本程式規定當發生重大資訊保安事件或災難時,為保護it資訊業務活動免受影響,迅速恢復已中斷的業務活動,實現業務持續發展而實施的管理活動。
這些活動包括:建立業務持續性管理程式;進行業務持續性和影響分析;編制業務持續性戰略計畫;制訂業務持續性管理實施計畫並實施;對業務持續性管理計畫進行定期測試和評審等。
本程式適用於it資訊業務相關的主要業務的持續性管理控制
4.1總經理負責業務中斷的恢復的總指揮與總協調。
4.2管理者代表負責編制、修訂業務持續性管理程式,並協調、推進業務持續性管理活動。
4.3硬體工程師負責網路及其他基礎設施/裝置、辦公網路的故障處理及與之相關的作業中斷的恢復及**網路的故障處理及中斷恢復。
4.4各區域負責人在發生重大資訊保安事件或災難時,負責保護自己區域內使用的資訊系統及業務資料,及時恢復中斷的業務活動。
業務持續性管理過程規定如下:
5.2.1在首次資訊保安風險評估後進行業務持續性和影響的分析。
5.2.2業務持續性和影響的分析由管理者代表組織,各副總經理配合,及管理者代表指定的相關責任人分別開展以下活動:
a) 對資訊保安進行風險評估;
b) 識別出對業務持續性造成嚴重影響的主要事件,如裝置故障、火災等;
c) 分析這些事件一旦發生對業務活動造成的影響和損失,以及恢復業務所需費用等;
d) 編寫《業務持續性和影響分析報告》(格式不限)。
5.2.3《業務持續性和影響分析報告》應包括以下內容:
a) 識別關鍵業務的管理過程;
b) 可能引起業務活動中斷的主要事件;
c) 主要事件對管理的資訊系統的影響;
d) 資訊系統故障或中斷對業務活動的影響;
e) 關於系統恢復或替換的費用考慮。
各區域副總經理編制的《業務持續性和影響分析報告》完成後應提交管理者代表,由管理者代表或管理者代表指定的人員來制訂《業務持續性管理戰略計畫》(格式不限),並提交資訊保安管理委員會討論,經資訊保安管理者代表批准後予以實施。
5.4.1根據《業務持續性管理戰略計畫》,各相關職能人員分別編制自己負責區域內的管理的資訊系統的《業務持續性管理實施計畫》,並由資訊保安管理者代表批准,以便在這些系統發生中斷時實施。
5.4.2《業務持續性管理實施計畫》的編寫為:
a) 硬體工程師網路部分:核心業務網路系統、辦公網路系統、**網路、供電系統及中間業務。
5.4.3《業務持續性管理實施計畫》應包括以下方面的內容:
a) 計畫實施所涉及的職務/相關人員的職責、許可權及介面關係的描述;
b) 系統中斷的速報程式及要求;
c) 系統中斷的恢復程式及方法;
d) 系統中斷的恢復時限要求;
e) 保持業務運作連續應採取的應急措施與備用措施;
f) 必要的技術支援及資源要求。
上述重要系統一旦受到重大影響或中斷後,有關人員應立即執行《業務持續性管理實施計畫》,對系統採取應急措施、進行恢復,確保經營活動的持續執行。同時,應按照《事故、薄弱點與故障管理程式》做好事故處理記錄,記錄內容應包括:
a) 對系統中斷原因的調查分析;
b) 系統中斷造成損失的統計;
c) 採取的糾正措施;
d) 應吸取經驗教訓及預防措施等。
5.6.1每年下半年由管理者代表組織有關人員對《業務持續性管理實施計畫》進行測試,以判斷計畫的可行性和有效性。測試可採用以下方法進行:
a) 對已發生過的業務中斷及恢復措施例項進行討論;
b) 組織有關人員進行業務中斷及恢復的模擬演練;
c) 採用技術手段對系統執行及中斷恢復的相關引數進行測量;
d) 由**商提供測試服務,確保所提供的外部服務和產品符合合同要求。
測試完成後填寫《業務持續性管理計畫測試報告》。
業務持續性管理程式
a版2011年6月1日發布2011年6月1日實施 目錄1 目的 3 2 範圍 3 3 相關檔案 3 4 職責 3 5 程式 4 5.1業務持續性管理過程 4 5.2業務持續性和影響的分析 4 5.3編制 業務持續性管理戰略計畫 5 5.4編制 業務持續性管理實施計畫 5 5.5 業務持續性管理實施計...
業務連續性管理程式
5.4制定恢復計畫 業務連續性計畫 由經過上述階段產生的 關鍵業務影響分析表 之後和 關鍵業務恢復計畫表 組成。各部門在完成上述各階段的工作之後,按定義的 業務連續計畫 的格式,將 關鍵業務影響分析表 和 關鍵業務恢復計畫表 組織在一起,形成各部門的 業務連續性計畫 具體參見 業務連續性計畫編寫指南...
業務連續性管理程式
1 目的 防止業務活動中斷,保護關鍵業務過程免受資訊系統重大失誤或災難的影響,並確保關鍵業務活能及時恢復。2 適用範圍 適用於公司資訊系統遭受災難事故後的處理。3 術語和定義 iso iec27001 2005 資訊保安管理體系要求 iso iec27002 2005 資訊保安管理實用規則 4 職責...