業(yè)務(wù)連續(xù)性管理程序(含表格)

1、"PiuiDUj,55bop.cofT好好學(xué)習(xí)天天向上德信誠培訓(xùn)網(wǎng)業(yè)務(wù)連續(xù)性管理程序（ISO27001-2013 ）1、目的減少由于經(jīng)營活動中某個(gè)環(huán)節(jié)變化導(dǎo)致公司的業(yè)務(wù)受到嚴(yán)重影響或長時(shí)間不能 回復(fù)，保證重要業(yè)務(wù)流程不受到重大故障和災(zāi)難的影響。2、范圍公司范圍內(nèi)所有的信息活動。3、職責(zé)責(zé)任部門要定期測試所負(fù)責(zé)的連續(xù)性計(jì)劃的可行性。4、內(nèi)容4.1 運(yùn)營的持續(xù)性管理基本要求a）根據(jù)風(fēng)險(xiǎn)出現(xiàn)的可能性和它們的影響，包括對重大運(yùn)營過程的識別和優(yōu)先考慮，來理解組織所面臨的風(fēng)險(xiǎn)；b）理解中斷對組織可能產(chǎn)生的影響（重要的是要找到處理較小事故以及能威脅 組織生存的嚴(yán)重事故的解決辦法）,并確立信息處理設(shè)

2、施的商業(yè)目標(biāo)；c）考慮購買合適的保險(xiǎn)，它可以成為運(yùn)營持續(xù)性過程的組成部分；d）將與議定的商業(yè)目標(biāo)和優(yōu)先權(quán)一致的運(yùn)營持續(xù)策略公式化和文件化；e）將與議定的策略一致的運(yùn)營持續(xù)計(jì)劃公式化和文件化；f）定期測試和更新處于適當(dāng)位置上的計(jì)劃和程序 g）確保運(yùn)營持續(xù)性的管理并入組織的過程和結(jié)構(gòu)。4.2 業(yè)務(wù)連續(xù)性和影響分析 業(yè)務(wù)連續(xù)性的信息安全方面應(yīng)從識別可能導(dǎo)致組織業(yè)務(wù)過程中斷的事件（或一 系列事件）開始，例如，設(shè)備故障、人為錯(cuò)誤、盜竊、火災(zāi)、自然災(zāi)害和恐怖 事件。隨后應(yīng)是風(fēng)險(xiǎn)評估，根據(jù)時(shí)間、損壞程度和恢復(fù)周期，確定這些中斷發(fā) 生的概率和影響。業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)評估的執(zhí)行應(yīng)有業(yè)務(wù)資源和過程擁有者的全面參與。這

3、種評估 應(yīng)考慮所有業(yè)務(wù)過程，并應(yīng)不局限于信息處理設(shè)施，但應(yīng)包括信息安全特有的 結(jié)果。并且要將不同方面的風(fēng)險(xiǎn)鏈接起來，以獲得一副完整的組織業(yè)務(wù)連續(xù)性 要求的構(gòu)圖。該評估應(yīng)按照組織的相關(guān)準(zhǔn)則和目標(biāo)，如關(guān)鍵資源，中斷影響， 允許中斷時(shí)間，恢復(fù)的優(yōu)先級，來識別、量化并列出風(fēng)險(xiǎn)的優(yōu)先順序。根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，應(yīng)開發(fā)業(yè)務(wù)連續(xù)性戰(zhàn)略，以確定整體的業(yè)務(wù)連續(xù)性方法。 該戰(zhàn)略一旦被制定，就應(yīng)由管理者簽署，并制定計(jì)劃，簽署實(shí)施該戰(zhàn)略。4.3 制訂和實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)當(dāng)制定計(jì)劃，以便在關(guān)鍵的運(yùn)營過程中斷或出現(xiàn)故障之后所要求的時(shí)間范圍 內(nèi)，維護(hù)或恢復(fù)商業(yè)運(yùn)營。運(yùn)營持續(xù)性計(jì)劃過程應(yīng)當(dāng)考慮如下幾點(diǎn)：a）識別和認(rèn)同所有的責(zé)

4、任和應(yīng)急流程；b）實(shí)施應(yīng)急流程，以便在所要求的時(shí)間范圍內(nèi)恢復(fù)和復(fù)原，需要特別注意對外部商業(yè) 從屬性以及合同進(jìn)行適當(dāng)?shù)脑u估C）議定的流程和過程的文件化；d）在議定的應(yīng)急流程和過程包括危機(jī)的管理中對職員進(jìn)行適當(dāng)?shù)慕逃?；e）測試和更新計(jì)劃。計(jì)劃的過程應(yīng)當(dāng)集中于所要求的商業(yè)目標(biāo)。例如，在一個(gè)可以接受的時(shí)間范圍內(nèi) 恢復(fù)對客戶的特殊服務(wù)。應(yīng)當(dāng)考慮使之出現(xiàn)的服務(wù)和資源，包括人員配備、非信 息處理資源，以及對信息處理設(shè)施的緊急情況安排。4.4 業(yè)務(wù)連續(xù)性計(jì)劃框架 應(yīng)當(dāng)維護(hù)持續(xù)運(yùn)營計(jì)劃的單獨(dú)框架，以確保所有的計(jì)劃是一致的，并識別測試和維護(hù)的優(yōu)先性。每一個(gè)持續(xù)運(yùn)營計(jì)劃都應(yīng)當(dāng)明確規(guī)定它活動的條件 ，以及執(zhí)行每 一部

5、分計(jì)劃的負(fù)責(zé)人。當(dāng)新的需求出現(xiàn)時(shí)，應(yīng)當(dāng)適當(dāng)修正已建立的應(yīng)急流程，例 如，撤離計(jì)劃或任何現(xiàn)有的緊急情況安排。持續(xù)運(yùn)營計(jì)劃的框架應(yīng)當(dāng)考慮如下幾點(diǎn)：a）啟動計(jì)劃的條件，它描述了每個(gè)計(jì)劃被啟動之前所應(yīng)遵照的流程（如何評估當(dāng)時(shí)的情形，將涉及到什么人等）。b）應(yīng)急流程，它描述了在事件發(fā)生后所應(yīng)采取的行動，該事件能危及商業(yè)的運(yùn)營 和人類的生活。這應(yīng)當(dāng)包括公共關(guān)系管理的安排以及與適當(dāng)?shù)墓矙?quán)威機(jī)構(gòu)的 有效聯(lián)絡(luò)，如警察局、消防中心和當(dāng)?shù)氐恼）緊急情況流程，它描述了將必要的商業(yè)活動或支持服務(wù)轉(zhuǎn)移到可選擇的臨時(shí)更多免費(fèi)資料下載請進(jìn)：好好學(xué)習(xí)社區(qū)德信誠培訓(xùn)網(wǎng)上以“CD好好學(xué)習(xí)天天向上位置，并在所要求的時(shí)間范圍內(nèi)

6、，使商業(yè)過程恢復(fù)運(yùn)營所采取的行動。d）恢復(fù)流程，它描述了恢復(fù)到正常的商業(yè)運(yùn)營所采取的行動。e）維護(hù)時(shí)間表，它規(guī)定了如何和何時(shí)測試該計(jì)劃，以及維護(hù)該計(jì)劃的過程。f）意、識和教育活動。g）個(gè)人的職責(zé)，描述了誰負(fù)責(zé)執(zhí)行哪部分計(jì)劃。應(yīng)當(dāng)按照要求指定備選方案。每一個(gè)計(jì)劃都應(yīng)當(dāng)有一個(gè)特定的負(fù)責(zé)人。應(yīng)急流程、人工緊急情況計(jì)劃和恢復(fù) 計(jì)劃都應(yīng)當(dāng)在適當(dāng)?shù)纳虡I(yè)資源或有關(guān)的商業(yè)過程的負(fù)責(zé)人的責(zé)任范圍之內(nèi)。對 于可選擇的技術(shù)服務(wù)的緊急情況安排，諸如信息處理和通訊設(shè)施，通常應(yīng)當(dāng)是服 務(wù)提供者的責(zé)任。4.5 測試、錐護(hù)和重新評估業(yè)務(wù)連續(xù)性針劃（1）測試業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)當(dāng)定期測試它們以確保它們是最新的和有效的。測試也應(yīng)當(dāng)確

7、?；謴?fù)小組的所有成員以及其他有關(guān)的職員都知道該計(jì)劃。對持續(xù)運(yùn)營計(jì)劃測試的時(shí)間表應(yīng)當(dāng)指明應(yīng)如何以及何時(shí)測試計(jì)劃的每個(gè)要素。建議經(jīng)常測試計(jì)劃的個(gè)別部分。應(yīng)當(dāng)使用各種技術(shù)，以便對計(jì)劃在實(shí)際中運(yùn)行提 供保證。這應(yīng)當(dāng)包括：a）對不同的計(jì)劃說明書的桌面測試（通過使用中斷實(shí)例來討論商業(yè)恢復(fù)的安排）；b）模擬（尤指培訓(xùn)在事故或緊急情況下進(jìn)行管理的人員）；更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū)"PiuiDUj,55bop.cofT好好學(xué)習(xí)天天向上德信誠培訓(xùn)網(wǎng)C）技術(shù)恢復(fù)測試（確保信息系統(tǒng)能夠被有效地恢復(fù)）;d）在另外的站點(diǎn)測試恢復(fù)（運(yùn)行遠(yuǎn)離主站點(diǎn)且與主站點(diǎn)的恢復(fù)操作并聯(lián)的商業(yè)過程）;e）測試供應(yīng)商的設(shè)施

8、和服務(wù)（確保外部所提供的服務(wù)和產(chǎn)品符合合同的承諾）;f）完整的演習(xí)（測試組織、職員、設(shè)備、設(shè)施和過程是否能夠應(yīng)付中斷 ）。（2）維護(hù)和重新評估業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)當(dāng)通過定期的回顧和更新來維護(hù)持續(xù)運(yùn)營計(jì)劃，以確保它們的持續(xù)有效性。具 過程應(yīng)當(dāng)包括在組織的變更管理程序中，以確保商業(yè)持續(xù)性問題被適當(dāng)?shù)亟鉀Q。應(yīng)當(dāng)為每個(gè)商業(yè)持續(xù)運(yùn)營計(jì)劃的定期回顧指定職責(zé)。若商業(yè)安排中改動的識別 還沒有反映在商業(yè)持續(xù)運(yùn)營計(jì)劃中，其后應(yīng)當(dāng)對計(jì)劃進(jìn)行適當(dāng)?shù)母隆＿@個(gè)正式 的改動控制過程應(yīng)當(dāng)確保通過對完整計(jì)劃的定期回顧來發(fā)布和加強(qiáng)更新后的計(jì)劃。需要更新計(jì)劃的情形可能包括新設(shè)備的購買或操作系統(tǒng)的升級以及下列方面的變動：a）人員；b）地址或電話號碼；c）商業(yè)策略；d）位置、設(shè)施和資源；e）法規(guī);f）承包商、供應(yīng)商和主要的客戶g）程序（新的/獨(dú)立的程序）；h）風(fēng)險(xiǎn)（操作的和財(cái)務(wù)的）。4.6 冗余管理 在條件允許的情況下，應(yīng)為核心設(shè)備（例如生產(chǎn)設(shè)備、交