施
3. 透過高可用性和自動/手動故障轉移復原策略來恢復關鍵業務流程

DPR3政策要求所有部門：

1. 指定一名 IT COOP/DR 負責人和/或災難準備協調員 (DPC) 聯絡員，負責協調 DPR3 政策要求的規劃和實施。
2. 識別和評估關鍵系統的復原
3. 採納並實施美國國家標準與技術研究院 (NIST) 的 IT 合作框架
4. 每年審查並更新部門的IT COOP（資訊科技合作計畫），每兩年審核並更新每個關鍵系統的災難復原計畫（DRP）。
5. 至少每年進行一次 IT 協同作戰演練，並每兩年對每個關鍵系統進行一次主動災難復原 (DR) 測試。
6. 部門負責人負責確保本政策法規遵循。 

1. 所有市政府部門都必須完成IT合作/災難復原計劃，並每年更新。
2. 各部門必須至少每年對其IT協同營運/災難復原計畫進行一次測試。災難復原測試的具體類型、頻率和範圍將取決於：
   1. 系統關鍵性
   2. 資訊系統應用、基礎設施、網路和環境的複雜性
   3. 先前測試的結果
3. 各部門必須對其相關員工進行培訓，以執行其IT緊急應變計畫/災難復原計畫。培訓內容包括：
   1. 對合作社及其IT合作社/災難復原計畫要素的了解
   2. DPR3 和部門政策及程序
   3. 應對事件執行 IT COOP/DRP
   4. 雇員角色與職責
4. 依賴由科技署(DT) 營運或管理的全市網路和系統的部門，需要與技術部 (DT) 簽署災難復原諒解備忘錄 (MOU) 和/或服務等級協定 (SLA)，其中應包含基於系統關鍵性的目標復原時間。
5. 依賴第三方供應商提供IT服務的部門需要與這些供應商簽署災難復原諒解備忘錄（MOU）和/或服務等級協定（SLA），其中應包含目標恢復時間，具體恢復時間應根據供應商服務的關鍵性而定。
6. 所有新的城市資訊科技合約、政策和程序都必須包含災害復原和災後重建的內容。現有合約在續約時也應進行修改，以包含災害復原和災後重建的內容。
7. 如果一個部門從其他部門或第三方獲得 IT 服務，則必須制定服務等級協定 (SLA)，以確保災難復原和復原能力。

COIT

• 為各部門提供政策指導
• 為各部門提供必要的支持，使其能夠制定和完成其IT合作計畫/災難復原計畫。

部門

• 指定 IT COOP/DR 負責人和災難準備協調員 (DPC) 聯絡人員，負責協調 DPR3 的規劃和實施、必要的演練以及 IT COOP 的更新。
• 確保法規遵循DPR3規定
• 負責與DT、其他市政府部門和供應商就其依賴服務（例如網路、系統和其他與災難復原服務​​等級協定和策略相關的支援服務）簽署諒解備忘錄。

部門IT COOP/DR 負責人和 DPC 聯絡員

• 負責制定 IT 協同計劃/災難復原計劃，並持續進行災難復原測試和 DPR3法規遵循監測。
• 負責部門業務運營，以支援自然災害或人為災害期間/之後的法規遵循，並制定恢復時間/目標。
• 與 IT 領導密切協調，確保 DRP3法規遵循

科技署

• 負責支援和實施全市IT基礎設施的IT合作運營/災難恢復計劃，包括但不限於DT管理的業務網絡、互聯網連接、電信、電子郵件、應急無線電通信，並通過部門數據協調員維護應急數據集，同時協助沒有內部IT人員的部門製定其IT合作運營/災難恢復計劃。

CSA審核

• CSA審計將定期審計部門的IT COOP/DRP，並測試結果是否法規遵循DPR3政策和標準。

該市行政法規第 22A.3.(c) 條規定，“COIT 應審核並批准市首席資訊長關於 ICT 標準、政策和程序的建議，以確保該市 ICT 的成功開發、運營、維護和支持。”

資訊系統應急計畫涵蓋一系列廣泛的活動，旨在確保在緊急事件發生後關鍵系統服務的持續運作和恢復。最終，組織會採用一套完整的計劃，針對影響其資訊系統、任務/業務流程、人員和設施的各種中斷情況，妥善製定回應、復原和業務連續性計劃。由於資訊系統與其支援的任務/業務流程之間存在著內在聯繫，因此在製定和更新過程中，必須協調各項計劃，以確保恢復策略和支援資源不會相互衝突或重複工作。

以下簡要介紹各部門在發生災難時需要製定的計劃類型：

• 資訊系統應急計畫是更廣泛的安全和緊急管理工作的一部分，該工作包括組織和業務流程連續性、災難復原計畫以及事件管理。
• 業務連續性計劃和應急計劃是緊急管理和組織復原的關鍵組成部分，但二者在使用上常常被混淆。業務連續性計劃通常針對任務/業務本身；它關注的是在緊急事件發生期間和之後維持關鍵職能和流程的能力。
• 應急計劃通常適用於資訊系統，它提供了在緊急情況下恢復現有或新位置的全部或部分指定資訊系統運作所需的步驟。
• 網路安全事件回應計畫是一種通常專注於偵測、回應和復原電腦安全事件的計畫。

業務連續性計劃 (BCP)**

• 目的：提供在從重大中斷中恢復時維持任務/業務運作的程序。
• 範圍：從 COOP 任務基本功能 (MEF) 的較低或較高層級處理任務/業務流程。
• 計劃關係：以任務/業務流程為中心的計劃，可與 COOP 計劃協調啟動，以維持非 MEF。

業務連續性計劃 (COOP)**

• 目的：提供程序和指引，以維持組織在備用地點最多 30 天的 MEF；這是聯邦指令強制要求的。
• 範圍：針對設施中的 MEF；資訊系統僅根據其對任務關鍵功能的支援情況進行處理。
• 計劃關係：以 MEF 為中心的計劃，也可酌情啟動多個業務部門層級的 BCP、ISCP 或 DRP。

危機溝通計劃

• 目的：提供內部和外部溝通的程序；提供關鍵狀態資訊和控制謠言的手段。
• 範圍：涉及與員工和公眾的溝通；不以資訊系統為重點。
• 計劃關係：基於事件的計劃通常與 COOP 或 BCP 一起啟動，但在公共暴露事件期間可以單獨使用。

關鍵基礎設施保護(CIP) 計劃

• 目的：提供保護國家關鍵基礎設施組件的政策和程序，如《國家基礎設施保護計畫》所定義。
• 範圍：涵蓋由機構或組織支援或營運的關鍵基礎設施組件。
• 計劃關係：風險管理計劃，為擁有關鍵基礎設施和重要資源資產的組織提供支援 COOP 計劃。

網路安全事件回應計畫 (CIRP)

• 目的：提供緩解和修正網路攻擊（例如病毒、蠕蟲或特洛伊木馬）的程式。
• 範圍：解決受影響系統的緩解和隔離、清理以及最大限度地減少資訊遺失的問題。
• 計劃關係：以資訊系統為中心的計劃，可能會根據攻擊的程度啟動 ISCP 或 DRP。

災難復原計劃 (DRP)**

• 目的：提供將資訊系統運行遷移到備用位置的程式。
• 範圍：在發生具有長期影響的重大系統中斷後啟動。
• 計劃關係：以資訊系統為中心的計劃，啟動一個或多個 ISCP 以恢復單一系統。

資訊系統應急計劃 (ISCP)**

• 目的：提供資訊系統恢復的程序和能力。
• 範圍：解決目前位置或（如果適當）備用位置的單一資訊系統復原問題。
• 計劃關係：以資訊系統為中心的計劃，可以獨立於其他計劃啟動，也可以作為與災難恢復計劃 (DRP)、合作運營計劃 (COOP) 和/或業務連續性計劃 (BCP) 協調的更大規模恢復工作的一部分啟動。

住戶緊急應變計畫 (OEP)

• 目的：提供協調的程序，以最大限度地減少生命損失或傷害，並保護財產應對物理威脅造成的損失。
• 範圍：專注於特定設施的人員和財產；而不是基於任務/業務流程或資訊系統。
• 計劃關係：在事件發生後立即啟動的基於事件的計劃，先於 COOP 或 DRP 的啟動。

**部門對這些緊急應變計畫有不同的名稱，例如 IT 彈性復原計畫、緊急應變復原計畫、災難復原紅皮書、災難復原運作手冊等。

DPR3 政策要求所有市政府部門採用業務連續性/緊急/災難復原框架來制定緊急應變計畫。

為有效減輕災害對公共服務的影響並從中恢復，必須在全市範圍內協調製定計劃，因為成功與否取決於多個市政府機構的援助、資源和專業知識。有效的恢復取決於每個市政府機構都遵循既定的程序和做法，以實現及時回應和恢復的整體目標。

IT 業務連續性計畫 (COOP) 的重點在於在備用站點恢復組織的關鍵業務功能 (MEF)，並在恢復正常運作前最多運作 30 天。通常情況下，無需遷移到備用站點的輕微威脅或中斷不在 COOP 計劃的涵蓋範圍內。

概述

有效的應急計劃始於制定組織應急計劃政策，並對每個資訊系統進行業務影響分析 (BIA)。這有助於根據影響程度確定係統和流程的優先級，並制定優先恢復策略以最大限度地減少損失。

該指南透過一個公式來確定資訊和資訊系統對組織運作和資產、個人、其他組織和國家的影響，該公式考察了三個安全目標：保密、完整性和可用性。

• 保密性保留了資訊存取和揭露的授權限制，包括保護個人隱私和專有資訊的手段。
• 完整性可以防止資訊被不當修改或銷毀，包括確保資訊不可否認性和真實性。
• 可用性確保及時可靠地存取和使用資訊。每個安全目標的影響被評定為高、中或低。各安全目標影響程度最高的等級用於確定資訊系統的整體安全影響程度。應急計劃的考慮因素和策略旨在應對資訊系統可用性安全目標的影響程度。對於高影響程度的資訊系統，其策略應在設計中考慮高可用性和冗餘選項。這些選項可能包括位於備用站點的完全冗餘負載平衡系統、資料鏡像和異地資料庫複製。高可用性選項的設定、運作和維護成本通常很高，因此僅應考慮用於那些被歸類為具有高可用性安全目標的高影響程度資訊系統。低影響程度的資訊系統可以使用成本較低的緊急選項，並能容忍更長的停機時間以進行資料復原或還原。

IT合作社的結構

合作計畫的標準要素包括：

• 維護每個合作社計畫的治理
• 啟動各項合作計畫的程序
• 每個合作組織應對措施的負責人是誰？他們的代理人又是誰？
• 對關鍵任務和高度重要的IT流程進行分類和優先排序
• 列出可以暫停直到環境穩定後的IT流程
• 執行 COOP 所需的 IT 和其他資產（例如供應商服務、備份資料、資產成本等）
• 用於執行復原和日常任務的備用地點（主要地點和備用地點）
• 恢復響應最初120小時的人員配備要求
• 部門內部及部門間的資訊與服務依賴關係
• 供應商聯絡資訊
• 重大事件應對檢查清單
• 災難復原計畫/運作手冊應包含復原關鍵系統的逐步程序
• 返回翻新或新建工作場所的程序和檢查清單
• 員工聯絡方式列表

建立IT合作社的步驟

以下列出了製定和維護有效的資訊系統災難復原計畫的流程。此流程適用於所有資訊系統。

過程包含五個步驟：

1. 進行業務影響分析（BIA）
2. 確定預防性控制措施
3. 制定/實施緊急/復原策略
4. 確保災難復原計畫的培訓和測試
5. 確保計劃維護

1. 業務影響分析 (BIA)

業務影響分析 (BIA) 是緊急應變計畫流程中的關鍵步驟。 BIA 讓緊急應變計畫協調員能夠全面了解系統需求、流程和相互依賴關係，並利用這些資訊來確定緊急需求和優先順序。各部門必須進行 BIA。 BIA 是一個用於確定和評估因災難、事故或緊急情況導致關鍵業務營運中斷的潛在影響的過程。 BIA 的結果應適當地納入組織緊急行動計畫 (COOP) 的分析和策略制定工作。

業務影響分析 (BIA) 是部門業務連續性和災難復原計畫的關鍵組成部分，它可以幫助部門：

• 識別關鍵 IT 資源和依賴關係
• 確定中斷影響和允許的停機時間；優先考慮正常運作時間要求、復原時間目標 (RTO) 和復原點目標 (RPO)
• 制定恢復策略、優先事項以及所需的資源和時間。

2. 確定預防性控制措施

業務影響分析 (BIA) 中識別出的影響可以透過預防措施來緩解或消除，這些措施旨在阻止、檢測和/或減少對系統的影響。在可行且經濟有效的情況下，預防措施優於中斷後恢復系統所需的措施。預防性控制措施應記錄在 IT 協同營運計畫 (IT COOP Plan) 中，並且應培訓與系統相關的人員如何以及何時使用這些控制措施。根據系統類型和配置的不同，可以使用多種預防性控制措施。應保持這些控制措施處於良好狀態，以確保其在緊急情況下有效。

3.制定恢復策略

恢復策略旨在服務中斷後快速有效地恢復 IT 營運。這些策略應涵蓋業務影響分析 (BIA) 中確定的中斷影響和允許的停機時間。制定策略時應考慮多種方案，包括成本、允許的停機時間、安全性以及與更大型的組織級應急計畫的整合。

4. 規劃測驗、訓練和演習

計劃測試是確保應急能力切實可行的關鍵要素。測試能夠識別並解決計劃中的缺陷。此外，測試還有助於評估恢復人員快速有效地執行計劃的能力。應測試IT應急計劃的每個要素，以確認各項恢復程序的準確性以及計劃的整體有效性。

應急測試應涵蓋以下方面：

• 驗證並更新災難復原計畫/運作手冊，以復原關鍵系統
• 使用備份傳媒在備用平台上還原系統
• 救援團隊之間的協調
• 內部和外部連接
• 使用備用設備的系統效能
• 恢復正常營運
• 通知程序

5. 制定維護計劃

為了確保有效性，IT緊急計畫必須保持隨時可用狀態，準確反映系統需求、流程、組織結構和政策。由於業務需求的變化、技術升級或新的內部/外部政策，IT系統會頻繁變更。因此，作為組織更改管理流程的一部分，必須定期審查和更新應急計畫，以確保記錄新信息，並在必要時修訂應急措施。通常，應至少每年審查一次預案的準確性和完整性，或在預案任何要素發生重大變更時進行審查。某些要素（例如聯絡人清單）需要更頻繁的審查。根據系統類型和重要性，可能需要更頻繁地評估預案內容和流程。