ISO27000：2013业务连续性管理计划

业务连续性计划(应急计划)引言概述：业务连续性计划(BCP)是组织为了在面临各种突发事件时保障业务正常运转而制定的一套应急计划。

随着全球经济的不断发展和信息化程度的提高，越来越多的组织意识到制定和实施业务连续性计划的重要性。

本文将详细介绍业务连续性计划的定义、目的、内容、实施流程和不断改进的重要性。

一、定义1.1 业务连续性计划是指组织为了应对各种突发事件而制定的一套综合性计划。

1.2 BCP的目标是在面临灾难性事件时，确保组织的核心业务能够持续运行。

1.3 BCP包括预防措施、应急响应、恢复和重建等方面的内容。

二、目的2.1 保障组织的核心业务能够持续运行，减少业务中断对组织造成的损失。

2.2 提高组织对各种突发事件的应对能力，降低业务风险。

2.3 增强组织的抗灾能力，提升组织的可持续发展能力。

三、内容3.1 评估业务风险：识别潜在的业务中断风险，分析其可能性和影响。

3.2 制定应急计划：根据风险评估结果，制定相应的应急预案和流程。

3.3 实施BCP演练：定期组织业务连续性计划演练，检验其有效性和可行性。

四、实施流程4.1 确定BCP团队：组建专门的业务连续性计划团队，负责制定和实施BCP。

4.2 制定BCP计划：根据业务风险评估结果，制定详细的业务连续性计划。

4.3 培训和演练：对组织内部人员进行业务连续性计划培训，定期组织演练。

五、不断改进的重要性5.1 定期评估和更新：定期对业务连续性计划进行评估，根据实践经验不断更新和完善。

5.2 持续改进：根据演练和实践中发现的问题，及时调整和改进业务连续性计划。

5.3 提高应对能力：通过持续改进，提高组织对各种突发事件的应对能力，确保业务的稳定运行。

结语：业务连续性计划是组织应对各种突发事件的重要保障，惟独制定科学合理的BCP，并不断改进和完善，才干提高组织的抗灾能力和可持续发展能力。

希翼各个组织都能重视业务连续性计划的制定和实施，确保业务的稳定运行。

业务连续性管理程序业务连续性管理程序（ISO27001-2013）1、目的防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保关键业务活能及时恢复。

2、适用范围适用于公司信息系统遭受灾难事故后的处理。

3、术语和定义ISO/IEC27001:2013 信息安全管理体系要求ISO/IEC27002:2017 信息安全管理实用规则4、职责和权限信息安全领导办公室指导本程序的执行，并对执行情况进行监督检查；信息安全领导办公室立即组织力量对事故进行风险评估，评价业务中断的严重程度；XXX部在信息安全领导办公室的组织下，负责信息系统的操作系统、各类数据、网络等恢复，通讯设备的配置等工作。

5、主要活动5.1预防业务中断定期进行数据备份，通信线路、电源等日常检查是预防公司业务中断的主要方式。

在日常业务活动中，采取如下预防保护控制措施：●监督●访问控制●身份认证●防病毒●过滤●入侵检测系统5.2确定关键业务及其优先级XXX部负责识别关键业务活动，并按其重要性分为不同的优先级，关键业务的优先级也是中断后的恢复优先级。

关于业务活动优先级如下：(以下均为举例)最高：提供信息资源共享服务的XXX系统(服务器)提供信息安全防护的补丁分发/防毒软件服务系统各开发部门源代码/重要文档管理及存储系统高：关键开发/测试环境系统提供公司E-mail服务的Mail系统质量管理服务系统低：提供内部Web访问的系统针对不同的关键业务活动，制定业务恢复方案，并指定责任人和业务恢复时间。

详见《XXX关键业务恢复计划》。

5.3关键业务恢复计划测试XXX部每年一次，对《XXX关键业务恢复计划》进行测试，并对其保持或改进。

5.4实施关键业务恢复计划5.4.1 事件响应XXX部负责对中断业务的事故做出迅速反应，并执行《信息安全事件管理程序》。

5.4.2 业务恢复XXX部负责执行《XXX关键业务恢复计划》，在规定的时间范围内恢复被中断的业务。

(Bus in ess Con ti nuity Pla nning. 缩写为BCP )业务连续性计划概述业务连续性计划是一套基于业务运行规律的管理要求和规章流程，使一个组织在突发事件面前能够迅速作岀反应，以确保关键业务功能可以持续，而不造成业务中断或业务流程本质的改变。

业务连续性是指企业有应对风险、自动调整和快速反应的能力，以保证企业业务的连续运转。

为企业重要应用和流程提供业务连续性应该包括以下三个方面。

1.高可用性(High availability )。

它是指提供在本地故障情况下，能继续访问应用的能力。

无论这个故障是业务流程、物理设施，还是IT软硬件故障。

2.连续操作(Continuous operations )。

它是指当所有设备无故障时保持业务连续运行的能力。

用户不需要仅仅因为正常的备份或维护而需要停止应用的能力。

3.灾难恢复(Disaster Recovery )。

它是指当灾难破坏生产中心时，在不同的地点恢复数据的能力。

同时，上述三个部分不是相互孤立的，是相互关联，而且有交叉的。

区分业务连续性和灾难恢复是很必要的。

严格地说，灾难恢复是恢复数据的能力，是业务连续性计划的一部分。

让业务连续性计划成为企业变化管理文化的一部分。

在制定企业业务连续性计划之后，不要把这个计划放在一边。

要确保该计划的切实可行，就需要把它变成活动的文档。

如果企业的业务模式发生了变化，或是业务过程进行了重新设计，或是发生突发状况时的重要联系人不再为公司工作，旧的计划就需要及时进行更新。

当有变化时，每个员工都应该问问自己该变化会对业务连续性计划中涉及到自己的部分会产生怎样的影响。

业务连续性计划的重要性现在的社会特别是经济社会对网络的依赖日益加深，传统的备份恢复式安全计划已经无法保证企业业务的连续运行。

业务连续性计划正是因此而生，它根据业务流程而非针对技术进行制订，有助于建立起更具统筹能力的安全管理制度。

据Gartner Group的调查结果显示，如果企业的大型数据中心和信息基础设施停止运行10日以上，超过百分之三十的企业在一个季度内倒闭，而接近90%的企业在一年内倒闭。

业务连续性管理制度目录........................ 3.1 •目的和范围...............2 •引用文件 .............................................................................. 3.3.职责和权限.............................................................................. 彳■4•业务连续性管理流程 4.• • •••■4.1.1 识别组织矢键业务 (4)4.1.2识别尖键信息系统 (5)4.2连续性架构规划........................................................................5..4.2.1 确定团队与人员 ...... 5,■4.2.2 确定利益相尖方 ...... 6,■4.2.3 确定技术设施 .................................................................... 6..4.3制定应急预案............................................................................ 6-■4.3.1确定团队职责与分工・・............. 6..4.3.2 确定突发事件通告机制 6.4.3.3 确定损害评估机制••… 6.4.3.4 确定灾难启动机制•• (7)4.3.5 确定系统灰复过程•• (7)4.3.6 形成计划文档 ..................................................................... 7..4.4演练与维护............... . (7)4.4.1设计演练方案・7・4.4.2演练........4.4.3 评审和改进•…5相尖i错误!未定义书签1-目的和范围为确保公司的业务能够持续稳定的进行，最低限度的降彳氐信息安全事件对业务的影响，特制订本管理制度。

目录1.目的 (4)2.适用范围 (4)2.1前提条件1： (4)2.2前提条件2： (4)3.定义 (4)3.1信息安全连续性管理计划： (4)3.2最大容忍中断时间： (4)3.3关键功能目标恢复时间： (4)3.4全部功能目标恢复时间： (4)3.5小规模灾难或故障： (4)3.6大规模灾难或故障： (4)4.规程 (5)4.1核心及支持性信息安全单元定义 (5)4.2信息安全连续性管理目标 (5)4.3信息安全连续性恢复顺序 ...................................................................... 错误!未定义书签。

4.4信息安全分类及灾难恢复指标 (5)4.5重大灾难、故障应急程序及计划 (5)4.6重大灾难、故障应急程序及计划演练计划 (6)5.引用文件 (6)6.记录 (6)1. 目的确保核心信息安全及支持性信息安全的连续运作，减少各种安全风险可能带来的损失。

2. 适用范围本计划适用于公司在以下前提条件下的信息安全连续性管理：2.1 前提条件1：公司不在同一时间内遭受同样大规模的破坏2.2 前提条件2：公司雇用关系、现金流、供应商关系、客户关系、政府关系、投资关系、合作伙伴关系没有受到重大影响3. 定义3.1 信息安全连续性管理计划：为预防信息安全风险、意外灾难可能带来的损失，有效保障公司核心信息安全及支持性的正常运作，而预先制订的一系列管理计划，包括：信息安全连续性管理目标、信息安全恢复指标、以及各类灾难、故障的应急和恢复程序。

3.2 最大容忍中断时间：指信息安全能容忍在没有正常支撑工具（如信息安全记录、信息系统、通信电话等）支撑的最大工作时间（不包括休息时间）。

3.3 关键功能目标恢复时间：指从灾难发生开始到信息安全关键功能（指核心信息安全功能，例如：客户要求的开发活动、支持开发活动必须的信息安全记录、信息系统、通信电话）得到恢复的时间。

[转载]ISO27001：2013新版信息安全管理体系标准变化精解ISO27001关于标准—基本情况ISO27001:2005改版ISO27001:2013改版背景现版的信息安全管理体系ISO27001:2005标准已经使⽤了8年，⽇前ISO组织（国际标准化组织）终于将新版ISO27001:2013DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见，预计在今年6-7⽉会发布DIS最终版。

ISO组织公布的正式版本的颁布时间为2013年10⽉19⽇改版影响在新版公布后的18⾄24个⽉内是认证转换缓冲期，即原有已取得ISO27001证书的企业最迟需要在2015年10⽉19⽇前转换到新版标准。

ISO27001的历史发展1992年在英国⾸次作为⾏业标准发布，为信息安全管理提供了⼀个依据。

BS7799标准最早是由英国⼯贸部、英国标准化协会（BSI）组织的相关专家共同开发制定的在1998年、1999年经过两次修订之后出版BS7799-1：1999和BS7799-2：1999。

2000年4⽉，将BS7799-1：1999提交ISO，同年10⽉获得通过成为ISO/IEC17799：2000版。

2005年对ISO/IEC17799：2000版进⾏了修订，于6⽉15⽇发布了ISO/IEC17799：2005版。

2007年上半年正式更名为ISO27002:2007。

2013年与ISO27001:2013版同步更新为ISO27002:2013.2001年修订BS7799-2：1999，同年BS7799-2：2000发布。

2002年对BS7799-2：2000进⾏了修订发布了BS7799-2：2002版。

ISO于2005年10⽉15采⽤BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。

2013年10⽉19⽇修订原版，正式使⽤ISO/IEC27001:2013版。