業(yè)務(wù)連續(xù)性策略控制

1、業(yè)務(wù)連續(xù)性策略控制 文件編號(hào)：頁 碼：8 / 8版本狀態(tài)：0.0制定部門：品保部制定日期： 2019/3/101適用范圍區(qū)域范圍：辦公區(qū)域。業(yè)務(wù)范圍：基礎(chǔ)軟件的購買和數(shù)據(jù)庫維護(hù)。部門及人員范圍：公司領(lǐng)導(dǎo)、營業(yè)部、資材部、管理部、財(cái)務(wù)部、制造部、新產(chǎn)品開發(fā)部、工藝工程部、技術(shù)模具部、品保部。IT系統(tǒng)范圍：系統(tǒng)運(yùn)行管理網(wǎng)絡(luò)范圍：網(wǎng)絡(luò)運(yùn)行管理業(yè)務(wù)持續(xù)性專業(yè)服務(wù)范圍：災(zāi)難演練服務(wù)和持續(xù)管理服務(wù)2術(shù)語、定義和縮略語災(zāi)難事件：可能導(dǎo)致全部或部分業(yè)務(wù)中斷，繼而威脅到業(yè)務(wù)的持續(xù)運(yùn)營場(chǎng)景，并可能導(dǎo)致整個(gè)在商譽(yù)、財(cái)務(wù)能力、持續(xù)營運(yùn)能力、業(yè)務(wù)開拓能力等方面造成打擊的事件?；謴?fù)時(shí)間點(diǎn)目標(biāo)（RTO）：災(zāi)難發(fā)生后，系統(tǒng)和

2、數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求?；謴?fù)時(shí)間目標(biāo)（RPO）：災(zāi)難發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能從停頓到必須回復(fù)的時(shí)間要求。3業(yè)務(wù)連續(xù)性方針和策略 業(yè)務(wù)連續(xù)性戰(zhàn)略方針：通過技術(shù)、運(yùn)維管理能力以及災(zāi)難應(yīng)急恢復(fù)預(yù)案，確保發(fā)生災(zāi)難后，業(yè)務(wù)可以在一定的時(shí)間內(nèi)恢復(fù)到可以接受的運(yùn)營狀態(tài)。保護(hù)優(yōu)先活動(dòng)，穩(wěn)定、連續(xù)、重啟和恢復(fù)優(yōu)先活動(dòng)及按該活動(dòng)所依賴的活動(dòng)和支持資源；減輕、響應(yīng)和管理影響。策略的確定，包括批準(zhǔn)活動(dòng)恢復(fù)的優(yōu)先級(jí)時(shí)間表。對(duì)供應(yīng)商的業(yè)務(wù)連續(xù)能力進(jìn)行評(píng)價(jià)。業(yè)務(wù)連續(xù)性策略：按照業(yè)務(wù)連續(xù)性恢復(fù)資源的成本與風(fēng)險(xiǎn)可能造成的損失之間取得平衡的原則，即：“成本風(fēng)險(xiǎn)平衡原則”，確定關(guān)鍵業(yè)務(wù)功能的業(yè)務(wù)連續(xù)性策略。4業(yè)務(wù)連續(xù)性恢復(fù)需

3、求分析4.1 風(fēng)險(xiǎn)分析：根據(jù)風(fēng)險(xiǎn)評(píng)估原則，對(duì)所有存在的風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估和識(shí)別，現(xiàn)存在的主要風(fēng)險(xiǎn)包括：n 信息系統(tǒng)安全：通訊網(wǎng)絡(luò)、數(shù)據(jù)、操作系統(tǒng)、辦公軟件、財(cái)務(wù)軟件、開發(fā)軟件、信息系統(tǒng)各類硬件n 消防安全：火災(zāi)n 供配電安全n 空調(diào)系統(tǒng)安全n 疾病防控安全：食物中毒、生產(chǎn)人身事故n 自然災(zāi)害n 設(shè)備設(shè)施異常：設(shè)備設(shè)施故障、老化、n 外部故障：質(zhì)量不良、退貨投訴、 n 化學(xué)品泄漏n 人力短缺n 保密性文檔資料證書印章丟失n 相關(guān)方服務(wù)中斷（供方）4.2 業(yè)務(wù)影響分析：4.2.1業(yè)務(wù)影響分析（BIA）目的：n 提供制定業(yè)務(wù)持續(xù)計(jì)劃的基礎(chǔ)；n 提供客觀的、可理解的、信息充分的結(jié)果，以使管理層能夠用來指

4、導(dǎo)業(yè)務(wù)持續(xù)計(jì)劃的制定；n 利用風(fēng)險(xiǎn)評(píng)估方式發(fā)現(xiàn)業(yè)務(wù)流程和系統(tǒng)的脆弱性；n 確認(rèn)哪些業(yè)務(wù)流程和資產(chǎn)需要更高級(jí)別的保護(hù)；n 提供確認(rèn)策略和后備方案所需的信息；n 確認(rèn)恢復(fù)目標(biāo)及其時(shí)效性。范圍：現(xiàn)有業(yè)務(wù)：基礎(chǔ)軟件的購買和數(shù)據(jù)庫維護(hù)。4.3業(yè)務(wù)功能和相關(guān)資源配置分析資源的要求包括：不限于：人員、信息和數(shù)據(jù)、建筑物、工作環(huán)境和配套設(shè)施；設(shè)施設(shè)備和耗材；信息通信技術(shù)系統(tǒng)；交通工具、資金、合作方和供應(yīng)商。資源的配備見相關(guān)清單。根據(jù)資產(chǎn)對(duì)組織起到的作用和關(guān)鍵程度以及不可替代性，將資產(chǎn)重要性分為：核心資產(chǎn)、重要資產(chǎn)和一般資產(chǎn)，并就資產(chǎn)對(duì)業(yè)務(wù)影響程度進(jìn)行分析。同時(shí)結(jié)合業(yè)務(wù)影響程度制定業(yè)務(wù)恢復(fù)優(yōu)先級(jí)別。詳見業(yè)務(wù)影響

5、分析。4.4業(yè)務(wù)中斷影響評(píng)估 結(jié)合業(yè)務(wù)影響分析，對(duì)現(xiàn)有業(yè)務(wù)的核心資產(chǎn)的重要性進(jìn)行業(yè)務(wù)中斷影響分析：業(yè)務(wù)功能故障現(xiàn)象業(yè)務(wù)中斷影響信息系統(tǒng)安全：通訊網(wǎng)絡(luò)、數(shù)據(jù)、操作系統(tǒng)、辦公軟件、財(cái)務(wù)軟件、開發(fā)軟件、信息系統(tǒng)各類硬件網(wǎng)絡(luò)運(yùn)行關(guān)鍵網(wǎng)絡(luò)設(shè)備故障中斷業(yè)務(wù)系統(tǒng)運(yùn)行設(shè)備損壞、備份和恢復(fù)操作無法進(jìn)行數(shù)據(jù)丟失、部分業(yè)務(wù)受損應(yīng)用系統(tǒng)運(yùn)行無法完成應(yīng)用系統(tǒng)運(yùn)行部分業(yè)務(wù)受損介質(zhì)管理介質(zhì)發(fā)生損壞或遺失部分業(yè)務(wù)受損物理安全管理無法提供安保、身份識(shí)別工作部分業(yè)務(wù)受損災(zāi)難演練無法提供災(zāi)難演練服務(wù)對(duì)業(yè)務(wù)影響甚微持續(xù)管理無法提供災(zāi)難持續(xù)支持服務(wù)對(duì)業(yè)務(wù)影響甚微消防安全： 火災(zāi)部分業(yè)務(wù)受損供配電安全短路、跳閘、停電部分業(yè)務(wù)受損空調(diào)系統(tǒng)

6、安全無法調(diào)溫對(duì)業(yè)務(wù)影響甚微疾病防控安全： 食物中毒、生產(chǎn)人身事故部分業(yè)務(wù)受損自然災(zāi)害臺(tái)風(fēng)、地震部分業(yè)務(wù)受損設(shè)備設(shè)施異常： 設(shè)備設(shè)施故障、老化、部分業(yè)務(wù)受損外部故障： 產(chǎn)品、服務(wù)質(zhì)量不良，退貨投訴部分業(yè)務(wù)受損化學(xué)品泄漏對(duì)業(yè)務(wù)影響甚微人力資源人力短缺對(duì)業(yè)務(wù)影響甚微保密性文檔資料證書印章保密性文檔資料證書印章丟失對(duì)業(yè)務(wù)影響甚微相關(guān)方服務(wù)中斷（供方）停止供貨、退貨、延遲供貨部分業(yè)務(wù)受損4.5 確認(rèn)災(zāi)難恢復(fù)目標(biāo)4.5.1關(guān)鍵業(yè)務(wù)功能恢復(fù)優(yōu)先級(jí)業(yè)務(wù)功能業(yè)務(wù)中斷影響恢復(fù)的優(yōu)先級(jí)信息系統(tǒng)安全：通訊網(wǎng)絡(luò)、數(shù)據(jù)、操作系統(tǒng)、辦公軟件、財(cái)務(wù)軟件、開發(fā)軟件、信息系統(tǒng)各類硬件網(wǎng)絡(luò)運(yùn)行中斷業(yè)務(wù)高系統(tǒng)運(yùn)行數(shù)據(jù)丟失、部分業(yè)務(wù)受

7、損高應(yīng)用系統(tǒng)運(yùn)行部分業(yè)務(wù)受損高介質(zhì)管理部分業(yè)務(wù)受損中物理安全管理部分業(yè)務(wù)受損中災(zāi)難演練對(duì)業(yè)務(wù)影響甚微低持續(xù)管理對(duì)業(yè)務(wù)影響甚微低消防安全： 部分業(yè)務(wù)受損中供配電安全部分業(yè)務(wù)受損中空調(diào)系統(tǒng)安全對(duì)業(yè)務(wù)影響甚微低疾病防控安全： 部分業(yè)務(wù)受損中自然災(zāi)害部分業(yè)務(wù)受損中設(shè)備設(shè)施異常： 部分業(yè)務(wù)受損中外部故障： 部分業(yè)務(wù)受損中化學(xué)品對(duì)業(yè)務(wù)影響甚微低人力資源對(duì)業(yè)務(wù)影響甚微低保密性文檔資料證書印章對(duì)業(yè)務(wù)影響甚微低相關(guān)方服務(wù)中斷（供方）部分業(yè)務(wù)受損中4.5.2恢復(fù)時(shí)間目標(biāo)（RTO）/ 恢復(fù)點(diǎn)目標(biāo)（RPO）根據(jù)現(xiàn)有技術(shù)能力、管理水平、應(yīng)急替代手段和基礎(chǔ)設(shè)施、數(shù)據(jù)完整性要求等綜合因素，訂制恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)

8、目標(biāo)（RPO）。核心業(yè)務(wù)功能RTORPO備注UPS系統(tǒng)0分鐘不能中斷后備電池在滿載情況下持續(xù)運(yùn)行不少于20分鐘消防系統(tǒng)（不可抗力）屬于合同內(nèi)免責(zé)辦公室IT網(wǎng)絡(luò)系統(tǒng)中斷后10分鐘內(nèi)恢復(fù)至中斷前5分鐘高速網(wǎng)絡(luò)連接5業(yè)務(wù)連續(xù)性恢復(fù)策略制定5.1 業(yè)務(wù)連續(xù)性恢復(fù)階段業(yè)務(wù)連續(xù)性相關(guān)管理小組須留意災(zāi)難事故發(fā)生后出現(xiàn)的變化。各部門應(yīng)確保熟悉緊急或?yàn)?zāi)難事故的程序，以及迅速通知業(yè)務(wù)連續(xù)性項(xiàng)目管理小組的方法；業(yè)務(wù)連續(xù)性項(xiàng)目管理小組按照核心資產(chǎn)恢復(fù)的優(yōu)先級(jí)別根據(jù)各小組的職責(zé)做出相應(yīng)的動(dòng)作反應(yīng)；災(zāi)難結(jié)束后，評(píng)估災(zāi)難發(fā)生的后果以及造成的損失，啟動(dòng)服務(wù)復(fù)原和業(yè)務(wù)恢復(fù)工作程序?？紤]采取的主動(dòng)措施包括：減少中斷的可能性、縮短

9、中斷時(shí)間、限制中斷對(duì)組織的關(guān)鍵產(chǎn)品和服務(wù)的影響。通常業(yè)務(wù)恢復(fù)情況分為三個(gè)階段：?jiǎn)?dòng)階段 這一階段的目標(biāo)是通知業(yè)務(wù)連續(xù)性項(xiàng)目管理小組及取得恢復(fù)業(yè)務(wù)服務(wù)所需要的資源。并由業(yè)務(wù)連續(xù)性項(xiàng)目管理小組確定業(yè)務(wù)恢復(fù)的優(yōu)先級(jí)。后備操作階段這一階段的重點(diǎn)是在備用場(chǎng)地及/或以與正常程序不同的方式恢復(fù)業(yè)務(wù)及提供服務(wù)。全面恢復(fù)階段這一階段的目標(biāo)是使服務(wù)重新恢復(fù)到災(zāi)難發(fā)生前的正常狀態(tài)。5.2 資料的保存和管理在做業(yè)務(wù)連續(xù)性計(jì)劃、預(yù)案或演練時(shí)，應(yīng)清楚識(shí)別災(zāi)難發(fā)生時(shí)，對(duì)關(guān)鍵業(yè)務(wù)及支持部門恢復(fù)業(yè)務(wù)所需的重要資源，以及相關(guān)的保護(hù)措施。重要資料包括存儲(chǔ)在電子或非電子媒介的資料。重要資料的備份應(yīng)存儲(chǔ)在以外的地點(diǎn)，后備重要資料的記錄

10、應(yīng)易于存取，以便在緊急狀況下的檢索。對(duì)于部分關(guān)鍵服務(wù)，應(yīng)考慮是否需要即時(shí)進(jìn)行數(shù)據(jù)備份，以確保迅速的系統(tǒng)及數(shù)據(jù)恢復(fù)。6業(yè)務(wù)連續(xù)性策略的實(shí)現(xiàn)6.1 業(yè)務(wù)連續(xù)性保障條件 在選址規(guī)劃時(shí)，已考慮到公司業(yè)務(wù)運(yùn)營的要求和災(zāi)難發(fā)生的保障要求： 物理防護(hù)：u 現(xiàn)狀和規(guī)劃中均無污染源、危險(xiǎn)源、強(qiáng)干擾源、強(qiáng)震動(dòng)源等不利于公司業(yè)務(wù)開展的影響因素，避免了潛在安全風(fēng)險(xiǎn)和隱患；u 采用授權(quán)進(jìn)入原則，每位進(jìn)入公司的工作人員，均需持卡進(jìn)入；訪客需填寫<來賓洽公單>，并由會(huì)客人引導(dǎo)進(jìn)入公司。 供配電保障：u 供電系統(tǒng)：分區(qū)分線路供電，以單線路接入；消防系統(tǒng)保障：u 公司采用溫感、煙感火災(zāi)偵測(cè)系統(tǒng)和水霧噴淋滅火系統(tǒng)，在

11、保證滅火效果的同時(shí)，確保人員生命安全；6.2 技術(shù)支持能力的支持配備專職網(wǎng)絡(luò)技術(shù)支持人員負(fù)責(zé)設(shè)備定時(shí)巡查、實(shí)時(shí)監(jiān)控和物理環(huán)境監(jiān)控。確保發(fā)生災(zāi)難時(shí)，能夠根據(jù)災(zāi)難應(yīng)急恢復(fù)預(yù)案的要求及時(shí)發(fā)現(xiàn)、及時(shí)確認(rèn)、及時(shí)通報(bào)和及時(shí)處置。6.3 運(yùn)行維護(hù)管理能力的實(shí)現(xiàn) 為達(dá)到災(zāi)難應(yīng)急恢復(fù)目標(biāo)，建立了各種應(yīng)急恢復(fù)機(jī)制和制度，用以保證在發(fā)生災(zāi)難后的快速應(yīng)急恢復(fù)響應(yīng)和應(yīng)急恢復(fù)機(jī)制、制度的有效性。并對(duì)相關(guān)人員進(jìn)行培訓(xùn)以及組織定期的演練。6.4定期更新在實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃時(shí)，任何相關(guān)做出的變化，需經(jīng)過變更管理流程。應(yīng)每年對(duì)業(yè)務(wù)影響分析和業(yè)務(wù)連續(xù)性策略進(jìn)行驗(yàn)證，以驗(yàn)證在不斷變化的業(yè)務(wù)影響下，業(yè)務(wù)連續(xù)性計(jì)劃仍然有效，并及時(shí)獲得更

12、新。7業(yè)務(wù)連續(xù)性恢復(fù)預(yù)案的制定、落實(shí)和管理災(zāi)難恢復(fù)預(yù)案制定和管理步驟負(fù)責(zé)編制災(zāi)難恢復(fù)預(yù)案、對(duì)災(zāi)難恢復(fù)預(yù)案進(jìn)行教育、培訓(xùn)和演練，并負(fù)責(zé)災(zāi)難恢復(fù)預(yù)案的保存、分發(fā)以及維護(hù)和變更管理。7.1災(zāi)難應(yīng)急恢復(fù)預(yù)案的制訂災(zāi)難應(yīng)急恢復(fù)預(yù)案的制訂應(yīng)遵循以下制訂原則：完整性：災(zāi)難應(yīng)急恢復(fù)預(yù)案應(yīng)包含災(zāi)難應(yīng)急恢復(fù)的整個(gè)過程，以及災(zāi)難恢復(fù)所需的盡可能全面的數(shù)據(jù)和資料；易用性：預(yù)案應(yīng)運(yùn)用易于理解的語言和圖表，并適合在緊急情況下的使用；明確性：預(yù)案應(yīng)采用清晰的結(jié)構(gòu)，對(duì)資源進(jìn)行清楚的描述，工作內(nèi)容和步驟應(yīng)具體，每項(xiàng)工作應(yīng)有明確的責(zé)任人；有效性：預(yù)案應(yīng)盡可能滿足災(zāi)難發(fā)生時(shí)進(jìn)行恢復(fù)的實(shí)際需要，并保持與實(shí)際系統(tǒng)和人員組織的同步更新；兼容性：災(zāi)難應(yīng)急恢復(fù)預(yù)案應(yīng)能夠與其他的應(yīng)急預(yù)案有機(jī)的結(jié)合。7.2災(zāi)難恢復(fù)預(yù)案的培訓(xùn)、教育和演練為使各相關(guān)人員了解信息系統(tǒng)災(zāi)難應(yīng)急恢復(fù)的目標(biāo)和流程，熟悉災(zāi)難恢復(fù)的操作規(guī)程，應(yīng)組織災(zāi)難應(yīng)急恢復(fù)預(yù)案的教育、培訓(xùn)和演練：n 在災(zāi)難應(yīng)急恢復(fù)規(guī)劃的初期應(yīng)開始災(zāi)難應(yīng)急恢復(fù)觀念的宣傳教育工作；n 應(yīng)預(yù)先對(duì)培訓(xùn)需求進(jìn)行評(píng)估，開發(fā)和落實(shí)相應(yīng)的培訓(xùn)/教育課程，保證課程內(nèi)容與預(yù)案的要求相一致；n 應(yīng)事先確認(rèn)培訓(xùn)的頻次和范圍，事后保留培訓(xùn)的記錄；n 預(yù)先制訂演練計(jì)劃，在計(jì)劃中說明演習(xí)的場(chǎng)景。演練的整個(gè)過程應(yīng)有詳細(xì)的記錄，并形成報(bào)告；n 災(zāi)難應(yīng)急預(yù)案演習(xí)應(yīng)保證至少每