業(yè)務(wù)可持續(xù)性.doc

業(yè)務(wù)持續(xù)性管理程序1 范圍 本程序規(guī)定了當(dāng)發(fā)生重大信息安全事件或災(zāi)難時，為保護(hù)公司業(yè)務(wù)活動免受影響，迅速恢復(fù)已中斷的業(yè)務(wù)活動，實現(xiàn)公司業(yè)務(wù)持續(xù)發(fā)展而實施的管理活動。 本程序適應(yīng)于本公司生產(chǎn)運營、商務(wù)等主要業(yè)務(wù)的持續(xù)性管理。 2 職責(zé) 2.1 公司事故應(yīng)急小組負(fù)責(zé)公司業(yè)務(wù)中斷恢復(fù)的總指揮與總協(xié)調(diào)。 2.2 行政部負(fù)責(zé)編制、修訂公司業(yè)務(wù)持續(xù)性管理程序，并協(xié)調(diào)、推進(jìn)公司業(yè)務(wù)持續(xù)性管理活動。 2.3 業(yè)務(wù)部門負(fù)責(zé)對外客戶的聯(lián)絡(luò), 負(fù)責(zé)推進(jìn)公司業(yè)務(wù)的發(fā)展。 2.4 采購部門負(fù)責(zé)對供應(yīng)商采購產(chǎn)品的調(diào)配, 確保生產(chǎn)的順利進(jìn)行。2.5 生產(chǎn)部門根據(jù)業(yè)務(wù)部門協(xié)調(diào)，積極組織生產(chǎn), 確保生產(chǎn)任務(wù)及時完成。 3 程序內(nèi)容 公司業(yè)務(wù)持續(xù)性管理過程規(guī)定如下：3.2 業(yè)務(wù)持續(xù)性和影響的分析3.2.1 公司在首次安全風(fēng)險評估后進(jìn)行業(yè)務(wù)持續(xù)性和影響的分析。 3.2.2 業(yè)務(wù)持續(xù)性和影響的分析由行政部組織，其他各相關(guān)部門分別開展以下活動：a) 對本部門的信息安全進(jìn)行風(fēng)險評估； b) 識別出對本部門業(yè)務(wù)持續(xù)性造成嚴(yán)重影響的主要事件，如設(shè)備故障、火災(zāi)等； c) 分析這些事件一旦發(fā)生對公司業(yè)務(wù)活動造成的影響和損失，以及恢復(fù)業(yè)務(wù)所需費用等； d) 編寫業(yè)務(wù)持續(xù)性和影響分析報告，詳見附錄A 。 3.2.3 業(yè)務(wù)持續(xù)性和影響分析報告應(yīng)包括以下內(nèi)容： a) 識別關(guān)鍵業(yè)務(wù)的管理過程； b) 可能引起公司業(yè)務(wù)活動中斷的主要事件； c) 主要事件對本部門管理的信息系統(tǒng)的影響； d) 信息系統(tǒng)故障或中斷對公司業(yè)務(wù)活動的影響； e) 關(guān)于系統(tǒng)恢復(fù)或替換的費用考慮。 3.3 編制業(yè)務(wù)持續(xù)性管理實施計劃 由風(fēng)險評估小組制訂組織級業(yè)務(wù)持續(xù)性管理實施指南，詳見附錄 B，并提交公司事故應(yīng)急小組討論，經(jīng)批準(zhǔn)后予以執(zhí)行。 3.3.1 根據(jù)組織級業(yè)務(wù)持續(xù)性管理實施指南，各相關(guān)部門分別編制本部門管理的業(yè)務(wù)持續(xù)性管理實施計劃，并由事故應(yīng)急小組批準(zhǔn)，以便在這些系統(tǒng)發(fā)生中斷時實施。 3.3.2 業(yè)務(wù)持續(xù)性管理實施計劃包括以下方面的內(nèi)容： a) 計劃實施所涉及的部門/人員的職責(zé)、權(quán)限及接口關(guān)系的描述； b) 業(yè)務(wù)中斷的速報程序及要求； c) 業(yè)務(wù)中斷的恢復(fù)程序及方法； d) 業(yè)務(wù)中斷的恢復(fù)時限要求； e) 保持公司業(yè)務(wù)運作連續(xù)應(yīng)采取的應(yīng)急措施與備用措施； 3.4 業(yè)務(wù)持續(xù)性管理實施計劃的實施要求 上述重要系統(tǒng)一旦受到重大影響或中斷后，有關(guān)部門應(yīng)立即執(zhí)行業(yè)務(wù)持續(xù)性管理實施計劃，對系 統(tǒng)采取應(yīng)急措施、進(jìn)行恢復(fù)，確保公司生產(chǎn)經(jīng)營活動的持續(xù)運行。同時，應(yīng)做好事故處理記錄，記錄內(nèi)容應(yīng)包括： a) 對系統(tǒng)中斷原因的調(diào)查分析； b) 系統(tǒng)中斷造成損失的統(tǒng)計； c) 采取的糾正措施； d) 應(yīng)吸取經(jīng)驗教訓(xùn)及預(yù)防措施等。 3.5 業(yè)務(wù)持續(xù)性計劃的測試與評審 3.5.1 每年下半年由運管部組織有關(guān)部門對業(yè)務(wù)持續(xù)性管理實施計劃進(jìn)行測試，以判斷計劃的可行性和有效性。測試可采用以下方法進(jìn)行： a) 對已發(fā)生過的業(yè)務(wù)中斷及恢復(fù)措施實例進(jìn)行討論； b) 組織有關(guān)部門進(jìn)行業(yè)務(wù)中斷及恢復(fù)的模擬演練； c) 采用技術(shù)手段對系統(tǒng)運行及中斷恢復(fù)的相關(guān)參數(shù)進(jìn)行測量； d) 由供應(yīng)商提供測試服務(wù)，確保所提供的外部服務(wù)和產(chǎn)品符合合同要求；e) 測試完成后填寫業(yè)務(wù)持續(xù)性管理計劃評測報告。 附錄A（資料性目錄）業(yè)務(wù)持續(xù)性和影響分析報告1 目的 為防止公司生產(chǎn)、經(jīng)營、管理活動在出現(xiàn)重大事故/危機或災(zāi)難的情況下受到影響或中止，實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，對信息系統(tǒng)在出現(xiàn)故障、災(zāi)難情況下,對本公司的業(yè)務(wù)影響做出分析。 2 故障/災(zāi)難風(fēng)險種類分析 影響業(yè)務(wù)可持續(xù)性的風(fēng)險主要有： a) 地震（非建筑物毀滅） 、水災(zāi)、火災(zāi)、臺風(fēng)、雷擊等環(huán)境故障造成信息系統(tǒng)中斷甚至毀滅； b) 電源故障造成設(shè)備斷電以至生產(chǎn)中止； c) 主要原材料供應(yīng)商遭遇事故, 而無法及時供應(yīng)原材料； d) 生產(chǎn)設(shè)備故障, 造成生產(chǎn)進(jìn)度無法及時完成。3 故障/災(zāi)難對公司業(yè)務(wù)的影響 表 1.故障/災(zāi)難的影響序號災(zāi)害/故障公司業(yè)務(wù)的影響程度備注1地震公司生產(chǎn)經(jīng)營中止，業(yè)務(wù)受到影響。中2水災(zāi)公司生產(chǎn)中止, 業(yè)務(wù)受到影響小3火災(zāi)公司生產(chǎn)受到影響，公司業(yè)務(wù)中斷。重大4臺風(fēng)對生產(chǎn)影響輕微，不影響業(yè)務(wù)小5雷擊造成斷電, 生產(chǎn)中止中6斷電生產(chǎn)中止，業(yè)務(wù)受到影響。中7生產(chǎn)設(shè)備故障無法按照預(yù)定生產(chǎn)進(jìn)度生產(chǎn), 影響公司出貨中8供應(yīng)商無法及時供貨無法按照預(yù)定生產(chǎn)進(jìn)度生產(chǎn), 影響公司出貨重大根據(jù)故障/災(zāi)難一旦發(fā)生后對信息系統(tǒng)和業(yè)務(wù)影響，對中等以上的，確定防范措施，對影響重大的進(jìn)行業(yè)務(wù)連續(xù)性恢復(fù)分析策劃。 4 信息系統(tǒng)故障/災(zāi)難防范和恢復(fù)分析表 2. 信息系統(tǒng)故障/災(zāi)難防范和恢復(fù)分析表序號災(zāi)害/故障防范措施恢復(fù)措施恢復(fù)要求1地震建筑結(jié)構(gòu)抗震視情況而定視情況而定2火災(zāi)設(shè)置消防器材RPO=7 天 RTO=7 天3雷擊避雷裝置,建筑接地,抗靜電地板目前無法測試，視目前無法測試，視4斷電與相關(guān)方簽訂協(xié)議保證供電用自用發(fā)電機進(jìn)行發(fā)電根據(jù)停電的具體原因恢復(fù)時間不同5生產(chǎn)設(shè)備故障平時對機器進(jìn)行保養(yǎng)和維護(hù)要求維修工人及時維修視情況而定6供應(yīng)商無法及時供貨與供應(yīng)商簽訂優(yōu)先供貨合同迅速聯(lián)系備用供應(yīng)商進(jìn)行供貨視情況而定上述災(zāi)難恢復(fù)能力根據(jù)業(yè)務(wù)要求確定，為第 1級-基本支持級。5 分析總結(jié) 根據(jù)上述信息系統(tǒng)故障/災(zāi)難防范和恢復(fù)分析，對火災(zāi)引起的信息系統(tǒng)中斷按業(yè)務(wù)連續(xù)性管理實施計劃進(jìn)行恢復(fù)。附錄B（資料性附錄）業(yè)務(wù)持續(xù)性管理實施指南為了減少重大故障與突如其來的災(zāi)害給公司正常工作帶來的影響，將其帶來的損失最小化，特制定以下具體措施要求如下：業(yè)務(wù)中斷事件發(fā)生幾率造成的影響 允許中斷時間/小時控制措施系統(tǒng)恢復(fù)時限要求/小時測試系統(tǒng)恢復(fù)時停 電 有時1.短時間停電給工作造成暫時的中斷。 2.較長時間的停電對工作正常進(jìn)行造成一定的障礙。2作正常進(jìn)行造成一定的采用備用發(fā)電機發(fā)電否行政管理中心生產(chǎn)機器隨時可能發(fā)生機器故障，但多臺機器同時故障概率極小個別機器不能正常工作，但對工作的總體影響不大31. 及時搶修 2. 留有備用機器 3. 聯(lián)絡(luò)工作機供應(yīng)商。根據(jù)不同故障，修理時間不同測試供應(yīng)商可在一個工作日里完成故障修理。行政管理中心外來人員破壞1.公司大樓門衛(wèi)負(fù)責(zé)。 2.進(jìn)入公司須在門衛(wèi)處進(jìn)行來訪登記。個別工作場所的資料有外泄的可能21. 嚴(yán)防不明人員進(jìn)入公司。 2. 來訪人員登記進(jìn)入，與業(yè)務(wù)無關(guān)的人員不得進(jìn)入工作場所。2否行政管理中心 火 災(zāi)行政管理中心負(fù)責(zé)定期檢查滅火設(shè)備，發(fā)生的可能性很小。辦公樓災(zāi)火 無法正常工作11. 按要求配備防火器材，定期檢查有效性。 2. 工作間內(nèi)嚴(yán)禁吸煙，不得使用與業(yè)務(wù)無關(guān)的電器。如遇火災(zāi)，迅速聯(lián)絡(luò)消防部門，并在滅火前后控制公司信息流向，進(jìn)行保密處理。 3. 重要數(shù)據(jù)保有備份。重要紙面資料放置在柜子中。根據(jù)火災(zāi)面積而不同