文档编号:XXXX-IT/ISMS-B-13
XXXX有限公司
IT/ISMS程序文件
业务持续性管理程序
拟制
编制小组
审核
XXX
批准
XXX
日期
2023-01-10
日期
2023-01-10
日期
2023-01-10
修订记录
日期
版本
修订内容概要
拟制
审核
批准
2023-01-10
A/0
首次发布
编制小组
XXX
XXX
XXXX有限公司对本文件资料享受著作权及其它专属权利,未经书面许可,不得将该等文件资料(其全部或任何部分)披露予任何第三方,或进行修改后使用。
目录
TOC\o1-2\h\z\u24542目录 2
197001目的 3
121412范围 3
167073职责 3
319234相关文件 3
249565程序 3
286736记录 4
1目的
确保组织的业务能够持续稳定的进行,最低限度的降低信息安全事件对业务的影响。
2范围
整个业务持续性管理体系的覆盖范围是:
属于组织的一切受知识产权保护的信息;
在组织业务运作地点使用,属于组织客户的一切受知识产权保护的信息;
属于组织的一切物理实体,包括建筑物、技术部以及其它的一切设施与设备。
3职责
3.1技术部
审批业务连续性计划,分配相关资源,确保业务连续性活动顺利进行。
3.2各相关部门
配合技术部负责相关业务持续性计划的实施。
4相关文件
《信息安全事件管理程序》
5程序
5.1业务持续性和影响的分析
由技术部负责组织识别对业务持续性造成严重影响的主要事件,如信息系统设备故障、自然灾害等,分析一旦这些事件发生会对业务活动造成的影响和损失,以及统计恢复业务所需费用等。
业务持续性和影响分析应包括以下内容:
识别关键业务的管理过程;
识别可能引起业务活动中断的主要事件;
分析主要事件对信息系统和业务活动造成的影响;
考虑关于系统恢复或替换的需求。
5.2可用性管理
依据风险评估和业务影响分析结果,确定系统的可用性要求,制定可用性方案,在网络线路、重要系统服务、网络服务、电力系统等方面考虑冗余措施,确保满足系统的可用性要求。
5.3《信息安全连续性管理战略计划》(简称BCP)的编制与实施
技术部负责确定影响业务持续性的关键功能或业务,编制《信息安全连续性管理战略计划》。
《信息安全连续性管理战略计划》应包括以下方面的内容:
计划实施所涉及的部门/人员的职责及接口关系的描述;
业务中断的快速报告程序及要求;
业务中断的恢复程序及方法;
业务中断恢复的时限要求;
保持本组织业务持续运作应采取的应急措施与备用措施;
必要的技术支持及资源要求。
应对媒体的计划。
人事处理的计划。
重要系统一旦受到重大影响或中断后,技术部及相关部门应立即执行《信息安全连续性管理战略计划》,对信息系统采取应急措施,并进行恢复,确保业务活动的持续运行。同时,应按照《信息安全事件管理程序》做好事故处理记录,记录内容应包括:
对业务中断原因的调查分析;
业务中断造成损失的统计;
采取的纠正措施;
应吸取经验教训及预防措施等。
5.4业务持续性计划的测试与评审
每年年末由技术部组织相关部门对《信息安全连续性管理战略计划》进行测试,以判断计划的可行性和有效性。测试可采用以下方法进行:
对已发生过的业务中断及恢复措施实例进行讨论;
组织相关部门进行业务中断及恢复的模拟演练;
采用技术手段对系统运行及中断恢复的相关参数进行测量;
由外部服务供应商提供服务和产品测试,确保所提供的外部服务和产品符合合同要求。
测试完成后技术部负责编制《信息安全连续性计划实施方案测试报告》,并对计划的适用性和有效性进行评审,形成《信息安全连续性实施评价报告》。
根据《信息安全连续性实施评价报告》的要求,决定是否对《信息安全连续性管理战略计划》进行修改。
6记录
《信息安全连续性管理战略计划》
《信息安全连续性计划实施方案测试报告》
《信息安全连续性实施评价报告》