业务连续性应急计划评估表范例

业务持续性应急计划评定表评定内容评定成果（是/否）阐明与否针对业务的不同需求分别制订了业务持续性计划和业务应急计划，对于分别制订的计划将采用下列的方式对两类计划分别进行调研。业务持续性计划程序与否建立业务持续性计划或管理的制度、流程及办法？业务持续性计划办法流程与否涉及：业务影响分析（BIA）；风险评定；拟定风险处置方略；制订业务持续性计划或方案；贯彻或布署管理及技术方法；测试与演习。与否指定专人或部门全方面负责BCP及其测试方案的的开发、实施及维护？与否有必要的团体或单位参加业务持续性计划或管理流程？如：IT部门、业务部门、风险管理部门等。与否建立公司范畴的针对机构核心任务及操作的BCP及测试计划？与否制订对应的程序来确保现在BCP的维护及公布，涉及：指定BCP变更维护负责人，与BCP有关的变更涉及流程、人员及环境；将修订后的计划及时分发给员工。与否认期进行业务持续性测试或演习？针对业务持续性计划与否有有效的审计，涉及：审计覆盖范畴足够（如：业务、部门）；对业务持续性准备状况（预案）的评定；BCP测试涉及对测试计划和成果的审查，以及对测试过程的观察；审计发现文档化。董事会或高管与否最少每年审查、同意BIA、风险评定、BCP撰写、测试计划及测试的成果？与否根据审查或测试过程中发现的问题，以及业务操作的变更及时修订BCP和有关测试方案？与否归档与业务持续性计划或管理有关的文档及统计？业务影响分析（BIA）和风险评定与否识别全部业务流程(活动)、业务功效（或组件）？与否识别全部业务功效（或组件）之间的依赖及需求关系，需求涉及：人员；场合；设施/设备/工具；信息服务；信息；供应商及第三方服务等。针对识别出的全部业务功效，与否识别或分析该业务功效的：最大允许中断时间；可接受的数据损失和积压交易程度；恢复时间目的（RTO）；恢复点目的（RPO）；中断成本或影响等。与否对识别出的业务功效进行业务优先级排序，排序与否适宜？与否识别核心途径（含有最高优先级的业务流程或系统）？针对识别出的全部（或核心）业务功效（或组件），与否识别造成业务功效（或组件）中断或不可用的威胁？涉及：自然灾害，如：火灾，洪水，恶劣天气，空气污染，危险品泄露等；技术问题，如：通讯中断，电力中断，设备和软件故障，运输中断，断水等；恶意行为，如：欺诈，盗窃或敲诈；破坏；抢劫；恐怖行为等；流行病。与否分析上述威胁造成业务功效（或组件）中断的可能性及影响？与否通过成本效益分析拟定的上述各项风险的处置方略（接受、规避、转移、控制）？业务持续性方案或计划与否根据拟定的风险处置方略，针对各项风险或每一项重大风险制订业务持续性解决方案或计划，明确业务持续性需求（人员、场合、技术、信息、供应商、利益有关方）？与否明确业务持续性管理的技术方法？涉及：备用站点；备用线路；备用系统；备用电源；备用人员；本地或远程存储藏份设施；其它技术方法等，如：防火墙；路由器等。与否制订与业务持续性问题有关的通用管理方略、原则及流程，涉及：项目管理；安全控制；变更控制；数据同时、备份、恢复；危机管理（针对外部有关方的灾难声明与解决责任）；事件响应；远程访问；员工培训；告知（应急人员、普通员工，客户，监管者，供应商，服务提供商，媒体）原则；保险；政府与公众协调。业务持续性计划与否涉及：应急响应计划；业务接续计划（核心业务）；业务持续性计划（重要业务）；业务复原计划（完全复原）；危机沟通计划（内部、外部）。每个业务持续性计划中与否涉及：人员安排；技术/设施需求与安排；站点/设施；硬件/软件；数据解决设备；通讯线路；远程计算；生存统计；电子银行系统；实用程序等。每个[业务单元/部门/功效/应用]的恢复过程及程序；业务恢复次序应当与BIA及风险评定的优先级一致；业务恢复要考虑系统之间的依赖关系；要考虑长久恢复安排。供应商和外包服务商的恢复过程；应急预案和危机管理计划：涉及一种精确的呼喊树及有关联系信息，用于联系员工、服务商、供应商、监管者、政府部门及应急响应人员；为有关小组及员工指定职责和负责人；阐明特定事件中采用的活动；定义备用站点的启动条件；备用站点告知程序；识别需要离站解决的现在事项；指定一种含有有关能力的公共关系讲话人；识别办公场合及设备来源，制订一份核心供应商列表（硬件/软件/通讯线路等）；安全控制；财务支出（在灾难期间，有关人员的购置权限及费用）。业务持续性管理实施与否按照业务持续性计划或方案贯彻各有关部门和业务单位的职责分工，认真组织计划或方案实施，确保各项技术及管理方法贯彻到位？1）与否按照方案布署适宜的备用解决设施及备份系统？涉及：备用站点；备用线路；备用系统；备用电源；本地或远程存储藏份设施。2）有关备用解决设施及备份系统：如果组织依靠本身力量来恢复业务，有关备用站点、设施、设备及系统与否有能力解决有关业务？如果组织依靠外部站点、设施来恢复业务，拟定：与否存在与备用站点、设施有关的书面合同或合约；与否有能力解决对应的业务量（阐明并发能力）；与否能为预期的工作量提供足够的解决时间（阐明持续时间）；直到机构从灾难中完全恢复，并依靠本身的设施提供业务服务为止，该站点与否能始终可用。在生产环境下的任何变更（如：硬件、软件升级或修改）与否都通过对应的流程体现在用于业务恢复的备用解决设施及备份系统中；与否及时获知备用解决设施及备份系统的任何变更，方便根据需要调节组织的软件或恢复计划？在业务持续性管理过程中与否采用适宜的安全控制方法，涉及：针对数据备份及程序库的整个生命周期与否存在恰当的物理安全和访问控制，涉及创立、传递/分发、存储、恢复、装载及破坏？在复制生产系统及网络到备用系统及网络的过程中，与否采用恰当的物理控制及访问控制方法？针对非活动的生产系统（当解决临时转移到备用设施时）与否考虑并计划恰当的物理和逻辑访问控制？在持续性计划实施期间，授予员工临时访问权限的程序及办法与否合理？与否需要赋予备用人员不同的任务，以及对不同级别系统、操作、数据及设施的访问需求？权限分派与否基于工作或持续性计划需要？当备用设施使用时，安全监控及入侵响应计划与否考虑资源的可用性以及可能存在的设施及系统变更？备用设施及系统与生产设施及系统与否执行相似的安全配备与测试？与否建立与技术服务提供商（TSP）的沟通与连接渠道？与否制订中断发生时TSP、代理机构、会员或别的服务提供商从主站或恢复站点访问、下载、上载信息的文档化的程序？与否有针对流行病的有效的业务持续性计划，涉及：董事会或有关委员会以及高管与否关注机构流行病预案？与否涉及与流行病计划、准备、测试、响应以及恢复有关的职责分派？流行病风险评定与否结合BIA成果，有关的持续性计划和战略反映BIA的成果?与否涉及对外方提供的必须功效及服务与否由于流行病而中断及影响的分析？与否分析流行病期间的远程访问需求，涉及基础架构能提供的能力以及流行病期间需要的能力？与流行病有关的BCP中与否涉及持续性计划和别的与流行病有关的BCP与否包含以下内容，能够按照机构的规模，活动以及复杂性进行适宜裁减：一种文档化的战略，用于调节机构的在流行病方面的努力，方便其与流行病暴发特殊阶段影响相一致。如：海外第一例，国内第一例，机构第一例等一种防止性预案，用于减少机构业务被流行病事件影响可能性，涉及针对潜在暴发的监控，员工教育训练，与核心服务提供商及供应商的沟通与协调，对员工进行卫生知识培训并提供有关工具一种涵盖多个设施、系统或程序的全方面的持续性框架，方便支持组织在大量员工不可用时含有持续开展其核心业务的能力，这些程序应当涉及机构员工与社会人员的适宜隔离，家庭办公、业务交叉培训、备用场合办公等。一种测试计划，方便确保流行病计划是有效的，能够支持核心业务的持续开展，测试计划需要涉及：针对网络银行，电话银行，ATM，呼喊中心的压力测试，以应对因流行病可能带来的电子渠道客户增加远程访问及通讯模拟测试内部及外部沟通程序与管道桌面操作演习本地、地区以及整个国家范畴内组织的测试一种监控程序，方便持续监控流行病计划的审查与更新，如有关方略、原则、程序的更新等。与流行病有关的BCP中与否针对流行病问题，阐明机构内部员工以及下述外部有关方之间的沟通与协调：核心服务提供商核心代理机构客户媒体代表各级政府机构监管部门与流行病有关的BCP中与否涉及对[提供流行病威胁及等级信息的告警系统]的跟踪监控，以及针对流行病暴发不同阶段或进展状况的响应升级程序?与流行病有关的BCP中与否涉及流行病期间薪资调节有关的方略？业务持续性计划的保障参加业务持续性计划的员工与否都熟悉该计划的执行过程？与否按照各类BCP中设定的责任，定时培训员工技能？能否确保参加人员都已能够承当业务持续计划执行任务？提供持续性计划的场地与否能够满足业务持续性计划的实施规定？公司内部机房备份同城异地备份不同城远距异地备份不同的场地建设规定与否都达成？提供持续性计划的设备能否符合规定？服务器/存储网络设备/网络线路电源/供电线路安全设备提供持续性计划与否同时考虑到安全规定？有哪些？业务持续性测试与演习与否制订业务持续性测试方略？测试方略：与否识别参加测试计划的核心角色及职责？与否遵照循序渐进的方略（不停提高测试复杂性及范畴，直至全方面测试BCP）？1）与否进行业务持续性测试策划？，测试策划：与否涉及制订文档化的测试计划，测试场景，测试办法，测试日程安排，以及对核心业务和支持功效的盼望？涉及：测试的范畴及详尽程度涉及的员工、技术和设施对内部或外部依赖性测试的盼望对测试假定条件（见下）合理性的评价与否在测试策划中明确阐明假定条件（如：可用资源和服务，中断时间，测试办法，能力和规模问题，数据完整性等），这些假定基于成本效益分析及恢复目的做出的，是合理的？与否注意整个公司范畴内的测试以及与重要第三方一起进行的测试？与否包含测试频率指导方针，测试频率应当与在BIA和风险评定阶段，以及有关方略/监管指南中定义的核心业务功效，RTO，RPO以及核心途径恢复用时相适应？与否规定了持续性测试的文档需求，涉及测试场景，计划，脚本，成果统计及报告？与否包含机构针对紧急事件的危机管理程序的有效性测试？涉及：危机管理小构组员的角色及职责定义风险假定危机管理决策程序与业务、IT、内部审计以及设施管理部门的协调通过使用多个办法及设施（如：呼喊树、免费电话[800]、及时通讯、网站等）与内部及外部有关方的沟通对内部和外部联系人的告知程序与否考虑设施、生存统计与数据、通讯线路以及人员的物理和逻辑安全？2）测试策划与否包含多个事件场景，涉及大范畴中断期间可能碰到的问题？具体涉及：测试策划与否考虑员工，涉及：从事交易解决的能力与核心内部及外部有关方沟通的能力调节交易数据的能力支撑核心业务操作所必需的员工备份、岗位轮转、交叉培训从备用站点抽调员工的能力员工及管理人员制订发展计划员工能访问核心文档（如：计划、程序或表单）长时间高负荷解决核心业务的能力测试策划与否考虑技术，涉及：测试支撑核心业务所必需的数据、系统、应用、以及通讯线路测试核心应用，数据恢复，网络备援，通讯容量综合通讯评定成果，证明通讯线路的多样性（有冗余，不依赖于一种通讯方式）测试影响网络连接、解决能力和数据交易完整性的中断事件测试当进行切换操作时丢失数据的恢复测试策划与否考虑支撑核心业务功效和技术基础设施的设施，涉及：环境控制—备用发电机，采暖，通风，空调系统，机械及电子系统的适宜性工作场合恢复—空间、桌面计算机、网络连接，电子邮件访问，电话等的适宜性物理安全设施—物理周界安全、物理访问控制、保安及视频监控等的适宜性3）测试计划与否足够完毕测试战略，考虑：测试内容与否完善？拟定测试场景与否涉及多个威胁及事件类型，涉及反映整个测试范畴，复杂性与范畴递增的以及大范畴中断的一系列场景，拟定测试场景与否涉及证明持续性计划生存能力的具体环节，涉及：通过涉及未计划的事件背离已经建立的测试脚本，如：核心人员或服务损失等从备用站点测试长久支撑峰值交易量的能力拟定测试场景与否反映核心依赖性，涉及：计划与否涉及给机构带来大量风险的客户和有关方，对他们的主站和临时站到机构的主站和临时站的连接进行周期性测试通过使用仿真交易数据测试解决能力和数据完整性能力计划与否涉及备用通讯设施及设备的测试，以确保内部或外部有关方的可用性拟定建立文档化的反映测试策划的测试计划和测试脚本，计划涉及全部核心业务和支持系统，为测试参加者提供必要的持续性计划测试信息，涉及：测试参加者的角色与职责，涉及负责人指定一种指挥中心和会议场合测试日期与时间测试范畴与目的，涉及RTO、RPO、核心途径恢复用时、测试持续时间、测试内容及深度（如：连接、互操作、交易、解决能力）员工及外部有关方的执行环节，涉及与交易有关的指令和人工程序手册等与需要恢复的核心平台、应用和业务流程有关的具体信息完毕每项测试的具体日程安排测试成果（如：基于目的、成功与失败、对测试计划或测试脚本的偏离等）量化原则阐明有关测试实施：机构与否协调测试计划确保对业务持续性计划进行完全的演习，测试成果与否表明为确保业务接续及恢复目的（如：完全生产恢复，及时数据恢复等）的实现，有关员工已经准备就绪？与否分析测试成果，并将其与预定目的相比较；对于测试发现的问题，指定负责人；并按照一