信息安全业务连续性运营管理程序模板

PAGE\*ArabicDash-6-种类：信息安全管理程序文件编号：名称：业务连续性运营管理程序总页数5页No1起稿校核承认批准批准日年月日修订履历修订履历编号修订批准日修订页修订内容及理由起稿印校核印承认印批准印种类：信息安全管理程序文件编号：名称：业务连续性运营管理程序总页数5页No21.目的2.适用范围3.制定、修订、废止4.工作程序应对灾难性事件中公司内部和相关方责任及依此程序对在信息安全安全管理体系内公司或客户的信息资产的应对动作及启动应对措施，以确保业务活动的持续进行。本程序适用于有限公司本程序由信息安全事务局负责制定、修订及废止，公司管理者代表和公司总经理批准。4.1系统识别4.1.1公司的管理业务活动根据公司的业务范围和管理手册定义为家用压缩机的研发、生产制造和销售。根据公司业务范围活动的确定，公司的业务连续性管理过程是会影响压缩机的研发、生产制造和销售等业务活动的管理过程。在信息安全风险识别中，本文所确认的业务风险主要就是影响压缩机的研发、生产制造和销售过程中的信息安全的风险。4.1.2公司的信息系统根据公司资产风险管理程序规定所规定的资产保密性、完整性和可用性定义方法进行判定，确认为重要资产的，该系统为公司的重要信息管理系统。重要系统识别后建立公司的《重要信息系统清单》。4.1.3根据风险识别要求，识别重要系统的威胁和脆弱性，判定识别信息系统的风险级别。信息系统的威胁包括重大失误和灾难事故等，例如设备故障、病毒破坏、人为差错、盗窃、火灾、自然灾害和恐怖行为，风险评估时、根据时间、损坏程度、恢复周期来确定中断发生的概率来确定脆弱性，最后确定信息系统的风险大小和级别。形成信息系统的风险评估表。4.2业务连续性计划4.2.1信息部针对个系统可能的风险的对业务连续性影响的程度、发生的大小和优先级别，制定出该系统中断后各系统可容忍的最长的时间，也叫SLA（系统级别服务协议），系统名称风险事件恢复方案最长允许中断时间批准日年月日修订批准日种类：信息安全管理程序文件编号：名称：业务连续性运营管理程序总页数5页No34.2.2SLA制度完成后，交信息部部长和总监审核认可，最终交公司经营委员会和总经理进行批准。4.2.3信息中心制定业务连续性计划根据SLA的基本要求，信息中心应制定人员编制业务连续性管理计划，计划内容包括：识别和确定影响业务连续性的系统的操作规程系统中断风险类型一般故障或系统中断时的应急措施和流程，应清楚规定故障对应的人员和所用资源，故障或中断处理的时间等。当发生超过SLA允许的最长中断时间的事件时，需采取的恢复或复原系统的措施，人员、职责（如遇到火灾事故时需灾难救助人员、疏散人员、系统检查人员、基础设施恢复、系统恢复人员、系统测试人员及职责），所需资源，以及恢复或复原系统之前保证连续性运营临时措施（临时措施的操作规程和要求），系统维护计划，包括维护计划内容、测试计划时间要求。业务连续性计划教育和培训要求和职责4.2.4业务连续性计划制定后，需经过信息部部长和总监批准。4.3业务连续性计划的测试、维护和再评估4.3.1业务连续性计划批准后，需根据计划要求需确定组建相关的责任人员，必要时组成相关的责任小组。信息部应该对相关的责任人员进行教育培训，时期了解相关的规程和要求，保证风险事故发生时能负起职责，确保连续性计划能有效实施。相关培训计划应建立。4.3.2信息安全事务局编制每年业务连续性测试计划，测试计划包括：1）各种测试场景的桌面测试2）场景模拟条件下各职责人员对应的责任和角色。3）系统恢复方案4）供方设施和服务测试5）完整演习（当中断发生时相关人员、设施和过程能保证应付中断。相关部门人员须对对应的技术方案负责。批准日年月日修订批准日种类：信息安全管理程序文件编号：名称：业务连续性运营管理程序总页数5页No44.3.3测试ISO事务局根据建立的连续性经营计划应定期组织相关部门和人员进行测试和演练。测试和演练都必须按业务连续性计划测试计划编制具体场景的详细的《连续性测试演练计划》。测试和演练须按计划实施。测试组织人员应详细记录测试或演练过程和结果，并将实际的测试过程和计划进行对比，以验证计划的有效性。4.3.4测试计划再评估测试完成后，测试组织人员需进行总结，按《连续性计划测试计划报告》格式编制总结报告，对测试过程中发现的问题进行总结并评审，便于采取进一步的改进计划和措施。事务局应该定期修订业务连续性计划测试计划，以保证测试计划的适用性和有效性。4.4其他事项4.4.1连续性经营计划应覆盖所有可能的安全事故种类，可能还包括：信息系统失败和设备丢失拒绝服务不完整或不准确经营数据造成的错误违反保密性可能事件意外事故包括影响信息安全的火灾、水灾等。4.4.2ISO事务局负责对连续营运测试测试中反映处理的问题采取的措施内容应包括：问题原因的分析和识别如果必要，策划和实施补救措施以防止再发生搜集审核资料和相似的证据于受影响或与事故的恢复相关联的人沟通向信息安全推进委员会报告行动措施4.4.3管理者代表负责在测试连续性经营计划演练对反映出的问题中收集和保护资料，以用于：内部问题分析和改进作为可能违约，违法相关的证据，或民事和刑事诉讼的证据，比如：计算机设备潜在故障导致信息系统失效。与软件或服务供应商协商索赔4.4.4信息安全ISO事务局负责控制恢复安全和纠正系统失效的行为以确保连续性计划的有效性，并确保：批准日年月日修订批准日种类：信息安全管理程序文件编号：名称：业务连续性运营管理程序总页数5页No55附表只有明确规定和授权的人员允许进入现场的系统和数据；所采取的紧急行动应详细文件化；尽快确认运营系统和控制的完整性。5.1《需备份的信息清单》5.2《连续性计划测试演练计划》5.3《业务连续性测试计划及报告》批准日年月日修订批准日备份信息清单序号备份信息名称备份地址负责人备注业务持续性计划的测试演练计划测试场景测试方式测试日期测试计划安排备注拟制：审核：批准：日期：日