业务可持续性.docx

业务持续性管理程序 1 范围 本程序规定了当发生重大信息安全事件或劫难时，为保护企业业务活动免受影响，迅速恢复已中断业务活动，实现企业业务持续发展而实行管理活动。 本程序适应于我司生产运行、商务等重要业务持续性管理。 2 职责 2.1 企业事故应急小组负责企业业务中断恢复总指挥与总协调。 2.2 行政部负责编制、修订企业业务持续性管理程序，并协调、推进企业业务持续性管理活动。 2.3 业务部门负责对外客户联络, 负责推进企业业务发展。 2.4 采购部门负责对供应商采购产品调配, 保证生产顺利进行。 2.5 生产部门根据业务部门协调，积极组织生产, 保证生产任务及时完毕。 3 程序内容 企业业务持续性管理过程规定如下： 3.2 业务持续性和影响分析 3.2.1 企业在初次安全风险评估后进行业务持续性和影响分析。 3.2.2 业务持续性和影响分析由行政部组织，其他各有关部门分别开展如下活动： a) 对本部门信息安全进行风险评估； b) 识别出对本部门业务持续性导致严重影响重要事件，如设备故障、火灾等； c) 分析这些事件一旦发生对企业业务活动导致影响和损失，以及恢复业务所需费用等； d) 编写[业务持续性和影响分析汇报]，详见附录A 。 3.2.3 [业务持续性和影响分析汇报]应包括如下内容： a) 识别关键业务管理过程； b) 也许引起企业业务活动中断重要事件； c) 重要事件对本部门管理信息系统影响； d) 信息系统故障或中断对企业业务活动影响； e) 有关系统恢复或替代费用考虑。 3.3 编制[业务持续性管理实行计划] 由风险评估小组制定组织级《业务持续性管理实行指南》，详见附录 B，并提交企业事故应急小组讨论，经同意后予以执行。 3.3.1 根据组织级《业务持续性管理实行指南》，各有关部门分别编制本部门管理[业务持 续性管理实行计划]，并由事故应急小组同意，以便在这些系统发生中断时实行。 3.3.2 [业务持续性管理实行计划]包括如下方面内容： a) 计划实行所波及部门/人员职责、权限及接口关系描述； b) 业务中断速报程序及规定； c) 业务中断恢复程序及措施； d) 业务中断恢复时限规定； e) 保持企业业务运作持续应采用应急措施与备用措施； 3.4 [业务持续性管理实行计划]实行规定 上述重要系统一旦受到重大影响或中断后，有关部门应立即执行[业务持续性管理实行计划]，对系 统采用应急措施、进行恢复，保证企业生产经营活动持续运行。同步，应做好事故处理记录，记录内容应包括： a) 对系统中断原因调查分析； b) 系统中断导致损失记录； c) 采用纠正措施； d) 应吸取经验教训及防止措施等。 3.5 业务持续性计划测试与评审 3.5.1 每年下六个月由运管部组织有关部门对[业务持续性管理实行计划]进行测试，以判断计划可行性和有效性。测试可采用如下措施进行： a) 对已发生过业务中断及恢复措施实例进行讨论； b) 组织有关部门进行业务中断及恢复模拟演习； c) 采用技术手段对系统运行及中断恢复有关参数进行测量； d) 由供应商提供测试服务，保证所提供外部服务和产品符合协议规定； e) 测试完毕后填写[业务持续性管理计划评测汇报]。 附录A （资料性目录） 业务持续性和影响分析汇报 1 目 为防止企业生产、经营、管理活动在出现重大事故/危机或劫难状况下受到影响或中断，实现业务可持续发展，对信息系统在出现故障、劫难状况下,对我司业务影响做出分析。 2 故障/劫难风险种类分析 影响业务可持续性风险重要有： a) 地震（非建筑物消灭） 、水灾、火灾、台风、雷击等环境故障导致信息系统中断甚至消灭； b) 电源故障导致设备断电以至生产中断； c) 重要原材料供应商遭遇事故, 而无法及时供应原材料； d) 生产设备故障, 导致生产进度无法及时完毕。 3 故障/劫难对企业业务影响 表 1.故障/劫难影响 序号 灾害/故障 企业业务影响 程度 备注 1 地震 企业生产经营中断，业务受到影响。 中 2 水灾 企业生产中断, 业务受到影响 小 3 火灾 企业生产受到影响，企业业务中断。 重大 4 台风 对生产影响轻微，不影响业务 小 5 雷击 导致断电, 生产中断 中 6 断电 生产中断，业务受到影响。 中 7 生产设备故障 无法按照预定生产进度生产, 影响企业出货 中 8 供应商无法及时供货 无法按照预定生产进度生产, 影响企业出货 重大 根据故障/劫难一旦发生后对信息系统和业务影响，对中等以上，确定防备措施，对影响重大进行业务持续性恢复分析筹划。 4 信息系统故障/劫难防备和恢复分析 表 2. 信息系统故障/劫难防备和恢复分析表 序号 灾害/故障 防备措施 恢复措施 恢复规定 1 地震 建筑构造抗震 视状况而定 视情況而定 2 火灾 设置消防器材 RPO=7 天 RTO=7 天 3 雷击 避雷装置,建筑接地,抗静电地板 目前无法测试，视 目前无法测试，视 4 断电 与有关方签订协议保证供电 用自用发电机进行发电 根据停电具 体原因恢复时 间不一样 5 生产设备故障 平时对机器进行保养和维护 规定维修工人及时维修 视情況而定 6 供应商无法及时供货 与供应商签订优先供货协议 迅速联络备用供应商进行供货 视情況而定 上述劫难恢复能力根据业务规定确定，为第 1级-基本支持级。 5 分析总结 根据上述信息系统故障/劫难防备和恢复分析，对火灾引起信息系统中断按《业务持续性管理实 施计划》进行恢复。 附录B （资料性附录） 业务持续性管理实行指南 为了减少重大故障与突如其来灾害给企业正常工作带来影响，将其带来损失最小化，特制定如下详细措施规定如下： 业务中断 事件 发生几率 导致影响 允許中断時间/小時 控制措施 系統恢复時 限规定/小 時 测试 系統恢复時 停 电 有时 1.短时间停电给工作造 成临时中断。 2.较长时间停电对工 作正常进行导致一定 障碍。 2 作正常进行导致一定 采用备用发电机发电 否 行政管 理中心 生产机器 随时也许发生机 器故障，但多台 机器同步故障概 率极小 个别机器不能正常工 作，但对工作总体影 响不大 3 1. 及时抢修 2. 留有备用机器 3. 联络工作机供应商。 根据不一样故 障，修理时 间不一样 测试供应商 可在一种工 作日里完毕 故障修理。 行政管 理中心 外来人员破 坏 1.企业大楼门卫 负责。 2.进入企业须在 门卫处进行来访 登记。 个别工作场所资料有 外泄也许 2 1. 严防不明人员进入企业。 2. 来访人员登记进入，与业务无关人员不得进入工作 场所。 2 否 行政管理中心 火 灾 行政管理中心负 责定期检查灭火 设备，发生可 能性很小。 办公楼灾火 无法正常工作 1 1. 按规定配置防火器材，定期检查有效性。 2. 工作间内严禁吸烟，不得使用与业务无关电器。如 遇火灾，迅速联络消防部门，并在灭火前后控制企业 信息流向，进行保密处理。 3. 重要数据保有备份。重要纸面资料放置在柜子中。 根据火灾面 积而不一样 否 行政管 理中心 洪 水 极小 地区性劫难 企业可临时搬迁，进行工作。 视情而定 情況而定 否 行政管 理中心 地 震 极小 地区性劫难 假如都市预警告知，提前与客户协商处理方案。 情況而定 否 行政管 理中心 供应商无法及时供货 低 生产无法按照进度进行, 也许会影响交货期 3天 启用备用供应商，对原材料进行供货 3天 否 采购部门