ISMS体系业务持续性管理程序.docVIP

信息安全管理体系业务持续性管理程序

1目的与范围

本程序规定了当发生重大信息安全事件或灾难时，为保护公司业务活动免受影响，迅速恢复已中断的业务活动，实现公司业务持续发展而实施的管理活动。

这些活动包括：建立业务持续性管理程序；进行业务持续性和影响分析；编制业务持续性战略计划；制订业务持续性管理实施计划并实施；对业务持续性管理计划进行定期测试和评审等。

本程序适应于本公司应用软件的开发和系统集成的活动等主要业务的持续性管理。

2相关文件

2.1ISMS-1000《信息安全管理手册》

2.2ISMS-2021《信息资产的识别与风险评估管理程序》

2.3ISMS-2033《事故、薄弱点与故障管理程序》

3职责

3.1公司常务副总经理负责公司业务中断的恢复的总指挥与总协调。

3.2集成部负责编制、修订公司业务持续性管理程序，并协调、推进公司业务持续性管理活动。

3.3各部门负责部门相关系统的故障处理及与之相关的作业中断的恢复。

3.4技术部负责项目实施过程中设备及软件系统的故障处理及与之相关的作业中断的恢复。

3.5集成部负责后勤系统设备及网络系统的故障处理及与之相关的作业中断的恢复。

3.6行政部负责本部门管理系统及与之相关的作业中断的恢复。

3.7公司各部门在发生重大信息安全事件或灾难时，负责保护本部门使用的信息系统及业务数据，及时恢复中断的业务活动。

4工作程序

4.1业务持续性管理过程

公司业务持续性管理过程规定如下：

4.2业务持续性和影响的分析

4.2.1公司在首次信息安全风险评估后进行业务持续性和影响的分析。

4.2.2业务持续性和影响的分析由集成部组织，技术部、行政部、生产部及管理者代表指定

的相关部门分别开展以下活动：

a)对本部门的信息安全进行风险评估；

b)识别出对本部门业务持续性造成严重影响的主要事件，如设备故障、火灾等；

c)分析这些事件一旦发生对公司业务活动造成的影响和损失，以及恢复业务所需费用等；

d)编写本部门《业务持续性和影响分析报告》（格式见ISMS-4341)。

4.2.3《业务持续性和影响分析报告》应包括以下内容：

a)识别关键业务的管理过程；

b)可能引起公司业务活动中断的主要事件；

c)主要事件对本部门管理的信息系统的影响；

d)信息系统故障或中断对公司业务活动的影响；

e)关于系统恢复或替换的费用考虑。

5记录

ISMS-4341《业务持续性和影响分析报告》

ISMS-4342《业务持续性管理战略计划》

ISMS-4343《业务持续性管理实施计划》

ISMS-4344《业务持续性管理计划测试报告》

ISMS-4345《业务持续性管理计划评审报告