業(yè)務(wù)可持續(xù)性

1、業(yè)務(wù)持續(xù)性管理程序1 范圍 本程序規(guī)定了當發(fā)生重大信息安全事件或災難時，為保護公司業(yè)務(wù)活動免受影響，迅速恢復已中斷的業(yè)務(wù)活動，實現(xiàn)公司業(yè)務(wù)持續(xù)發(fā)展而實施的管理活動。 本程序適應于本公司生產(chǎn)運營、商務(wù)等主要業(yè)務(wù)的持續(xù)性管理。 2 職責 2.1 公司事故應急小組負責公司業(yè)務(wù)中斷恢復的總指揮與總協(xié)調(diào)。 2.2 行政部負責編制、修訂公司業(yè)務(wù)持續(xù)性管理程序，并協(xié)調(diào)、推進公司業(yè)務(wù)持續(xù)性管理活動。 2.3 業(yè)務(wù)部門負責對外客戶的聯(lián)絡(luò), 負責推進公司業(yè)務(wù)的發(fā)展。 2.4 采購部門負責對供應商采購產(chǎn)品的調(diào)配, 確保生產(chǎn)的順利進行。2.5 生產(chǎn)部門根據(jù)業(yè)務(wù)部門協(xié)調(diào)，積極組織生產(chǎn), 確保生產(chǎn)任務(wù)及時完成。 3 程序

2、內(nèi)容 公司業(yè)務(wù)持續(xù)性管理過程規(guī)定如下：3.2 業(yè)務(wù)持續(xù)性和影響的分析3.2.1 公司在首次安全風險評估后進行業(yè)務(wù)持續(xù)性和影響的分析。 3.2.2 業(yè)務(wù)持續(xù)性和影響的分析由行政部組織，其他各相關(guān)部門分別開展以下活動：a) 對本部門的信息安全進行風險評估； b) 識別出對本部門業(yè)務(wù)持續(xù)性造成嚴重影響的主要事件，如設(shè)備故障、火災等； c) 分析這些事件一旦發(fā)生對公司業(yè)務(wù)活動造成的影響和損失，以及恢復業(yè)務(wù)所需費用等； d) 編寫業(yè)務(wù)持續(xù)性和影響分析報告，詳見附錄A 。 3.2.3 業(yè)務(wù)持續(xù)性和影響分析報告應包括以下內(nèi)容： a) 識別關(guān)鍵業(yè)務(wù)的管理過程； b) 可能引起公司業(yè)務(wù)活動中斷的主要事件； c)

3、 主要事件對本部門管理的信息系統(tǒng)的影響； d) 信息系統(tǒng)故障或中斷對公司業(yè)務(wù)活動的影響； e) 關(guān)于系統(tǒng)恢復或替換的費用考慮。 3.3 編制業(yè)務(wù)持續(xù)性管理實施計劃 由風險評估小組制訂組織級業(yè)務(wù)持續(xù)性管理實施指南，詳見附錄 B，并提交公司事故應急小組討論，經(jīng)批準后予以執(zhí)行。 3.3.1 根據(jù)組織級業(yè)務(wù)持續(xù)性管理實施指南，各相關(guān)部門分別編制本部門管理的業(yè)務(wù)持續(xù)性管理實施計劃，并由事故應急小組批準，以便在這些系統(tǒng)發(fā)生中斷時實施。 3.3.2 業(yè)務(wù)持續(xù)性管理實施計劃包括以下方面的內(nèi)容： a) 計劃實施所涉及的部門/人員的職責、權(quán)限及接口關(guān)系的描述； b) 業(yè)務(wù)中斷的速報程序及要求； c) 業(yè)務(wù)中斷的恢

4、復程序及方法； d) 業(yè)務(wù)中斷的恢復時限要求； e) 保持公司業(yè)務(wù)運作連續(xù)應采取的應急措施與備用措施； 3.4 業(yè)務(wù)持續(xù)性管理實施計劃的實施要求 上述重要系統(tǒng)一旦受到重大影響或中斷后，有關(guān)部門應立即執(zhí)行業(yè)務(wù)持續(xù)性管理實施計劃，對系 統(tǒng)采取應急措施、進行恢復，確保公司生產(chǎn)經(jīng)營活動的持續(xù)運行。同時，應做好事故處理記錄，記錄內(nèi)容應包括： a) 對系統(tǒng)中斷原因的調(diào)查分析； b) 系統(tǒng)中斷造成損失的統(tǒng)計； c) 采取的糾正措施； d) 應吸取經(jīng)驗教訓及預防措施等。 3.5 業(yè)務(wù)持續(xù)性計劃的測試與評審 3.5.1 每年下半年由運管部組織有關(guān)部門對業(yè)務(wù)持續(xù)性管理實施計劃進行測試，以判斷計劃的可行性和有效性。

5、測試可采用以下方法進行： a) 對已發(fā)生過的業(yè)務(wù)中斷及恢復措施實例進行討論； b) 組織有關(guān)部門進行業(yè)務(wù)中斷及恢復的模擬演練； c) 采用技術(shù)手段對系統(tǒng)運行及中斷恢復的相關(guān)參數(shù)進行測量； d) 由供應商提供測試服務(wù)，確保所提供的外部服務(wù)和產(chǎn)品符合合同要求；e) 測試完成后填寫業(yè)務(wù)持續(xù)性管理計劃評測報告。 附錄A（資料性目錄）業(yè)務(wù)持續(xù)性和影響分析報告1 目的 為防止公司生產(chǎn)、經(jīng)營、管理活動在出現(xiàn)重大事故/危機或災難的情況下受到影響或中止，實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，對信息系統(tǒng)在出現(xiàn)故障、災難情況下,對本公司的業(yè)務(wù)影響做出分析。 2 故障/災難風險種類分析 影響業(yè)務(wù)可持續(xù)性的風險主要有： a) 地震（非建

6、筑物毀滅） 、水災、火災、臺風、雷擊等環(huán)境故障造成信息系統(tǒng)中斷甚至毀滅； b) 電源故障造成設(shè)備斷電以至生產(chǎn)中止； c) 主要原材料供應商遭遇事故, 而無法及時供應原材料； d) 生產(chǎn)設(shè)備故障, 造成生產(chǎn)進度無法及時完成。3 故障/災難對公司業(yè)務(wù)的影響 表 1.故障/災難的影響序號災害/故障公司業(yè)務(wù)的影響程度備注1地震公司生產(chǎn)經(jīng)營中止，業(yè)務(wù)受到影響。中2水災公司生產(chǎn)中止, 業(yè)務(wù)受到影響小3火災公司生產(chǎn)受到影響，公司業(yè)務(wù)中斷。重大4臺風對生產(chǎn)影響輕微，不影響業(yè)務(wù)小5雷擊造成斷電, 生產(chǎn)中止中6斷電生產(chǎn)中止，業(yè)務(wù)受到影響。中7生產(chǎn)設(shè)備故障無法按照預定生產(chǎn)進度生產(chǎn), 影響公司出貨中8供應商無法及時供

7、貨無法按照預定生產(chǎn)進度生產(chǎn), 影響公司出貨重大根據(jù)故障/災難一旦發(fā)生后對信息系統(tǒng)和業(yè)務(wù)影響，對中等以上的，確定防范措施，對影響重大的進行業(yè)務(wù)連續(xù)性恢復分析策劃。 4 信息系統(tǒng)故障/災難防范和恢復分析表 2. 信息系統(tǒng)故障/災難防范和恢復分析表序號災害/故障防范措施恢復措施恢復要求1地震建筑結(jié)構(gòu)抗震視情況而定視情況而定2火災設(shè)置消防器材RPO=7 天 RTO=7 天3雷擊避雷裝置,建筑接地,抗靜電地板目前無法測試，視目前無法測試，視4斷電與相關(guān)方簽訂協(xié)議保證供電用自用發(fā)電機進行發(fā)電根據(jù)停電的具體原因恢復時間不同5生產(chǎn)設(shè)備故障平時對機器進行保養(yǎng)和維護要求維修工人及時維修視情況而定6供應商無法及時供

8、貨與供應商簽訂優(yōu)先供貨合同迅速聯(lián)系備用供應商進行供貨視情況而定上述災難恢復能力根據(jù)業(yè)務(wù)要求確定，為第 1級-基本支持級。5 分析總結(jié) 根據(jù)上述信息系統(tǒng)故障/災難防范和恢復分析，對火災引起的信息系統(tǒng)中斷按業(yè)務(wù)連續(xù)性管理實施計劃進行恢復。附錄B（資料性附錄）業(yè)務(wù)持續(xù)性管理實施指南為了減少重大故障與突如其來的災害給公司正常工作帶來的影響，將其帶來的損失最小化，特制定以下具體措施要求如下：業(yè)務(wù)中斷事件發(fā)生幾率造成的影響 允許中斷時間/小時控制措施系統(tǒng)恢復時限要求/小時測試系統(tǒng)恢復時停 電 有時1.短時間停電給工作造成暫時的中斷。 2.較長時間的停電對工作正常進行造成一定的障礙。2作正常進行造成一定的采

9、用備用發(fā)電機發(fā)電否行政管理中心生產(chǎn)機器隨時可能發(fā)生機器故障，但多臺機器同時故障概率極小個別機器不能正常工作，但對工作的總體影響不大31. 及時搶修 2. 留有備用機器 3. 聯(lián)絡(luò)工作機供應商。根據(jù)不同故障，修理時間不同測試供應商可在一個工作日里完成故障修理。行政管理中心外來人員破壞1.公司大樓門衛(wèi)負責。 2.進入公司須在門衛(wèi)處進行來訪登記。個別工作場所的資料有外泄的可能21. 嚴防不明人員進入公司。 2. 來訪人員登記進入，與業(yè)務(wù)無關(guān)的人員不得進入工作場所。2否行政管理中心 火 災行政管理中心負責定期檢查滅火設(shè)備，發(fā)生的可能性很小。辦公樓災火 無法正常工作11. 按要求配備防火器材，定期檢查有效性。 2. 工作間內(nèi)嚴禁吸煙，不得使用與業(yè)務(wù)無關(guān)的電器。如遇火災，迅速聯(lián)絡(luò)消防部門，并在滅火前后控制公司信息流向，進行保密處理。 3. 重要數(shù)據(jù)保有備份。重要紙面資料放置在柜子中。根據(jù)火災面積而不同