业务持续性应急计划评定表评定内容评定成果(是/否)阐明与否针对业务的不同需求分别制订了业务持续性计划和业务应急计划,对于分别制订的计划将采用下列的方式对两类计划分别进行调研。1. 业务持续性计划程序与否建立业务持续性计划或管理的制度、流程及办法?业务持续性计划办法流程与否涉及:业务影响分析(BIA);风险评定;拟定风险处置方略;制订业务持续性计划或方案;贯彻或布署管理及技术方法;测试与演习。与否指定专人或部门全方面负责 BCP 及其测试方案的的开发、实施及维护?与否有必要的团体或单位参加业务持续性计划或管理流程?如:IT 部门、业务部门、风险管理部门等。与否建立公司范畴的针对机构核心任务及操作的 BCP 及测试计划?与否制订对应的程序来确保现在 BCP 的维护及公布,涉及:指定 BCP 变更维护负责人,与 BCP 有关的变更涉及流程、人员及环境;将修订后的计划及时分发给员工。与否认期进行业务持续性测试或演习?针对业务持续性计划与否有有效的审计,涉及:审计覆盖范畴足够(如:业务、部门);对业务持续性准备状况(预案)的评定;BCP 测试涉及对测试计划和成果的审查,以及对测试过程的观察;审计发现文档化。董事会或高管与否最少每年审查、同意 BIA、风险评定、BCP撰写、测试计划及测试的成果? 与否根据审查或测试过程中发现的问题,以及业务操作的变更及时修订 BCP 和有关测试方案?与否归档与业务持续性计划或管理有关的文档及统计?2. 业务影响分析(BIA)和风险评定与否识别全部业务流程(活动)、业务功效(或组件)? 与否识别全部业务功效(或组件)之间的依赖及需求关系,需求涉及:人员;场合;设施/设备/工具;信息服务;信息;供应商及第三方服务等。针对识别出的全部业务功效,与否识别或分析该业务功效的:最大允许中断时间;可接受的数据损失和积压交易程度;恢复时间目的(RTO);恢复点目的(RPO);中断成本或影响等。与否对识别出的业务功效进行业务优先级排序,排序与否适宜?与否识别核心途径(含有最高优先级的业务流程或系统)?针对识别出的全部(或核心)业务功效(或组件),与否识别造成业务功效(或组件)中断或不可用的威胁?涉及:自然灾害,如:火灾,洪水,恶劣天气,空气污染,危险品泄露等;技术问题,如:通讯中断,电力中断,设备和软件故障,运输中断,断水等;恶意行为,如:欺诈,盗窃或敲诈...
