復原和連續性概觀

如果發生災害或其他對服務可用性的威脅,Microsoft 如何確保商務持續性?

Microsoft 的企業復原與危機管理 (ERCM) 小組會監督 Microsoft 服務和雲端供應專案的商務持續性管理和災害復原活動。 Microsoft 業務單位的代表會與 ERCM 小組協調,以開發商務持續性計劃並驗證商務持續性需求的合規性。

商務持續性管理 (BCM) 生命週期是我們 BCM 方法的核心。 此三階段程式是設計為可調整,因此可由 Microsoft 各種不同的商務模型實作。 它從 評定 階段開始,以識別商務持續性計劃中應包含的重要流程和目標。 評估階段也需要商務影響分析 (BIA) 。 規劃階段著重於開發和實作復原和復原策略,並將它們記錄在官方商務持續性計劃中。 最後, 「功能驗證」會 測試商務持續性計劃及其實作,以確認有效性並找出可能的改善。

Microsoft 線上服務 商務持續性策略會使用硬體、網路和數據中心備援。 數據中心之間的數據復寫可在重大事件期間提供高可用性和可靠性。 它也會提高對平淡事件的復原能力,例如隔離式硬體故障或數據損毀。

Microsoft 如何測試商務持續性和災害復原計劃?

Microsoft 企業復原與危機管理 (ERCM) 原則,指出所有 Microsoft 商務持續性和災害復原計劃都必須每年進行測試、更新和檢閱。 Microsoft 線上服務 至少每年針對每個 ERCM 原則測試其商務持續性計劃。 建立並檢閱動作報告以進行驗證之後,測試結果並通知計劃更新,以響應測試期間發現的任何問題。

為了驗證各種潛在事件的復原和復原策略,ERCM 計劃會定義影響人員、位置和技術的多種測試案例類別。 每個服務所需的驗證層級都是以服務的重要性為基礎,而比較重要的服務會收到更嚴格的驗證。 每個 Microsoft 在線服務小組都會根據 ERCM 指導方針來測試其商務持續性計劃,以測量方案的有效性,以及服務小組執行計劃的整備程度。

根據 ERCM 指導方針,商務持續性計劃和功能驗證的年度檢閱必須在上次檢閱的 12 個月內進行。 功能驗證必須包含檢閱支援檔,例如 BIA,以確保其保持正確。 Microsoft 會透過每季報告為客戶提供選取的 Microsoft 線上服務 功能驗證結果。

Microsoft 如何 線上服務 確保系統容量符合需求?

容量規劃可協助服務小組配置支援 Microsoft 在線服務可用性所需的資源。 Microsoft ERCM 計劃的一部分需要定期容量規劃。 服務小組會在每季檢閱期間,以及在需要更多容量檢閱的緊急狀況期間檢閱容量數據。

容量規劃的原始數據由每個服務小組維護,並包含系統處理、記憶體和硬體容量等計量。 排定的審查會使用系統目前容量的模型,並針對緊急情況下的預計需求進行測試。 如果模型指出容量缺口,則會將系統容量的提議變更提交給服務小組領導階層進行審查。 在服務小組工程師實作之前,核准的變更會併入新模型中。

Microsoft 線上服務 如何在例行系統失敗期間維持服務可用性?

Microsoft 線上服務 透過備援架構、數據復寫和自動化完整性檢查來達到服務恢復能力。 備援架構牽涉到在地理位置和實體不同的硬體上部署服務的多個實例,為 Microsoft 線上服務 提供更高的容錯能力。 數據復寫可確保在不同的容錯區域中一律有多個客戶數據複本,以便在客戶損毀、遺失或甚至不小心刪除時復原重要的客戶數據。 自動化完整性檢查會自動還原受到多種實體或邏輯損毀影響的數據,藉此提高數據可用性。

Microsoft 的 線上服務 會定期稽核,以符合外部法規和認證。 請參閱下表,以驗證與復原和持續性相關的控件。

Azure 和 Dynamics 365

外部稽核 Section 最新報告日期
ISO 27001/27002

適用性聲明
認證
A.17.1:資訊安全性持續性
A.17.2:備援
2023年11月6日
ISO 22301

認證
所有控制件 2023年4月24日
SOC 1
SOC 2
SOC 3
BC-1:商務持續性計劃
BC-3:商務持續性和災害復原程式
BC-4:BCDR 測試
BC-7:數據中心商務持續性計劃
BC-8:數據中心商務持續性測試
BC-9:數據中心復原評定
DS-5:備份密鑰服務元件
DS-6:重要元件的備援
DS-7:自動復寫客戶數據
DS-8:備份排程
DS-9:備份還原程式
DS-11:異地備份
DS-14:自動還原客戶服務
2023年11月17日

Microsoft 365

外部稽核 Section 最新報告日期
FedRAMP (Office 365) CP-2:應變計劃
CP-3:應變訓練
CP-4:應變計劃測試
CP-6:替代記憶體月臺
CP-7:替代處理月臺
CP-9:信息系統備份
CP-10:資訊系統復原和重新安裝
2023年7月31日
ISO 27001/27002

適用性聲明
認證
A.17.1:資訊安全性持續性
A.17.2:備援
2024 年 3 月
ISO 22301
認證
所有控制件 2024 年 3 月
SOC 1
SOC 2
CA-49:備份原則
CA-50:商務持續性
CA-51:數據復寫
2024年1月23日
SOC 3 CUEC-09:EXO 電子郵件還原 2024年1月23日

資源