ISO27001业务持续性管理程序 conv.docxVIP

FHYJ-ISMS-2015-2010

受控副本章

业务持续性管理程序

发放编号 003有效版本 A版0次实施日期2010-05-01

使用部门 管理者代表

1范围本程序规定了当发生重大信息安全事件或灾难时，为保护公司业务活动免受影响，迅速恢复已中断

的业务活动，实现公司业务持续发展而实施的管理活动。本程序适应于本公司生产运营、商务等主要业务的持续性管理。

2职责

2.1信息安全管理委员会负责公司业务中断恢复的总指挥与总协调。

2.2运管部负责编制、修订公司业务持续性管理程序，并协调、推进公司业务持续性管理活动。

2.3行政公关部负责网络系统（含服务器网络系统、设计PC终端网络系统）、设备及软件系统、电话/网络通讯与办公系统的故障处理及与之相关的作业中断的恢复。

2.4公司各部门在发生重大信息安全事件或灾难时，负责保护本部门使用的信息系统及业务数据，及时恢复中断的业务活动。

3程序内容

3.1业务持续性管理过程公司业务持续性管理过程规定如下：

必要时，对计划修改

业务连续性和影响分析

业务连续性与影

响分析报告

编制业务连续性计划并实施

业务连续性管理

实施计划

业务连续性定期测试与评审

业务连续性管理测试报告业务连续性管理

评审报告

3.2业务持续性和影响的分析

3.2.1公司在首次信息安全风险评估后进行业务持续性和影响的分析。

3.2.2业务持续性和影响的分析由运管部组织，其他各相关部门分别开展以下活动：

-1-

FHYJ-ISMS-2015-2010a) 对本部门的信息安全进行风险评估；

b) 识别出对本部门业务持续性造成严重影响的主要事件，如设备故障、火灾等；

c) 分析这些事件一旦发生对公司业务活动造成的影响和损失，以及恢复业务所需费用等；d) 编写[业务持续性和影响分析报告]，详见附录A。

3.2.3[业务持续性和影响分析报告]应包括以下内容：a) 识别关键业务的管理过程；

b) 可能引起公司业务活动中断的主要事件；c) 主要事件对本部门管理的信息系统的影响；

d) 信息系统故障或中断对公司业务活动的影响；e) 关于系统恢复或替换的费用考虑。

3.3编制[业务持续性管理实施计划]由风险评估小组制订组织级《业务持续性管理实施指南》，详见附录B，并提交信息安全管理委员

会讨论，经批准后予以执行。

3.3.1根据组织级《业务持续性管理实施指南》，各相关部门分别编制本部门管理的信息系统的[业务持续性管理实施计划]，并由信息安全委员会批准，以便在这些系统发生中断时实施。

3.3.2[业务持续性管理实施计划]包括以下方面的内容：

a) 计划实施所涉及的部门/人员的职责、权限及接口关系的描述；b) 系统中断的速报程序及要求；

c) 系统中断的恢复程序及方法；d) 系统中断的恢复时限要求；

e) 保持公司业务运作连续应采取的应急措施与备用措施；f) 必要的技术支持及资源要求。

3.4[业务持续性管理实施计划]的实施要求上述重要系统一旦受到重大影响或中断后，有关部门应立即执行[业务持续性管理实施计划]，对系

统采取应急措施、进行恢复，确保公司生产经营活动的持续运行。同时，应按照《信息安全事故管理程序》做好事故处理记录，记录内容应包括：

a) 对系统中断原因的调查分析；b) 系统中断造成损失的统计；c) 采取的纠正措施；

d) 应吸取经验教训及预防措施等。3.5业务持续性计划的测试与评审

3.5.1每年下半年由运管部组织有关部门对[业务持续性管理实施计划]进行测试，以判断计划的可行性和有效性。测试可采用以下方法进行：

a) 对已发生过的业务中断及恢复措施实例进行讨论；b) 组织有关部门进行业务中断及恢复的模拟演练；

c) 采用技术手段对系统运行及中断恢复的相关参数进行测量；

d) 由供应商提供测试服务，确保所提供的外部服务和产品符合合同要求；

-2-

FHYJ-ISMS-2015-2010e) 测试完成后填写[业务持续性管理计划评测报告]。

4相关文件和记录

《信息安全管理手册》《信息安全风险管理程序》《信息安全事故管理程序》

[业务持续性管理实施计划]

[业务持续性管理计划评测报告]

保存部门：使用部门

保存部门：运管部

保存期限：1年

保存期限：1年

附加说明：

本标准由湖南丰汇银佳科技有限公司提出。

本标准由湖南丰汇银佳科技有限公司运管部起草。

起草：熊文群 审核：杨彬 批准：刘熙 日期：2010-04-28

-3-

FHYJ-ISMS-2015-2010

附录A（资料性目录）

业务持续性和影响分析报告

1目的为防止公司生产、经营、管理活动在信息系统出现重大故