7.5 災難恢復預案的實現

災難恢復的每個等級均應按第8章的具體要求制定相應的災難恢復預案，并進行落實和管理。

7.5.1　災難恢復預案的制定

災難恢復預案的制定應遵循以下原則：
——完整性：災難恢復預案（以下稱預案）應包含災難恢復的整個過程，以及災難恢復所需的盡可能全面的數據和資料；
——易用性：預案應運用易于理解語言和圖表，并適合在緊急情況下使用；
——明確性：預案應采用清晰的結構，對資源進行清楚的描述，工作內容和步驟應具體，每項工作應有明確的責任人；
——有效性：預案應盡可能滿足災難發生時進行恢復的實際需要，并保持與實際系統和人員組織的同步更新；
——兼容性：災難恢復預案應與其它應急預案體系有機結合。
在災難恢復預案制定原則的指導下，其制定過程如下：
——起草：參照附錄B災難恢復預案框架，按照風險分析和業務影響分析所確定的災難恢復內容，根據災難恢復能力等級的要求，結合組織其它相關的應急預案，撰寫出災難恢復預案的初稿；
——評審：組織應對災難恢復預案初稿的完整性、易用性、明確性、有效性和兼容性進行嚴格的評審。評審應有相應的流程保證；
——測試：應預先制定測試計劃，在計劃中說明測試的案例。測試應包含基本單元測試、關聯測試和整體測試。測試的整個過程應有詳細的記錄，并形成測試報告；
——完善：根據評審和測試結果，糾正在初稿評審過程和測試中發現的問題和缺陷，形成預案的審批稿；
——審核和批準：由災難恢復領導小組對審批稿進行審核和批準，確定為預案的執行稿。

7.5.2　災難恢復預案的教育、培訓和演練

為了使相關人員了解信息系統災難恢復的目標和流程，熟悉災難恢復的操作規程，組織應按以下要求，組織災難恢復預案的教育、培訓和演練：
——在災難恢復規劃的初期就應開始災難恢復觀念的宣傳教育工作；
——預先對培訓需求進行評估，包括培訓的頻次和范圍，開發和落實相應的培訓/教育課程，保證課程內容與預案的要求相一致，事后保留培訓的記錄；
——預先制定演練計劃，在計劃中說明演練的場景；
——演練的整個過程應有詳細的記錄，并形成報告；

7.5.3　災難恢復預案的管理

經過審核和批準的災難恢復預案，應按照以下原則進行保存和分發：
——由專人負責；
——具有多份拷貝在不同的地點保存；
——分發給參與災難恢復工作的所有人員；
——在每次修訂后所有拷貝統一更新，并保留一套，以備查閱；
——舊版本應按有關規定銷毀。
為了保證災難恢復預案的有效性，應從以下方面對災難恢復預案進行嚴格的維護和變更管理：
——業務流程的變化、信息系統的變更、人員的變更都應在災難恢復預案中及時反映；
——預案在測試、演練和災難發生后實際執行時，其過程均應有詳細的記錄，并應對測試、演練和執行的效果進行評估，同時對預案進行相應的修訂；
——災難恢復預案應定期評審和修訂，至少每年一次。