业务连续性认证控制程序
1. 目的
为规范公司信息系统相关的业务持续性管理,包括业务持续性影响分析、持续计划、计划定期测试与评审,特制定本程序。
2. 范围
本程序适用于公司信息系统相关的业务持续性管理。
3. 职责与权限
3.1 研发部
负责对公司信息系统相关业务持续性的控制,对由于信息安全事件导致的业务持续性影响进行分析,提出持续改进计划,对计划进行定期测试和评审。
3.2 各销售部门
协助对由于信息系统信息安全事件导致的业务持续性影响进行分析,对业务持续性计划进行评审。
4. 相关文件
无
5. 术语定义
6. 控制程序
6.1 业务持续性管理过程
业务持续性管理过程如下图所示:
6.2 业务持续性和影响的分析
6.2.1 应用系统在条件具备时进行业务持续性和影响的分析。
6.2.2 业务持续性和影响的分析由研发部组织,相关部门参加,分别开展以下活动:
a)相关部门识别出对本部门业务持续性造成严重影响的主要事件,如设备故障、火灾等;
b)分析这些事件一旦发生对本公司业务活动造成的影响和损失,以及恢复业务所需费用等;
6.3 编制《业务持续性管理计划》
6.3.1 研发部负责根据业务影响分析情况确定影响本公司业务持续性的重要信息系统,组织相关部门参加制定《业务持续性管理实施计划》。
6.3.2 《业务持续性管理实施计划》应包括以下方面的内容:
a)计划实施所涉及的部门/人员的职责、权限及接口关系的描述;
b)系统中断的速报程序及要求;
c)系统中断的恢复程序及方法;
d)系统中断的恢复时限要求;
e)保持本公司业务运作连续应采取的应急措施与备用措施;
f)必要的技术支持及资源要求。
6.4 《业务持续性管理实施计划》的实施要求
重要系统一旦受到重大影响或中断后,有关部门应立即执行《业务持续性管理实施计划》,对系统采取应急措施、进行恢复,确保本公司业务经营活动的持续运行。同时,应按照《信息安全事件管理程序》做好事故处理记录,记录内容应包括:
a)对系统中断原因的调查分析;
b)系统中断造成损失的统计;
c)采取的纠正措施;
d)应吸取经验教训及预防措施等。
6.5 业务持续性计划的测试与评审
6.5.1每年由研发部组织有关部门对《业务持续性管理实施计划》进行测试,以判断计划的可行性和有效性。测试可采用以下方法进行:
a)对已发生过的业务中断及恢复措施实例进行讨论;
b)组织有关部门进行业务中断及恢复的模拟演练;
c)采用技术手段对系统运行及中断恢复的相关参数进行测量;
d)由供应商提供测试服务,确保所提供的外部服务和产品符合合同要求。
6.5.2测试完成后填写《业务持续性管理计划测试报告》,研发部组织有关的部门对计划的适用性和有效性进行评审,形成本公司《业务持续性管理计划评审报告》。
6.5.3根据《业务持续性管理计划评审报告》的要求,决定是否对本公司《业务持续性管理实施计划》进行修改。
7 附件、记录
7.1 《业务持续性管理实施计划》
7.2 《业务持续性管理计划测试报告》
7.3 《业务持续性管理计划评审报告》