Vorlage und Leitfaden eines Disaster-Recovery-Plans für Data Center
Wir stellen eine kostenlose Vorlage für einen Data-Center-Disaster-Recovery-Plan zur Verfügung, damit Sie selbst einen DR-Plan entwickeln können.
Entwickeln Sie einen Disaster-Recovery-Plan (DRP), sollten Sie dabei immer im Hinterkopf behalten, dass Sie damit enorme, bereits getätigte Investitionen in Ihre IT (Information Technology) und Kommunikation schützen. Je nach Art der Störung, könnte die Integrität des Rechenzentrums unberührt sein. Es ist aber auch möglich, dass sie komplett zerstört ist.
DR-Pläne müssen aus diesem Grund flexibel und skalierbar sein, um eine möglichst breite Palette an potenziellen Störszenarien abzudecken. In diesem Artikel finden Sie eine kostenlose Vorlage für einen Disaster-Recovery-Plan.
DR-Pläne müssen flexibel und skalierbar sein, um eine möglichst breite Palette an potenziellen Störszenarien abzudecken.
Weiterhin helfen wir Ihnen, einen Plan zu strukturieren. Er adressiert sowohl die Aufrechterhaltung des Data-Center-Betriebs, als auch die Verfügbarkeit der Mitarbeiter.
Für das Verständnis soll Nachfolgendes erwähnt sein: Ein Data-Center-Disaster-Recovery-Plan konzentriert sich exklusiv auf die Data-Center-Anlage und die entsprechende Infrastruktur. Dazu gehören mitunter der physische Standort, das Gebäude, Security, Strom-Quellen und die Umwelt.
Ein Disaster-Recovery-Plan ist hingegen ein allgemeinerer Begriff, der einen Prozess beschreibt, gestörte IT-Systeme, Netzwerke und andere wichtige Betriebsmittel eines Unternehmens wiederherzustellen.
In diesem Leitfaden für die Planung von Data-Center-Disaster-Recovery zeigen wir Ihnen die wichtigen Fakten, um einen erfolgreichen DR-Plan für Data Centers zu erstellen. Wir erklären, wer bei der Planung an Bord sein sollte und wie man damit beginnt. Nachdem Sie den Leitfaden gelesen haben, können Sie unsere kostenlose Vorlage für einen Data-Center-Disaster-Recovery-Plan herunterladen.
Erste Schritte: Eine Operative Risiko-Bewertung
Eine Kernaktivität für das Erstellen eines Data-Center-DR-Plans ist eine operative Risiko-Bewertung für das Gebäude oder der jeweiligen Einrichtung. Mithilfe dieser Bewertung analysieren Sie wichtige operative Komponenten wie zum Beispiel:
- Standort des Gebäudes: Zufahrtswege, Anschlüsse zu Schnellstraßen, Schienen und Flughäfen;
- Strom-Erzeugung: kommerzieller Strom, Notstrom-Systeme;
- Strom-Schutzmaßnahmen: Erdung, Verbindungen, Blitzschutz, Netzfilter und Überspannschutz;
- HVAC: Heizung, Ventilation, Klimaanlagen;
- Wichtige Systeme: Server, VoIP-Systeme;
- Netzwerk-Infrastruktur: Verkabelung, Verbindungen, Router, Kupfer- und Fiber-Leitungen;
- Security: physischer Zugriff, Informations-Security;
- Arbeitsplatz: Büros, Konferenz-Räume, Möbel, Beleuchtung;
- Brandschutz: Feuermelder, Rauchmelder, Feuerlöscher, Lösch-Systeme;
- Gebäude-Böden und -Wände: Brandschutzmauern, erhöhte Fußböden;
- Sonstiges Zubehör: Wasser, Strom, Abwasser, Kommunikation.
Wollen Sie eine operative Risiko-Bewertung für das Data Center durchführen, koordinieren Sie das mit dem IT- und dem Gebäude-Management. Überprüfen Sie die Ziele für die Bewertung zusammen mit diesen Organisationen, bevor Sie anfangen.
Haben Sie eine Checkliste für die Risiko-Bewertung, sollten Sie diese ebenfalls zusammen mit dem IT- und Gebäude-Management durchgehen. Somit stellen Sie sicher, auch alle Bereiche zu adressieren. Fragen Sie außerdem nach, ob es bereits ähnliche Dokumente gibt. Möglicherweise sparen Sie damit Zeit, sofern die Daten nicht älter als ein Jahr sind.
Führen Sie nachfolgende Aktionen für die Bewertung durch:
Setzen Sie sich mit dem Management zusammen und beraten, was die größten Bedrohungen für die Data-Center-Infrastruktur sind.
- Das zuständige Team für die Entwicklung des Data-Center-DR-Plans sollte sich mit diversen IT-Gruppen zusammensetzen. Dazu gehören das interne Technologie-Team oder die System-Administratoren, die Applikations-Verwalter und die Netzwerk-Administratoren. Somit tragen alle Gruppen, die mit dem Data Center regelmäßig zu tun haben, zum DR-Plan bei.
- Listen Sie alle internen und externen Data-Center-Betriebsmittel auf. Das gilt auch für Dritt-Anbieter oder Zulieferer, sowie Ressourcen und andere Interessengruppen.
- Tragen Sie alle relevanten Dokumente zur Infrastruktur zusammen. Dazu gehören Gebäudepläne, Grundrisse, Systemkarten, Netzwerkdiagramme und Konfiguration des Equipments.
- Sofern möglich, holen Sie sich eine Kopie eines existierenden Data-Center-DR-Plans. Gibt es so etwas nicht, führen Sie nachfolgende Schritte durch:
- Arbeiten Sie mit dem Management zusammen, um die größten Bedrohungen für das Data Center zu evaluieren. Damit sind unter anderem Feuer, menschliches Versagen, Stromausfall, Systemausfall und Security-Verletzungen gemeint.
- Arbeiten Sie zusammen mit dem Management die größten Schwachstellen für das Data Center aus. Damit ist zum Beispiel eine veraltete Notstromversorgung gemeint.
- Erkundigen Sie sich über frühere Ausfälle und Störungen des Data Centers und wie man damit umgegangen ist.
- Finden Sie heraus, was die maximal vom Management geduldete Ausfallzeit ist, wenn das Data Center nicht zur Verfügung steht.
- Evaluieren Sie aktuelle Prozeduren, mit denen man auf Störungen im Data Center reagiert.
- Finden Sie heraus, wann diese Prozesse zum letzten Mal getestet wurden.
- Bestimmen Sie das oder die Data-Center-Notfall-Team(s) und erkundigen Sie sich, wie gut diese Mitarbeiter im Umgang mit Notfall-Situationen geschult sind.
- Erkundigen Sie sich über die Reaktionsmöglichkeiten der Data-Center-Anbieter in einem Notfall. Das gilt im Speziellen dann, wenn diese noch nie im Einsatz waren. Sie wollen wissen, ob sie vernünftig funktionieren, wie viel die Services kosten und wie es mit dem Status der Service-Verträge aussieht.
Verbinden Sie die Erkenntnisse der operativen Bewertung für das Data Center und analysieren Sie entsprechende Lücken. Somit finden Sie heraus, welche Mechanismen bisher vorhanden sind und an welchen Stellen man noch nachbessern muss. Weiterhin können Sie dann Empfehlungen ausgeben, wie man das gewünschte Niveau an Notfallvorsorge erreichen kann und welche Investitionen dafür nötig sind.
Als Teil des Analyse-Prozesses sollten Sie gleich evaluieren, welchen Einfluss eine Störung des Data Centers auf das Business hat. Was passiert mit wichtigen Geschäftsprozessen, wenn der Data-Center-Betrieb gestört ist? Was geschieht mit dem Ansehen, der geschäftlichen Reputation und der Wettbewerbsposition des Unternehmens nach einem Ausfall des Data Centers?
Weiterhin bietet so eine Bewertung gleich die Chance, Verbesserungen zu implementieren. Darüber hinaus hilft sie bei der Entwicklung eines DR-Plans, indem man existierende Missstände identifiziert. Ein mögliches Beispiel ist ein alter Diesel-Generator, den man eigentlich ersetzen sollte und der bei einer Störung zum Einsatz kommen müsste.
Einen Data-Center-Disaster-Recovery-Plan entwickeln
Sobald Sie das Data Center und potenzielle Risiken für den Betrieb analysiert haben, priorisieren Sie die Risiko-Wahrscheinlichkeiten. Mögliche Beispiel sind Feuer, Wasser, Erdbeben, Wirbelstürme und Vandalismus.
Stufen Sie die Schwere, den potenziellen Schaden und die Wahrscheinlichkeit des Auftretens ein. Diese Erkenntnisse nutzen Sie, um die Reaktionen angemessen und in der richtigen Reihenfolge auszuführen.
Verwenden wir die Struktur aus dem SP-800-34-Standard „Contingency Planning Guide for Information Technology Systems“ des National Institute for Standards and Technology, können wir diese Aktivitäten hinsichtlich der nachfolgenden sequenziellen Struktur an Aktivitäten ausweiten.
- Das Entwickler-Team des Data-Center-DR-Plans sollte sich mit internen Technologie-Mitarbeitern, Gebäude-Management, Service-Providern und relevanten Anbietern zusammensetzen, um den Umfang der Aktivitäten zu erörtern. Dazu gehören interne und externe Bedrohungen, interne und externe Betriebsmittel, Ressourcen von Dritten und Verbindungen zu anderen Büros, Kunden und Anbietern. Stellen Sie sicher, dass Sie die Geschäftsleitung über diese Meetings angemessen informieren.
- Sammeln Sie alle relevanten Dokumente zur Infrastruktur. Hiermit sind unter anderem Grundrisse, Gebäudepläne, Stromdiagramme, HVAC-Diagramme, Netzwerkpläne und Equipment-Konfiguration gemeint.
- Treiben Sie Kopien anderer IT-Disaster-Recovery-Pläne auf. Gibt es keine, leiten Sie folgende Schritte ein:
- Setzen Sie sich mit dem Management zusammen und beraten, was die größten Bedrohungen für die Data-Center-Infrastruktur sind. Dazu gehören menschliches Versagen, Feuer, Stromausfall, Wassereinbruch, System-Ausfall und extreme Wetter-Bedingungen.
- Kristallisieren Sie zusammen mit dem Management heraus, was die größten Schwachstellen des Data Centers sind. Unter anderem sind das ungenügende Notstromversorgung, minimale Gebäude-Security und die Lage des Data Centers in einem Überflutungsgebiet.
- Erkundigen Sie sich über frühere Ausfälle und Störungen des Data Centers und wie das Unternehmen darauf reagiert hat.
- Identifizieren Sie, was das Management als wichtigste Data-Center-Betriebsmittel deklariert. Das können Server-Farmen, Storage-Systeme, Netzwerk-Infrastruktur oder Belegschaft sein.
- Bestimmen Sie die maximal akzeptable Ausfallzeit, mir der das Management leben kann, wenn die Betriebsmittel im Data Center nicht einsatzbereit sind.
- Holen Sie Informationen ein, mit welchen Prozeduren man derzeit auf Ausfälle des Data Centers reagiert.
- Stellen Sie fest, wann die eben genannten Prozeduren das letzte Mal getestet wurden, um deren Relevanz zu bestimmen.
- Identifizieren Sie Notfall-Rekations-Teams für alle entscheidenden Data-Center-Störungen. Erkundigen Sie sich, ob diese Mitarbeiter ausreichend für Notfall-Situationen geschult sind.
- Sehen Sie sich die Kapazitäten der Anbieter in einem Notfall an, ob diese jemals benutzt werden mussten und ob sie entsprechend funktionierten. Wie viel bezahlt das Unternehmen für diese Services und wie ist der Status bei den Wartungsverträgen für das Data Center? Gibt es Leistungsverträge (SLA / Service Level Agreement)?
- Verknüpfen Sie alle Bewertungen und analysieren Sie, ob es Lücken gibt. Damit finden Sie heraus, was noch getan werden muss. Außerdem können Sie Vorschläge unterbreiten, wie man optimal vorbereitet ist und in welche Bereiche man wie viel investieren muss.
- Lassen Sie das Management den Bericht überprüfen und holen Sie dessen Zustimmung für die vorgeschlagenen Aktionen ein.
- Bereiten Sie einen Data-Center-Disaster-Recovery-Plan vor, um wichtige Betriebsmittel zu adressieren. An dieser Stelle sind Hardware, Software, Data Storage und Netzwerke gemeint.
- Testen Sie die Pläne und die Ressourcen für eine System-Wiederherstellung ausgiebig, damit Sie ein Funktionieren bescheinigen können.
- Aktualisieren Sie die Dokumentation des Data-Center-Disaster-Recovery-Plans nach eventuellen Veränderungen.
- Disponieren Sie die nächste Überprüfung oder das nächste Audit für die Data-Center-Disaster-Recovery-Ressourcen.
Wesentliche Fallstricke bei der Data-Center-Disaster-Recovery-Planung
Bei der Erstellung eines Data-Center-Disaster-Recovery-Plans sollten Sie auf folgende Kriterien achten:
- Stellen Sie sicher, dass Sie vom Management Unterstützung haben, damit die Pläne finanziert werden können.
- Nehmen Sie die Data-Center-DR-Planung sehr ernst. Die Pläne müssen nicht Dutzende an Seiten enthalten. Sie sollten vielmehr auf die relevanten Informationen reduziert sein – diese sollten aktuell und präzise sein.
- Ziehen Sie in Betracht, Standards als Teil des Prozesses einzubeziehen. Dazu gehören unter anderem NIST SP 800-34, ISO/IEC 24762 und BS 25777. Sie stellen ein nützliches, strukturiertes Format für Pläne zur Verfügung. Weiterhin gibt es Anweisungen, wie man bestimmte Probleme adressiert. Dieser Aspekt ist vor allen Dingen dann wichtig, wenn die Pläne geprüft werden.
- Halten Sie den Planungs-Prozess so einfach wie möglich, indem Sie korrekte Informationen sammeln und organisieren.
- Überprüfen Sie die Resultate mit den relevanten Abteilungen. Dazu gehören IT und Gebäude-Management. Somit garantieren Sie, dass Ihre Annahmen korrekt sind.
Kostenloser Download: Data-Center-Disaster-Recovery-Plan
Data-Center-DR-Pläne helfen, wichtige Investitionen der meisten Unternehmen zu schützen. Einige Unternehmen adressieren die Wiederherstellung des Data Centers, indem Sie ein zweites bauen. Möglich ist auch das Leasen von speziell ausgerüsteten Gebäuden bei einem Dritt-Anbieter. Eine sorgfältige Bewertung des Data-Center-Betriebs und eventueller Risiken ist ein wichtiger Ausgangspunkt für ein DR-Programm.
Laden Sie unsere Vorlage für einen Data-Center-Disaster-Recovery-Plan herunter. Damit haben Sie eine Starthilfe für die Entwicklung eines eigenen Data-Center-DR-Plans.
Über den Autor:
Paul Kirvan, CISA und FBCI, bringt 24 Jahre Erfahrung in Sachen BCM (Business Continuity Management) mit sich. Er ist Consultant, Autor und Ausbilder. Er hat dutzende Schulungen und Betriebsprüfungen bezüglich BCMS (Business Continuity Management System) nach den internationalen Standards BS 25999 und ISO 22310 durchgeführt. Kirvan arbeitet derzeit als freier BCM-Consultant und -Betriebsprüfer. Weiterhin ist er Vorsitzender von Business Continuity Institute USA und ein Mitglied des BCI Global Membership Council. Sie können ihn unter [email protected] erreichen.
Folgen Sie SearchStorage.de auch auf Facebook, Twitter und Google+!