SYTXISMS-13 业务连续性管理程序
业务连续性管理程序
业务连续性管理程序业务连续性管理程序(ISO27001-2013)1、目的防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保关键业务活能及时恢复。
2、适用范围适用于公司信息系统遭受灾难事故后的处理。
3、术语和定义ISO/IEC27001:2013 信息安全管理体系要求ISO/IEC27002:2017 信息安全管理实用规则4、职责和权限信息安全领导办公室指导本程序的执行,并对执行情况进行监督检查;信息安全领导办公室立即组织力量对事故进行风险评估,评价业务中断的严重程度;XXX部在信息安全领导办公室的组织下,负责信息系统的操作系统、各类数据、网络等恢复,通讯设备的配置等工作。
5、主要活动5.1预防业务中断定期进行数据备份,通信线路、电源等日常检查是预防公司业务中断的主要方式。
在日常业务活动中,采取如下预防保护控制措施:●监督●访问控制●身份认证●防病毒●过滤●入侵检测系统5.2确定关键业务及其优先级XXX部负责识别关键业务活动,并按其重要性分为不同的优先级,关键业务的优先级也是中断后的恢复优先级。
关于业务活动优先级如下:(以下均为举例)最高:提供信息资源共享服务的XXX系统(服务器)提供信息安全防护的补丁分发/防毒软件服务系统各开发部门源代码/重要文档管理及存储系统高:关键开发/测试环境系统提供公司E-mail服务的Mail系统质量管理服务系统低:提供内部Web访问的系统针对不同的关键业务活动,制定业务恢复方案,并指定责任人和业务恢复时间。
详见《XXX关键业务恢复计划》。
5.3关键业务恢复计划测试XXX部每年一次,对《XXX关键业务恢复计划》进行测试,并对其保持或改进。
5.4实施关键业务恢复计划5.4.1 事件响应XXX部负责对中断业务的事故做出迅速反应,并执行《信息安全事件管理程序》。
5.4.2 业务恢复XXX部负责执行《XXX关键业务恢复计划》,在规定的时间范围内恢复被中断的业务。
业务连续性管理程序
业务连续性管理程序1目的本程序规定了组织运行信息系统业务连续性的职责权限、内容方法和要求。
2适用范围本程序适用于组织信息安全管理所覆盖的所有部门对业务连续性的控制管理。
3术语和定义4职责4.1信息安全委员会负责领导业务连续性管理工作,并提供所需要的资源。
4.2信息安全部在信息安全委员会的领导下,负责协调业务连续性管理工作。
4.3信息安全战略推进组负责编制业务连续性管理的相关指南,并提供相关培训和指导。
4.4相关部门负责相关业务系统的业务影响分析,制定和执行相关的业务连续性计划。
5管理流程及内容5.1预防业务中断a)定期备份数据是把重要数据复制到本机以外的地方,并加以安全保存。
这些备份数据可用于业务中断后的系统必得。
b)备份数据的介质可有多种。
例如:磁带、光盘、硬盘等,具体备份方法见《数据备份管理规》。
5.2进行业务影响分析5.2.1定义关键业务优先级每个部门都有一个名多个业务工作。
有些业务是关键的,称为关键业务。
关键业务是按其重要性又可分为若干个级别,称为优先级。
优先级的定义是基于最长可接受的停工期。
因此关键业务的优先级也是中断后的恢复先级。
为了便于各部门进行业务影响分析,组织决定采用3个优先级,具体如下:优先级1的最长可接受的停工期为24h以内,优先级2的最长可接受的停工期为72h以内,优先级3的最长可接受的停工期为10以内。
各部应根据其业务的重要性,定义出优先级。
5.2.2执行关键业务影响分析业务影响分析是所有业务连续性计划的基础。
业务影响分析是识别由于业务中断(或停止营业)所产生的各种影响,包括财务影响、企业形象影响和法律法规责任等方面的影响等。
业务影响分析也是业务风险评估。
各部门通过业务影响分析,形成“关键业务影响分析表”。
5.3制定恢复计划业务恢复是重新运行被中断的业务,并使其继续正常运行。
各部门在对本部门关键业务进行分析,产生“关键业务影响分析表”之后,应制定本部门的“关键业务恢复计划表”。
业务连续性管理程序
5 相关文件
5.1《紧急事故应急预案》
6 相关记录
6.1《业务持续性应急计划于预案》
编制
审核
核准
发行日期
版本
A0
⑤关于系统恢复或替换的费用考虑。
4.3业务持续性管理实施计划的要求
上述重要系统一旦受到重大影响或中断后,有关部门应立即启动《业务持续性应急计划》,对系统采取应急措施进行恢复,确保公司生产经营活动的持续运行,同时,应做好事故处理记录,记录内容包括:
1对系统中断原因的调查分析;
2系统终端造成损失的统计;
3.2行政部负责编制、修订公司业务持续性管理程序,并协调,推进公司业务持续性管理活动。
3.3业务部负责对外客户的联络,负责推进公司业务的发展。
3.4计划部采购部负责对供应商采购产品的调配,确保生产的顺利进行。
3.5生产部门根据业务部门协调、积极组织生产,确保生产任务及时完成。
4程序
4.1公司业务持续性管理过程如下:
3采取的纠正措施
4应吸取经验教训及预防措施等。
4.4业务持续性计划的评审
4.4.1每年由行政部组织有关部门对《业务可持续性应急计划》进行评审,特殊情况下可增加评审频率,以判断计划的可行性和有效性,测试可采用以下方法进行:
①组织有关部门进行业务中断及恢复的模拟演练(针对火灾、化学品泄漏等灾害);
②对已发生过的业务中断及恢复措施实例进行讨论;
4.2业务持续性和影响分析
4.2.1公司在首次安全风险评估后进行业务持续性和影响的分析。
4.2.2业务持续性和影响的分析由行政部组织,其他各相关部门分别开展以下活动:
①本部门的信息安全进行风险评估;
业务连续性管理章程:规定业务连续性管理的程序、要求和应用的规则
业务连续性管理章程:规定业务连续性管理的程序、要求和应用的规则第一章引言1.1 背景和目的在现代商业环境中,企业必须面对各种潜在的业务中断风险,如自然灾害、技术故障、供应链中断等。
为了保证企业的业务连续性,提高组织的稳定性和弹性,业务连续性管理成为了企业不可或缺的一部分。
本章程旨在规定业务连续性管理的程序、要求和应用的规则,保障企业的正常运营,并应对潜在风险。
1.2 适用范围本章程适用于本企业的所有部门和员工。
所有部门和员工都应遵守本章程中规定的业务连续性管理的程序和要求。
1.3 术语和定义在本章程中,以下术语和定义适用于全部内容:1. 业务连续性管理:指企业为应对潜在的业务中断风险而采取的措施和策略,以保证企业的业务连续运营。
2. 风险评估:指对可能导致业务中断的风险进行评估和分析,以确定其影响程度和概率。
3. 业务连续性计划:指为应对潜在的业务中断事件而制定的详细计划,包括应急响应、业务恢复和业务持续运营的措施和步骤。
4. 应急响应:指在业务中断事件发生后立即采取的措施,以减轻损失并保护员工和财产的安全。
5. 业务恢复:指在业务中断事件后恢复正常业务运营的过程和活动。
6. 业务持续运营:指在业务中断事件后,持续保持正常业务运营的能力。
第二章业务连续性管理的原则和概念2.1 持续改进业务连续性管理应作为一个持续改进的过程,不断优化和提升应对潜在风险的能力。
企业应定期审查和更新业务连续性计划,并进行演练和测试,以确保其有效性。
2.2 风险评估和管理企业应进行全面的风险评估,识别和评估可能导致业务中断的风险,并采取适当的措施进行管理和减轻风险。
风险评估应包括对内部和外部风险的综合分析,以制定相应的应对措施。
2.3 业务连续性计划企业应制定详细的业务连续性计划,包括应急响应、业务恢复和业务持续运营的措施和步骤。
业务连续性计划应与企业的风险评估和业务需求相匹配,并定期进行测试和更新。
第三章业务连续性管理的程序和要求3.1 风险评估企业应通过风险评估来识别和评估可能导致业务中断的风险。
业务连续性管理程序
业务连续性管理程序在当今复杂多变的商业环境中,企业面临着各种各样的潜在威胁和风险,如自然灾害、网络攻击、供应链中断、人员短缺等。
这些突发事件可能会对企业的正常运营造成严重影响,甚至导致业务的中断。
为了应对这些挑战,确保企业在面临危机时能够迅速恢复正常运营,业务连续性管理程序应运而生。
业务连续性管理程序是一套全面的、系统性的方法和流程,旨在帮助企业识别潜在的风险和威胁,制定相应的应对策略和预案,以及在突发事件发生时能够有效地执行这些预案,以保障业务的连续性。
一、业务连续性管理程序的重要性1、保障企业的生存和发展业务的连续性是企业生存和发展的基础。
如果企业因为突发事件而无法正常运营,可能会失去客户、市场份额和声誉,甚至面临倒闭的风险。
通过实施业务连续性管理程序,企业能够在最短的时间内恢复业务运营,减少损失,保障企业的生存和发展。
2、满足法律法规和监管要求许多行业都受到法律法规和监管机构的要求,必须建立有效的业务连续性管理体系。
例如,金融、医疗、能源等行业,如果企业无法满足这些要求,可能会面临罚款、停业整顿等处罚。
3、增强企业的竞争力在客户越来越注重供应商稳定性和可靠性的今天,拥有完善的业务连续性管理程序的企业能够给客户更多的信心,从而在市场竞争中脱颖而出。
4、保护员工和利益相关者的利益企业的员工和利益相关者(如股东、供应商、合作伙伴等)都依赖于企业的正常运营。
业务连续性管理程序不仅能够保障员工的工作和收入,还能够保护利益相关者的利益。
二、业务连续性管理程序的主要步骤1、风险评估风险评估是业务连续性管理程序的第一步。
企业需要对可能影响业务运营的各种风险和威胁进行全面的识别和评估,包括内部风险(如人员流失、设备故障等)和外部风险(如自然灾害、市场波动等)。
评估风险的可能性和影响程度,为后续的策略制定提供依据。
2、业务影响分析在风险评估的基础上,进行业务影响分析。
确定关键业务流程和支持这些流程的资源(如人员、设备、数据等),评估突发事件对这些关键业务流程和资源的影响,包括业务中断的时间、损失的程度等。
业务连续性管理流程
业务连续性管理流程在当今复杂多变的商业环境中,业务连续性管理流程已成为企业生存和发展的关键。
它不仅能帮助企业在面临各种突发事件时保持业务的正常运转,还能增强企业的抗风险能力和竞争力。
接下来,让我们深入了解一下业务连续性管理流程的各个环节。
一、业务连续性管理的规划这是整个流程的起点,也是最为关键的一步。
在规划阶段,企业需要全面评估可能面临的风险和威胁,包括自然灾害、人为失误、网络攻击、供应链中断等等。
通过风险评估,确定哪些业务流程对于企业的生存和发展至关重要,这些关键业务流程将成为业务连续性管理的重点关注对象。
同时,企业还需要制定明确的业务连续性目标和策略。
目标应当具体、可衡量,并与企业的整体战略相一致。
策略则要包括预防措施、应急响应计划以及恢复策略等。
例如,对于可能发生的自然灾害,企业可以提前建立备用的数据中心,制定员工疏散计划等。
二、资源的准备一旦确定了业务连续性的目标和策略,接下来就需要准备相应的资源。
这包括人力资源、物质资源和技术资源等。
人力资源方面,需要组建一支业务连续性管理团队,包括各个部门的关键人员,他们要熟悉企业的业务流程,具备应急处理的能力。
物质资源方面,要储备必要的应急物资,如食品、水、药品、应急照明设备等。
对于一些依赖特定设备的企业,还需要准备备用设备或者建立设备的快速采购渠道。
技术资源则涉及到数据备份和恢复系统、通信设备、网络设施等。
确保在突发事件发生时,企业能够迅速切换到备用系统,保持信息的流通和业务的运作。
三、培训与演练有了规划和资源准备还不够,员工必须清楚在紧急情况下应该做什么。
因此,培训和演练是业务连续性管理流程中不可或缺的环节。
培训的内容包括风险意识的培养、应急流程的熟悉、各种资源的使用方法等。
通过定期的培训,让员工了解企业面临的潜在风险,掌握应对突发事件的技能。
演练则是对培训效果的检验和对预案的完善。
演练可以采用桌面演练、模拟演练等多种形式。
在演练过程中,发现预案中存在的问题和不足之处,及时进行修订和完善。
业务连续性管理指南
业务连续性管理指南
目标
本文档旨在提供一个业务连续性管理的指南,帮助组织确保在紧急情况下能够维持业务的连续性。
以下是一些关键步骤和建议。
风险评估和计划
1. 识别潜在的业务中断风险和影响。
2. 评估每个风险的概率和严重程度。
3. 制定适当的业务连续性计划,以减轻潜在风险的影响。
持续监测和评估
1. 建立监测机制,以及时检测潜在的风险和中断。
2. 定期评估业务连续性计划的有效性和适应性。
3. 根据评估结果进行必要的调整和改进。
保障关键资源和设备
1. 识别关键资源和设备,并制定相应的保护策略。
2. 实施适当的备份和恢复机制,以确保关键资源和设备的可用性。
3. 定期进行测试和演练,以验证备份和恢复机制的有效性。
人员培训和意识提升
1. 培训关键员工,使他们了解业务连续性计划和其在紧急情况
下的作用。
2. 提高员工对潜在风险和应对措施的意识。
3. 定期组织紧急情况演练,提高员工在紧急情况下的应对能力。
持续改进和审查
1. 定期审查和评估业务连续性计划的有效性。
2. 根据实际的紧急情况和反馈意见,进行必要的改进。
3. 提供适当的培训和支持,以确保组织内部对业务连续性管理
的持续改进。
总结
业务连续性管理是组织确保在紧急情况下能够维持业务连续性
的重要手段。
通过风险评估和计划、持续监测和评估、保障关键资
源和设备、人员培训和意识提升以及持续改进和审查等步骤,组织
可以有效应对潜在的业务中断风险,保障业务的连续性。
ISMS体系业务持续性管理程序
信息安全管理体系业务持续性管理程序1 目的与范围本程序规定了当发生重大信息安全事件或灾难时,为保护公司业务活动免受影响,迅速恢复已中断的业务活动,实现公司业务持续发展而实施的管理活动。
这些活动包括:建立业务持续性管理程序;进行业务持续性和影响分析;编制业务持续性战略计划;制订业务持续性管理实施计划并实施;对业务持续性管理计划进行定期测试和评审等。
本程序适应于本公司应用软件的开发和系统集成的活动等主要业务的持续性管理。
2 相关文件2.1 ISMS-1000《信息安全管理手册》2.2 ISMS-2021《信息资产的识别与风险评估管理程序》2.3 ISMS-2033《事故、薄弱点与故障管理程序》3 职责3.1 公司常务副总经理负责公司业务中断的恢复的总指挥与总协调。
3.2 集成部负责编制、修订公司业务持续性管理程序,并协调、推进公司业务持续性管理活动。
3.3 各部门负责部门相关系统的故障处理及与之相关的作业中断的恢复。
3.4 技术部负责项目实施过程中设备及软件系统的故障处理及与之相关的作业中断的恢复。
3.5 集成部负责后勤系统设备及网络系统的故障处理及与之相关的作业中断的恢复。
3.6 行政部负责本部门管理系统及与之相关的作业中断的恢复。
3.7 公司各部门在发生重大信息安全事件或灾难时,负责保护本部门使用的信息系统及业务数据,及时恢复中断的业务活动。
4 工作程序4.1 业务持续性管理过程公司业务持续性管理过程规定如下:4.2 业务持续性和影响的分析4.2.1 公司在首次信息安全风险评估后进行业务持续性和影响的分析。
4.2.2 业务持续性和影响的分析由集成部组织,技术部、行政部、生产部及管理者代表指定的相关部门分别开展以下活动:a)对本部门的信息安全进行风险评估;b)识别出对本部门业务持续性造成严重影响的主要事件,如设备故障、火灾等;c)分析这些事件一旦发生对公司业务活动造成的影响和损失,以及恢复业务所需费用等;d)编写本部门《业务持续性和影响分析报告》(格式见ISMS-4341)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文件编号:SYTX/ISMS-13 文件密级:内部公开XXXXXXXX有限公司业务连续性管理程序版本:A/0编制:综合管理部审核:梁霞批准:桂品受控状态:受控发布日期:2016年9月5日实施日期:2016年9月5日0/ 10变更记录1/ 10目录1.目的和范围 (1)2.引用文件 (1)3.职责和权限 (1)4.业务连续性管理流程 (1)4.1业务影响分析 (2)4.1.1识别组织关键业务 (2)4.1.2识别关键信息系统 (2)4.1.3风险评估 (3)4.1.4风险处置建议 (3)4.2连续性架构规划 (3)4.2.1确定团队与人员 (3)4.2.2确定利益相关方 (3)4.2.3确定数据和信息的获取方式 (4)4.2.4确定技术设施 (4)4.2.5确定其他供给需求 (4)4.2.6形成设计方案 (4)4.3制定应急预案 (4)4.3.1确定团队职责与分工 (4)4.3.2确定突发事件通告机制 (4)4.3.3确定人员疏散方式 (5)4.3.4确定损害评估机制 (5)4.3.5确定灾难启动机制 (5)4.3.6确定系统恢复过程 (5)4.3.7形成计划文档 (5)4.4演练与维护 (5)4.4.1设计演练方案 (5)4.4.2演练 (6)4.4.3评审和改进 (6)4.5冗余 (6)5.相关文件 (6)6.相关记录 (6)1.目的和范围为确保本单位的业务能够持续稳定的进行,最低限度的降低信息安全事件对业务的影响,特制订本管理程序。
业务连续性管理为关键业务过程提供IT支持。
提供IT服务连续性管理不仅包括服务中断时的系统安装和配置,还包括提供备份或容灾恢复的技术手段,以及关键业务过程所需要的IT基础设施、人员支持、数据等。
2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2)ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《信息安全事件管理程序》3.职责和权限1)信息安全管理者代表:审批业务连续性计划,分配相关资源,确保业务持续性活动顺利进行;在发生重大信息安全事件或灾难时担任本单位业务中断的恢复的总指挥与总协调。
2)综合部:负责组织进行业务影响分析,相关业务连续性计划(BCP)编写,审核BCP,组织BCP演练,监督修改完善;在发生重大信息安全事件或灾难时,负责协调进行信息和资产保护,及时恢复中断的业务。
3)各相关部门:配合综合综合部执行BCP的编写与演练;在发生重大信息安全事件或灾难时,负责保护本部门的信息和资产,及时恢复中断的业务。
4.业务连续性管理流程为方便理解业务连续性管理过程,将采用分级的方式进行表述。
业务连续性管理概要过程主要从整体上描述,不会体现具体的细节和涵盖所有的人员。
1)业务影响性分析业务影响分析是通过对所支持的客户业务过程进行分析和评估,以得出关键业务过程,以及对业务过程中断或发生灾难所能接受的水平,包括损失程度、恢复时间、优先级别等,并最终映射到IT服务和IT基础设施上,从而得到对IT服务连续性管理的需求。
并进行相应的风险评估,以及根据风险评估的结果建议相应的控制方式。
2)制定业务连续性框架通过对一系列应对方式(包括资源获取方式)的策略评估,确定业务连续性框架,为每一服务选择了合适的响应方式,使得组织可以在中断发生中或发生后能够按预定的条件持续提供服务。
3)制定应急预案开发具体的服务连续性应对措施,建立事故管理和业务连续性、业务恢复计划的管理框架,以详细描述在事故发生中或发生后维持和恢复运行的步骤。
4)演练与维护通过服务连续性的演练、维护和评审使得组织保证服务连续性策略和计划完成、更新和准确的程度。
4.1业务影响分析业务影响分析是通过对所支持的客户业务过程进行分析和评估,以得出关键业务过程,以及对业务过程中断或发生灾难所能接受的水平,包括损失程度、恢复时间、优先级别等,并最终映射到IT服务和IT 基础设施上,从而得到对业务连续性管理的需求。
并进行相应的风险评估,以及根据风险评估的结果建议相应的控制方式。
4.1.1识别组织关键业务在开发业务应急预案之前,应对以下方面对组织进行分析:1)识别组织的目标、利益相关方的义务、法定责任和组织运行的环境;2)识别活动、资产和资源,包括组织以外支持组织产品和服务交付的活动、资产和资源;3)活动、资产和资源的失效随时间推移的影响和后果。
在分析的基础上确定组织的关键业务,以及关键业务得到恢复的时间要求(RTO)以及数据恢复要求(RPO)。
4.1.2识别关键信息系统那些信息系统的崩溃将在最短的时间内带来重大影响,并需要快速恢复的系统,可被视为“关键信息系统”。
组织应识别为关键业务提供支持的关键信息系统和(或)支持服务。
4.1.3风险评估应对关键信息系统所面临的风险进行分析和评估,确定风险级别,特别是有关组织关键活动及导致关键活动中断的风险。
4.1.4风险处置建议作为业务影响分析和风险评估的结果,组织应该识别措施,以降低服务中断或崩溃的可能性、缩短中断期限、降低灾难对业务的影响。
4.2连续性架构规划组织应该对信息系统的连续性的架构进行规划和设计,在进行规划和设计时需要考虑的方面包括,1)人员;2)基础设施;3)技术设施;4)信息和数据;5)其他供给;6)利益相关方。
4.2.1确定团队与人员组织应确定识别管理参与服务连续性管理和恢复所需的核心技能和知识的合适方式,以及相关参与的人员。
能力和知识是指各种技术资源,包括技术人员、文档等,使得参与的团队和人员能够透彻地了解组织的业务情况和信息系统情况,深刻地把握单位灾难恢复系统的状态,并具有各种相关的技术能力,经历了多次灾难恢复演练,能在灾难发生时,迅速解决各种问题以确保单位关键业务系统的持续运行。
组织应根据灾难恢复目标,确定灾难备份中心在软件、硬件和网络等方面的技术支持要求,包括技术支持的组织架构、各类技术支持人员的数量和素质等要求。
4.2.2确定利益相关方组织应确定参与服务连续性管理和恢复的相关利益方、业务或服务合作伙伴及承包方的关系,以及联络方式和所分担的职责。
4.2.3确定数据和信息的获取方式组织应确定数据备份到安全地点的方式,以及在灾难发生时所需的数据获得方式和地点。
这将影响前期的数据备份方式和存储方式。
为了能达到信息系统灾难恢复的需求,还需要根据用户具体信息系统情况、备份的数据量、备份网络情况、数据的变化量等因素,制定备份策略和日程安排,以确保能在灾难恢复时间指标内实现恢复;另外,若备份系统是依靠电子传输的数据备份系统,还包括数据备份线路和相应的通信设备。
4.2.4确定技术设施备用技术设施是指当灾难发生时,确保业务持续运行所需的技术设施(包括网络、应用系统等)。
对于恢复所需的软、硬件设备以及与外部的通讯方式和线路等,应提前确定获取的方式和存放的位置,以及事前应该保证的状态等。
4.2.5确定其他供给需求确定恢复时所需的其他供给需求,如办公设备等。
4.2.6形成设计方案将上述关键活动的策略选项以及每一活动恢复所需的资源以及资源需求的获取方式,形成设计方案,设计方案由业务系统相关使用部门组织人员编写,行政部提供必要的基础设施支持,由信息安全管理者代表进行评审和发布。
4.3制定演练方案组织应将灾难一旦发生,所应执行的活动,形成文件,制定演练方案。
4.3.1确定团队职责与分工描述灾难恢复的组织结构,各个岗位的职责和人员名单,灾难恢复组织应包括急响应组,灾难恢复组等。
并列出灾难恢复相关人员和组织的联络表,包括灾难恢复团队,运营商、厂商、经理部门、媒体、员工、家属等,联络方式包括固定电话、移动电话、对讲机、电子邮件和住址等。
4.3.2确定突发事件通告机制任何人员在发现信息系统相关突发灾难发生或即将发生时,应按预定的过程报告相关人员,并由相关人员进行初步判断,通知和处理。
4.3.3确定人员疏散方式提供指定的集合地点和替代的集合地点,还包括通知人员撤离的办法,撤离的组织和步骤等。
4.3.4确定损害评估机制在突发事件发生后,应由应急响应组的损害评估人员,确定事态的严重程度,由灾难恢复责任人召集相应的专业人员对突发事件进行慎重评估,确认突发事件对信息系统造成的影响,确定下一步将要采取的行动,一旦系统的影响被确定,应将最新信息按照预定的通告过程通知给相应的团队。
4.3.5确定灾难启动机制应预先制定灾难恢复预案启动的条件,当损害评估的结果达到一项或多项启动条件时,组织将正式发出灾难启动,宣布启动灾难恢复预案,并根据宣告过程通知各有关部门。
4.3.6确定系统恢复过程1)恢复按照业务影响分析中确定的优先顺序,在灾难备份中心恢复支持关键业务功能的数据,数据处理系统和网络系统。
描述时间、地点、人员、设备和每一步的详细操作步骤,同时还包括特定情况发生时各团队之间进行协调的指令,以及异常处理过程。
2)重续运行灾难备份中心的系统替代主系统,支持关键业务功能的提供,这一阶段包括主系统运行管理所涉及的主要工作,包含重续运行的所有操作过程和规章制度。
3)灾后重建和回退最后阶段是主中心的重建工作,中止灾难备份系统的运行,回退到组织的主系统。
4.3.7形成计划文档将上述计划中的内容形成服务应急预案,并提交信息安全管理者代表及相关各方人员进行评审。
4.4演练与维护4.4.1设计演练方案演练应该是实际的、经过周密的计划,并获得利益相关方的认可,以使演练过程中业务中断的风险最小。
演练应经过计划,以使得因演练直接导致事故的风险最小。
每次演练都应清晰定义目的和目标。
演练的方式可能包括:桌面演练、模拟演练和真实演练。
4.4.2演练除非经过演练并实施维持,否则组织的业务连续性和事故管理安排不能认为是可靠的。
演练核心是开发团队合作、能力、信心和知识,这在发生事故时是非常重要的。
演练的计划可以在项目计划时进行确定。
4.4.3评审和改进演练后的简报和分析应考虑目的和目标的达成。
在演练结束以后以及在系统本身或外界环境发生重大变化时,应对服务连续性方案进行评审和维护,并保留必要的评审和改进记录。
4.5冗余根据本单位业务运行及风险评估的结果,创建冗余信息处理设施,具体的要求按照《网络设备配置和安全管理规定》的要求执行,并进行必要的冗余信息处理设施的故障切换测试,确保信息处理设施发生意外时,将业务中断对本单位的影响降低到最新。
5.相关文件✓《网络设备配置和安全管理规定》6.相关记录✓业务影响分析报告✓应急预案✓演练方案✓演练记录。