有效的5/2012

IT企业系统分类、风险管理与灾难恢复技术标准

目的

本技术标准规定了学院在以下方面的要求:

• 编目、分类及记录支援的资讯科技系统及应用;
• 记录风险评估计划和灾难恢复计划的要求
  对于内部托管系统;
• 对托管敏感或关键系统的供应商的要求.

标准

维护准确的 企业系统清单 IT服务部门的职责是什么.

每个清单应用程序的文档包括:

• 高度敏感数据指示器
• 系统恢复优先级
• 外部托管系统指示灯

存储高度敏感数据的系统

任何存储高度敏感数据的企业系统, 在学院的数据分类标准内定义 行政数据管理及存取政策， 必须这样标记吗.

所有包含高度敏感数据的内部托管企业系统都应该有文档化的
风险评估计划，每年完成一次正式的风险评估.

所有包含高度敏感数据的外部托管企业系统都应该包含额外的供应商合同条款和条件, 包括要求供应商提供SSAE-16审计合规报告的年度副本.

具有关键可用性需求的系统

企业系统根据高可用性需求或恢复进行分类
优先级顺序.

在各企业系统中列出 企业系统清单 将根据恢复优先级进行分类，如下:

• Tier 1 – Highest availability and highest restoration priority requirement; recovery begins immediately upon identification of issue, 包括下班时间.
• Tier 2 – Medium restoration priority; to be restored after recovering all applicable Tier 1 systems.  如果在工作时间以外发现问题, 恢复从第二天早上7:30开始, or
  星期六/日上午9点.
• Tier 3 – lowest priority; to be restored after recovering all applicable Tier 2 systems.  如果在工作时间以外发现问题, 恢复开始于上午8:00在下一个营业日(星期一
  到周五).

All internally hosted systems classified with a Tier 1 restoration priority will have a documented Disaster Recovery plan in place; DR Plans should be reviewed and updated annually, 包括年度灾难恢复测试活动的验证.

所有外部托管的Tier 1系统都应该具有宝博体育系统可用性和灾难恢复的特殊供应商合同条款和条件.

相关信息

企业系统清单

批准和修订

2012年5月21日，首席技术官批准

修订历史:

10/8/12 -修订以包括更具体的恢复/恢复“层”定义

请点击此链接 此策略的可打印版本.