P05-6-业务运行连续性和应急计划评估表_new重点.docVIP

业务运行连续性/应急计划评估表 目 录 1. 业务持续性计划程序 1 2. 业务影响分析（BIA）和风险评估 1 3. 业务持续性方案或计划 2 4. 业务持续性管理实施 3 5. 业务持续性计划的保障 4 6. 业务持续性测试与演练 4 评估内容 评估结果（是/否） 说明 是否针对业务的不同需求分别制定了业务连续性计划和业务应急计划，对于分别制定的计划将采取以下的方式对两类计划分别进行调研。 业务持续性计划程序 是否建立业务持续性计划或管理的制度、流程及方法？ 业务持续性计划方法流程是否包括： 业务影响分析（BIA）； 风险评估； 确定风险处置策略； 制定业务持续性计划或方案； 落实或部署管理及技术措施； 测试与演练。 是否指定专人或部门全面负责BCP及其测试方案的的开发、实施及维护？ 是否有必要的团队或单位参与业务持续性计划或管理流程？如：IT部门、业务部门、风险管理部门等。 是否建立企业范围的针对机构关键任务及操作的BCP及测试计划？ 是否制定相应的程序来确保当前BCP的维护及发布，包括： 指定BCP变更维护责任人，与BCP相关的变更包括流程、人员及环境； 将修订后的计划及时分发给员工。 是否定期进行业务持续性测试或演练？ 针对业务持续性计划是否有有效的审计，包括： 审计覆盖范围足够（如：业务、部门）； 对业务持续性准备情况（预案）的评估； BCP测试包括对测试计划和结果的审查，以及对测试过程的观测； 审计发现文档化。 董事会或高管是否至少每年审查、批准BIA、风险评估、BCP撰写、测试计划及测试的结果？ 是否根据审查或测试过程中发现的问题，以及业务操作的变更及时修订BCP和相关测试方案？ 是否归档与业务持续性计划或管理相关的文档及记录？ 业务影响分析（BIA）和风险评估 是否识别所有业务流程(活动)、业务功能（或组件）？ 是否识别所有业务功能（或组件）之间的依赖及需求关系，需求包括： 人员； 场所； 设施/设备/工具； 信息服务； 信息； 供应商及第三方服务等。 针对识别出的所有业务功能，是否识别或分析该业务功能的： 最大允许中断时间； 可接受的数据损失和积压交易程度； 恢复时间目标（RTO）； 恢复点目标（RPO）； 中断成本或影响等。 是否对识别出的业务功能进行业务优先级排序，排序是否合适？是否识别关键路径（具有最高优先级的业务流程或系统）？ 针对识别出的所有（或关键）业务功能（或组件），是否识别造成业务功能（或组件）中断或不可用的威胁？包括： 自然灾害，如：火灾，洪水，恶劣天气，空气污染，危险品泄露等； 技术问题，如：通讯中断，电力中断，设备和软件故障，运输中断，断水等； 恶意行为，如：欺诈，偷窃或敲诈；破坏；抢劫；恐怖行为等； 流行病。 是否分析上述威胁造成业务功能（或组件）中断的可能性及影响？ 是否通过成本效益分析确定的上述各项风险的处置策略（接受、规避、转移、控制）？ 业务持续性方案或计划 是否根据确定的风险处置策略，针对各项风险或每一项重大风险制定业务持续性解决方案或计划，明确业务持续性需求（人员、场所、技术、信息、供应商、利益相关方）？ 是否明确业务持续性管理的技术措施？包括： 备用站点； 备用线路； 备用系统； 备用电源； 备用人员； 本地或远程存储备份设施； 其它技术措施等，如：防火墙；路由器等。 是否制定与业务持续性问题相关的通用管理策略、标准及流程，包括： 项目管理； 安全控制； 变更控制； 数据同步、备份、恢复； 危机管理（针对外部相关方的灾难声明与处理责任）； 事件响应； 远程访问； 员工培训； 通知（应急人员、普通员工，客户，监管者，供应商，服务提供商，媒体）标准； 保险； 政府与公众协调。 业务持续性计划是否包括： 应急响应计划； 业务接续计划（关键业务）； 业务持续性计划（重要业务）； 业务复原计划（完全复原）； 危机沟通计划（内部、外部）。 每个业务持续性计划中是否包括： 人员安排； 技术/设施需求与安排； 站点/设施； 硬件/软件； 数据处理设备； 通讯线路； 远程计算； 生存记录； 电子银行系统； 实用程序等。 每个[业务单元/部门/功能/应用]的恢复过程及程序； 业务恢复顺序应该与BIA及风险评估的优先级一致； 业务恢复要考虑系统之间的依赖关系； 要考虑长期恢复安排。 供应商和外包服务商的恢复过程； 应急预案和危机管理计划： 包括一个准确的呼叫树及相关联系信息，用于联系员工、服务商、供应商、监管者、政府部门及应急响应人员； 为相关小组及员工指定职责和负责人； 说明特定事件中采取的活动； 定义备用站点的启动条件； 备用站点