项目风险评估（分析）报告（分享版）.doc

《项目风险评估（分析）报告（分享版）.doc》由会员分享，可在线阅读，更多相关《项目风险评估（分析）报告（分享版）.doc（42页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国XX灾备咨询项目风险分析报告IBM全球服务(中国)有限公司20XX年XX月中国XX灾备咨询项目文 档 信 息文档名称:中国XX灾备咨询项目风险分析报告文档编号: 文档版本号:文 档 变 更 记 录版 本 编 号版 本 日 期作 者说 明V1.0文件创建V1.1拟定报告结构V1.2完成报告的撰写V1.3项目组内部审阅并修订审 核 批 准批准代表签字时间版权声明本文档模版仅供中国XX有关中国XX容灾咨询和集成实施服务项目的工作人员使用。务请妥善保管并且仅在与项目有关人员范围内使用，未经中国XX明确作出的书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档模

2、版的任何部分进行复制、存储、引入检索系统或者传播。本约束并不限制中国XX自由使用从其它途径得到的本文档模板所包含的信息IBM是国际商业机器公司的注册商标。本文档提及的其他公司、产品和服务的名称，可能是其他公司的商标或服务的标志。本文档模版的知识产权属于IBMi目 录1 综述11.1 项目背景11.2 本阶段工作目标11.3 本阶段工作范围21.4 本文档说明32 风险分析咨询方法论52.1 IBM业务连续性方法论52.2 风险分析咨询的内容及关系122.3 风险分析咨询的工作方法122.4 风险分析咨询的工作流程132.5 风险分析咨询的数据来源143 中国XX风险分析信息收集163.1 北京

3、市政府对存在风险的指导意见173.2 前次咨询报告中的风险分析213.3 中国XX当前风险应对手段信息收集233.4 中国XX大厦信息收集243.4.1 位置环境243.4.2 机房设施263.4.3 安保监控273.4.3.1 风险的发现273.4.3.2 风险发现的结论273.4.4 人力资源273.4.4.1 风险的发现273.4.4.2 风险发现的结论283.4.5 信息系统283.4.5.1 风险的发现283.4.5.2 风险发现的结论283.5 东直门XX大厦信息收集283.5.1 位置环境283.5.2 机房设施303.5.2.1 风险的发现303.5.2.2 风险发现的结论30

4、3.5.3 安保监控303.5.3.1 风险的发现303.5.3.2 风险发现的结论303.5.4 人力资源313.5.5 信息系统314 中国XX风险因素评估及结论325 中国XX风险应对建议356 本次项目对中国XX容灾能力的作用39中国海油灾备咨询项目1 综述1.1 项目背景随着信息使用环境的日渐普及，人类对于计算机系统的依赖也日益加重。计算机系统可能因为天灾或人为因素等等意外事故，导致系统毁坏而长期无法运行，造成整个组织或机构在营运上的重大损失以至倒闭的风险。因此，每个组织或机构均视故障和灾害的发生为必然，事先应妥善做好规划，以其能够于平时达成防患于未然的效果，万一不幸发生，也可以降低

5、其所带来的损失与风险，达成组织或机构持续经营的目的。中国海洋石油总公司（以下简称中国XX，或CNOOC），负责中华人民共和国之海洋石油工业的监管、研究及服务职能，并参与中游和下游石油工程项目；是中国第三大国家石油公司，负责在中国海域对外合作开采海洋石油及天然气资源，是中国最大的海上油气生产商。同时，中国XX在海内外资本市场有四家上市企业，总公司及下属两家公司被标准普尔和穆迪授予A-和A2级资信评级，继续保持国内企业的最高评级。无论是行使行政职能，为国有资产保值增值，保证股东利益，还是维护企业形象和遵从法规制度要求，生产经营的连续性运行至为重要。为此，中国XX高瞻远瞩，决定通过容灾系统项目的建设

6、，通过数据级和应用级的容灾，结合必要的流程支持，保证中国XX的业务连续性。感谢中国XX选择了IBM作为容灾系统项目的咨询合作伙伴，使IBM有机会结合中国XX的业务实际情况，通过IBM成熟的容灾实施方法，在中国XX的领导和专家的指导和配合下，通过双方的努力，对中国XX面临的风险进行评估，提供可能的应对风险措施以供中国XX决策，进而为后续的业务连续性战略和计划做出必要的参考及指导。1.2 本阶段工作目标风险分析的工作目标是甄别并确认重大的物理风险和安保漏洞等，这些风险和漏洞都会导致不可接受的后果，比如中国XX人员的损失或者中国XX业务的中断。其中甄别并确认会导致支撑业务运行的信息技术（IT）设备所

7、受到重大冲击的风险，是重中之重。基于对风险的认识和评估，提供意见供中国XX的领导对不同的风险采取合适的应对方式：哪些风险是可接受的、哪些是需要转移的、哪些是必须采取措施去规避或减轻的。同时根据风险定性分析的结果，会依据风险威胁的严重程度，并结合风险措施的成本，推荐出带优先级别的具体风险应对措施以供中国XX领导参考。简言之，风险分析的目标有二：1. 确定对业务功能、资产和人员的最大风险；2. 对结果定义其风险等级并提出改进建议/控制方法。1.3 本阶段工作范围IBM采用业务连续咨询方法论来规划和设计出企业的业务连续计划。该广受验证的实施方法论由7个步骤串连而成：1.风险分析2.业务影响分析3.当

8、前业务环境及恢复能力分析4.容灾策略制定5.容灾方案设计6.业务连续性流程设计7.业务连续性计划的演练和维护在本阶段将进行整个流程中的第一个阶段：风险分析。风险分析是一个确认并管理风险的过程，这些风险会影响企业的业务连续性，包括严重冲击企业的业务、企业的资产以及企业的人员，企业可以利用风险分析的成果做参考，评估、分析并最终采取可行的、有效的、合适的风险应对措施，提高企业应对灾难的能力。根据IBM的分析方法，并结合前期和中国XX领导和专家的初步沟通和讨论，在风险分析的评估中，分以下五大类来获取信息并评估：n 周边环境n 机房设施n 安保监控n 人力资源n 信息系统其中，前四类将通过本次咨询直接获

9、取数据，而信息系统将从前次CCID调研中获取数据。针对本次项目实际情况，对以下两处中国XX生产数据中心的信息进行了收集：n 中国XX大厦-5楼机房-地下B1设备层n 东直门XX大厦-24和25层机房-地下一层UPS和蓄电池室信息收集的方法包括站点走访以及访谈，协助参与的单位以信息技术中心为主，包括大厦物业及研究中心。1.4 本文档说明本报告共包括五个章节的内容：第1章，介绍风险分析的工作目标和工作范围。第2章，介绍风险分析的方法论，包括风险分析咨询在整个IBM业务连续性方法论中的位置和上下关系，同时也会介绍具体工作方法和流程，以及咨询的假设和数据来源。第3章到第5章，是风险分析的具体内容。第3

10、章，是风险分析中收集和发现的信息的整理和详细说明。第4章，是通过信息收集获得的信息，以对中国XX面对的风险因素进行评估，并产生相应的结论。第5章，对中国XX可以采用的风险应对方式进行建议。第6章，是整个报告的总结。2 风险分析咨询方法论2.1 IBM业务连续性方法论在长年灾备服务提供的过程中，IBM在业务持续服务方面形成了一套完整的实施方法论，它包括七个步骤：风险分析、业务影响分析、当前业务环境及恢复能力分析、容灾策略制定、容灾方案设计、业务连续性流程设计、业务连续性计划的演练和维护。其过程如下图所示，是一个周而复始的过程，随着企业内部环境的变化随时灵活变化： 以下针对这几个阶段作一些详细的介

11、绍。阶段一、风险分析（灾难类型分析）风险分析（Risk Analysis）分析可能对企业业务系统和IT系统的安全性造成威胁的各种风险因素并提出相应的对策和改进方案。因此，风险分析的工作将不仅仅只是提出补救措施，还将定义出对于风险的预防措施。IBM建议，企业的业务持续计划的设计及拟定应该是一个持续并循环往复的过程，每一阶段都能持续不断的改进，并且在实际工作中体现有效性与高效性。在本阶段，需要进行详细而量化的风险分析，以确定当前IT环境之中存在哪些无法接受的物理威胁或者可能发生的灾难。并对灾难发生的可能性、目前可能的防护措施的有效性和该灾难所威胁的资产价值进行分析，最终得到的结果是带有优先级别的需

12、要防护的灾难列表，并制订可能的处理方法，如接受该灾难发生的风险而不进行防护、自行制订该灾难的防护方法或者进行购买保险等风险转嫁等方向性的策略。其结果可以由下图表示：风险分析曲线图在该图中，横坐标为风险发生的可能性，纵坐标为风险发生所造成的损失。在某一风险发生的可能性极小时，即使所造成的损失极大，也可能属于可接受的风险范畴，例如美国的911事件，但是该接受程度是与时俱进的，在911事件发生后，事实是大部分没有考虑这种大范围灾难性事件的企业基本没有得到恢复的机会。目前业界已经将低概率事件也逐渐纳入防护的范围。阶段二、业务影响分析业务影响分析（Business Impact Analysis）收集、

13、分析及汇总及排序当信息系统一旦遭遇灾害对各项重要关键性业务的影响程度，并依据其优先级提出恢复策略建议。通过业务影响分析可验证实施业务连续性解决方案的必要性及需求。在本阶段，应该针对各种业务流程进行分析，通过走访个业务部门的相关人员，了解到各种业务流程本身对该企业的重要程度，同时根据一定的评判原则，得出在核心流程由于灾难的发生而无法正常进行时对企业本身的损失情况。这种损失可能是可以量化的例如单据的丢失、计算的错误而导致的直接损失；也可以是无形的损失例如客户满意度及竞争优势的丢失。通过可量化和不可量化损失的综合考虑，得出各种核心业务流程由于灾难受损的可容忍程度及损失的决策依据，体现在IT系统上，是

14、三个指标：数据恢复点目标（RECOVERY POINT OBJECTIVE）：体现为该流程在灾难发生后，恢复运转时数据丢失的可容忍程度；恢复时间目标（RECOVERY TIME OBJECTIE）：体现为该流程在灾难发生后，需要恢复的紧迫性也即多久能够得到恢复的问题；网络恢复目标（NETWORK RECOVERY OBJECTIVE）：即营业网点什么时候才能通过备份网络与数据中心重新恢复通信的指标；这三个指标对于不同的业务流程可能相差非常之大，各个流程本身对这三个目标的优先程度也是不一样的，有的流程可能要求数据丢失程度较小，但恢复时间可以较长，而另一些流程可能要求短时间内恢复，但数据丢失程度可

15、以放大一些。这三个指标直接影响所使用的容灾策略及技术方案，并指导企业的投入成本。可以用下图表示：业务影响分析曲线在该图中，横坐标为灾难持续时间，纵坐标为灾难损失，在某一程度以下属于可接受程度，即横虚线所示。这种可接受决策应该由负责该流程的业务部门综合考虑后做出。阶段三、可恢复性评估（当前业务环境及恢复能力分析）可恢复性评估（Recoverability Assessment）定义现行各业务流程的恢复能力及现行技术环境的特征，它将从架构、平台、技术、基础设施、组织结构、恢复流程等各层面来评估企业目前的恢复能力。本阶段主要针对业务影响分析的结果，对目前的内部环境进行评估，得出与恢复目标之间的差距。

16、分析的对象为业务流程需要的资源如IT环境等。通过本阶段的工作，得出各业务流程所牵涉的企业资产及资源（人力资源、IT架构、技术储备、技术使用程度、网络环境等），并分析得出目前业务环境是否能够支持容灾需求、冗余程度、可能造成的数据损失等报告。用下图表示： 可恢复能力分析（企业容灾环境分析）图中右边红线为目前环境所支持的容灾能力，左边红线为经业务影响分析需要达到的恢复能力，在灾难恢复时间和灾难所造成损失上都需要得到降低。阶段四、容灾策略制定容灾策略制定依据前述各项分析和评估的结果和发现，定义消减当前恢复能力与恢复能力目标之间差距的高层次计划（High level plan）。在本阶段，结合以上各阶段

17、的分析成果，以及企业本身在容灾上的投入能力，制订企业短期、长期范围内的容灾策略和目标，并有意识地将企业本身的人员组成和组织架构做出调整以适应策略要求。最重要的是制订出容灾实施步骤，将最重点的问题优先解决。如下图所示： 容灾策略制订阶段五、容灾方案设计灾难恢复方案设计依据恢复策略来详细设计所选择的最适用的方案。灾难恢复方案设计应考虑基础设施、硬件平台、软件技术、网络配置、IT组织、技术恢复流程等方面。容灾方案可供选择的范围很大，然而所有的容灾方案都必须考虑的因素包括恢复时间、实施与维护容灾策略所需的投入等。容灾恢复时间需求越短，所需的实施成本就越大，实施难度也就越高。恢复时间与投入的比值可以用以

18、下这张曲线图加以说明： 容灾方案层次图中的各种层次方案可以分别满足不同的数据恢复目标和恢复时间目标，需要根据业务影响分析的结果，针对每一种业务流程，综合选择能够满足容灾目标的方案。阶段六、业务连续性流程设计业务持续计划设计（Business Continuity Planning）定义、书面化与测试在灾难发生之前、之中与之后的企业营运组织架构与任务职责，以确定可被接受的业务持续运作的规范。业务持续计划在过去也称作灾难恢复计划。有了IT系统的恢复方案，只能够保证在灾难环境下，IT系统的恢复能够保证业务影响分析的目标，但是业务的连续性并不只是IT系统的恢复，还包括办公场地、办公设备、紧急流程、指挥

19、架构、人员调度等等多方面、各部门的综合考虑。只有业务流程执行过程的每一个环节都达到容灾目标的要求，才能够认为业务影响分析的目标得到了满足。一般来说，每个企业都应该设立一个由领导挂帅，各业务部门和IT部门联合组成的一个容灾指挥小组： 容灾组织架构图由该小组指挥，IT部门和业务部门分别执行，IT恢复计划和业务连续性计划才能得到同步，从而达到容灾设计的目标。阶段七、业务连续性的演练和维护业务持续计划的演练和维护（Drill，Test，Maintenance）通过对业务持续计划的桌面演练、实际测试和维护管理，确保业务持续计划保持最新及有效性。任何制订的计划，都必须经过不断的测试和修正，才能满足企业不断

20、发展的需求。同时，通过测试过程，也能够使企业内部各部门及人员熟悉自己在业务连续性计划中所扮演的角色，做到胸有成竹，才能够在灾难真正发生的时刻有条不紊地开展恢复的过程。测试的过程可以分为“纸上谈兵”和实地演习两种方式，根据企业需要及对业务影响的不同分别采用。需要注意的是，无论平时的测试如何完善，也没有办法预测可能发生的灾难情况。关键人员的损失或者关键文档的丢失，都有可能对灾难恢复计划的执行造成巨大影响。因此，在灾难演练过程中要注意到人员的交叉备份情况，除了每个人自己所担负的责任外，尽量做到关键步骤有后备人选作为应变。2.2 风险分析咨询的内容及关系根据上一节对IBM业务连续性方法论的总体阐述，风

21、险分析的内容是：针对中国XX的业务系统和IT系统面对的可能风险因素，通过与相关部门的实地走访和访谈，完成资料的收集工作，并对信息和数据进行分析，对中国XX面对的风险进行总结和评估，并提出相应的对策和改进方案。并且，环境分析和整个IBM业务连续性方法中的后续阶段不是割裂的，而是有着密切的相互承转关系的。风险分析的成果-对于企业面临的风险的识别，既将指导后续的业务影响分析哪些业务系统可能面临风险，也将指导后续的环境分析需要针对哪些风险调查相应的当前容灾应对措施。需要说明的是，风险分析是从企业整体和企业业务的角度出发，而不仅仅局限与IT的角度。2.3 风险分析咨询的工作方法根据IBM的业务连续性方法

22、论，风险分析是属于分析阶段的第一个步骤。在本次工作中，我们参考了大量IBM在全球业务连续性项目的成功经验，同时也参考了当地政府的政策性指导，以及结合中国XX项目情况，按照以下工作方法进行风险分析。首先是风险分析的信息收集与整理工作。我们根据IBM方法论与实践总结出的风险分析范围，同时参考北京市及朝阳区政府应急预案中的风险定义，这样就基本涵盖到容灾风险分析所需要考虑的因素，将其按内容划分为位置环境、机房设置/基础架构、安保监控、人力资源和信息系统五大类，以便更有效的从相关部门与人员获取真实详尽的信息。除研读提取前期CCID的调查问卷之外，我们还结合现场走访与访谈的工作方式，以尽可能发现当前企业环

23、境中潜在的风险因素。通过这样的问卷和现场调查方式，可以获取比较详细的风险信息，不仅帮助我们理解具体的风险现状和已有的预防措施，同时对客户本身也是一个审视和认识的过程，能够对当前环境的风险因素有一个定性的全面理解。这有助于双方在后期进行合理的风险因素评估和应对建议。在前期信息收集与处理的基础上，在双方对当前环境的风险现状有了定性的认识与了解后，可以进行风险因素的评估。我们根据IBM成熟的方法论与最佳实践总结，对所有必要的风险因素进行量化评估，综合考量风险发生的可能性，可预见性以及业务的受影响程度，按照IBM广泛应用的计算模型，最终得到风险的综合权重。根据此综合权重我们可以对风险进行分级，作为在考

24、虑风险应对措施优先级别时的参考依据。通过评估得到风险因素的影响和权重以后，我们将结合中国XX的实际情况，参考风险因素的层次级别，提出相应的带有优先级的风险应对建议，这些建议措施按照IBM的方法论共分为三大类：接受（接受该灾难发生的风险而不进行防护）、避免（自行制订该灾难的防护方法）、转移（进行购买保险等风险转嫁）。2.4 风险分析咨询的工作流程遵循风险分析的工作方法，在双方的共同努力下，风险分析的咨询工作按照如下流程进行：1. 确定潜在的风险和威胁此阶段包括：n 信息初步收集根据与中国XX的交流，了解中国XX的业务类型、IT环境的特征；同时根据中国XX的地理位置，获得当地行政机关颁发的风险指南

25、。n 研读CCID调研报告由于前期CCID受中国XX委托已做过IT风险调研（包括大规模的问卷调查），为了有效利用而不重复工作，会仔细研读调查问卷结果，以获取有效信息。n 建立访谈要点暨调研表格根据以上初步获取的信息，整理综合下一阶段需要使用的访谈的要点，形成具体的调研表格。2. 进行站点走访和访谈针对中国XX生产数据中心-中国XX大厦和东直门XX大厦，重点围绕以下五个方面进行站点走访和访谈：n 位置环境n 机房设施n 安保监控n 人力资源n 信息系统3. 分析确认收集的信息，整理走访结果n 基于过去发生过的事件和损失对风险进行排序n 针对上述风险的级别及可行的应对措施提出建议2.5 风险分析咨

26、询的数据来源在中国XX的支持下，IBM灾备项目组将本着客观、全面、准确的原则进行风险分析的咨询工作。本次咨询信息收集的基础为：u 中国XX及CCID提供的相关资料及报告是准确的、是能反映当前现状的u 选定的被访谈人是对相应业务的具体负责人，对本业务具有权威，并且提供的信息是客观的本次咨询的数据来源包括如下：n 前期CCID报告n 中国XX官方网站及公开出版物n 北京市突发公共事件总体应急预案（2005年修订）n 北京市朝阳区突发公共事件总体应急预案（2006年）n 中国XX风险分析实地走访及访谈n 中国XX风险分析实地走访及访谈n 中国XX提供的其他相关文档资料风险分析咨询工作中对中国XX各业

27、务关键人员的访谈列表如下：3 中国XX风险分析信息收集风险分析需要进行大量的信息收集和现场调研，主要包括对信息系统所在的基础设施进行检查、对信息系统的主要负责和维护人员进行问卷或访谈。另外为了更好的了解客户周边环境，风险分析还需要对建筑物和周边环境进行考察。根据IBM风险分析的方法，结合中国XX的实际情况，我们主要从位置环境、机房设施、安保监控、人力资源和信息系统这几个类别出发，进行信息的收集与处理。当前，中国XX总公司业务部门的北京地区数据中心主要分布在两地，中国XX大厦（朝阳门）数据中心，运行绝大部分业务系统，并且作为集中的监控中心；东直门XX大厦数据中心，运行的主要是研究中心的业务系统。

28、围绕中国XX的两个数据中心，根据以上提到的风险分析类别，将展开相关的风险分析信息收集。具体信息收集方式如下图所示：本次风险分析信息收集方式3.1 XX政府对风险的指导意见（风险分类）中国XX大厦数据中心和东直门XX大厦数据中心都位于北京市中心城区。因此，当地行政机关提供的所属区域风险识别指导意见，对数据中心的风险识别具有非常重要且权威的作用。北京市人民政府于2005年修订了北京市突发公共事件总体应急预案（2005年修订）以下简称北京市应急预案。该预案是北京市政府颁布的指导性方案，是针对北京市行政区域内，预防和减少自然灾害、事故灾难、公共卫生和社会安全事件的整体计划和程序规范。针对北京地区的位置

29、环境的总体情况，在北京市应急预案中的总则进行了阐述：n 北京是我国的首都，是全国的政治中心、文化中心，是世界著名的古都和现代国际城市；n 北京位于华北地区,属暖温带半湿润大陆性季风气候，地处度高地震烈度地区，水资源短缺，受多种气象灾害影响，存在诸多产生突发公共事件的自然条件。北京城乡发展不平衡，中心城区人口密集，经济、社会活动集中；城乡结合部流动人口多，管理比较混乱；远郊地区经济社会发展相对落后，存在诸多产生突发公共事件的社会因素。具体地，北京作为一个突发公共事件频发的城市，主要突发公共事件可划分为自然灾害、事故灾难、公共卫生事件和社会安全事件4大类13分类34种，详见下表 引自北京市突发公共

30、事件总体应急预案(2005年修订)中“1.2 北京突发公共事件的现状、特点及发展趋势”小节：北京市突发公共事件大类分类种类自然灾害水旱灾害洪涝、干旱地震灾害破坏性地震地质灾害泥石流、滑坡、采矿塌陷气象灾害大风及沙尘暴浓雾、冰雪天气暴雨、雷电天气森林火灾森林火灾事故灾难安全事故危险化学品事故矿山事故特种设备事故轨道交通运营突发事件道路突发事故桥梁突发事故道路交通事故人防工程事故火灾事故建筑施工突发事故公共供水突发事件公共排水突发事件城市地下管线突发事件重特大电力突发事件燃气事故供热事故环境污染和生态破坏突发事故环境污染和生态破坏突发事故公共卫生事件重特大传染病疫情鼠疫、炭疽、霍乱、SARS、流感

31、等重特大动植物疫情口蹄疫、高致病性禽流感等食品安全与职业危害职业中毒事件食物中毒事件社会安全事件重特大群体性事件影响校园安全稳定事件重特大群体性上访事件公共场所滋事事件民族宗教群体性突发事件重特大刑事案件重大恐怖事件和刑事案件涉外突发事件涉外突发事件北京市朝阳区政府，参考北京市应急预案制定了北京市朝阳区突发公共事件总体应急预案（2006年）以下简称朝阳区应急预案。朝阳区应急预案根据所辖朝阳区自身的实际特有情况和现状，参考北京市突发公共事件定义，形成了朝阳区突发事件定义，划分为4大类16分类29种，具体如下：朝阳区突发公共事件大类分类种类自然灾害水旱灾害洪涝、干旱地震灾害破坏性地震气象灾害大风、

32、暴雨、雷电、冰雹天气冰雪、浓雾、沙尘暴天气森林灾害病虫灾害森林火灾事故灾难安全生产事故危险化学品事故建筑施工事故特种设备事故火灾事故火灾事故交通事故道路交通事故城市公用基础设施安全事故道路、桥梁事故供、排水事故供热事故燃气事故地下管线事故电力事故人防工程事故人防工程事故环境污染和生态破坏事故突发环境污染和生态破坏事故公共卫生事件重特大传染病疫情鼠疫、炭疽、霍乱、SARS、流感等重特大动植物疫情口蹄疫、高致病性禽流感等食品安全与职业危害职业中毒事件食物中毒事件社会安全事件重大群体性事件影响校园安全稳定事件重特大群体性上访事件公共场所聚众滋事事件民族宗教群体性突发事件重大刑事案件重大恐怖事件和刑事

33、案件涉外突发事件涉外突发事件中国XX大厦位于东城区朝阳门桥，紧挨东城区与朝阳区交界处；东直门XX大厦位于朝阳区东直门外小街。由于东城区未颁发相应地区的应急预案及风险指导，并且两个XX大厦都分别紧邻或位于朝阳区（两栋大厦直线距离2.29公里），因此本报告依据朝阳区应急预案根据两个XX大厦的实际情况，基于其风险指导类别进行选取。去除不会直接影响两个XX大厦IT（信息）相关系统的风险类别：n 自然灾害：森林灾害：病虫灾害/森林火灾n 事故灾难：安全生产事故：危险化学品事故/建筑施工事故/特种设备事故n 事故灾难：城市公用基础设施安全事故：供热事故/燃气事故/地下管线事故n 事故灾难：人防工程事故：人

34、防工程事故n 事故灾难：环境污染和生态破坏事故：突发环境污染和生态破坏事故n 公共卫生事件：食品安全与职业危害：职业中毒事件n 社会安全事件：重大群体性事件：影响校园安全稳定事件/公共场所聚众滋事事件/民族宗教群体性突发事件最终得出XX大厦可能面临的4大类13分类15种类的环境风险：中国XX大厦和东直门XX大厦面临的环境风险大类分类种类自然灾害水旱灾害洪涝、干旱地震灾害破坏性地震气象灾害大风、暴雨、雷电、冰雹天气冰雪、浓雾、沙尘暴天气事故灾难火灾事故火灾事故交通事故道路交通事故城市公用基础设施安全事故道路、桥梁事故供、排水事故电力事故公共卫生事件重特大传染病疫情鼠疫、炭疽、霍乱、SARS、流感

35、等重特大动植物疫情口蹄疫、高致病性禽流感等食品安全与职业危害食物中毒事件社会安全事件重大群体性事件重特大群体性上访事件重大刑事案件重大恐怖事件和刑事案件涉外突发事件涉外突发事件我们针对以上分析做一总结，从中国XX总部面对的、宏观上的城市及区域的风险，可以从三个方面去概括为：1. 地理环境-暖温带半湿润大陆性季风气候-度高地震烈度地区（燕山地震带）-水资源短缺-多种气象灾害影响2. 人文环境-特大型城市-人口稠密-建筑密集-政治、文化、经济及国际活动频繁3. 4大类13分类15种类的具体环境风险3.2 前次咨询报告中的风险分析赛迪顾问（CCID）在前期对中国XX进行了灾备咨询，其中的风险分析部分

36、，CCID定义为“IT潜在风险”。根据CCID报告，影响中国海洋石油总公司及下属公司IT正常运营的潜在风险有50余种，根据风险性质或成因的不同，分为8大类：机房潜在风险、硬件潜在风险、信息系统潜在风险、软件系统开发潜在风险、通讯网络潜在风险、安全制度潜在风险、应急潜在风险、意识与道德潜在风险。可以看出，CCID报告对企业面临的风险范围主要界定于IT风险。CCID报告将IT潜在风险的可能性划分为从“A”到“B”的4个等级：等级名称描述A高风险发生机率性很大。B中风险发生的几率较大。C低风险发生的几率较小。D很罕见风险发生的机率很小，且风险发生属于例外事件。同时，将IT潜在风险的发生影响（后果）划

37、分为从“1”到“5”的5个等级：等级名称描述1可忽略经济损失可以忽略不计，不会影响业务执行，对企业组织与企业形象不构成负面影响。2较小部分业务出现短时间中断（或执行效率降低），对部分员工士气受到打击，对企业形象不会构成负面影响。3中等部分主体/核心业务执行出现短时间中断（或执行效率降低），部分员工士气受到一定程度的打击，对企业形象构成一定的负面影响。4较大对核心业务长时间中断，企业员工士气低落，对企业形象构成一定的负面影响。5灾难性严重经济损失，大部分业务处于中断状态，社会舆论强烈。并且将IT潜在风险本身的等级划分为从“High”到“Low”的四类：等级名称描述HHigh高危险该类风险可对中国

38、XX的IT资产造成巨大损失，对整体业务、公司形象、组织利益造成巨大影响，需立即采取应对措施。SSignificant严重风险该类风险可对中国XX的IT资产造成严重损失，对主要业务、公司形象、组织利益造成较大负面影响。需要引起高级管理层注意。MModerate中等风险该类风险可对中国XX的IT资产造成一定损失，对部分业务造成负面影响。LLow低风险该类风险对中国XX的IT资产造成较低损失，对业务负面影响较小。IT潜在风险等级的确定方法，是依据“风险可能性后果矩阵”来进行风险等级分析，通过对风险危害可能等级与风险发生后果等级的综合评估，来最终确定。关于“风险可能性后果矩阵”详见下表：可能性等级后果

39、等级1可忽略2较小3中等4较大5灾难性A高MSSHHB中LMSHHC低LLMSHD很罕见LLMSS根据IT潜在风险调查结果，利用以上定义和方法，CCID报告产生IT潜在风险结果。对于中国XX的总公司和有限公司，IT潜在风险等级为“高(H)”及“严重(S)”的具体有：风险种类风险等级曾发生风险事故举例说明机房潜在风险不间断电源（UPS）发生故障，不能提供短期备份电源H空调发生故障，导致机房温度上升，系统宕机S曾经发生因机房空调停电，导致机房温度上升，导致系统性能下降汽油/柴油发电机发生故障，不能提供长期备份电源H因台风、水灾等原因，导致机房无法使用S沿海地区机房会受台风影响天花板或地板防火（水）

40、探测器失灵，导致火灾（水灾）发生时无法及时报警H信息系统潜在风险信息系统遭受病毒影响，导致信息系统性能陡然下降或系统数据丢失S时常会发现病毒程序或病毒邮件 信息系统遭受黑客攻击，导致重要信息遭窃、篡改、丢失S黑客或木马程序曾经通过网络攻击信息系统服务器。软件系统开发潜在风险软件系统需求不明或需求变更，或与业务人员缺乏沟通，造成系统功能无法满足业务要求S系统数据输入有误，造成系统虚假信息存入数据库，影响业务开展SOA/Maximo等系统信息误输入现象时常发生缺乏误操作或错误的识别与处理能力如：数据库管理员误删除，导致数据丢失H/S曾经发生过因管理员操作不当，导致财务数据误删除网络潜在风险网络基础

41、设施(交换机、路由器)故障，造成局部网络瘫痪，影响系统性能S曾经因交换机、通讯卫星等设备问题，影响通信线路正常运行；曾经因网络故障引发邮件系统工作异常，影响业务开展受台风、暴雨、雷电、非法施工等因素影响，造成广域网线路（电信运营商通信外线）故障，致使系统无法远程访问S曾经受南方洪水影响，引发SDH/DDN通信线路中断，导致系统无法正常运行，业务无法持续开展硬件潜在风险运行监控不力使设备故障未能及时处理（如服务器硬盘、CPU、风扇、电源等部件损坏），导致系统突然宕机，影响业务进行S曾经因硬件设备故障到OA等系统无法正常工作由于存储介质质量差，造成存储介质损坏，导致备份数据丢失S应急潜在风险缺乏系

42、统/网络故障应急预案，导致系统/网络时间长，影响业务开展H 人员意识潜在风险个别人员因为政治素质低、道德品质差，无视国家法律和法规，蓄意违规和破坏，使客户遭受损失H/S 由于调查表获取信息相对过于笼统并相对随意，本风险报告会选取前期报告中的可用结论作为信息输入。3.3 中国XX当前风险应对手段信息收集针对中国XX信息系统面对的可能风险，本次风险分析对中国XX的环境进行了详细调查和研究。根据调查结果可以发现，当前中国XX已经采取多种设备或者措施以应对可能风险。现将相关信息收集整理如下：中国XX当前风险应对表应对手段地点是否具备说明机房烟感/热源探测中国XX大厦是-东直门XX大厦是-消防设施中国X

43、X大厦是-东直门XX大厦是-消防演练中国XX大厦是-东直门XX大厦是-机房空调中国XX大厦是-东直门XX大厦是-不间断供电UPS中国XX大厦是能支持90分钟东直门XX大厦是能支持40分钟发电机中国XX大厦是柴油发电机，支持4小时发电，储油量约为0.6-0.7吨，每月检测东直门XX大厦否-监控录像中国XX大厦是-东直门XX大厦是-门禁系统中国XX大厦是-东直门XX大厦是-离线/离站数据存储中国XX大厦是地下一层有独立磁带间，目前由ITC使用，每半年会进行恢复测试东直门XX大厦否-网络防火墙/个人防火墙软件中国XX是-防病毒软件中国XX是-从上面收集信息可看出，当前中国XX对于北京地区的两个XX大

44、厦信息系统采取的风险应对手段比较完备，并且中国XX大厦的基础设施相对东直门XX大厦条件更为优越，这也因应各自信息系统对业务连续性的具体要求等级有差别。3.4 中国XX大厦信息收集3.4.1 位置环境中国XX大厦位于北京市东城区朝阳门北大街25号，地理位置为北纬395525/东经1162535。地处朝阳门桥西北角，周围有重要机关单位如：中国外交部、北京奥运新闻中心和北京电信通信机房楼，引用卫星照片如下 引自GoogleEarth2007：中国XX大厦（2007）卫星视图3.4.1.1 风险的发现u 北京位于我国华北地震区强震活动频繁的燕山地震带上北京地区境内分布着北北东 “北北东”即三十二方位的方位角东北偏北。三十二方位通常用于海航、地质等需要精确方位的场合。至北东方向展布的良乡一前门一顺义、黄庄一高丽营，八宝山、夏垫一马坊等活动性断裂和北西向展布的南口一孙河及其它方向展布的活动断裂带，具有发生中强破坏性地震的地震地质背景。有历史记载以来，北京地区已发生5级以上地震80次，其中6级以上地震29次，包括8级地震1次。1976年唐山发生的78级地震，震中距北京160公里，造成北京市损坏房屋1