信息安全業(yè)務(wù)連續(xù)性運(yùn)營(yíng)管理程序模板

PAGE\*ArabicDash-6-種類：信息安全管理程序文件編號(hào)：名稱：業(yè)務(wù)連續(xù)性運(yùn)營(yíng)管理程序總頁(yè)數(shù)5頁(yè)No1起稿校核承認(rèn)批準(zhǔn)批準(zhǔn)日年月日修訂履歷修訂履歷編號(hào)修訂批準(zhǔn)日修訂頁(yè)修訂內(nèi)容及理由起稿印校核印承認(rèn)印批準(zhǔn)印種類：信息安全管理程序文件編號(hào)：名稱：業(yè)務(wù)連續(xù)性運(yùn)營(yíng)管理程序總頁(yè)數(shù)5頁(yè)No21.目的2.適用范圍3.制定、修訂、廢止4.工作程序應(yīng)對(duì)災(zāi)難性事件中公司內(nèi)部和相關(guān)方責(zé)任及依此程序?qū)υ谛畔踩踩芾眢w系內(nèi)公司或客戶的信息資產(chǎn)的應(yīng)對(duì)動(dòng)作及啟動(dòng)應(yīng)對(duì)措施，以確保業(yè)務(wù)活動(dòng)的持續(xù)進(jìn)行。本程序適用于有限公司本程序由信息安全事務(wù)局負(fù)責(zé)制定、修訂及廢止，公司管理者代表和公司總經(jīng)理批準(zhǔn)。4.1系統(tǒng)識(shí)別4.1.1公司的管理業(yè)務(wù)活動(dòng)根據(jù)公司的業(yè)務(wù)范圍和管理手冊(cè)定義為家用壓縮機(jī)的研發(fā)、生產(chǎn)制造和銷售。根據(jù)公司業(yè)務(wù)范圍活動(dòng)的確定，公司的業(yè)務(wù)連續(xù)性管理過程是會(huì)影響壓縮機(jī)的研發(fā)、生產(chǎn)制造和銷售等業(yè)務(wù)活動(dòng)的管理過程。在信息安全風(fēng)險(xiǎn)識(shí)別中，本文所確認(rèn)的業(yè)務(wù)風(fēng)險(xiǎn)主要就是影響壓縮機(jī)的研發(fā)、生產(chǎn)制造和銷售過程中的信息安全的風(fēng)險(xiǎn)。4.1.2公司的信息系統(tǒng)根據(jù)公司資產(chǎn)風(fēng)險(xiǎn)管理程序規(guī)定所規(guī)定的資產(chǎn)保密性、完整性和可用性定義方法進(jìn)行判定，確認(rèn)為重要資產(chǎn)的，該系統(tǒng)為公司的重要信息管理系統(tǒng)。重要系統(tǒng)識(shí)別后建立公司的《重要信息系統(tǒng)清單》。4.1.3根據(jù)風(fēng)險(xiǎn)識(shí)別要求，識(shí)別重要系統(tǒng)的威脅和脆弱性，判定識(shí)別信息系統(tǒng)的風(fēng)險(xiǎn)級(jí)別。信息系統(tǒng)的威脅包括重大失誤和災(zāi)難事故等，例如設(shè)備故障、病毒破壞、人為差錯(cuò)、盜竊、火災(zāi)、自然災(zāi)害和恐怖行為，風(fēng)險(xiǎn)評(píng)估時(shí)、根據(jù)時(shí)間、損壞程度、恢復(fù)周期來確定中斷發(fā)生的概率來確定脆弱性，最后確定信息系統(tǒng)的風(fēng)險(xiǎn)大小和級(jí)別。形成信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估表。4.2業(yè)務(wù)連續(xù)性計(jì)劃4.2.1信息部針對(duì)個(gè)系統(tǒng)可能的風(fēng)險(xiǎn)的對(duì)業(yè)務(wù)連續(xù)性影響的程度、發(fā)生的大小和優(yōu)先級(jí)別，制定出該系統(tǒng)中斷后各系統(tǒng)可容忍的最長(zhǎng)的時(shí)間，也叫SLA（系統(tǒng)級(jí)別服務(wù)協(xié)議），系統(tǒng)名稱風(fēng)險(xiǎn)事件恢復(fù)方案最長(zhǎng)允許中斷時(shí)間批準(zhǔn)日年月日修訂批準(zhǔn)日種類：信息安全管理程序文件編號(hào)：名稱：業(yè)務(wù)連續(xù)性運(yùn)營(yíng)管理程序總頁(yè)數(shù)5頁(yè)No34.2.2SLA制度完成后，交信息部部長(zhǎng)和總監(jiān)審核認(rèn)可，最終交公司經(jīng)營(yíng)委員會(huì)和總經(jīng)理進(jìn)行批準(zhǔn)。4.2.3信息中心制定業(yè)務(wù)連續(xù)性計(jì)劃根據(jù)SLA的基本要求，信息中心應(yīng)制定人員編制業(yè)務(wù)連續(xù)性管理計(jì)劃，計(jì)劃內(nèi)容包括：識(shí)別和確定影響業(yè)務(wù)連續(xù)性的系統(tǒng)的操作規(guī)程系統(tǒng)中斷風(fēng)險(xiǎn)類型一般故障或系統(tǒng)中斷時(shí)的應(yīng)急措施和流程，應(yīng)清楚規(guī)定故障對(duì)應(yīng)的人員和所用資源，故障或中斷處理的時(shí)間等。當(dāng)發(fā)生超過SLA允許的最長(zhǎng)中斷時(shí)間的事件時(shí)，需采取的恢復(fù)或復(fù)原系統(tǒng)的措施，人員、職責(zé)（如遇到火災(zāi)事故時(shí)需災(zāi)難救助人員、疏散人員、系統(tǒng)檢查人員、基礎(chǔ)設(shè)施恢復(fù)、系統(tǒng)恢復(fù)人員、系統(tǒng)測(cè)試人員及職責(zé)），所需資源，以及恢復(fù)或復(fù)原系統(tǒng)之前保證連續(xù)性運(yùn)營(yíng)臨時(shí)措施（臨時(shí)措施的操作規(guī)程和要求），系統(tǒng)維護(hù)計(jì)劃，包括維護(hù)計(jì)劃內(nèi)容、測(cè)試計(jì)劃時(shí)間要求。業(yè)務(wù)連續(xù)性計(jì)劃教育和培訓(xùn)要求和職責(zé)4.2.4業(yè)務(wù)連續(xù)性計(jì)劃制定后，需經(jīng)過信息部部長(zhǎng)和總監(jiān)批準(zhǔn)。4.3業(yè)務(wù)連續(xù)性計(jì)劃的測(cè)試、維護(hù)和再評(píng)估4.3.1業(yè)務(wù)連續(xù)性計(jì)劃批準(zhǔn)后，需根據(jù)計(jì)劃要求需確定組建相關(guān)的責(zé)任人員，必要時(shí)組成相關(guān)的責(zé)任小組。信息部應(yīng)該對(duì)相關(guān)的責(zé)任人員進(jìn)行教育培訓(xùn)，時(shí)期了解相關(guān)的規(guī)程和要求，保證風(fēng)險(xiǎn)事故發(fā)生時(shí)能負(fù)起職責(zé)，確保連續(xù)性計(jì)劃能有效實(shí)施。相關(guān)培訓(xùn)計(jì)劃應(yīng)建立。4.3.2信息安全事務(wù)局編制每年業(yè)務(wù)連續(xù)性測(cè)試計(jì)劃，測(cè)試計(jì)劃包括：1）各種測(cè)試場(chǎng)景的桌面測(cè)試2）場(chǎng)景模擬條件下各職責(zé)人員對(duì)應(yīng)的責(zé)任和角色。3）系統(tǒng)恢復(fù)方案4）供方設(shè)施和服務(wù)測(cè)試5）完整演習(xí)（當(dāng)中斷發(fā)生時(shí)相關(guān)人員、設(shè)施和過程能保證應(yīng)付中斷。相關(guān)部門人員須對(duì)對(duì)應(yīng)的技術(shù)方案負(fù)責(zé)。批準(zhǔn)日年月日修訂批準(zhǔn)日種類：信息安全管理程序文件編號(hào)：名稱：業(yè)務(wù)連續(xù)性運(yùn)營(yíng)管理程序總頁(yè)數(shù)5頁(yè)No44.3.3測(cè)試ISO事務(wù)局根據(jù)建立的連續(xù)性經(jīng)營(yíng)計(jì)劃應(yīng)定期組織相關(guān)部門和人員進(jìn)行測(cè)試和演練。測(cè)試和演練都必須按業(yè)務(wù)連續(xù)性計(jì)劃測(cè)試計(jì)劃編制具體場(chǎng)景的詳細(xì)的《連續(xù)性測(cè)試演練計(jì)劃》。測(cè)試和演練須按計(jì)劃實(shí)施。測(cè)試組織人員應(yīng)詳細(xì)記錄測(cè)試或演練過程和結(jié)果，并將實(shí)際的測(cè)試過程和計(jì)劃進(jìn)行對(duì)比，以驗(yàn)證計(jì)劃的有效性。4.3.4測(cè)試計(jì)劃再評(píng)估測(cè)試完成后，測(cè)試組織人員需進(jìn)行總結(jié)，按《連續(xù)性計(jì)劃測(cè)試計(jì)劃報(bào)告》格式編制總結(jié)報(bào)告，對(duì)測(cè)試過程中發(fā)現(xiàn)的問題進(jìn)行總結(jié)并評(píng)審，便于采取進(jìn)一步的改進(jìn)計(jì)劃和措施。事務(wù)局應(yīng)該定期修訂業(yè)務(wù)連續(xù)性計(jì)劃測(cè)試計(jì)劃，以保證測(cè)試計(jì)劃的適用性和有效性。4.4其他事項(xiàng)4.4.1連續(xù)性經(jīng)營(yíng)計(jì)劃應(yīng)覆蓋所有可能的安全事故種類，可能還包括：信息系統(tǒng)失敗和設(shè)備丟失拒絕服務(wù)不完整或不準(zhǔn)確經(jīng)營(yíng)數(shù)據(jù)造成的錯(cuò)誤違反保密性可能事件意外事故包括影響信息安全的火災(zāi)、水災(zāi)等。4.4.2ISO事務(wù)局負(fù)責(zé)對(duì)連續(xù)營(yíng)運(yùn)測(cè)試測(cè)試中反映處理的問題采取的措施內(nèi)容應(yīng)包括：?jiǎn)栴}原因的分析和識(shí)別如果必要，策劃和實(shí)施補(bǔ)救措施以防止再發(fā)生搜集審核資料和相似的證據(jù)于受影響或與事故的恢復(fù)相關(guān)聯(lián)的人溝通向信息安全推進(jìn)委員會(huì)報(bào)告行動(dòng)措施4.4.3管理者代表負(fù)責(zé)在測(cè)試連續(xù)性經(jīng)營(yíng)計(jì)劃演練對(duì)反映出的問題中收集和保護(hù)資料，以用于：內(nèi)部問題分析和改進(jìn)作為可能違約，違法相關(guān)的證據(jù)，或民事和刑事訴訟的證據(jù)，比如：計(jì)算機(jī)設(shè)備潛在故障導(dǎo)致信息系統(tǒng)失效。與軟件或服務(wù)供應(yīng)商協(xié)商索賠4.4.4信息安全I(xiàn)SO事務(wù)局負(fù)責(zé)控制恢復(fù)安全和糾正系統(tǒng)失效的行為以確保連續(xù)性計(jì)劃的有效性，并確保：批準(zhǔn)日年月日修訂批準(zhǔn)日種類：信息安全管理程序文件編號(hào)：名稱：業(yè)務(wù)連續(xù)性運(yùn)營(yíng)管理程序總頁(yè)數(shù)5頁(yè)No55附表只有明確規(guī)定和授權(quán)的人員允許進(jìn)入現(xiàn)場(chǎng)的系統(tǒng)和數(shù)據(jù)；所采取的緊急行動(dòng)應(yīng)詳細(xì)文件化；盡快確認(rèn)運(yùn)營(yíng)系統(tǒng)和控制的完整性。5.1《需備份的信息清單》5.2《連續(xù)性計(jì)劃測(cè)試演練計(jì)劃》5.3《業(yè)務(wù)連續(xù)性測(cè)試計(jì)劃及報(bào)告》批準(zhǔn)日年月日修訂批準(zhǔn)日備份信息清單序號(hào)備份信息名稱備份地址負(fù)責(zé)人備注業(yè)務(wù)持續(xù)性計(jì)劃的測(cè)試演練計(jì)劃測(cè)試場(chǎng)景測(cè)試方式測(cè)試日期測(cè)試計(jì)劃安排備注擬制：審核：批準(zhǔn)：日期：日