QEP程序文件业务持续性控制程序DOCNO文件编号QEP-013REV版本APAGE页码1of31范围本标准规定了业务连续性影响分析、持续计划、计划定期测试与评审。本标准适用于本公司各部门。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改或修订均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。3术语和定义无4职责和权限4.1管理者代表组织体系部及业务部门进行关于信息安全事件的影响分析,对持续改进计划或方案进行审核和批准。4.2集团IT部负责对企业网业务持续性的控制,对由于信息安全事件导致的业务连续性影响进行技术分析,提出持续改进计划,对计划进行定期测试和评审。4.3各业务部门对由于应用系统信息安全事件导致的业务连续性影响进行分析,提出持续改进计划,对计划进行监督管理。5活动描述5.1业务持续性管理过程业务持续性管理过程见图1。业务持续性和影响分析?业务持续性与影响分析报告编制业务持续性计划并实施?业务持续性管理实施计划业务持续性定期测试与评审?业务持续性管理测试报告?业务持续性管理评审报告必要时,对计划修改QEP程序文件业务持续性控制程序DOCNO文件编号QEP-013REV版本APAGE页码2of35.2业务持续性和影响的分析5.2.1应用系统在条件具备时进行业务持续性和影响的分析。5.2.2业务持续性和影响的分析由体系部组织,相关部门参加,分别开展以下活动:a)相关部门识别出对本部门业务持续性造成严重影响的主要事件,如设备故障、火灾等;b)分析这些事件一旦发生对本公司业务活动造成的影响和损失,以及恢复业务所需费用等;c)编写本部门《业务持续性和影响分析报告》。5.2.3《业务持续性和影响分析报告》应包括以下内容:a)识别关键业务的管理过程;b)可能引起本公司业务活动中断的主要事件;c)主要事件对本部门管理的信息系统的影响;d)信息系统故障或中断对本公司业务活动的影响;e)关于系统恢复或替换的费用考虑。5.3编制《业务持续性管理实施计划》5.3.1有关部门编制的《业务持续性和影响分析报告》完成后应提交体系部,由体系部汇总制订本公司《业务持续性和影响分析报告》。5.3.2体系部负责确定影响本公司业务连续性的重要信息系统,组织相关部门参加制定《业务持续性管理实施计划》。5.3.3《业务持续性管理实施计划》应包括以下方面的内容:a)计划实施所涉及的部门/人员的职责、权限及接口关系的描述;b)系统中断的速报程序及要求;c)系统中断的恢复程序及方法;d)系统中断的恢复时限要求;e)保持本公司业务运作连续应采取的应急措施与备用措施;f)必要的技术支持及资源要求。5.4《业务持续性管理实施计划》的实施要求重要系统一旦受到重大影响或中断后,有关部门应立即执行《业务持续性管理实施计划》,对系统采取应急措施、进行恢复,确保本公司业务经营活动的持续运行。同时,应按照《信息安全事件管理程序》做好事故处理记录,记录内容应包括:a)对系统中断原因的调查分析;b)系统中断造成损失的统计;c)采取的纠正措施;QEP程序文件业务持续性控制程序DOCNO文件编号QEP-013REV版本APAGE页码3of3d)应吸取经验教训及预防措施等。5.5业务持续性计划的测试与评审5.5.1每年由体系部组织有关部门对《业务持续性管理实施计划》进行测试,以判断计划的可行性和有效性。测试可采用以下方法进行:a)对已发生过的业务中断及恢复措施实例进行讨论;b)组织有关部门进行业务中断及恢复的模拟演练;c)采用技术手段对系统运行及中断恢复的相关参数进行测量;d)由供应商提供测试服务,确保所提供的外部服务和产品符合合同要求。5.5.2测试完成后填写《业务持续性管理计划测试报告》,体系部组织有关的部门对计划的适用性和有效性进行评审,形成本公司《业务持续性管理计划评审报告》。5.5.3根据《业务持续性管理计划评审报告》的要求,决定是否对本公司《业务持续性管理实施计划》进行修改。6相关文件无7记录表单7.1业务持续性管理实施计划7.2业务持续性管理计划测试报告7.3业务持续性管理计划评审报告7.4业务持续性和影响分析报告BIA
