復原和連續性概觀
如果發生災害或其他對服務可用性的威脅,Microsoft 如何確保商務持續性?
Microsoft 企業商務持續性管理 (EBCM) 小組會監督 Microsoft 服務和雲端供應專案的商務持續性管理和災害復原活動。 Microsoft 業務單位的代表會與 EBCM 小組協調,以開發商務持續性計畫並驗證商務持續性需求的合規性。
商務持續性管理 (BCM) 生命週期是我們 BCM 方法的核心。 此三階段程式是設計為可調整,因此可由 Microsoft 各種不同的商務模型實作。 它從 評定 階段開始,以識別商務持續性計畫中應包含的重要流程和目標。 評估階段也需要商務影響分析 (BIA) 。 規劃階段著重于開發和實作復原和復原策略,並將它們記錄在官方商務持續性計畫中。 最後, 「功能驗證」會 測試商務持續性計畫及其實作,以確認有效性並找出可能的改善。
Microsoft 線上服務商務持續性策略會使用硬體、網路和資料中心備援。 資料中心之間的資料複寫可在重大事件期間提供高可用性和可靠性。 它也會提高對平淡事件的復原能力,例如隔離式硬體故障或資料損毀。
Microsoft 如何測試商務持續性和災害復原計畫?
Microsoft 企業商務持續性管理 (EBCM) 原則規定,所有 Microsoft 商務持續性和災害復原計畫都必須每年進行測試、更新和檢閱。 Microsoft 線上服務至少每年針對每個 EBCM 原則測試其商務持續性計畫。 建立並檢閱動作報告以進行驗證之後,測試結果並通知計畫更新,以回應測試期間發現的任何問題。
為了針對各種潛在事件驗證復原性和復原策略,EBCM 計劃定義了影響人員、位置和技術的多個測試案例類別。 每個服務所需的驗證層級都是以服務的重要性為基礎,而比較重要的服務會收到更嚴格的驗證。 每個 Microsoft 線上服務小組都會根據 EBCM 指導方針來測試其商務持續性計畫,以測量方案的有效性,以及服務小組執行計畫的整備程度。
根據 EBCM 指導方針,商務持續性計畫和功能驗證的年度檢閱必須在上次檢閱的 12 個月內進行。 功能驗證必須包含檢閱支援檔,例如 BIA,以確保其保持正確。 Microsoft 會透過每季報告,為選取的 Microsoft 線上服務提供功能驗證結果給客戶。
Microsoft 如何線上服務確保系統容量符合需求?
容量規劃可協助服務小組配置支援 Microsoft 線上服務可用性所需的資源。 Microsoft 的 EBCM 計劃需要一般容量規劃。 服務小組會在每季檢閱期間,以及在需要更多容量檢閱的緊急狀況期間檢閱容量資料。
容量規劃的原始資料由每個服務小組維護,並包含系統處理、記憶體和硬體容量等計量。 排定的審查會使用系統目前容量的模型,並針對緊急情況下的預計需求進行測試。 如果模型指出容量缺口,則會將系統容量的提議變更提交給服務小組領導階層進行審查。 在服務小組工程師實作之前,核准的變更會併入新模型中。
Microsoft 線上服務如何在例行系統失敗期間維持服務可用性?
Microsoft 線上服務透過備援架構、資料複寫和自動化完整性檢查來達到服務恢復能力。 備援架構牽涉到在地理位置和實體不同的硬體上部署服務的多個實例,為 Microsoft 線上服務提供更高的容錯能力。 資料複寫可確保在不同的容錯區域中一律有多個客戶資料複本,以便在客戶損毀、遺失或甚至不小心刪除時復原重要的客戶資料。 自動化完整性檢查會自動還原受到多種實體或邏輯損毀影響的資料,藉此提高資料可用性。
相關的外部法規 & 認證
Microsoft 的線上服務會定期稽核,以符合外部法規和認證。 請參閱下表,以驗證與復原和持續性相關的控制項。
Azure 和 Dynamics 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| ISO 27001/27002 適用性聲明 認證 |
A.17.1:資訊安全性持續性 A.17.2:備援 |
2022 年 11 月 7 日 |
| ISO 22301 認證 |
所有控制項 | 2022 年 6 月 21 日 |
| SOC 1 SOC 2 SOC 3 |
BC-1:商務持續性計畫 BC-3:商務持續性和災害復原程式 BC-4:BCDR 測試 BC-7:資料中心商務持續性計畫 BC-8:資料中心商務持續性測試 BC-9:資料中心復原評定 DS-5:備份金鑰服務元件 DS-6:重要元件的備援 DS-7:自動複寫客戶資料 DS-8:備份排程 DS-9:備份還原程式 DS-11:異地備份 DS-14:自動還原客戶服務 |
2022 年 11 月 23 日 |
Office 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| FedRAMP | CP-2:應變計劃 CP-3:應變訓練 CP-4:應變計劃測試 CP-6:替代儲存體月臺 CP-7:替代處理月臺 CP-9:資訊系統備份 CP-10:資訊系統復原和重新安裝 |
2022 年 7 月 27 日 |
| ISO 27001/27002 適用性聲明 認證 |
A.17.1:資訊安全性持續性 A.17.2:備援 |
2022 年 3 月 |
| ISO 22301 認證 |
所有控制項 | 2022 年 3 月 |
| SOC 1 SOC 2 |
CA-49:備份原則 CA-50:商務持續性 CA-51:資料複寫 |
2023 年 1 月 3 日 |
| SOC 3 | CUEC-09:EXO 電子郵件還原 | 2023 年 1 月 3 日 |