业务连续性计划表

1.目的：为了防止公司营运活动中断，确保公司的核心业务和支持性业务的连续运作，减少各种安全风险可能带来的损失，制定本程序。

2.范围：适用于本公司的核心业务和支持性业务持续性管理控制。

3.定义：3.1 BCP（业务连续性计划）：一套基于业务运行规律的管理要求和规章流程，使一个组织在突发事件面前能够迅速作出反应，以确保关键业务功能可以持续，而不造成业务中断或业务流程本质的改变。

3.2紧急应变计划：指发生紧急事件而采取应急措施的预案。

4.职责：4.1应急组总指挥：分析内外部形势，决定何时、采取何种补救措施；下达命令，控制整体局势；制定整体计划；组织、监督所有部门的预防管理工作，以及组织执行业务持续计划和危机恢复计划。

4.2现场指挥：协助总指挥组织及管理相关业务持续计划和危机恢复计划的工作。

4.3各部门负责人及应急组成员：负责整个厂区的危机预防工作，对员工进行日常安全培训；在危机发生时，协助总指挥及其他小组领导执行业务持续计划和危机恢复计划，以及组织检查各部门的防护情况，一旦得到危机通知，立即釆取补救措施。

5.程序：5.1公司危机风险评估中属高度风险者，评估负责人应正确且迅速传至公司管理层并进行监督与管理，使公司管理层能做出正确决策，以顺利启动复原工作；公司应让应急组发挥功能，使灾害损失最低紧急应变指在重大事故发生后0. 5小时内所应采取的行动。

5.2公司应依照风险分析属高风险之危机项目（如火灾、水灾、地震、台风、突发公共卫生事件、停水停电、生产安全事故、员工罢工、网络安全等），制修定完善相应的紧急应变计划，具体详见公司《自然灾害紧急预案》、《突发公共卫生事件应急预案》、《突发公共卫生事件应急预案》、《生产安全事故应急预案》和《防止网络攻击政策和程序》。

5. 3公司依照风险分析属高风险之危机项目（突发安全事件方面）的紧急应变计划：a）信息报告：在公司内一旦出现或可能出现下面突发安全事件时，知情或最先发现人员利用手机、电话等工具立即报告值班保安，保安队长应迅速核实并立即报告公司应急组长；应急组长根据事态的严重程度，作出是否启动应急预案、拟采取的预警措施等预警决定后，立即通知各小组长按预警决定和各自职责，迅速做好有关应急处置的准备工作，必要时，向当地有关政府部门（如公安、消防、医院等）报警。

业务连续性应急计划评估表评估内容评估结果（是/否）说明是否针对业务的不同需求分别制定了业务连续性计划和业务应急计划，对于分别制定的计划将采取以下的方式对两类计划分别进行调研。

1.业务持续性计划程序是否建立业务持续性计划或管理的制度、流程及方法？业务持续性计划方法流程是否包括：⏹业务影响分析（BIA）；⏹风险评估；⏹确定风险处置策略；⏹制定业务持续性计划或方案；⏹落实或部署管理及技术措施；⏹测试与演练。

是否指定专人或部门全面负责BCP及其测试方案的的开发、实施及维护？是否有必要的团队或单位参与业务持续性计划或管理流程？如：IT部门、业务部门、风险管理部门等。

是否建立企业范围的针对机构关键任务及操作的BCP及测试计划？是否制定相应的程序来确保当前BCP的维护及发布，包括：⏹指定BCP变更维护责任人，与BCP相关的变更包括流程、人员及环境；⏹将修订后的计划及时分发给员工。

是否定期进行业务持续性测试或演练？针对业务持续性计划是否有有效的审计，包括：⏹审计覆盖范围足够（如：业务、部门）；⏹对业务持续性准备情况（预案）的评估；⏹BCP测试包括对测试计划和结果的审查，以及对测试过程的观测；⏹审计发现文档化。

董事会或高管是否至少每年审查、批准BIA、风险评估、BCP撰写、测试计划及测试的结果？是否根据审查或测试过程中发现的问题，以及业务操作的变更及时修订BCP和相关测试方案？是否归档与业务持续性计划或管理相关的文档及记录？2.业务影响分析（BIA）和风险评估是否识别所有业务流程(活动)、业务功能（或组件）？是否识别所有业务功能（或组件）之间的依赖及需求关系，需求包括：⏹人员；⏹场所；⏹设施/设备/工具；⏹信息服务；⏹信息；⏹供应商及第三方服务等。

针对识别出的所有业务功能，是否识别或分析该业务功能的：⏹最大允许中断时间；⏹可接受的数据损失和积压交易程度；⏹恢复时间目标（RTO）；⏹恢复点目标（RPO）；⏹中断成本或影响等。

业务连续性计划事先制定一个完备的业务连续性计划（Business Continuity Planning,缩写为BCP），积极防范并且应变处理灾难发生的一系列后果，将灾难的蔓延和损失控制在企业能够承担的范围以内，已成为现代企业管理范畴内的一个十分重要的任务。

【第一部分】BCP的基本要素笼统地说，BCP的目标只有一个，那就是确定并减少危险可能带来的损失，有效地保障业务的连续性。

而有关BCP的一些特定目标我们将在以下各个部分中加以描述。

BCP实施的最终结果是：●一组防范危险的评测指标；●一支执行团队，在经过培训后可以处理各种危险事件；●一套计划，提供危险发生时的路线图。

该计划应该是充分和完备的，必须详细落实到该计划实施范围内的每一个单位、人员或设备。

我们下面所要讨论的主要是与企业中IT设施相关的内容，没有涉及到企业人员在危险状况下的安全管理问题。

每个企业所制定的BCP都应该有每个企业或者所处行业独有的特色，彼此之间不会完全一致，但大致上说来，一个完备的BCP主要是由以下一些关键部分构成的：一、危险评估危险评估就是认识并分析各种潜在危险的结果。

这些危险的来源可能是：●各种区域性的天然灾难，如洪水、地震、疫病等；●人为事故或蓄意破坏造成的严重灾难，如火灾、恐怖主义袭击等；●安全威胁、硬件、网络或通信故障；●灾难性的应用系统错误。

所有的危险都应纳入企业的危险评估范围，并且应对各种危险的可能来源地进行较准确的定位。

对于每一种危险的来源都应该认识到：●危险的类型；●危险的程度；●危险发生的可能性。

比如说，如果按照有无警示性先兆来分，各类危险还可以分为：●有些危险可能没有任何先兆而突然发生，无法事先防范；●有些危险可以有一定的先兆，可以迅速启动应急计划加以防范，比如疫病的传播；●有些危险可能从来不会发生。

如果按照危险的破环类型或程度来分，它们对业务的影响可以分为：●经营场所及设备完全破环；●经营场所及设备部分破环；●经营场所及设备完好，但人员不能进入，比如疫病的隔离、恐怖威胁造成的人员输散等。

业务连续性计划事先制定一个完备的业务连续性计划(Business Continuity Planning，缩写为BCP），积极防范并且应变处理灾难发生的一系列后果，将灾难的蔓延和损失控制在企业能够承担的范围以内,已成为现代企业管理范畴内的一个十分重要的任务.【第一部分】BCP的基本要素笼统地说，BCP的目标只有一个,那就是确定并减少危险可能带来的损失，有效地保障业务的连续性.而有关BCP的一些特定目标我们将在以下各个部分中加以描述。

BCP实施的最终结果是：●一组防范危险的评测指标；●一支执行团队，在经过培训后可以处理各种危险事件；●一套计划，提供危险发生时的路线图.该计划应该是充分和完备的,必须详细落实到该计划实施范围内的每一个单位、人员或设备。

我们下面所要讨论的主要是与企业中IT设施相关的内容,没有涉及到企业人员在危险状况下的安全管理问题。

每个企业所制定的BCP都应该有每个企业或者所处行业独有的特色，彼此之间不会完全一致,但大致上说来，一个完备的BCP主要是由以下一些关键部分构成的：一、危险评估危险评估就是认识并分析各种潜在危险的结果.这些危险的来源可能是：●各种区域性的天然灾难，如洪水、地震、疫病等;●人为事故或蓄意破坏造成的严重灾难，如火灾、恐怖主义袭击等；●安全威胁、硬件、网络或通信故障；●灾难性的应用系统错误。

所有的危险都应纳入企业的危险评估范围，并且应对各种危险的可能来源地进行较准确的定位。

对于每一种危险的来源都应该认识到：●危险的类型；●危险的程度;●危险发生的可能性.比如说,如果按照有无警示性先兆来分，各类危险还可以分为：●有些危险可能没有任何先兆而突然发生,无法事先防范；●有些危险可以有一定的先兆,可以迅速启动应急计划加以防范，比如疫病的传播；●有些危险可能从来不会发生。

如果按照危险的破环类型或程度来分，它们对业务的影响可以分为:●经营场所及设备完全破环；●经营场所及设备部分破环；●经营场所及设备完好,但人员不能进入，比如疫病的隔离、恐怖威胁造成的人员输散等。

业务连续性计划本次工作计划介绍：在当前充满变数的市场环境中，为了确保我司业务的稳定运行，提高应对突发事件的能力，特制定本业务连续性计划。

计划围绕我司实际情况，结合各部门工作特点，从组织架构、风险评估、应急响应、恢复策略等方面进行全面规划。

一、组织架构调整：成立以CEO为组长，各部门负责人为成员的业务连续性管理小组，明确各部门职责，确保业务连续性计划的顺利实施。

二、风险评估：针对各部门业务进行深入分析，识别潜在风险，制定相应的风险应对措施。

对关键业务实行异地备份，确保业务数据的安全。

三、应急响应：建立应急响应机制，明确突发事件触发条件，制定应急预案。

针对不同级别、不同类型的风险，启动相应的应急响应措施。

四、恢复策略：在应急响应的基础上，制定业务恢复策略。

包括临时调整业务流程、启用备用设备、恢复数据等，确保业务在短时间内恢复正常运行。

五、培训与演练：定期组织业务连续性培训，提高员工应对突发事件的能力。

定期开展应急演练，检验业务连续性计划的实际效果，不断完善和优化计划。

六、监督与评估：设立业务连续性管理办公室，对业务连续性计划的实施进行全程监督。

定期对业务连续性计划进行评估，确保计划与实际业务需求相符。

通过本次业务连续性计划的制定和实施，我司将具备应对各类突发事件的能力，确保业务稳定运行，为客户创造更大价值。

以下是详细内容：一、工作背景近年来，随着市场竞争加剧，我司面临越来越多的挑战。

客户需求不断变化，技术更新迅速，各类突发事件对业务稳定运行构成威胁。

为了确保我司在竞争中立于不败之地，提高业务连续性，减少潜在风险，特制定本业务连续性计划。

二、工作内容1.组织架构调整：成立业务连续性管理小组，明确各部门职责，确保业务连续性计划的顺利实施。

2.风险评估：针对各部门业务进行深入分析，识别潜在风险，制定相应的风险应对措施。

3.应急响应：建立应急响应机制，明确突发事件触发条件，制定应急预案。

4.恢复策略：在应急响应的基础上，制定业务恢复策略，确保业务在短时间内恢复正常运行。

业务连续性管理程序（ISO27001-2013）1、目的减少由于经营活动中某个环节变化导致公司的业务受到严重影响或长时间不能回复，保证重要业务流程不受到重大故障和灾难的影响。

2、范围公司范围内所有的信息活动。

3、职责责任部门要定期测试所负责的连续性计划的可行性。

4、内容4.1运营的持续性管理基本要求a)根据风险出现的可能性和它们的影响,包括对重大运营过程的识别和优先考虑,来理解组织所面临的风险;b)理解中断对组织可能产生的影响(重要的是要找到处理较小事故以及能威胁组织生存的严重事故的解决办法) ,并确立信息处理设施的商业目标;c)考虑购买合适的保险,它可以成为运营持续性过程的组成部分;d)将与议定的商业目标和优先权一致的运营持续策略公式化和文件化;e)将与议定的策略一致的运营持续计划公式化和文件化;f)定期测试和更新处于适当位置上的计划和程序;g)确保运营持续性的管理并入组织的过程和结构。

4.2业务连续性和影响分析业务连续性的信息安全方面应从识别可能导致组织业务过程中断的事件（或一系列事件）开始，例如，设备故障、人为错误、盗窃、火灾、自然灾害和恐怖事件。

随后应是风险评估，根据时间、损坏程度和恢复周期，确定这些中断发生的概率和影响。

业务连续性风险评估的执行应有业务资源和过程拥有者的全面参与。

这种评估应考虑所有业务过程，并应不局限于信息处理设施，但应包括信息安全特有的结果。

并且要将不同方面的风险链接起来，以获得一副完整的组织业务连续性要求的构图。

该评估应按照组织的相关准则和目标，如关键资源，中断影响，允许中断时间，恢复的优先级，来识别、量化并列出风险的优先顺序。

根据风险评估的结果，应开发业务连续性战略，以确定整体的业务连续性方法。

该战略一旦被制定，就应由管理者签署，并制定计划，签署实施该战略。

4.3制订和实施业务连续性计划应当制定计划,以便在关键的运营过程中断或出现故障之后所要求的时间范围内,维护或恢复商业运营。