復原和連續性概觀
如果發生災害或其他對服務可用性的威脅,Microsoft如何確保商務持續性?
Microsoft的企業復原與危機管理 (ERCM) 小組會監督跨Microsoft服務和雲端供應專案的商務持續性管理和災害復原活動。 來自Microsoft業務單位的代表會與 ERCM 小組協調,以開發商務持續性計劃,並驗證是否符合商務持續性需求。
商務持續性管理 (BCM) 生命週期是我們 BCM 方法的核心。 這個三階段程序的設計是可調整的,因此可由Microsoft的各種商務模型來實作。 它從 評定 階段開始,以識別商務持續性計劃中應包含的重要流程和目標。 評估階段也需要商務影響分析 (BIA) 。 規劃階段著重於開發和實作復原和復原策略,並將它們記錄在官方商務持續性計劃中。 最後, 「功能驗證」會 測試商務持續性計劃及其實作,以確認有效性並找出可能的改善。
Microsoft 線上服務商務持續性策略會使用硬體、網路和數據中心備援。 數據中心之間的數據復寫可在重大事件期間提供高可用性和可靠性。 它也會提高對平淡事件的復原能力,例如隔離式硬體故障或數據損毀。
如何Microsoft測試商務持續性和災害復原計劃?
Microsoft的企業復原與危機管理 (ERCM) 原則指出,所有Microsoft商務持續性和災害復原計劃都必須每年進行測試、更新和檢閱。 Microsoft 線上服務每個 ERCM 原則至少每年測試其商務持續性計劃。 建立並檢閱動作報告以進行驗證之後,測試結果並通知計劃更新,以響應測試期間發現的任何問題。
為了驗證各種潛在事件的復原和復原策略,ERCM 計劃會定義影響人員、位置和技術的多種測試案例類別。 每個服務所需的驗證層級都是以服務的重要性為基礎,而比較重要的服務會收到更嚴格的驗證。 每個Microsoft在線服務小組都會根據 ERCM 指導方針來測試其商務持續性計劃,以測量方案的有效性,以及服務小組執行計劃的整備程度。
根據 ERCM 指導方針,商務持續性計劃和功能驗證的年度檢閱必須在上次檢閱的 12 個月內進行。 功能驗證必須包含檢閱支援檔,例如 BIA,以確保其保持正確。 Microsoft會透過每季報告為客戶提供選取Microsoft 線上服務的功能驗證結果。
如何Microsoft 線上服務確保系統容量符合需求?
容量規劃可協助服務小組配置支援在線服務可用性Microsoft所需的資源。 Microsoft的 ERCM 計劃需要定期容量規劃。 服務小組會在每季檢閱期間,以及在需要更多容量檢閱的緊急狀況期間檢閱容量數據。
容量規劃的原始數據由每個服務小組維護,並包含系統處理、記憶體和硬體容量等計量。 排定的審查會使用系統目前容量的模型,並針對緊急情況下的預計需求進行測試。 如果模型指出容量缺口,則會將系統容量的提議變更提交給服務小組領導階層進行審查。 在服務小組工程師實作之前,核准的變更會併入新模型中。
Microsoft 線上服務如何在例行系統失敗期間維持服務可用性?
Microsoft 線上服務透過備援架構、數據復寫和自動化完整性檢查來達到服務恢復能力。 備援架構牽涉到在地理位置和實體不同的硬體上部署服務的多個實例,為Microsoft 線上服務提供更高的容錯能力。 數據復寫可確保在不同的容錯區域中一律有多個客戶數據複本,以便在客戶損毀、遺失或甚至不小心刪除時復原重要的客戶數據。 自動化完整性檢查會自動還原受到多種實體或邏輯損毀影響的數據,藉此提高數據可用性。
相關外部法規 & 認證
Microsoft的 線上服務 會定期稽核,以符合外部法規和認證。 請參閱下表,以驗證與復原和持續性相關的控件。
Azure 和 Dynamics 365
外部稽核 | Section | 最新報告日期 |
---|---|---|
ISO 27001 適用性聲明 認證 |
A.17.1:資訊安全性持續性 A.17.2:備援 |
2024年4月8日 |
ISO 22301 認證 |
所有控制件 | 2024年4月8日 |
SOC 1 SOC 2 SOC 3 |
BC-1:商務持續性計劃 BC-3:商務持續性和災害復原程式 BC-4:BCDR 測試 BC-7:數據中心商務持續性計劃 BC-8:數據中心商務持續性測試 BC-9:數據中心復原評定 DS-5:備份密鑰服務元件 DS-6:重要元件的備援 DS-7:自動復寫客戶數據 DS-8:備份排程 DS-9:備份還原程式 DS-11:異地備份 DS-14:自動還原客戶服務 |
2024 年 5 月 20 日 |
Microsoft 365
外部稽核 | Section | 最新報告日期 |
---|---|---|
FedRAMP | CP-2:應變計劃 CP-3:應變訓練 CP-4:應變計劃測試 CP-6:替代記憶體月臺 CP-7:替代處理月臺 CP-9:信息系統備份 CP-10:資訊系統復原和重新安裝 |
2024 年 8 月 21 日 |
ISO 27001 適用性聲明 認證 |
A.17.1:資訊安全性持續性 A.17.2:備援 |
2024 年 3 月 |
ISO 22301 認證 |
所有控制件 | 2024 年 3 月 |
SOC 1 SOC 2 |
CA-49:備份原則 CA-50:商務持續性 CA-51:數據復寫 |
2024 年 8 月 1 日 |
SOC 3 | CUEC-09:EXO 電子郵件還原 | 2024年1月23日 |