业务连续性管理程序20161104教程.doc

目的 本程序规定当发生重大信息安全事件或灾难时，为保护本公司业务活动免受影响，迅速恢复已中断的业务活动，实现业务持续发展而实施的管理活动。 范围 本程序适用于本公司业务相关的主要业务的持续性管理控制 3.职责 3.1最高管理者（总裁）: A、危机第一责任人,负责运营策划、实施、保持和持续改进； B、担任特别重大危机(Ⅰ级)的总指挥； C、重大危机后接受媒体报告； 3.2常务副总裁: A、危机第二责任人,负责各事业部运营执行； B、较大危机(Ⅱ级)及一般性危机(Ⅲ级)的总指挥； 3.3人事经理: A、人才危机进行预测； B、收集各部门危机信息进行分析，启动危机预警, C、危机后人员的安抚及人力的调整； D、危机后对外信息的发布及媒体沟通； E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障； 3.4 销售副总裁: A、市场危机进行预测，收集市场信息； B、危机后负责向客户沟通，稳定市场； 3.5事业部总经理/副总经理: A、对本事业部存在危机信息的收集并汇报； B、危机后本事业部人员的安抚及人力的调整； 3.6 财务总监: A、财务危机进行预测； B、危机后提供危机所需的资金保障； 3.7采购部门负责人: A、供方危机进行预测； B、危机后物料的调配； 4 工程程序（工作流程图） 4.1危机分类 A 一般性危机(Ⅲ级)：指突然发生，事态比较简单，仅对较小范围内产生威胁或损失，只需要调度个别部门的力量和资源能够处置的事件。 B 较大危机(Ⅱ级)：指突然发生，事态较为复杂，对一定区域或部门财产和安全造成威胁、已经或可能造成较大人员伤亡、较大财产损失或生态环境破坏，需要调度公司部分力量和资源进行处置的事件。 C 特别重大危机(Ⅰ级)：是指突然发生，事态非常复杂，已经或可能造成特别重大人员伤亡、特别重大财产损失或重大生态环境破坏，需要调度公司全部力量和资源,或需求助政府各方面资源和力量进行处置的事件。 5.2业务持续性和影响的分析 5.2.1在首次信息安全风险评估后进行业务持续性和影响的分析。 5.2.2业务持续性和影响的分析由管理者代表组织，各副总经理配合，及管理者代表指定的相关责任人分别开展以下活动： a) 对信息安全进行风险评估； b) 识别出对业务持续性造成严重影响的主要事件，如设备故障、火灾等； c) 分析这些事件一旦发生对业务活动造成的影响和损失，以及恢复业务所需费用等； d) 编写《业务持续性和影响分析报告》（格式不限）。 5.2.3《业务持续性和影响分析报告》应包括以下内容： a) 识别关键业务的管理过程； b) 可能引起业务活动中断的主要事件； c) 主要事件对管理的信息系统的影响； d) 信息系统故障或中断对业务活动的影响； e) 关于系统恢复或替换的费用考虑。 5.3编制《业务持续性管理战略计划》 各区域副总经理编制的《业务持续性和影响分析报告》完成后应提交管理者代表，由管理者代表或管理者代表指定的人员来制订《业务持续性管理战略计划》（格式不限），并提交信息安全管理委员会讨论，经信息安全管理者代表批准后予以实施。 5.4编制《业务持续性管理实施计划》 5.4.1根据《业务持续性管理战略计划》，各相关职能人员分别编制自己负责区域内的管理的信息系统的《业务持续性管理实施计划》，并由信息安全管理者代表批准，以便在这些系统发生中断时实施。 5.4.2《业务持续性管理实施计划》的编写为： a) 硬件工程师网络部分：核心业务网络系统、办公网络系统、电话网络、供电系统及中间业务。 5.4.3《业务持续性管理实施计划》应包括以下方面的内容： a) 计划实施所涉及的职务/相关人员的职责、权限及接口关系的描述； b) 系统中断的速报程序及要求； c) 系统中断的恢复程序及方法； d) 系统中断的恢复时限要求； e) 保持业务运作连续应采取的应急措施与备用措施； f) 必要的技术支持及资源要求。 5.5《业务持续性管理实施计划》的实施要求 上述重要系统一旦受到重大影响或中断后，有关人员应立即执行《业务持续性管理实施计划》，对系统采取应急措施、进行恢复，确保经营活动的持续运行。同时，应按照《事故、薄弱点与故障管理程序》做好事故处理记录，记录内容应包括： a) 对系统中断原因的调查分析； b) 系统中断造成损失的统计； c) 采取的纠正措施； d) 应吸取经验教训及预防措施等。 5.6业务持续性计划的测试与评审 5.6.1每年下半年由管理者代表组织有关人员对《业务持续性管理实施计划》进行测试，以判断计划的可行性和有效性。测试可采用以下方法进行： a) 对已发生过的业务中断及恢复措施实例进行讨论； b) 组织有关人员进行业务中断及恢复的模拟演练； c) 采用技术手段对系统运行及中断恢复的相关参数进行测量； d) 由供