業(yè)務可持續(xù)性

1、業(yè)務持續(xù)性管理程序1 范圍 本程序規(guī)定了當發(fā)生重大信息安全事件或災難時，為保護公司業(yè)務活動免受影響，迅速恢復已中斷的業(yè)務活動，實現公司業(yè)務持續(xù)發(fā)展而實施的管理活動。 本程序適應于本公司生產運營、商務等主要業(yè)務的持續(xù)性管理。 2 職責 2.1 公司事故應急小組負責公司業(yè)務中斷恢復的總指揮與總協調。 2.2 行政部負責編制、修訂公司業(yè)務持續(xù)性管理程序，并協調、推進公司業(yè)務持續(xù)性管理活動。 2.3 業(yè)務部門負責對外客戶的聯絡, 負責推進公司業(yè)務的發(fā)展。 2.4 采購部門負責對供應商采購產品的調配, 確保生產的順利進行。2.5 生產部門根據業(yè)務部門協調，積極組織生產, 確保生產任務及時完成。 3 程序

2、內容 公司業(yè)務持續(xù)性管理過程規(guī)定如下：3.2 業(yè)務持續(xù)性和影響的分析3.2.1 公司在首次安全風險評估后進行業(yè)務持續(xù)性和影響的分析。 3.2.2 業(yè)務持續(xù)性和影響的分析由行政部組織，其他各相關部門分別開展以下活動：a) 對本部門的信息安全進行風險評估； b) 識別出對本部門業(yè)務持續(xù)性造成嚴重影響的主要事件，如設備故障、火災等； c) 分析這些事件一旦發(fā)生對公司業(yè)務活動造成的影響和損失，以及恢復業(yè)務所需費用等； d) 編寫業(yè)務持續(xù)性和影響分析報告，詳見附錄A 。 3.2.3 業(yè)務持續(xù)性和影響分析報告應包括以下內容： a) 識別關鍵業(yè)務的管理過程； b) 可能引起公司業(yè)務活動中斷的主要事件； c)

3、 主要事件對本部門管理的信息系統的影響； d) 信息系統故障或中斷對公司業(yè)務活動的影響； e) 關于系統恢復或替換的費用考慮。 3.3 編制業(yè)務持續(xù)性管理實施計劃 由風險評估小組制訂組織級業(yè)務持續(xù)性管理實施指南，詳見附錄 B，并提交公司事故應急小組討論，經批準后予以執(zhí)行。 3.3.1 根據組織級業(yè)務持續(xù)性管理實施指南，各相關部門分別編制本部門管理的業(yè)務持續(xù)性管理實施計劃，并由事故應急小組批準，以便在這些系統發(fā)生中斷時實施。 3.3.2 業(yè)務持續(xù)性管理實施計劃包括以下方面的內容： a) 計劃實施所涉及的部門/人員的職責、權限及接口關系的描述； b) 業(yè)務中斷的速報程序及要求； c) 業(yè)務中斷的恢

4、復程序及方法； d) 業(yè)務中斷的恢復時限要求； e) 保持公司業(yè)務運作連續(xù)應采取的應急措施與備用措施； 3.4 業(yè)務持續(xù)性管理實施計劃的實施要求 上述重要系統一旦受到重大影響或中斷后，有關部門應立即執(zhí)行業(yè)務持續(xù)性管理實施計劃，對系 統采取應急措施、進行恢復，確保公司生產經營活動的持續(xù)運行。同時，應做好事故處理記錄，記錄內容應包括： a) 對系統中斷原因的調查分析； b) 系統中斷造成損失的統計； c) 采取的糾正措施； d) 應吸取經驗教訓及預防措施等。 3.5 業(yè)務持續(xù)性計劃的測試與評審 3.5.1 每年下半年由運管部組織有關部門對業(yè)務持續(xù)性管理實施計劃進行測試，以判斷計劃的可行性和有效性。

5、測試可采用以下方法進行： a) 對已發(fā)生過的業(yè)務中斷及恢復措施實例進行討論； b) 組織有關部門進行業(yè)務中斷及恢復的模擬演練； c) 采用技術手段對系統運行及中斷恢復的相關參數進行測量； d) 由供應商提供測試服務，確保所提供的外部服務和產品符合合同要求；e) 測試完成后填寫業(yè)務持續(xù)性管理計劃評測報告。 附錄A（資料性目錄）業(yè)務持續(xù)性和影響分析報告1 目的 為防止公司生產、經營、管理活動在出現重大事故/危機或災難的情況下受到影響或中止，實現業(yè)務可持續(xù)發(fā)展，對信息系統在出現故障、災難情況下,對本公司的業(yè)務影響做出分析。 2 故障/災難風險種類分析 影響業(yè)務可持續(xù)性的風險主要有： a) 地震（非建

6、筑物毀滅） 、水災、火災、臺風、雷擊等環(huán)境故障造成信息系統中斷甚至毀滅； b) 電源故障造成設備斷電以至生產中止； c) 主要原材料供應商遭遇事故, 而無法及時供應原材料； d) 生產設備故障, 造成生產進度無法及時完成。3 故障/災難對公司業(yè)務的影響 表 1.故障/災難的影響序號災害/故障公司業(yè)務的影響程度備注1地震公司生產經營中止，業(yè)務受到影響。中2水災公司生產中止, 業(yè)務受到影響小3火災公司生產受到影響，公司業(yè)務中斷。重大4臺風對生產影響輕微，不影響業(yè)務小5雷擊造成斷電, 生產中止中6斷電生產中止，業(yè)務受到影響。中7生產設備故障無法按照預定生產進度生產, 影響公司出貨中8供應商無法及時供

7、貨無法按照預定生產進度生產, 影響公司出貨重大根據故障/災難一旦發(fā)生后對信息系統和業(yè)務影響，對中等以上的，確定防范措施，對影響重大的進行業(yè)務連續(xù)性恢復分析策劃。 4 信息系統故障/災難防范和恢復分析表 2. 信息系統故障/災難防范和恢復分析表序號災害/故障防范措施恢復措施恢復要求1地震建筑結構抗震視情況而定視情況而定2火災設置消防器材RPO=7 天 RTO=7 天3雷擊避雷裝置,建筑接地,抗靜電地板目前無法測試，視目前無法測試，視4斷電與相關方簽訂協議保證供電用自用發(fā)電機進行發(fā)電根據停電的具體原因恢復時間不同5生產設備故障平時對機器進行保養(yǎng)和維護要求維修工人及時維修視情況而定6供應商無法及時供

8、貨與供應商簽訂優(yōu)先供貨合同迅速聯系備用供應商進行供貨視情況而定上述災難恢復能力根據業(yè)務要求確定，為第 1級-基本支持級。5 分析總結 根據上述信息系統故障/災難防范和恢復分析，對火災引起的信息系統中斷按業(yè)務連續(xù)性管理實施計劃進行恢復。附錄B（資料性附錄）業(yè)務持續(xù)性管理實施指南為了減少重大故障與突如其來的災害給公司正常工作帶來的影響，將其帶來的損失最小化，特制定以下具體措施要求如下：業(yè)務中斷事件發(fā)生幾率造成的影響 允許中斷時間/小時控制措施系統恢復時限要求/小時測試系統恢復時停 電 有時1.短時間停電給工作造成暫時的中斷。 2.較長時間的停電對工作正常進行造成一定的障礙。2作正常進行造成一定的采

9、用備用發(fā)電機發(fā)電否行政管理中心生產機器隨時可能發(fā)生機器故障，但多臺機器同時故障概率極小個別機器不能正常工作，但對工作的總體影響不大31. 及時搶修 2. 留有備用機器 3. 聯絡工作機供應商。根據不同故障，修理時間不同測試供應商可在一個工作日里完成故障修理。行政管理中心外來人員破壞1.公司大樓門衛(wèi)負責。 2.進入公司須在門衛(wèi)處進行來訪登記。個別工作場所的資料有外泄的可能21. 嚴防不明人員進入公司。 2. 來訪人員登記進入，與業(yè)務無關的人員不得進入工作場所。2否行政管理中心 火 災行政管理中心負責定期檢查滅火設備，發(fā)生的可能性很小。辦公樓災火 無法正常工作11. 按要求配備防火器材，定期檢查有效性。 2. 工作間內嚴禁吸煙，不得使用與業(yè)務無關的電器。如遇火災，迅速聯絡消防部門，并在滅火前后控制公司信息流向，進行保密處理。 3. 重要數據保有備份。重要紙面資料放置在柜子中。根據火災面積而不同