XX公司业务持续性管理程序.docVIP

版本：A 编号：ISMSP-14-A 第 PAGE 8 页 共 NUMPAGES 9 页 XXXX公司 ISMS 版 本 A 密 级 秘密★3年 XX业务持续性管理程序 文件编号 ISMSP-14-A 1 目的 本程序规定了当发生重大信息安全事件或灾难时，为保护公司业务活动免受影响，迅速恢复已中断的业务活动，实现公司业务持续发展而实施的管理活动。这些活动包括：建立业务持续性管理程序；进行业务持续性和影响分析；编制业务持续性战略计划；制订业务持续性管理实施计划并实施；对业务持续性管理计划进行定期测试和评审等。 2 范围 本程序适用于本公司生产相关的主要业务的持续性管理控制。 3 职责 1）公司总经理负责公司业务中断的恢复的总指挥与总协调。 2）总经办及软件部负责编制、修订公司业务持续性管理程序，并协调、推进公司业务持续性管理活动。 3）软件部负责公司生产、办公网络监控及其他基础设施/设备的故障处理及与之相关的作业中断的恢复。 4）财务部负责财务管理业务的故障处理及中断恢复。 5）软件部负责电话网络的故障处理及中断恢复。 6）公司各部门在发生重大信息安全事件或灾难时，负责保护本部门使用的信息系统及业务数据，及时恢复中断的业务活动。 4定义 无 5程序 5.1业务持续性管理过程 公司业务持续性管理过程规定如下： 必要时，对计划修改 必要时，对计划修改 编制业务持续性计划并实施业务持续性和影响分析业务持续性定期测试与评审 编制业务持续性计划并实施 业务持续性和影响分析 业务持续性定期测试与评审 业务持续性管理测试报告业务持续性管理评审报告业务持续性与影响分析报告 业务持续性管理测试报告 业务持续性管理评审报告 业务持续性与影响分析报告 业务持续性管理战略计划 业务持续性管理实施计划 5.2业务持续性和影响的分析 5.2.1公司在首次信息安全风险评估后进行业务持续性和影响的分析。 5.2.2业务持续性和影响的分析由总经办组织，软件部、财务部及管理者代表指定的相关部门分别开展以下活动： 1）对本部门的信息安全进行风险评估； 2）识别出对本部门业务持续性造成严重影响的主要事件，如设备故障、火灾等； 3）分析这些事件一旦发生对公司业务活动造成的影响和损失，以及恢复业务所需费用等； 4）编写本部门《业务持续性和影响分析报告》（格式不限）。 5.2.3《业务持续性和影响分析报告》应包括以下内容： 1）识别关键业务的管理过程； 2）可能引起公司业务活动中断的主要事件； 3）主要事件对本部门管理的信息系统的影响； 4）信息系统故障或中断对公司业务活动的影响； 5）关于系统恢复或替换的费用考虑。 5.3编制《业务持续性管理战略计划》 有关部门编制的《业务持续性和影响分析报告》完成后应提交总经办，由总经办制订公司《业务持续性管理战略计划》（格式不限），并提交信息安全管理委员会讨论，经信息安全管理者代表批准后予以实施。 5.4编制《业务持续性管理实施计划》 5.4.1根据公司《业务持续性管理战略计划》，各相关部门分别编制本部门管理的信息系统的《业务持续性管理实施计划》（格式见附件1），并由信息安全管理者代表批准，以便在这些系统发生中断时实施。 5.4.2部门《业务持续性管理实施计划》的编写分工为： 1）软件部：生产网络系统、办公网络系统、电话网络的监控业务； 2）财务部：财务管理业务； 3）软件部：生产软件开发服务流程； 4）总经办：供电、消防系统。 5.4.3《业务持续性管理实施计划》应包括以下方面的内容： 1）计划实施所涉及的部门/人员的职责、权限及接口关系的描述； 2）系统中断的速报程序及要求； 3）系统中断的恢复程序及方法； 4）系统中断的恢复时限要求； 5）保持公司业务运作连续应采取的应急措施与备用措施； 6）必要的技术支持及资源要求。 5.5《业务持续性管理实施计划》的实施要求 上述重要系统一旦受到重大影响或中断后，有关部门应立即执行《业务持续性管理实施计划》，对系统采取应急措施、进行恢复，确保公司生产经营活动的持续运行。同时，应按照《事故、薄弱点与故障管理程序》做好事故处理记录。记录内容应包括： 1）对系统中断原因的调查分析； 2）系统中断造成损失的统计； 3）采取的纠正措施； 4）应吸取经验教训及预防措施等。 5.6业务持续性计划的测试与评审 5.6.1每年下半年由总经办组织有关部门对《业务持续性管理实施计划》进行测试，以判断计划的可行性和有效性。测试可采用以下方法进行： 1）对已发生过的业务中断及恢复措施实例进行讨论； 2）组织有关部门进行业务中断及恢复的模拟演练； 3）采用技术手段对系统运行及中断恢复的相关参数进行测量； 4）由供应商提供测试服务，