业务l连续性管理计划+业务连续性和影响分析.doc

业务持续性管理计划 1 目的与范围 本计划规定了当发生重大信息安全事件或灾难时，为保护公司业务免受影响，迅速恢复已中断的业务活动，实现公司业务持续发展而实施的管理。恢复时间目标是一个小时，如恢复失败启用应急预案。恢复点是保证系统正常做交易。 这些活动包括：建立业务持续性管理程序；进行业务持续性和影响分析；编制业务持续性战略计划；制订业务持续性管理实施计划并实施；对业务持续性管理计划进行定期测试和评审等。2范围 本计划适应于本公司应用软件的开发的活动等主要业务的持续性管理。3 职责 3.1 公司技术部经理负责公司业务中断的恢复的总指挥与总协调。 3.2 总经办负责编制、修订公司业务持续性管理程序，并协调、推进公司业务持续性管理活动。 3.3 各部门负责部门相关系统的故障处理及与之相关的作业中断的恢复。 3.4 技术部负责项目实施过程中设备及软件系统的故障处理及与之相关的作业中断的恢复。负责后勤系统设备及网络系统的故障处理及与之相关的作业中断的恢复。负责本部门管理系统及与之相关的作业中断的恢复。 3.5 公司各部门在发生重大信息安全事件或灾难时，负责保护本部门使用的信息系统及业务数据，及时恢复中断的业务活动。 3.6 实现了先进的异地灾备系统，实现了三级保护，数据级→数据库级→应用级，数据实现了零丢失，灾备应用系统恢复仅用数分钟时间就能启动。 4 工作程序 4.1 业务持续性管理过程 公司业务持续性管理过程规定如下： 4.2 业务持续性和影响的分析 4.2.1 公司在首次信息安全风险评估后进行业务持续性和影响的分析。 4.2.2 业务持续性和影响的分析由总经办组织，研发部及管理者代表指定 的相关部门分别开展以下活动： a)对本部门的信息安全进行风险评估； b)识别出对本部门业务持续性造成严重影响的主要事件，如设备故障、火灾、技术核心人员离职等； c)分析这些事件一旦发生对公司业务活动造成的影响和损失，以及恢复业务所需费用等； d)编写本部门《业务持续性和影响分析报告》。 4.2.3《业务持续性和影响分析报告》应包括以下内容： a)识别关键业务的管理过程； b)可能引起公司业务活动中断的主要事件； c)主要事件对本部门管理的信息系统的影响； d)信息系统故障或中断对公司业务活动的影响； e)关于系统恢复或替换的费用考虑。 编制： 曹飞澎 审核/批准/ 汪倩 日期：2019.11.23 业务连续性和影响分析 目的 保障公司业务连续性不中断、规范防灾程序，有效防御灾害性因素；切实保障公司人身生命财产﹑公司设备﹑业务、最大程度减轻灾害损失；预防意外灾害发生时对全公司的破坏，将可能造成的风险、损失降到最低。 业务连续性中断因素 应用系统错误：硬件、网络通信或服务器故障 不可接受灾难：重要或机密信息泄露 其他灾难：核心人员离职 对我公司影响分析 硬件、网络通信或服务器故障 引起大面积断网，公司业务全面瘫痪，业务连续性中断，造成直接经济损失。 账号密码可能被钓鱼网盗窃，重要信息泄露，无法挽回，商机被抢，客户丢失，利益损失。 服务器故障修复后服务器内数据丢失，重要信息丢失，直接经济损失。 长时间修复给，延误工作，业务连续性中断。 重要或机密信息泄露 1）公司机密信息外泄，公司核心业务丢失，直接导致公司无法挽回的重大经济损失。 核心人员离职 导致客户流失，对业务的正常开展产生不良影响，影响公司效益。 核心研发技术被带走，直接中间公司核心业务，导致巨大经济损失。 原有工作流程被打乱，公司业务运转节奏变慢，影响公司效益。 重要或机密信息被带走，有可能存在技术和商业的泄密情况，破坏公司业务连续性，导致无法挽回的损失。 人员的再次招聘、选拔、培养花费较多的时间、经历、成本，影响公司业务正常持续良好发展的节奏。 综上所述，业务连续性问题贯彻我全公司，其影响亦值得我们重视。如何确保我司业务数据的整体性和业务连续性已成为一项重大课题。结合我公司业务连续性的建设现状，采用前沿的信息技术，健全的管理机制，完善的服务配合，才能更好的预防业务连续性的各类安全风险评估。