1目的本程序规定了当发生重大信息安全事件或灾难时,为保护公司业务活动免受影响,迅速恢复已中断的业务活动,实现公司业务持续发展而实施的管理活动。这些活动包括:建立业务持续性管理程序;进行业务持续性和影响分析;编制业务持续性战略计划;制订业务持续性管理实施计划并实施;对业务持续性管理计划进行定期测试和评审等。2范围本程序适应于本公司生产相关的主要业务的持续性管理控制。3职责3.1公司执行董事负责公司业务中断的恢复的总指挥与总协调。3.2行政部及技术部负责编制、修订公司业务持续性管理程序,并协调、推进公司业务持续性管理活动。3.3技术部负责公司生产网络及其他基础设施/设备、财务管理系统、办公网络的故障处理及与之相关的作业中断的恢复。3.4财务部负责财务管理系统的故障处理及中断恢复。3.4技术部负责电话网络的故障处理及中断恢复。3.5公司各部门在发生重大信息安全事件或灾难时,负责保护本部门使用的信息系统及业务数据,及时恢复中断的业务活动。4程序4.1业务持续性管理过程公司业务持续性管理过程规定如下:必要时,对计划修改4.2业务持续性和影响的分析4.2.1公司在首次信息安全风险评估后进行业务持续性和影响的分析。4.2.2业务持续性和影响的分析由行政部组织、技术部、软件部及管理者代表指定的相关部门分别开展以下活动:a)对本部门的信息安全进行风险评估;b)识别出对本部门业务持续性造成严重影响的主要事件,如设备故障、火灾等;c)分析这些事件一旦发生对公司业务活动造成的影响和损失,以及恢复业务所需费用等;d)编写本部门《业务持续性和影响分析报告》(格式不限)。4.2.3《业务持续性和影响分析报告》应包括以下内容:a)识别关键业务的管理过程;b)可能引起公司业务活动中断的主要事件;c)主要事件对本部门管理的信息系统的影响;d)信息系统故障或中断对公司业务活动的影响;e)关于系统恢复或替换的费用考虑。4.3编制《业务持续性管理战略计划》有关部门编制的《业务持续性和影响分析报告》完成后应提交行政部,由行政部制订公司《业务持续性管理战略计划》(格式不限),并提交信息安全管理委员会讨论,经信息安全管理者代表批准后予以实施。业务持续性和影响分析?业务持续性与影响分析报告?业务持续性管理战略计划编制业务持续性计划并实施?业务持续性管理实施计划业务持续性定期测试与评审?业务持续性管理测试报告?业务持续性管理评审报告4.4编制《业务持续性管理实施计划》4.4.1公司各相关部门分别编制本部门管理的信息系统的《业务持续性管理实施计划》(格式见附件1),并由信息安全管理者代表批准,以便在这些系统发生中断时实施。4.4.2部门《业务持续性管理实施计划》的编写分工为:a)技术部:生产网络系统、办公网络系统、电话网络及供电系统;b)财务部:财务管理软件系统;d)软件部:生产软件开发流程;4.4.3《业务持续性管理实施计划》应包括以下方面的内容:a)计划实施所涉及的部门/人员的职责、权限及接口关系的描述;b)系统中断的速报程序及要求;c)系统中断的恢复程序及方法;d)系统中断的恢复时限要求;e)保持公司业务运作连续应采取的应急措施与备用措施;f)必要的技术支持及资源要求。4.5《业务持续性管理实施计划》的实施要求上述重要系统一旦受到重大影响或中断后,有关部门应立即执行《业务持续性管理实施计划》,对系统采取应急措施、进行恢复,确保公司生产经营活动的持续运行。同时,应按照《事故、薄弱点与故障管理程序》做好事故处理记录,记录内容应包括:a)对系统中断原因的调查分析;b)系统中断造成损失的统计;c)采取的纠正措施;d)应吸取经验教训及预防措施等。4.6业务持续性计划的测试与评审4.6.1每年下半年由行政部组织有关部门对《业务持续性管理实施计划》进行测试,以判断计划的可行性和有效性。测试可采用以下方法进行:a)对已发生过的业务中断及恢复措施实例进行讨论;b)组织有关部门进行业务中断及恢复的模拟演练;c)采用技术手段对系统运行及中断恢复的相关参数进行测量;d)由供应商提供测试服务,确保所提供的外部服务和产品符合合同要求。测试完成后填写《业务持续性管理计划测试报告...
