1、ICS 35.020 L02 DB11 北京市地方标准 DB11/T 1289 2015 信息技术 灾难恢复系统成本效益评估规范 Information Technology Cost-benefit evaluation specification of disaster recovery system 2015 - 12 - 30发布 2016 - 04 - 01实施 北京市质量技术监督局 发布DB11/T 1289 2015 I 目 次 前言 . 错误!未定义书签。 引言 III 1 范围 . 1 2 术语和定义 . 1 3 缩略语 . 2 4 评估框架 . 2 4.1 基本框架 . 2
2、 4.2 主要内容 . 3 5 评估流程 . 3 5.1 评估实施过程 . 3 5.2 评估准备 . 3 5.3 经济效益分析 . 5 5.4 社会效益分析 . 5 5.5 成本效益评估 . 7 5.6 评估结果使用 . 8 5.7 评估文档记录 . 8 附录 A(资料性附录) 灾难恢复系统经济效益评估方法 . 10 附录 B(资料性附录) 灾难恢复系统社会效益评估方法 . 12 附录 C(资料性附录) 灾难恢复系统成本效益计算示例 . 13 参考文献 . 16 DB11/T 1289 2015 II 前 言 本标准按照 GB/T 1.1-2009 给出的规则起草。 本标准由北京市经济和信息化
3、委员会提出并归口。 本标准由北京市经济和信息化委员会组织实施。 本标准主要起草单位:北京市 政务 信息 安全应急处置中心、 北京 邮电大学、万国数据服务有限公司。 本标准主要起草 人 : 王宗君、王枞、张涛、陈钊、刘建毅、关继铮、张勇、刘鹏、刘国伟、雷鸣涛、 于俊。 DB11/T 1289 2015 III 引 言 随着北京市 各政府部门、企事业 单位 以及各行各业对 灾难恢复 需求日 益增强,在限 定资 源下, 灾难 恢复系统的成本 、收 益备 受关注 。 对 灾难恢复系统 进行成本效益评估 ,可以确保资 源合理配置、确保灾 难恢复系统 预期收 益,也是 北京 地区 灾难恢复系统 建设的实
4、际需 要。 灾难恢复系统成本效益 是从 经济效益和社会效益 角度,全面地 分析灾难恢复系统规划、设 计 、 实施、 运维、废弃等 信息系统 生命周期各 阶段 的系统成本 , 结 合相 关收 益评 价指 标 , 评估灾备系统 运行 前后经 济 、 社会效益的 变化 趋势 ,为灾难恢复系统 预期 效益的预 测及 实际 效益的评 价提供科 学依 据。 为了有 效进行 灾难恢复 建设 的 事前 论证 和事 后评估 , 满足 北京市信息化和灾难恢复 建设 的需求, 本 规范在国 家 标准 GB/T 20988-2007的基 础上对 灾难恢复系统成本效益评估 进行 了规范 ,规定 了从经济效 益和社会效益
5、 两方 面综 合评估灾难恢复系统成本效益 , 定义 了从 发展趋势 、增 长率等 方面 评价 经济效益 , 从业务 连续 性能力 、政务安全、应急 能力、服务 质量 、 用户满意 度、企事业 信息化 等 方面 评价 社会效益。 DB11/T 1289 2015 1 信息技术 灾难恢复系统成本效益评估规范 1 范围 本标准规定 了灾难恢复系统成本效益评估的评估框架和评估流程。 本标准 适用 于灾难恢复系统的成本效益评估。 2 术语和定义 GB/T 20988-2007界定的 以及下列 术语和定义 适用 于本文件 。 2.1 灾难 disaster 由 于人 为或自然 的原因 , 造 成信息系统
6、严重故障或瘫痪, 使信息系统 支持 的业务功能停顿或 服务 水 平不可 接受、 达到特 定的 时间的 突发 性事 件。 通常导致信息系统 需要 切换到 灾难备 份中心运行 。 GB/T 20988-2007, 定义 3.8 2.2 灾难恢复 disaster recovery 为了将 信息系统 从灾难 造成的故障或瘫痪状态 恢复 到可正常 运行 状态 、 并 将其支持的 业务 功能 从灾 难造成的 不正常状态 恢复 到可接 受状态 ,而 设计的 活动和流程。 GB/T 20988-2007, 定义 3.9 2.3 灾难恢复系统 disaster recovery system 用 于 灾难恢复
7、 目的, 由备用 数据处理中心、 备用的工作环境、 备用 生活 设施和 技 术支持 及运行 管理 人 员组成的信息系统 及场所 。 2.4 灾难恢复系统成本效益 disaster recovery system cost-benifit 灾难恢复系统 投入 运行 后, 其为 组织 带来 的经济效益和社会效益。经济效益 包括成本 与经济 收益 , 社会效益 包括 社会经济 影响 、应急 恢复 能力 和社会 满意度 。 2.5 灾难恢复系统经济成本 disaster recovery system economic cost 用 于 实现 灾难恢复 功能所 需投入 , 包括 用于 场地、设 备 、
8、软 件 、工 具 、人 力 资 源、 外包 服务等 方面 的资金 投入 。 2.6 DB11/T 1289 2015 2 灾难恢复系统经济收益 disaster recovery system economic income 灾难恢复系统 在接 替生 产系统运行期 间所 产生 的业务收益 ,以及保 障业务 连续性 所 产生 的后 期间接 性业务收 益。 2.7 灾难恢复系统业务收益 disaster recovery system business income 发生灾难 后 ,灾难恢复系统 接管生 产 系统 运行期间 ,为组织 所 产生 的业务收 益(如资 金、 固定资 产 等,未 建立 灾
9、难恢复系统的组织 在此 期间 的业务收 益为零 )。 2.8 灾后直接性经济收益 direct economic income after disaster 灾难恢复系统 投入 运行 后用 于 规避 因业务中 断造 成的经济 损失值 。 2.9 灾后间接性业务收益 indirect business income after disaster 灾难恢复系统 产生 的间接 性业务收 益, 包括 由于 客户 数 量增 加所 带来 的业务收 益 增长 、 得 到监 管机 构 和 股东认 可所 带来 的投 资增长 、上 市公司 股票 市值 的 增长 、新 业务增 加所 带来的 业务增 长。 3 缩略语
10、 下列缩略语 适用 于本文 件。 RTO:恢复 时间目 标( Recovery Time Objective) 4 评估框架 4.1 基本框架 灾难恢复系统成本效益由经济效益和社会效益组成 ,如图 1。 各 阶段 成本 总和 接 替运行及保 障业务 连续 性所 获得 的 收 益 对 社会经济的 贡 献大 小 对社会 政治 的影响 程度 服务 社会的程 度大 小 经济效益分析 社会效益分析 灾难恢复系统成本效益 成本计算 经济 收益计算 评 价社会经济效益 评价 应急 恢复 能力 评价 社会 满意 度图 1 灾难恢复系统成本效益构成分析 DB11/T 1289 2015 3 4.2 主要内容 4
11、.2.1 经济效益分析 经济效益分析的主要内容 是: a) 对一定 时间 跨度 ( T)内, 灾难恢复系统 所花费 的成本 进行 计算 ; b) 对一定 时间 跨度 ( T)内,应 用灾难恢复系统 可为 组织 获得 的经济 收益 ; c) 评价灾难恢复系统 对经济效益的 影响 。 4.2.2 社会效益分析 社会效益分析的主要内容 是: a) 评价一 定时间 跨度 ( T)内 ,组织 应用灾难恢复系统 所获得 的社会经济 影响; b) 评价一 定时间 跨度 ( T)内 ,组织 应用灾难恢复系统的 应急 恢复 能力 ; c) 评价一 定时间 跨度 ( T)内 ,组织 应用灾难恢复系统 所获得 的社
12、会 满意 度; d) 根据成本 及经济 收益 ,计算 一 定时间 跨度 T内的经济效益; e) 根据社会经济 影响 、应急 恢复能力 和社会 满意 度, 评价一 定时间 跨度 T内的社会效益。 5 评估流程 5.1 评估实施过程 灾难恢复系统成本效益评估的实施过程 如图 2所 示。 图 2 灾难恢复系统成本效益评估实施过程 5.2 评估准备 5.2.1 概述 在实施成本效益评估前 ,评估准备主要内容 包括 : DB11/T 1289 2015 4 a) 确定成本效益评估的 目标 ; b) 确定成本效益评估的范围 ; c) 组建适 当的评估 管理 与实施 团队; d) 进行数据 采集 及分析 ;
13、 e) 确定评估 依据及 方法 ; f) 制定成本效益 管理 方案; g) 取得最高 管理 者对 成本效益评估方 案的 同意 。 5.2.2 确定目标 根 据 灾难恢复系统 运行 情况 及 组织 业务 持续发展 的实 际 状况 , 按照灾难恢复 有关 法 律法规的规定 等 内容, 分析灾难恢复系统 投入运行 前后 组织的 不同 收益及 成本效益 关系。 5.2.3 确定范围 灾难恢复系统成本效益评估范围 可以是 组织灾难恢复系统规 划、设 计 、建设、 实施及废弃各 阶段 的 成本效益 ,也可以是 某一 阶段的成本效益 ,或 可以是 一 定时间 跨度 ( T)内的成本效益。 5.2.4 组建团
14、队 开 展 组织内 部评估 , 由 管理 层 、 相 关业务 骨干 、 信息技 术 专员 等人 员组成评估 小组。 进行 外部 评估 , 除评估方、 被评估方组成评估小 组外 ,可 组 建 由 双 方 相 关 负责 人参 加的评估 领导小 组 , 必 要时 聘请 相 关 专业的 技术 专家 和技 术骨干 组成 专家 小组。 评估实施 团队做好 评估前的 表格 、 文档 、 检 测工 具 等各项 准备 工作 ,进行 灾难恢复系统成本效益评 估 技 术和 保密教育 , 制 定评估过程 管理等 相关 规定。 可 根据 被评估方要 求, 双方签署 保密 合同 , 必要时 签署个 人保 密协议 。 5.
15、2.5 数据采集 评估小 组进行 充分的 数据 准备,数据 采集 的内容 包括但不 限于 : a) 灾难恢复 各阶段 成本 ; b) 灾难恢复系统 运行日 志; c) 财务数据 ; d) 灾难恢复系统 预期收 益数据 ; e) 其它灾难恢复系统 数据 。 5.2.6 确定依据 根 据数据 采集 及分析结果 ,确定评估 依据 和评估方法。评估 依据 包括但 不限于 : a) 现行国际 标准 、国 内标准 、行业 标准 、地 方标准 ; b) 行业主 管部门对 灾难恢复的要求 和制 度; c) 数据样 本规 律等 。 根据评估 依据 考虑 评估的 目的、 范围 、 时间 、 效果 、人 员 素 质
16、 等 因 素 以 选择 具体 的成本效益计算方 法,并 根据 相关 准则 确定 相关的成本效益 判断 依据,以期 得出准 确的结 论。 5.2.7 制定方案 成本效益评估方 案的内容 包括但 不限于 : a) 团队组织: 包括 评估 团队 成员、 组织结 构、角 色、 责任等 内容 ; DB11/T 1289 2015 5 b) 工作计 划:灾难恢复系统成本效益评估 各阶段 的工作 计 划, 包括 工作 内容 、 工作形式 、 工作 成 果等内容 ; c) 时间进度安 排: 项目 实施的 时间 进度安 排。 5.2.8 方案审批 在 形 成较 为完整 的灾难恢复系统成本效益评估实施方 案 后,
17、应 经组织 最高 管理 者 的方 案审批 , 并 对 管理层 和技 术人 员进行 传达 ,在 组织范围内 就成本效益评估 相关 内容 进行 培训 ,以 明 确有关人 员在评估 中 的 任务 。 5.3 经济效益分析 5.3.1 成本分析 灾难恢复系统经济成本 包括 规 划成本 、设 计成本 、 实施成本 、运维 成本 、废弃 成本。 上述 各成本的 经济价 值构 成灾难恢复系统经济效益的成本 价值 。灾难恢复系统 在各 生命周 期所消耗 的成本 不同 ,进行 成本效益评估 时应 准确分析 各 项成本的 来源及 费 用。 表 1列出 了基 于 灾难恢复系统生命周期 不同 成本的 分类方法。 表1
18、 基于灾难恢复系统生命周期 不同 成本 的分 类方 法 分类 主要内容 规划成本 人力成本、咨询成本、其它成本 设计成本 人力成本、工具成本、其它成本 实施成本 人力成本、场地成本、软硬件成本、基础设施建设成本、其它成本 运维成本 人力成本、基础设施资源维护成本、软硬件维护成本、能源消耗及其它成本 废弃成本 人力成本、资源报废成本、其它成本 5.3.2 经济收益分析 灾难恢复系统经济 收益 包括 直 接性经济 收益和 间接 性经济 收益。 直接 性经济 收益值 可量 化统计 ,对 评估方 而言较易 获得 。 间接 性经济 收 益具 有时 延 性, 不 同年 限 所显 现的 间接 性收益 不同。
19、 表2列 出了 经 济收益 来源 的分 类方法。 表2 灾难恢复系统经济收益 来源 来 源 描述 直接性经济收益 接替生产系统运行期间所产生的业务收益,包括交易量、损失总量等 间接性经济收益 保障业务连续性所产生的业务收益,包括组织规模、金融投资收益、新业务收益等 5.4 社会效益分析 5.4.1 社会经济 影响 分析 灾难恢复系统社会经济影响 指 一定 时间 跨度 内,组织的灾难恢复系统 对社会经济的 影响大 小。 表3 列出了 社会经济 影响 的分 类方法。 DB11/T 1289 2015 6 表 3 社会经济 影响的 分类 方法 对象 说明 社会经济贡献 灾难恢复系统使组织对社会经济贡
20、献大小 业务连续性能力 灾难恢复系统保障业务连续对社会经济的促进作用大小 社会稳定贡献 灾难恢复系统对社会稳定的影响大小 5.4.2 应急恢复 能力 分析 灾难恢复系统 应急 恢复能力指一 定时间 跨度 内,组织的灾难恢复系统 对社会 政治的 影响大 小。 表4 列出了 应急 恢复 能力 的分 类方法。 表 4 应急恢复 能力的 分类 方法 对象 说明 信息系统恢复能力 灾难恢复系统保障信息系统安全恢复能力大小 信息保护能力 灾难恢复系统保护敏感信息能力大小 突发事件应急能力 灾难恢复系统使信息系统及时、无损恢复到正常状态能力大小 5.4.3 社会满意度 分析 灾难恢复系统社会 满意 度指 一
21、 定时间 跨度 ( T)内 , 组织的灾难恢复系统 满足 社会、 适应 社会的程 度大小 。表 5列 出了 社会 满意 度 的分 类方法。 表 5 社会满意度的 分类 方法 对 象 说明 服务质量 灾难恢复系统保障用户业务连续性、控制风险的优良程度 用户关系 灾难恢复系统满足用户、提供支持的能力大小 用户满意度 用户对于灾难恢复系统工作效率的满意程度 企业信息化 灾难恢复系统推动企业信息化发展的力度 宣传力度 灾难恢复系统对用户在本行业业务扩展的能力 社会认可度 社会对灾难恢复系统的可接受和认可程度 政策落实状况 灾难恢复系统配合国家政策、行业规范和要求的表现 合作影响程度 合作方对灾难恢复工
22、作的满意程度 公众形象 灾难恢复系统使组织获得的知名度、公众口碑等 5.4.4 社会效益 赋值 评估者 应根 据经 验和( 或) 有关 的统计 数据 判断 社会效益评估 指标 重要性。 应综合 考虑 以下 方 面 : a) 实际环境 中社会效益评估 各指标的 表现 形式 及表现 结果; b) 国际、国 内或 业内 对该 指标的认 可程 度; c) 未来可预 见该 指标 可能发生 的 作用。 根据组织实 际情况 ,可对 社会效益评估 进行等 级化 处理, 不同 等级代 表各 评估 指 标的 重要程 度。 表 6提 供了 社会效益 赋值 方法,在 实际 评估 中, 社会效益的 赋值 应得 到评估方
23、 认 可。 DB11/T 1289 2015 7 表 6 灾难恢复系统社会效益 赋值 表 等 级 标 识 对 组织的影响程度 5 很 高 着 重 考 虑该社会效益或缺失后引发不可估量损失 4 高 优先考虑该社会效益或缺失后引发重大损失 3 中等 通常考虑该社会效益或缺失后引发一般损失 2 低 该 社会效益可有可无或缺失后对组织影响较小 1 很低 可不考虑该社会效益或缺失后对组织造成的损失忽略不计 5.5 成本效益评估 5.5.1 评估方 法 5.5.1.1 经济效益 在 具 体评估 中,应 综 合 组织 各 阶段 可能 的成本(规 划、设 计 、实施 、运维、废弃等 )和 各 阶段 可能 产
24、生 的收 益等 判断 经济效益。 灾难恢复系统经济效益评估方法参 见附录 A。 5.5.1.2 社会效益 在 具 体评估 中, 评估 者应 根据组织 行业 的类型 (行政事业 单位 、企业、 非盈利 机构 等) 选择 适当 的 评估指 标, 判断 社会效益。 灾难恢复系统社会效益评估方法参 见附录 B。 5.5.1.3 成本效益 评估者 可根 据组织实 际情况 选择 成本效益评估的 合成方法 ,可 分 别 对 经济效益和社会效益 进行 评估 结果判 定,也可 按权 重不 同计算经济效益和社会效益的合 成结果。 附录C 中给出 了灾难恢复系统成本效益计算示例。 5.5.2 经济效益评估流程 灾难
25、恢复系统经济效益评估过程 如下 : a) 计算灾难恢复系统 建设 的总 成本 , 包括 规划 成本 、设 计成本 、 实施成本 、运维 成本 、废弃 成本 等 ; b) 计算评估起 始日 至评估结 束日的 时间 跨度 ; c) 计算评估起 始日 至评估结 束日由灾难恢复系统 产生 的直接 性经济 收益和 间接 性经济 收益 ; d) 得到评估起 始日 至评估结 束日的 折现 率; e) 由成本 、时间 跨度、收 益及 折 现率 计算灾难恢复系统经济效益 ; f) 得出该 组织灾难恢复系统经济效益评估结 论。 计算示例参 见附录 C。 5.5.3 社会效益评估流程 灾难恢复系统社会效益评估过程
26、如下 : a) 根据被 评估组织实 际情况 ,选择 适用 于评估的评 价指 标( 包括 社会经济 影响 、应急 恢复 能力 、 社会满意 度等 方面 ); b) 确定评 价指 标的 权重 ; c) 根据灾难恢复系统社会效益 赋 值表 (见表 6)为 评价指标 赋值; d) 根据指 标赋 值和 指标 权重 计算灾难恢复系统社会效益 ; DB11/T 1289 2015 8 e) 得出该 组织灾难恢复系统社会效益评估结 论。 计算示例参 见附录 C。 5.6 评估结果使用 组织应 综合 考虑 灾难恢复系统成本效益 对组织 业务 的影响 , 提出 较为适 当、可 用的成本效益 管理 计 划 。 若
27、经济效益和社会效益 较高 , 或经济效益 较高 而社会效益 在可 接受 范围内 , 或 经济效益 可接 受而 社 会效益 较高 ,则组织 应保 持原有 的灾难恢复系统 投资 策 略; 若 经济效益和社会效益 均不为组织 所接 受, 则组织 应当考 虑调整 灾难恢复系统 投 资策 略,以期 取得 预期效果。 5.7 评估文档记录 5.7.1 评估文档记录的 要求 记录成本效益评估过程的 相关文档 ,应 符合 但不 限于以下 要求 : a) 文档发 布前 得到 批准 ; b) 文档更改 和现 行修订 状态 可识别 ; c) 文档分 发得 到适 当控 制,应 规定 其标 识、 存储 、保 护、检 索
28、、保 存期限以及处置所 需的 控制 , 使用时 可获得 有关 版本的 适用文档 ; d) 作废文档 进行 适当 的标 识。 5.7.2 评估文档 评估文档主要 包括但 不仅 限于如 下文 件: a) 成本效益评估方 案: 阐述 成本效益评估的 目标 、 范围 、人 员 、 评估方法 、 评估结果 形式 和实施 进度等 ; b) 成本效益评估程 序: 明确 评估的 目的 、 职 责、 过程 及相关 的文档要 求,以及 实施本 次评估 所需 要的成本 、经济 收益 、社会经济 影响 、应急 恢复 能力 和社会 满意 度识别 和判 断依据 ; c) 成本分析 清单: 根据 组织 在成本效益评估程 序
29、文档 中所确 定的成本分 类方法 进行成本分析 , 形 成成本分析 清单 ,并 明确 成本来 源; d) 经济收 益分析 清单: 根据 组织 在 成本效益评估程 序文档 中 所确 定的经济 收益分 类方法 进行 成本 分析, 形成经济 收益分析 清单, 并明 确其 与经济 收益的映射 关系 ; e) 社会经济 影响 分析 清单: 根 据组织 在成本效益评估程 序文档 中所 确定的社会经济 影响 分类 方法 进行社会经济 影响 分析 ,形 成社会经济 影响 分析 清单 , 并明 确社会经济 影响来 源 ; f) 应急恢复 能力 分析 清单: 根 据组织 在成本效益评估程 序文档 中所 确定的 应
30、急 恢复 能力 分类 方法 进行应急 恢复 能力 分析 ,形 成 应急 恢复 能力 分析 清单 , 并明 确应急 恢复 能力 来源; g) 社会满意 度分析 清单: 根据组织在 成本效益评估程 序文档中 所确 定的社会 满意 度分类 方法 进行 社会满意 度分析 ,形 成社会 满意 度分析 清单 ,并 明确 社会 满意 度来 源; h) 成本效益评估 报告: 对整个 成本效益评估过程和结果 进行 总结 , 详细 说明 被 评估对 象 、 评估方 法、 成本 、 经济 收 益、 社会经济 影响、应急 恢复 能力 、 社会 满意 度的分析结果 、 成本效益分析 和结论 等内容 ; i) 成本效益
31、管理 报告 : 对 评估结果 进行 判定 , 并 根据 判定结果 确定成本效益的 管理办 法以确保 灾 难恢复系统 投入 与产 出的 有效性 ; DB11/T 1289 2015 9 j) 成本效益评估记录: 根据成本效益评估程 序 , 记录成本效益评估过程 中可 复现 的评估过程, 并 作为产 生歧 义后 解决问题 的依据 。 DB11/T 1289 2015 10 A A 附 录 A (资料 性附录) 灾难恢复系统经济效益评估方法 A.1 净现值法 在 时间 范围( T)内, 净现值 法计算灾难恢复效益的 公式如 式(A.1) 所示。 n i i i1 NPVP(1r)C = =+- .
32、(A.1) 式 中 : NPV 时间 范围( T)内 ,成本效益分析的结果 ; n 从灾难恢复系统的 建设时间 点到 评估 时间 点的 时间 跨度, 单位 为年 ; r 贴现 率% ; C 时间 范围( T)内, 灾难恢复系统的 总成本 ; i P 时间 范围( T)内的经济收 益。 当 NPV大于 0时 , 说明 收 益大于 成本, 即灾难恢复系统的经济效益 处于 正增 长趋势 ;当 NPV小 于0 时 , 说明 收益 小于 成本 , 即灾难恢复系统的经济效益 趋 于负 增长趋势;当 NPV等于 0时, 说明 灾难恢复 系统恰 好维 持成本 与收 益的 平 衡。 A.2 效益成本分析 法 在
33、 时间 范围 T内 ,效益成本分析法计算灾难恢复效益 公式如 式(A.2) 所示。 DRDRDR BCA(PC)C =- (A.2) 式 中 : BCA 成本效益分析的结果 ; DR P 时间 范围( T)内 , 灾难恢复系统 产生 的总 收益 ; DR C 时间 范围( T)内 , 灾难恢复系统的 总成本。 当 BCA值 大于 1时, 说明 收 益大于 成本 ,即 灾难恢复系统的经济效益 处于正 增长趋势 ;当 BCA值 小 于 1时 , 说明 收 益 小 于 成本,即灾难恢复系统的经济效益趋于负增长趋势;当 BCA值 等于1时 ,说明 灾难恢复系统 恰好 能维 持成本与 收益的 平衡 。
34、A.3 成本有 效性分析 法 在时间 范围( T)内, 成本 有效性分析法计算灾难恢复效益 公式 如式 (A.3)所示。 EDRDR PCP = . (A.3) 式 中 : E P 时间 范围( T)内, 量化的灾难恢复系统的 收益分析结果 ; DR C 时间 范围( T)内, 灾难恢复系统的成本 总和 ; DR P 时间 范围( T)内, 灾难恢复系统 产生 的总 收益。 DB11/T 1289 2015 11 当 E P大于 1时 ,说明 收益 小于 成本, 即灾难恢复系统的经济效益 处于 正增 长趋势 ;当 E P小 于 1时 , 说明收 益大于 成本, 即灾难恢复系统的经济效益 趋于
35、负 增长趋势;当 E P等于 1时 , 说明 灾难恢复系统 恰 好 能 维持 成本 与收 益的 平衡 。 DB11/T 1289 2015 12 B B 附 录 B (资料 性附录) 灾难恢复系统社会效益评估方法 B.1 德尔菲法 德尔菲 法评 价社会效益的方法过程 如下 : a) 组成专 家小 组。按照 课题 所需要的 知识 范围 ,确 定 专 家 。专 家 人数 的多少 ,可 根 据预 测课题 的 大小和 涉及面 的宽窄 而定 ; b) 向所有 专家 提出 所要 预测 的问题 及有关 要求, 并附 上有关 这个 问题 的所 有背景材料 , 同 时请专 家 提出 还需 要什么材 料。 然后,
36、 由专 家做 书面 答复 ; c) 各个专 家根 据他们 所收 到的 材 料, 提出 自己 的预 测意 见 , 并 说明 自己 是怎 样利 用 这些材 料并提 出 预 测值 的; d) 将各位 专家 第一 次判 断意 见汇总 , 列 成图表 ,进行对 比 , 再 分发 给各 位专 家, 让 专家 比较 自己 同 他 人的 不同 意见 , 修改 自己的 意见 和判 断。 也可以 把 各位 专家 的意 见加 以整 理, 或请 身份更 高 的 其他 专家 加以 评论, 然后 把这些 意见 再分 送给 各位 专 家,以 便他们 参考 后修改 自 己的意见; e) 将所有 专家 的修改 意见 收集 起
37、来, 汇总 , 再次 分发 给各位 专家 ,以 便 做 第二次 修改 。 逐轮 收集 意 见 并为 专家 反馈 信息 是德尔菲 法的主要 环节 。 收 集意见 和信息 反馈 一般 要经过三 、 四轮 。 在 向专家 进行 反馈 的时 候, 只给出 各种 意见 , 但 并不 说明发 表各 种意 见的 专家 的具体 姓名 。 这 一 过程重 复进行, 直到 每一个专家不 再改 变自 己的 意见 为 止; f) 对专家 的意 见进行 综合处理 。 B.2 层次分析 法 层 次 分析法评 价社会效益的方法过程 如下 : a) 建立层 次分析 模型 , 顶 层为 “ 社会效益 ” , 第一层 将 社会效
38、益评估分 为 “ 社会经济影响 ” 、 “应 急 恢复 能力 ” 及 “ 社会 满意 度 ” 。 第二 层中, 将 “社会经济 影响 ” 分为 “社会经济贡 献” 、 “ 业 务连续 性能力 ” 和 “就 业贡 献 ” ; 将 “ 应急 恢复 能力 ” 分为 “信息系统恢复 能力” 、 “ 信息 保 护能力 ” 和 “突发 事件 应急 能力 ” ; 将 “社会 满意 度” 分 为 “ 服务 质量 ” 、 “ 用 户关系 ” 、 “ 用 户满意 度” 、 “ 企业 信息化 ” 、 “ 宣传 力度 ” 、 “社会认 可度 ” 、 “政 策落 实情况 ” 、 “合 作 影响程 度” 和“ 公共 形象
39、 ”; b) 专家打 分得 到不 同的 指标 权重; c) 计算指 标相 对权 重, 按照灾难恢复系统社会效益评估标准 赋值 ,计算 得出社会效益评估 值; DB11/T 1289 2015 13 C C 附 录 C (资料 性附录) 灾难恢复系统成本效益 计算示例 C.1 概述 对灾难恢复系统成本效益 进行计算 ,需 要 确 定 影响 成本效益的要 素、 要素 间的组合 方式 以及 具体 的 计算方法 ,将 成本效益要 素按照组 合方 式使用 具体 的计算方法 进行 计算 ,得 到成本效益 值。 本计算示例 采用 净现值 法计算灾难恢复经济效益 ,采 用 德尔菲 法评 价灾难恢复社会效益。
40、C.2 计算示例 C.2.1 示例背景 2010年 , 某 公司 实施 了信息系统灾备 建设 。经过 调研 , 该公司 信息系统 共有 30个 ,可以 分为 一般 业 务系统 、IT 支撑 系统和 核心业务 系统 ,如 附表 C.1。 表C.1 某公司 业务系统分 类 类别 系统名称 核心业务系统 企业资源计划系统、数据仓库系统、办公自动化系统、邮件系统 IT支 撑 系统 域控系统、 准入系统、 IP电 话 系统、 视频会议系统、 监控系统 、 文 件 共享系统、大 文 件 传 输 系 统 、 桌 面 杀毒系统等 一般业务系统 流程设计系统、主数据平台系统、银行接口系统等 经过对 该公司 信息
41、系统灾难恢复 需求 分析 ,及 与 公司 管 理层 沟通,建 议 公司采 用 自建、 内部 管理 方 式 进行 灾备 中心建设 与运维 。 C.2.2 使用净现值法计算 灾难恢复经济效益 C.2.2.1 成本计算 该 公司 的成本 C包括 规划 成本 、 实施成本 、运维 成本和 其 它成本 ,成本 构成 如表 C.2所示。 表 C.2 该公司的 成本构成 成本名称 一次性投入 万元 后期费用 万元/ 年 规划成本 200 无 实施成本 500 20 运维成本 300 20 其 他 成本 200 10 计算该 公司 灾难恢复 建设 的总成本计算 公式 如式 (C.1)所示。 1234 CCCC
42、C =+ (C.1) 式 中 : DB11/T 1289 2015 14 C 总成本 ; 1 C 规划 成本 ; 2 C 实施成本 ; 3 C 运维 成本 ; 4 C 其他 成本。 故 该 公司 存在 的成本 为: a) 一次性 建设 成本 1200万元 ; b) 后续成本 50万元 /年 。 C.2.2.2 经济收益 计算 根 据 该公司2010年 度销售 情况进行 评估 ,该公司 该年 度 总收 入 84.69亿 元人 民币 ,业务中断 对核 心 业务系统的 直接 财务 影响如表C.3 所示。 表C.3 该公司核心 业务系统 的直接 财 务经济 损失 核心业务系统名称 收入损失 万元/ 小
43、时 企业资源计划系统 91.85 商 业 智 能 系统 无 办公自动化系统 无 邮件系统 无 其它业务 4.83 基 于 灾难恢复系统成 功避 免因业务中 断造 成的经济 损失值 和 RTO要 求, 计算 得出经济 收益。 其中, 计算公 式如 式(C.2) 所示。 iBARP PB(RR)V =- . (C.2) 式 中 : i PB 灾难恢复系统成 功避 免 因业务中 断造 成的经济 损失值; RP V 系统 宕机 时, 每小 时所产 生的经济 损失; B R 在没 有灾难恢复系统的情况 下, 信息系统 从停顿到 恢复的 时间 ,以 小时为单位 ; A R 信息系统 从停顿到恢复的 时间
44、,以 小时为 单位。 该公司在 实施灾难恢复系统 后 ,业务 恢复 时间 可以 减少8 小时 , 即 B R - A R =8小 时, 则该公司 灾难恢 复系统经济 收益 =96.68万 元/小 时8 小时 =773.44万 元。 C.2.3 使用净现值法计算 灾难恢复经济效益 C.2.3.1 经济效益 计算 根 据 该公司 的成本和经济 收益, 使用 净现值 法计算 该公司 灾难恢复系统的经济效益 , 计算过程 见附 录 A。 假 设 一年 一次 性投 资1200 万元, 每年 投资 50万 元, r5% = , 则: a) 计算收 益为 iBARP PB(RR)V7541 =-=万元 b)
45、 计算 NPV9480 = C.2.4 使用德尔菲法 评价 灾难恢复社会效益 DB11/T 1289 2015 15 邀 请 行业 专 家、 技术 专 家、业务 专家等 5位专 家组成 专家小 组。根 据该 公司业务 系统的 特 点, 专家 小 组 选取 社会经济 影响 、应急恢复 能力 及社会 满意 度为一 级评 价指 标, 社会经济影响包括 社会经济贡献 和 业务 连续 性能力 ; 应急 恢复能力 包括 信息系统恢复 能力 和突发 事件 应急 能力 ; 社会 满意 度包括 服务质 量 、 用户满意 度、 社会认 可度、公 众形象 等。 5位专家 按照实施灾备系统的重 要性对 评价指 标打
46、分。经 过三次反馈 ,得 到该 公司 社会效益评 价如表 C.4所示。 表 C.4 该公司 灾难恢复系统社会效益评 价 专家编号 社会经济影响 应急恢复能力 社会满意度 社会经济 贡献 业务连续 性能力 信息系统 恢复能力 突发事件 应急能力 服务质量 用户满意 度 社会认可 度 公众形象 1 5 5 3 3 5 5 5 5 2 4 5 4 3 5 5 4 5 3 5 4 4 3 4 5 5 3 4 5 5 3 4 5 5 4 5 5 4 5 3 3 5 5 4 5 平 均 值 4.6 4.8 3.4 3.2 4.8 5 4.4 4.6 假 设 社会经济 影响 、应急 恢复能力 及社会 满意
47、度下 的各二 级指 标的 权重相 同, 则 该公司 灾难恢复系 统的社会经济 影响值 为4.7,应急 恢复 能力 值为 3.3, 社会满意 度为 4.7。 假 设 社会经济 影响、应急 恢复能力 、 社会 满意 度 的权 重 分别 为 0.4、 0.3、 0.3, 则 该公司的社会效 益评价 值=0.4*4.7+0.3*3.3+0.3*4.7=4.28 。 C.2.5 灾难恢复成本效益 结果判 定 由该公司 灾难恢复系统经济效益计算结果 可知 , 该 公司灾难恢复系统的 NPV为948, 说明 收益 大于 成本, 灾难恢复系统 取得 的经济效益 处于 正增 长趋势 ; 由该 公司 灾难恢复系统
48、社会效益评 价结果 可知 , 该公司 的社会效益 综合 评价 值 为4.28 , 说明 灾难恢复系统 取得 社会效益 处于 “高” 等级, 社会效益 可 观 。 综上所 述, 该公司 灾难恢复系统的成本效益 趋于 正增 长 , 能 够合理 规避 企业 风险, 避免 企业 损失 ,对企 业 发展 具有 较大 的促 进意 义。 DB11/T 1289 2015 16 参 考 文 献 1 GB 50174-2008 子信息系统 机房 设计规范 2 GB/T 5271.8-2001 息 技术 词汇 第8 部分: 安全 3 GB/T 19000-2008 质量管理 体系 基 础和术语 4 GB/T 20984-2007 信息 安全 技术 信息 安全 风险评估规范 5 GB/T 20988-2007 信息 安全 技术 信息系统灾难恢复规范 6 GB/T 22081-2008 信息 技 术 信息 安全 管理 实用规则 _