企业现行信息系统应急管理规定.docxVIP

1.总则 1.1.目的依据 为了保障业务的连续性，规范企业信息系统应急管理工作，建立健全信息系统应急体系，提高各业务岗位应急处置能力，避免或降低事件可能造成的危害，根据《企业应急管理规定》《企业信息系统应用与运维管理办法》《企业信息系统突发事件专项应急预案》的要求，制定本规定。 1.2.适用范围 本规定适用于总部各部门，各企事业单位、股份公司各分（子）公司。 1.3.规范内容 本规定规范信息系统及基础设施的应急管理工作，主要内容包括应急组织管理及职责、应急事件分级管理、应急预案管理、应急响应机制、应急演练和培训管理等。 信息系统应急是指由于信息系统突发事件所导致的信息系统无法提供服务，业务无法正常开展情况下，且恢复时间超过或预计超过该业务最大容忍时间而采取的紧急处置措施。信息系统突发事件主要包括主干网络事故、数据中心服务瘫痪、重大网络安全事件、重要信息系统瘫痪等事件。按照事件的影响范围和影响程度，将应急事件分为五级。 一级应急事件是指影响范围为一个企业局部，对生产经营活动影响较小的事件。 二级应急事件是指影响范围为一个企业整体，且对企业重要业务的活动造成影响的事件。 三级应急事件是指影响范围为一个企业整体，且对企业核心业务活动造成较大影响；对多个企业的重要业务、核心业务造成影响；造成较大社会影响的事件。 四级应急事件是指影响范围为多个企业，对企业的核心业务造成较大影响；造成重大社会影响的事件。 五级应急事件是指影响范围为企业整体，对企业的核心业务造成重大影响，并且造成重大社会影响的事件。 1.4.管理原则 信息系统应急管理实行归口管理、分级负责，坚持“预防与应急并重”的原则。一级和二级应急事件由直属企业组织应对，三级及以上应急事件由总部牵头组织应对。 2.组织管理与职责 2.1.企业应急指挥中心是企业信息系统应急指挥最高领导机构。企业应急指挥中心负责四级及以上应急预案启动审批；负责四级及以上应急事件的应急指挥。 2.2.信息和数字化管理部是信息系统应急管理归口部门，信息和数字化管理部及事发企业的主管事业部、专业公司、管理部门等承担应急办公室工作职责。负责组织制定或修订企业信息系统应急管理规定。负责组织对信息系统应急事件进行评估，确定应急级别。负责信息系统三级应急预案启动、升（降）级审批。牵头组织三级应急事件的应急指挥工作；上报四级及以上应急事件，协助应急指挥。牵头组织基础设施、网络和信息安全事件的应急处置。 2.3.总部ERP支持中心是应急管理的支持部门，受信息和数字化管理部委托负责信息系统应急管理的具体工作。负责组织编制ERP系统应急预案范本，指导业务部门制定本部门的信息系统应急预案，指导企业制定本企业的信息系统应急管理细则和应急预案；负责制定年度演练计划，组织总部层面及跨企业的重要信息系统应急演练，对企业的信息系统应急演练工作进行指导和评估。负责组织信息系统应急预案编制和演练的交流和培训。 2.4.总部各部门是信息系统业务应急的专业管理部门，是本部门所使用信息系统的业务应急责任主体；总部各部门负责所辖业务的信息系统应急管理工作，事业部负责本业务领域信息系统应急管理工作。参与三级及以上应急事件评级，参与三级及以上应急事件联合应急指挥，指导业务应急处理。负责编制本部门所使用信息系统的应急预案,组织应急演练，开展本部门应急事件的应急处置。 2.5.企业是本单位所使用信息系统的应急责任主体。负责编制本单位信息系统突发事件专项应急预案，该专项应急预案应与企业信息系统专项应急预案衔接，并在此基础上制定信息系统应急管理细则和相关信息系统应急预案；对于跨企业的应急业务，由上游企业或该业务的主要涉及企业牵头制定信息系统应急预案；组织本单位应急演练、培训工作；对应急事件进行初步评估，评估为二级及以上的应急事件应及时上报信息和数字化管理部、事业部；负责一级和二级应急预案启动审批；负责本单位信息系统应急指挥、应急处置等工作。 3.管理内容 3.1.应急预案管理 3.1.1.应急业务的界定 在对信息系统所涵盖的业务进行分析的基础上，按照业务的重要程度、影响程度、容忍时间确定该业务是否为应急业务，按照必要性原则，确定本部门或本企业的信息系统应急业务清单。 3.1.2.应急预案编制 重要信息系统上线前，应当针对应急业务编制应急预案，预案内容至少包括：总则、应急领导小组与工作小组及其职责、应急业务清单、应急事件界定与分级、应急响应机制、应急处置、应急记录及表单、数据补录,其中应急工作小组应当包括技术处置组、业务处理组和后勤保障组。 3.1.3.应急预案发布 企业应急预案应正式发布，由本单位主要负责人签署，并及时发放到内部有关部门（岗位）和内外部联动单位。 3.1.4.应急预案修订 各单位应当定期修订重要信息系统的应急预案，每两年至少组织一次应急预案的评估