RBA-19 商业恢复管制程序OK

文件名称商业恢复管制程序文件编号WJ_RBA-2-19版本页次制订部门业务部制订日期20XX.02.01修订日期1.01/61.目的商业恢复管理（BusinessContinuityManagement，BCM）是识别可能引起组织业务中断的重大灾难并提供一个计划框架可以应对灾难并降低影响的管理过程。本程序旨在建立完整的商业恢复管理策略，并依此建立针对公司关键业务的商业恢复计划（BusinessContinuityPlanning，BCP），积极防范并且处理灾难的发生，将灾难对公司的影响控制在公司能够承受的范围之内，保证重要业务流程的连续性。2.范围本程序文件适用于公司所有跟业务相关的部门和员工。3.定义BCM：Businesscontingencymanagement商业恢复管理。整个商业恢复的管理过程，包括商业恢复策略的制订、业务影响分析过程、商业恢复计划的建立、测试和实施，以及与风险管理过程的联系等。BCP：Businesscontingencyplan商业恢复计划。就特定业务来说，针对各种灾难，事先制定的应对计划，其目的是当出现意外情况时能够做出积极响应和处理，保证业务的连续性。DRP：DiscasterRecoveryPlan灾难恢复计划。强调的是对支持业务活动的IT系统的恢复。BIA：BusinessImpactAnalysis业务影响分析。识别影响商业恢复过程并按重要程序排序。RTO：RecoveryTimeObjective恢复时间目标。一旦发生中断，该关键业务所能够容忍的最长恢复时间4.职责4.1信息安全管理委员会-重大事务的决策者，批准发布本程序执行。4.2信息安全管理组-建立商业恢复管理框架和程序。-督促各相关业务单位编写具体的商业恢复计划。-监督计划的测试、维护和实施。4.2IT部门-负责IT基础设施的DRP相关工作4.3其他业务相关部门-负责针对各业务活动面临的灾难制定并维护BCP预案。4.4全体员工-遵守本程序规定的内容。文件名称商业恢复管制程序文件编号WJ_RBA-2-19版本页次制订部门业务部制订日期20XX.02.01修订日期1.02/65.程序6.内容6.1启动在启动阶段，需要确定商业恢复管理程序的范围和目标。制定商业恢复管理整体实施方案，建立管理、协调机制以管理项目实施。主要活动：确定商业恢复需求：参考相关的法律、法规、合同的需求和约束，公司以前的审计记录，识别可能对公司灾难恢复能力具有负面影响的业务措施。建立项目推动委员会：由于商业恢复管理程序是ISMS项目当中不可或缺的重要部分，可采用整体项目组织架构，建立项目推动委员会、风险评估小组、文件编写小组等各项目实施小组，确定角色、职责、机构的类型以及具体成员。制定项目实施计划，并获得公司项目推动委员会批准和承诺。制定协调和监督项目实施的机制。召开项目启动会议，明确项目进度和时间安排6.2业务影响分析（BIA）确定公司各部门的关键业务流程，判断由于该业务中断或数据丢失可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定恢复优先顺序和相关性以便确定恢复时间目标（RTO）及恢复点目标（RPO）。主要活动文件名称商业恢复管制程序文件编号WJ_RBA-2-19版本页次制订部门业务部制订日期20XX.02.01修订日期1.03/6通过问卷、访谈或会议等形式确定公司各部门的工作职责及部门内部的业务流程，建立关键业务流程的评价标准，并依据该标准确定各部门的关键业务流程。确定各关键业务流程所必需的IT基础支持设施。评估业务流程中断时间或数据丢失的多少对该关键业务所造成的后果、影响及损失的对应关系。确定关键业务流程恢复时间目标和恢复点目标及其资源需求。识别和排定各关键业务流程的中断或数据丢失时的处理优先级。6.3风险评估确定可能造成公司关键业务流程中断或数据丢失的灾难、具有负面影响的事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险以符合公司对业务持续性的需求。主要活动：通过问卷、访谈及会议等方式，识别对公司各部门关键业务流程的潜在威胁，并采取定性和定量相结合的方式确定各种威胁发生的可能性和后果。识别公司现有针对这些威胁所采取的防范和控制措施的效率和效果。针对威胁的可能性及后果对需要控制的威胁进行优先级排序。6.4风险处理依据前一阶段得出的关键业务流程及对其风险评估的各项结果。根据已确定的关键业务RTO、RPO等业务指标，针对相关风险，根据ISO27001来选择控制目标和控制措施，按照成本效益的原则，提供解决方案，并通过方案实施来有效处理已发现的信息安全风险。主要活动：根据公司关键业务流程风险处理优先顺序，确定可以采用的风险控制控制措施。根据成本、效益原则，识别并选择安全控制目标和控制措施。实施目前条件下可立即采取的分析控制措施。分析针对各关键业务流程的残留风险6.5建立BCP设计、制定和实施商业恢复计划以便在恢复时间目标范围内完成恢复。主要活动：确定计划制定的需求。定义连续性管理和控制需求：识别可能的威胁事件，确定计划的范围，并就连续性关键步骤达成一致定义一致的计划格式和框架结构，该框架必须包括下面的内容文件名称商业恢复管制程序文件编号WJ_RBA-2-19版本页次制订部门业务部制订日期20XX.02.01修订日期1.04/6计划启动条件应急程序A．在紧急情况和中断发生时所采取的具体的活动B．具体的责任人或是部门C．要定期培训，测试和维护D．程序制定出来要有授权人员的批准备用程序恢复程序维护时间表宣传培训程序个人职责起草计划：文件编写小组根据商业恢复计划的范围、需求以及确定的计划格式起草各商业恢复计划。将商业恢复计划提交项目推动委员会并获得批准。制定商业恢复实施计划：包括培训、教育计划以及相关的设备、软件采购计划，制定测试、审计及维护计划。建立计划的分发和控制规程。会同ISMS项目的其它各部分文档体系，由公司项目推动委员会审批并发布。6.6意识培训:准备建立对公司商业恢复管理相关人员进行意识培养和技能培训的项目，以便商业恢复计划能够得到制定、实施、维护和执行。主要活动：建立公司整体商业恢复管理意识培养和培训项目的目标和方式。针对公司所有与商业恢复管理相关的人员，包括管理层、项目团队成员以及普通员工制定培训计划。加深其对商业恢复处理程序的理解，确保该处理持续有效。培训内容包括：商业恢复基本意识、公司商业恢复策略、商业恢复计划。由公司的骨干人员承担所在部门人员的培训。组织考核，以确定达到的目标。6.7BCP测试及维护:对预先计划和计划间的协调性在公司范围内进行审计、测试、并评估和记录计划测试的结果。制定维持连续性能力和商业恢复文档更新状态的方法使其与公司的整体安全策略保持一致。通过与适当标准的比较来验证BCP的效率，并使用简明的语言报告验证的结果。主要活动文件名称商业恢复管制程序文件编号WJ_RBA-2-19版本页次制订部门业务部制订日期20XX.02.01修订日期1.05/6制定测试的策略，建立测试项目，确定测试需求确定测试方式，制定现实的情景确定测试评估标准和记录发现确定测试时间进度准备测试计划执行测试识别测试后的反馈并制作测试报告建立计划的维护方案和时间进度，定期对BCP进行复审，或由特定事件触发对BCP的复审（如测试、变更及真正实施了BCP等），包括但不限于下列事件：当公司购买新设备或操作系统升级后要对计划重新评审当公司整体经营战略发生变化时要对计划重新评审当场所、设施和资源发生变化时要对计划重新评审当法律法规变化时要对计划重新评审当关键的业务流程改变时要对计划重新评审建立计划的变更控制过程，并融入公司整体变更管理流程当中建立BCP状态报告规程对BCP的测试、维护和变更进行审计：建议并就BCM相关的审计目标达成一致，审计BCP的结构、内容和行动部分，审计BCP文档控制规程6.8计划实施:当紧急情况和中断发生时，一旦符合BCP的启动条件，应严格按照计划规定来行动。凡没有按照规定且给公司造成损失的部门或个人将按规定进行处罚。文件名称商业恢复管制程序文件编号WJ_RBA-2