文件南华大学.DOCVIP

◎業務持續管理作業 流程圖： 流 程 權 責 表 單 資訊中心 關鍵營運流程分級表 資訊中心 業務持續計劃 資訊中心 業務持續計畫/災害復原演練暨處理報告單 資訊中心 業務持續計劃 資訊中心 資訊中心 業務持續計劃 作業程序： 營運衝擊分析應分析重大災害或故障對組織的衝擊，並發展和實施業務持續計畫，確保能在所需時間內恢復營運作業。業務持續計畫應持續維護並定期演練。 關鍵營運流程分析由資通安全執行小組針對本校資訊中心所提供之服務，檢視負責之營運業務流程，依業務之重要性，鑑別並分別給與「高」、「中」或「低」之關鍵等級，「高」關鍵等級流程即為本校資訊中心之關鍵性業務流程。營運衝擊分析之結果紀錄於「關鍵營運流程分級表」。 關鍵營運流程中斷之影響各項業務之運作，若因不可抗力及人為因素，造成服務中斷，應立即採取緊急應變措施及復原(替代)程序，以維持日常業務之持續運作，降低對業務活動的衝擊。 衝擊及最大可容忍中斷時間分別判斷各項關鍵營運流程對本校資訊中心營運的衝擊程度，關鍵營運流程中斷之影響程度及範圍為何？判斷最大可容忍中斷時間及復原目標時間（Recovery Time Objective，RTO）。 需指派關鍵性業務流程主要權責單位及流程負責人。 研擬業務持續計劃 業務持續計畫制訂之目的在防止當發生重大故障或災害造成本校資訊中心相關硬體、軟體、網路通信線路或其他周邊設備故障，導致關鍵性業務服務中斷。 緊急處理組負責業務持續計畫之制訂工作。資通安全執行小組應審核業務持續計畫內容之適切性。 應實施業務持續管理作業，結合預防和復原控制措施，將災害或故障（可能是由於自然災害、意外、設備故障和蓄意行為等引起）造成的中斷情形降低到可接受的等級。 業務持續計劃之測試/演練 業務持續計畫可能會因事前的假設不正確、規劃不周全或設備及人員的職務調整變更，而無法發揮預期的作用，應定期測試及演練，以確保計畫的有效性，並使相關人員確實瞭解計畫的最新狀態。測試計畫可以定期測試個別計畫的方式進行，以減少測試完整計畫的需求及頻率。 業務持續計畫須每年進行測試，每次至少選擇一項業務持續計畫，並經資訊中心主任核准後進行測試及演練，測試前須填報測試計畫，經核可後進行。測試的方式得依實務需求得採用下列任一方式進行： 檢查表測試 (Checklist tests)將業務持續計畫發送給相關權責人員，由其檢視計畫並視實際狀況提出修正建議。 結構化測試 (Structural walk-through)聚集相關權責人員一起檢視業務持續計畫。 模擬測試 (Simulation tests)建立一個模擬的環境進行測試。 完全測試 (Full interruption tests)在實際作業環境中進行測試。 業務持續計畫測試結果應詳實紀錄。 啟動業務持續計劃 資訊安全長對資訊安全事件之影響，進行研判及通知緊急處理組召集人。 緊急處理組召集人連絡組員，並協調及督導各關鍵業務流程負責人執行作業。 由關鍵業務流程負責人召集相關人員進行復原時程評估，若所需復原時程大於RTO時，通知緊急處理組召集人並由召集人建請召開資通安全執行小組討論是否啟動業務持續計畫? 重大災害發生造成嚴重損失時（如火災、爆炸、地震、颱風等），得不經損害評估，逕行啟動業務持續計畫。 異常分析及檢討異常事件處理完成後，緊急處理組須召開檢討會議。檢討事件通報、應變處理、備援回復作業、與復原作業各階段運作是否達成本程序預定目標，並執行異常之。檢討結果呈報資通安全執行小組，並做為修訂業務持續計畫的重要依據。 更新業務持續計劃 業務持續計畫應配合業務、組織及人員的調整變更而定期更新，以發揮計畫的最大投資效益，並確保計畫持續有效。 得考量計畫更新之事項如下： 採購新的設備，或是更新作業系統。 使用新的問題偵測及控制技術（例如火災偵測）。 使用新的環境控制技術。 人員及組織上的調整變動。 部門及人員地址及電話號碼的變動。 契約當事者或是供應商的調整變動。 應用系統變動、新建或是撤銷應用系統。 實務作業的變更。 法規上的變更。 緊急處理組負責計畫變更事宜，業務持續計畫每年至少應檢討評估一次，包括執行營運衝擊分析、組織權責與成員之調整、災害應變程序及回復策略之檢討，並將年度總檢討與更新的結果向資通安全執行小組報告。 業務持續計畫指導綱要 計畫準備 計畫擬訂 目的：說明計畫擬訂欲達成之目標。依據業務營運衝擊分析（BIA）結果，建立本校資訊中心核心業務（以下簡稱本業務）營運持續管理作業之執行方案。確保本業務流程受重大事故和災難事件導致中斷時，協助管理階層以迅速、有效及有組織的方法，確保員工安全與業務回復正常運作。 範圍：說明計畫所含括之範圍。適用於本校資訊中心IDC機房發生重大故障和災難事件導