商业恢复管制程序（RBA）.doc

文件名称 商业恢复管制程序 文件编号 WJ_RBA-2-19 版本 页次 制订部门 业务部 制订日期 20XX.02.01 修订日期 1.0 1/6 1.目的 商业恢复管理（Business Continuity Management，BCM）是识别可能引起组织业务中断的重大灾难并提供一个计划框架可以应对灾难并降低影响的管理过程。本程序旨在建立完整的商业恢复管理策略，并依此建立针对公司关键业务的商业恢复计划（Business Continuity Planning，BCP），积极防范并且处理灾难的发生，将灾难对公司的影响控制在公司能够承受的范围之内，保证重要业务流程的连续性。 2.范围 本程序文件适用于公司所有跟业务相关的部门和员工。 3.定义 BCM：Business contingency management 商业恢复管理。整个商业恢复的管理过程，包括商业恢复策略的制订、业务影响分析过程、商业恢复计划的建立、测试和实施，以及与风险管理过程的联系等。 BCP：Business contingency plan 商业恢复计划。就特定业务来说，针对各种灾难，事先制定的应对计划，其目的是当出现意外情况时能够做出积极响应和处理，保证业务的连续性。 DRP：Discaster Recovery Plan 灾难恢复计划。强调的是对支持业务活动的IT系统的恢复。 BIA：Business Impact Analysis 业务影响分析。识别影响商业恢复过程并按重要程序排序。 RTO：Recovery Time Objective 恢复时间目标。一旦发生中断，该关键业务所能够容忍的最长恢复时间 4.职责 4.1 信息安全管理委员会- 重大事务的决策者，批准发布本程序执行。 4.2 信息安全管理组- 建立商业恢复管理框架和程序。 - 督促各相关业务单位编写具体的商业恢复计划。 - 监督计划的测试、维护和实施。 4.2 IT部门- 负责IT基础设施的DRP相关工作 4.3 其他业务相关部门- 负责针对各业务活动面临的灾难制定并维护BCP预案。 4.4 全体员工- 遵守本程序规定的内容。 文件名称 商业恢复管制程序 文件编号 WJ_RBA-2-19 版本 页次 制订部门 业务部 制订日期 20XX.02.01 修订日期 1.0 2/6 5.程序 6. 内容 6.1 启动 在启动阶段，需要确定商业恢复管理程序的范围和目标。制定商业恢复管理整体实施方案，建立管理、协调机制以管理项目实施。主要活动： 确定商业恢复需求：参考相关的法律、法规、合同的需求和约束，公司以前的审计记录，识别可能对公司灾难恢复能力具有负面影响的业务措施。 建立项目推动委员会：由于商业恢复管理程序是ISMS项目当中不可或缺的重要部分，可采用整体项目组织架构，建立项目推动委员会、风险评估小组、文件编写小组等各项目实施小组，确定角色、职责、机构的类型以及具体成员。 制定项目实施计划，并获得公司项目推动委员会批准和承诺。 制定协调和监督项目实施的机制。 召开项目启动会议，明确项目进度和时间安排 6.2 业务影响分析（BIA） 确定公司各部门的关键业务流程，判断由于该业务中断或数据丢失可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定恢复优先顺序和相关性以便确定恢复时间目标（RTO）及恢复点目标（RPO）。主要活动 文件名称 商业恢复管制程序 文件编号 WJ_RBA-2-19 版本 页次 制订部门 业务部 制订日期 20XX.02.01 修订日期 1.0 3/6 通过问卷、访谈或会议等形式确定公司各部门的工作职责及部门内部的业务流程，建立关键业务流程的评价标准，并依据该标准确定各部门的关键业务流程。 确定各关键业务流程所必需的IT基础支持设施。 评估业务流程中断时间或数据丢失的多少对该关键业务所造成的后果、影响及损失的对应关系。 确定关键业务流程恢复时间目标和恢复点目标及其资源需求。 识别和排定各关键业务流程的中断或数据丢失时的处理优先级。 6.3 风险评估 确定可能造成公司关键业务流程中断或数据丢失的灾难、具有负面影响的事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险以符合公司对业务持续性的需求。主要活动： 通过问卷、访谈及会议等方式，识别对公司各部门关键业务流程的潜在威胁，并采取定性和定量相结合的方式确定各种威胁发生的可能性和后果。 识别公司现有针对这些威胁所采取的防范和控制措施的效率和效果。 针对威胁的可能性及后果对需要控制的威胁进行优先级排序。 6.4 风险处理 依据前一阶段得出的关键业务流程及对其风险评估的各项结果。根据已确定的关键业务RTO、RPO等业务指标，针对相关风险，根据ISO