2012业务持续性管理程序.docVIP

信息科技部 业务持续性管理程序 A版 2011年6月1日 发布 2011年6月1日 实施 目录 1 目的 3 2 范围 3 3 相关文件 3 4 职责 3 5 程序 4 5.1业务持续性管理过程 4 5.2业务持续性和影响的分析 4 5.3编制《业务持续性管理战略计划》 5 5.4编制《业务持续性管理实施计划》 5 5.5《业务持续性管理实施计划》的实施要求 5 5.6业务持续性计划的测试与评审 6 6 记录 6 文件修订历史记录 版本 日期 修订者 修订描述 1.0 1 目的 本程序规定当发生重大信息安全事件或灾难时，为保护阜新银行信息科技部业务活动免受影响，迅速恢复已中断的业务活动，实现业务持续发展而实施的管理活动。 这些活动包括：建立业务持续性管理程序；进行业务持续性和影响分析；编制业务持续性战略计划；制订业务持续性管理实施计划并实施；对业务持续性管理计划进行定期测试和评审等。 2 范围 本程序适用于阜新银行信息科技部业务相关的主要业务的持续性管理控制 3 相关文件 4 职责 4.1总经理负责业务中断的恢复的总指挥与总协调。 4.2管理者代表负责编制、修订业务持续性管理程序，并协调、推进业务持续性管理活动。 4.3硬件工程师负责网络及其他基础设施/设备、办公网络的故障处理及与之相关的作业中断的恢复及电话网络的故障处理及中断恢复。 4.4各区域负责人在发生重大信息安全事件或灾难时，负责保护自己区域内使用的信息系统及业务数据，及时恢复中断的业务活动。 5 程序 5.1业务持续性管理过程 业务持续性管理过程规定如下： 5.2业务持续性和影响的分析 5.2.1在首次信息安全风险评估后进行业务持续性和影响的分析。 5.2.2业务持续性和影响的分析由管理者代表组织，各副总经理配合，及管理者代表指定的相关责任人分别开展以下活动： 对信息安全进行风险评估； 识别出对业务持续性造成严重影响的主要事件，如设备故障、火灾等； 分析这些事件一旦发生对业务活动造成的影响和损失，以及恢复业务所需费用等； 编写《业务持续性和影响分析报告》（格式不限）。 5.2.3《业务持续性和影响分析报告》应包括以下内容： 识别关键业务的管理过程； 可能引起业务活动中断的主要事件； 主要事件对管理的信息系统的影响； 信息系统故障或中断对业务活动的影响； 关于系统恢复或替换的费用考虑。 5.3编制《业务持续性管理战略计划》 各区域副总经理编制的《业务持续性和影响分析报告》完成后应提交管理者代表，由管理者代表或管理者代表指定的人员来制订《业务持续性管理战略计划》（格式不限），并提交信息安全管理委员会讨论，经信息安全管理者代表批准后予以实施。 5.4编制《业务持续性管理实施计划》 5.4.1根据《业务持续性管理战略计划》，各相关职能人员分别编制自己负责区域内的管理的信息系统的《业务持续性管理实施计划》，并由信息安全管理者代表批准，以便在这些系统发生中断时实施。 5.4.2《业务持续性管理实施计划》的编写为： 硬件工程师网络部分：核心业务网络系统、办公网络系统、电话网络、供电系统及中间业务。 5.4.3《业务持续性管理实施计划》应包括以下方面的内容： 计划实施所涉及的职务/相关人员的职责、权限及接口关系的描述； 系统中断的速报程序及要求； 系统中断的恢复程序及方法； 系统中断的恢复时限要求； 保持业务运作连续应采取的应急措施与备用措施； 必要的技术支持及资源要求。 5.5《业务持续性管理实施计划》的实施要求 上述重要系统一旦受到重大影响或中断后，有关人员应立即执行《业务持续性管理实施计划》，对系统采取应急措施、进行恢复，确保经营活动的持续运行。同时，应按照《事故、薄弱点与故障管理程序》做好事故处理记录，记录内容应包括： 对系统中断原因的调查分析； 系统中断造成损失的统计； 采取的纠正措施； 应吸取经验教训及预防措施等。 5.6业务持续性计划的测试与评审 5.6.1每年下半年由管理者代表组织有关人员对《业务持续性管理实施计划》进行测试，以判断计划的可行性和有效性。测试可采用以下方法进行： 对已发生过的业务中断及恢复措施实例进行讨论； 组织有关人员进行业务中断及恢复的模拟演练； 采用技术手段对系统运行及中断恢复的相关参数进行测量； 由供应商提供测试服务，确保所提供的外部服务和产品符合合同要求。 测试完成后填写《业务持续性管理计划测试报告》。 5.6.2根据相关人员的测试报告，管理者代表组织有关的人员对计划的适用性和有效性进行评审，形