SYTXISMS-13 业务连续性管理程序.docVIP

文件编号：SYTX/ISMS-13文件密级：内部公开

XXXXXXXX有限公司

业务连续性管理程序

版本：A/0

编制：综合管理部

审核：梁霞

批准：桂品

受控状态：受控

发布日期：2016年9月5日实施日期：2016年9月5日

变更记录

变更日期

版本

变更说明

编写

审核

批准

目录

TOC\o1-3\h\z\u1. 目的和范围 1

2. 引用文件 1

3. 职责和权限 1

4. 业务连续性管理流程 1

4.1 业务影响分析 2

4.1.1 识别组织关键业务 2

4.1.2 识别关键信息系统 2

4.1.3 风险评估 3

4.1.4 风险处置建议 3

4.2 连续性架构规划 3

4.2.1 确定团队与人员 3

4.2.2 确定利益相关方 3

4.2.3 确定数据和信息的获取方式 4

4.2.4 确定技术设施 4

4.2.5 确定其他供给需求 4

4.2.6 形成设计方案 4

4.3 制定应急预案 4

4.3.1 确定团队职责与分工 4

4.3.2 确定突发事件通告机制 4

4.3.3 确定人员疏散方式 5

4.3.4 确定损害评估机制 5

4.3.5 确定灾难启动机制 5

4.3.6 确定系统恢复过程 5

4.3.7 形成计划文档 5

4.4 演练与维护 5

4.4.1 设计演练方案 5

4.4.2 演练 6

4.4.3 评审和改进 6

4.5 冗余 6

5. 相关文件 6

6. 相关记录 6

目的和范围

为确保本单位的业务能够持续稳定的进行，最低限度的降低信息安全事件对业务的影响，特制订本管理程序。

业务连续性管理为关键业务过程提供IT支持。提供IT服务连续性管理不仅包括服务中断时的系统安装和配置，还包括提供备份或容灾恢复的技术手段，以及关键业务过程所需要的IT基础设施、人员支持、数据等。

引用文件

下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求

ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则

《信息安全事件管理程序》

职责和权限

信息安全管理者代表：审批业务连续性计划，分配相关资源，确保业务持续性活动顺利进行；在发生重大信息安全事件或灾难时担任本单位业务中断的恢复的总指挥与总协调。

综合部：负责组织进行业务影响分析，相关业务连续性计划（BCP）编写，审核BCP，组织BCP演练，监督修改完善；在发生重大信息安全事件或灾难时，负责协调进行信息和资产保护，及时恢复中断的业务。

各相关部门：配合综合综合部执行BCP的编写与演练；在发生重大信息安全事件或灾难时，负责保护本部门的信息和资产，及时恢复中断的业务。

业务连续性管理流程

为方便理解业务连续性管理过程，将采用分级的方式进行表述。业务连续性管理概要过程主要从整体上描述，不会体现具体的细节和涵盖所有的人员。

业务影响性分析

业务影响分析是通过对所支持的客户业务过程进行分析和评估，以得出关键业务过程，以及对业务过程中断或发生灾难所能接受的水平，包括损失程度、恢复时间、优先级别等，并最终映射到IT服务和IT基础设施上，从而得到对IT服务连续性管理的需求。并进行相应的风险评估，以及根据风险评估的结果建议相应的控制方式。

制定业务连续性框架

通过对一系列应对方式（包括资源获取方式）的策略评估，确定业务连续性框架，为每一服务选择了合适的响应方式，使得组织可以在中断发生中或发生后能够按预定的条件持续提供服务。

制定应急预案

开发具体的服务连续性应对措施，建立事故管理和业务连续性、业务恢复计划的管理框架，以详细描述在事故发生中或发生后维持和恢复运行的步骤。

演练与维护

通过服务连续性的演练、维护和评审使得组织保证服务连续性策略和计划完成、更新和准确的程度。

业务影响分析

业务影响分析是通过对所支持的客户业务过程进行分析和评估，以得出关键业务过程，以及对业务过程中断或发生灾难所能接受的水平，包括损失程度、恢复时间、优先级别等，并最终映射到IT服务和IT基础设施上，从而得到对业务连续性管理的需求。并进行相应的风险评估，以及根据风险评估的结果建议相应的控制方式。

识别组织关键业务

在开发业务应急预案之前，应对以下方面对组织进行分析：