业务持续性管理程序(标准样版).docxVIP

IT 资产管理程序 文件编号： ISMS/OP-2090 文件版本： A 制定部门： 人力资源部 发行日期： 2015-9-21 分发部门： 业务管理部 人力资源部 产销协调部 模具开发部 品质保证部 CNC加工中心  财 务 部 采购中心 产 发 部 技术研发部 锻冲压部 二次加工部 受控状态： 核准： 审核： 制定： ISO27001 ※ 修订页 版本 修改摘要 修改人 修改时间 批准人 A 全新改版 ISO27001 第2页共6页 目的 应对灾难性事件中公司内部和相关方责任及依此程序对在信息安全管理体系内公司或 客户的信息资产的应对动作及启动应对措施，以确保业务活动的持续进行。 适用范围 本程序适用于公司所有人。 责任部门 本程序由 IT资讯课负责制定、修订及废止，公司管理者代表和公司总经理批准。 作业程序： 4.1 系统识别 4.1.1 公司的管理业务活动根据公司的业务范围和管理手册定义为产品的研发、生产制造和 销售。根据公司业务范围活动的确定，公司的业务连续性管理过程是会影响产品的研 发、生产制造和销售等业务活动的管理过程。在信息安全风险识别中，本文所确认的 业务风险主要就是影响产品的研发、生产制造和销售过程中的信息安全的风险。 4.1.2 公司的信息系统根据公司资产风险管理程序所规定的资产保密性、完整性和可用性定 义方法进行判定，确认为重要资产的，该系统为公司的重要信息管理系统。重要系统 识别后建立公司的重要信息系统清单。 4.1.3 根据风险识别要求，识别重要系统的威胁和脆弱性，判定识别信息系统的风险级别。 信息系统的威胁包括重大失误和灾难事故等，例如设备故障、病毒破坏、人为差错、 盗窃、火灾、自然灾害和恐怖行为，风险评估时、根据时间、损坏程度、恢复周期来 确定中断发生的概率来确定脆弱性，最后确定信息系统的风险大小和级别。形成信息 系统的风险评估表。 4.2 业务连续性计划 4.2.1 IT资讯课针对系统可能的风险对业务连续性影响的程度、发生的大小和优先级别，制 定出该系统中断后各系统可容忍的最长的时间，也叫 SLA（系统级别服务协议）， 系统名称 风险事件 恢复方案 最长允许中断时间 ISO27001 第3页共6页 4.2.2 SLA制度完成后，交 IT资讯课审核认可，最终交公司总经理进行批准。 4.2.3 信息中心制定业务连续性计划 根据 SLA基本要求，信息中心应制定人员编制业务连续性管理计划，计划内容包括： a ） 识别和确定影响业务连续性的系统的操作规程； b ） 系统中断风险类型； c ） 一般故障或系统中断时的应急措施和流程，应清楚规定故障对应的人员和所用资 源，故障或中断处理的时间等； d ） 当发生超过 SLA允许的最长中断时间的事件时，需采取的恢复或复原系统的措施，人员、职责（如遇到火灾事故时需灾难救助人员、疏散人员、系统检查人员、基础设施恢复、系统恢复人员、系统测试人员及职责），所需资源，以及恢复或复原系统之前保证连续性运营临时措施（临时措施的操作规程和要求）； e ） 系统维护计划，包括维护计划内容、测试计划时间要求；f） 业务连续性计划教育和培训要求和职责。 4.2.4 业务连续性计划制定后，需经过 IT资讯课批准。 4.3 业务连续性计划的测试、维护和再评估 4.3.1 业务连续性计划批准后，需根据计划要求确定组建相关的责任人员，必要时组成相关的责任小组。 IT资讯课对相关的责任人员进行教育培训，了解相关的规程和要求，保证风险事故发生时能负起职责，确保连续性计划能有效实施，相关培训计划应建立。 4.3.2 IT资讯课编制每年业务连续性测试计划，测试计划包括： a ） 各种测试场景的桌面测试； b ） 场景模拟条件下各职责人员对应的责任和角色； c ） 系统恢复方案； d ） 供方设施和服务测试； e ） 完整演习（当中断发生时相关人员、设施和过程能保证应付中断，相关部门人员须对对应的技术方案负责）。 4.3.3 测试 IT 资讯课根据建立的连续性经营计划应定期组织相关部门和人员进行测试和演练。测 试和演练都必须按业务连续性计划编制具体场景的详细的《连续性测试演练计划》。 ISO27001 第4页共6页 测试和演练须按计划实施，测试组织人员应详细记录测试或演练过程和结果，并将实际的测试过程和计划进行对比，以验证计划的有效性。 4.3.4 测试计划再评估 测试完成后，测试组织人员需进行总结， 依据《连续性测试演练计划》 编制总结报告， 对测试过程中发现的问题进行总结并评审，便于采取进一步的改进计划和措施。 IT 资讯课应该定期修订业务连续性计划测试计划，以保证测试计划的适用性和有效性。 4.4 其他事项 4.4.1 连续性经营计划应覆盖所有可能的安全事故种类，可能还包括： a ） 信息