业务连续性控制程序

文件编号版本号修改号业务连续性管理程序BCM8.4-01A01.目的为了防止营运活动的中断,结合应急准备和响应控制程序,将灾难和管理缺失导致的营运中断情形降低到最低。

2.适用范围适用于本公司。

3.定义无4.职责4.1 最高管理者（总经理）:A、危机第一责任人，负责运营策划、实施、保持和持续改进；B、担任特别重大危机(Ⅰ级)的总指挥；C、重大危机后接受媒体报告。

4.2 质量负责人:A、危机第二责任人，负责各事业部运营执行；B、较大危机(Ⅱ级)及一般性危机(Ⅲ级)的总指挥。

4.3 管理部负责人:A、人才危机进行预测；B、收集各部门危机信息进行分析，启动危机预警；C、危机后人员的安抚及人力的调整；D、危机后对外信息的发布及媒体沟通；E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障。

4.4 市场营销部负责人:A、市场危机进行预测，收集市场信息；B、危机后负责向客户沟通，稳定市场。

4.5 事业部负责人:A、对本事业部存在危机信息的收集并汇报；B、危机后本事业部人员的安抚及人力的调整。

4.6 财务部负责人:A、财务危机进行预测；B、危机后提供危机所需的资金保障。

4.7 采购认证部负责人:A、供方危机进行预测；B、危机后物料的调配。

4.8 BCM工作小组:A、进行业务影响分析，识别关键活动及依赖，通过识别、定性或定量分析组织的业务功能的丧失、中断或损坏所造成的损失，为制定业务持续性策略提供依据；B、进行风险评估，对那些会导致关键业务中断的一系列的风险和威胁进行识别，通过分析其影响程度和发生概率，确定风险等级，进行风险排序并采取应对方案和措施，从而将风险尽可能降到最低；C、根据业务目标、收益成本和客户要求等因素，结合业务影响分析和风险评估，制定关键业务流程和恢复策略；D、依据BCM方法、工具和模板，在风险评估、业务影响和策略选择的基础上,拟制突发事件应急预案（IMP）和业务连续性计划（BCP）；E、进行BCM测试及演练，发现其中不足并加以改进；F、进行维护和改进，不断优化发展，满足公司业务需求。

QR8.1-01 NO.01业务连续性实施总策划控制业务总活动准则及要求主题 1：项目启动和管理确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

A. 专业角色是：1. 引导项目发起人定义目标、政策和关键成功要素a. 范围和目标b. 法律和需求动机c. 案例和业界最佳实务2. （通过策划指导委员会和项目任务组）协调和组织／管理BCP项目和整体BCP过程3. 使用效益控制方法和更改管理机制检查BCP过程4. 向管理层和关键人员介绍（推销）BCP过程。

5. 制定项目计划和预算（来启动BCP过程）6. 定义和建议过程结构和管理方式7. 管理项目以制定和实施BCP过程B. 专家应该证明其具有以下领域的实务知识：1. 确定业务连续性需求a. 参考相关的法律／法规／法令／合同的需求和约束b. 如果合适，参考相关的行业贸易组织或机构的规定c. 参考相关当局的当前建议d. 将立法、规章和要求与机构的政策相联系e. 识别机构政策与相关外部需求的任何冲突f. 识别任何审计记录g. 提出解决机构政策与相关外部需求之间任何冲突的方法，可以包括BCP在内h. 识别可能对机构灾难恢复能力具有负面影响的业务措施。

2. 传播业务连续性计划的需求a. 通过正式的报告和介绍进行意识培养b. 陈述BCP的优点并将其与机构的使命、目标和营运利益联系起来。

c. 获得机构对BCP过程的承诺d. 制定BCP过程的任务条款／宪章3. 将行政管理层包括在BCP过程中a. 解释行政管理层在BCP过程中的角色b. 解释和传播管理层在BCP过程中的职责和义务。

4. 建立一个计划／策划指导委员会：角色和职责、机构的类型、控制和发展、以及成员a. 选择适当的人员b. 定义角色和职责c. 制定一套适当的BCP过程目标5. 编制预算需求a. 清晰定义资源需求b. 获得财务需求评估c. 验证资源需求的正确性d. 验证财务需求评估e. 与管理层协商资源和财务需求f. 获得财务需求的执行承诺6. 确定计划团队及职责a. 紧急事件管理／事件响应／危机管理团队b. 业务连续性计划团队（多地点、多分支、等。

XXX有限公司程序规范ISO22301:2019文件编号: 4.2— 10.2版本/状态: A/0生效日期: 2020年2月21日编制：日期: 2020-2-21 审核: 日期：2020-2-21 批准：日期：2020-2-21目录过程名称标准条款号程序规范归口部门4.1 理解组织及其环境4.2 理解利益相关方的需求和期望4.3 确定业务连续性管理体系的范围P1-组织环境4.4 业务连续性管理体系4.2-01法律法规相关方要求控制程序综合部5.1 领导力和承诺.5.2管理承诺5.3方针P2-领导力5.4组织角色职责和权限5.3-01《业务连续性承诺方针》5.4-01《体系及各岗位职责权限分配》综合部P3-风险机会 6.1 应对风险和机会措施 6.1-01风险和机会控制程序综合部P4-目标计划.6.2 业务连续性目标及实现计划.BR6.2-01 S目标展开计划综合部P5-资源7.1 资源7.1-01资源控制程序综合部7.2 能力7.3 意识P6-人力资源7.4 沟通7.2-01人力资源控制程序7.4-01信息交流沟通控制程序综合部7.5 存档信息7.5.1 总则7.5.2 创建和更新P7-存档信息7.5.3 存档信息管理7.5-01存档信息控制程序综合部P8-实施策划控制8.1 实施的策划和控制.8.1-01实施策划和控制程序业务部P9-影响分析评估8.2 业务影响分析和风险评估8.2-01业务影响分析控制程序8.2-02信息化风险评估控制程序业务部P10-连续性策略8.3 业务连续性策略BR8.3-01业务连续性策略业务部P11-连续性程序8.4 建立和实施业务连续性程序8.4-01业务连续性管理程序8.4-02灾害灾难紧急预案8.4-03消防安全管理制度8.4-04危险化学品管理制度8.4-05供应商管理程序8.4-06外部提供过程产品服务控制程序8.4-07顾客反馈投诉控制程序8.4-08预警沟通管理程序8.4-09备份和恢复管理程序业务部等P12-演练和测试8.5 演练和测试8.5-01应急准备响应管理程序业务部P13-监测量分析评价9.1 监视、测量、分析和评价9.1-01监测分析评价程序综合部P14-内部审核9.2 内部审核9.2-01内部审核控制程序综合部P15-管理评审9.3 管理评审9.3-01管理评审控制程序综合部P16-改进10.1 总则10.1-01不合格纠正措施控制程序综合部10.2 不合格和纠正措施10.2-01持续改进控制程序10.3 持续改进。

ISO22301企业连续性管理系统控制程序ISO 22301 企业连续性管理系统控制程序响应格式1. 引言1.1 目的本文档旨在详细阐述 ISO 22301 标准下企业连续性管理系统的控制程序。

本程序的制定和实施旨在确保公司在面临各种潜在风险和灾难时，能够持续运营，保障企业的长期稳定发展。

1.2 范围本控制程序适用于我公司全范围内，包括各分支机构、部门和子公司。

1.3 参考资料- ISO 22301:2019 标准- 国家相关法律法规- 企业内部管理文件2. 术语和定义- 企业连续性管理（Business Continuity Management）：企业为应对各种风险和灾难，采取措施以保障企业在遭遇突发事件时，能够尽快恢复正常运营的过程。

- 控制程序（Control Procedure）：为确保特定目标实现而制定的一系列具体、可操作的措施和方法。

3. 控制程序要素3.1 风险评估- 收集和分析与业务连续性相关的风险信息，包括自然灾害、技术故障、人为错误等。

- 评估风险的可能性和影响，确定风险等级，制定相应的风险应对措施。

3.2 连续性计划- 制定企业连续性计划，明确在遭遇突发事件时的应急响应措施、人员职责、资源调配等。

- 定期审查和更新连续性计划，确保其与企业运营实际情况保持一致。

3.3 应急响应- 建立应急响应机制，包括预警系统、应急联络人、应急物资等。

- 组织应急演练，提高员工应对突发事件的能力。

3.4 业务恢复- 制定业务恢复计划，明确在突发事件后恢复业务的步骤、方法和时间表。

- 确保关键业务系统和数据能够在规定时间内恢复。

3.5 沟通与协调- 建立内部、外部沟通机制，确保在突发事件发生时，相关信息能够及时、准确地传递给相关人员。

- 与政府、行业协会、供应商等外部单位建立协调机制，共同应对突发事件。

3.6 培训与宣传- 对员工进行连续性管理培训，提高员工的意识、知识和技能。

- 通过各种渠道宣传连续性管理的重要性，形成全员参与的良好氛围。

业务连续性管理程序（ISO27001-2013）1、目的减少由于经营活动中某个环节变化导致公司的业务受到严重影响或长时间不能回复，保证重要业务流程不受到重大故障和灾难的影响。

2、范围公司范围内所有的信息活动。

3、职责责任部门要定期测试所负责的连续性计划的可行性。

4、内容4.1运营的持续性管理基本要求a)根据风险出现的可能性和它们的影响,包括对重大运营过程的识别和优先考虑,来理解组织所面临的风险;b)理解中断对组织可能产生的影响(重要的是要找到处理较小事故以及能威胁组织生存的严重事故的解决办法) ,并确立信息处理设施的商业目标;c)考虑购买合适的保险,它可以成为运营持续性过程的组成部分;d)将与议定的商业目标和优先权一致的运营持续策略公式化和文件化;e)将与议定的策略一致的运营持续计划公式化和文件化;f)定期测试和更新处于适当位置上的计划和程序;g)确保运营持续性的管理并入组织的过程和结构。

4.2业务连续性和影响分析业务连续性的信息安全方面应从识别可能导致组织业务过程中断的事件（或一系列事件）开始，例如，设备故障、人为错误、盗窃、火灾、自然灾害和恐怖事件。

随后应是风险评估，根据时间、损坏程度和恢复周期，确定这些中断发生的概率和影响。

业务连续性风险评估的执行应有业务资源和过程拥有者的全面参与。

这种评估应考虑所有业务过程，并应不局限于信息处理设施，但应包括信息安全特有的结果。

并且要将不同方面的风险链接起来，以获得一副完整的组织业务连续性要求的构图。

该评估应按照组织的相关准则和目标，如关键资源，中断影响，允许中断时间，恢复的优先级，来识别、量化并列出风险的优先顺序。

根据风险评估的结果，应开发业务连续性战略，以确定整体的业务连续性方法。

该战略一旦被制定，就应由管理者签署，并制定计划，签署实施该战略。

4.3制订和实施业务连续性计划应当制定计划,以便在关键的运营过程中断或出现故障之后所要求的时间范围内,维护或恢复商业运营。

1.目的为了防止营运活动的中断,结合应急准备和响应控制程序,将灾难和管理缺失导致的营运中断情形降低到最低。

2.适用范围适用于本公司。

3.定义无4.职责4.1 最高管理者（总经理）:A、危机第一责任人，负责运营策划、实施、保持和持续改进。

B、担任特别重大危机(Ⅰ级)的总指挥。

C、重大危机后接受媒体报告。

4.2 质量负责人:A、危机第二责任人，负责各部门质量运营执行。

B、较大危机(Ⅱ级)及一般性危机(Ⅲ级)的总指挥。

4.3 管理部负责人:A、人才危机进行预测。

B、收集各部门危机信息进行分析，启动危机预警。

C、危机后人员的安抚及人力的调整。

D、危机后对外信息的发布及媒体沟通。

E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障。

4.4 营业部门负责人:A、市场危机进行预测，收集市场信息。

B、危机后负责向客户沟通，稳定市场。

4.5 新产品开发部负责人:A、对本部门存在危机信息的收集并汇报。

B、危机后本部门人员的安抚及人力的调整。

4.6 财务部负责人:A、财务危机进行预测。

B、危机后提供危机所需的资金保障。

4.7采购课负责人:A、供方危机进行预测。

B、危机后物料的调配。

4.8 制造部、工艺工程部、技术模具部负责人:A、对本部门存在危机信息的收集并汇报。

B、危机后本部门人员的安抚及人力的调整。

4.9 BCM工作小组:A、进行业务影响分析，识别关键活动及依赖，通过识别、定性或定量分析组织的业务功能的丧失、中断或损坏所造成的损失，为制定业务持续性策略提供依据。

B、进行风险评估，对那些会导致关键业务中断的一系列的风险和威胁进行识别，通过分析其影响程度和发生概率，确定风险等级，进行风险排序并采取应对方案和措施，从而将风险尽可能降到最低。

C、根据业务目标、收益成本和客户要求等因素，结合业务影响分析和风险评估，制定关键业务流程和恢复策略。

D、依据BCM方法、工具和模板，在风险评估、业务影响和策略选择的基础上,拟制突发事件应急预案（IMP）和业务连续性计划（BCP）。

业务连续性管理办法总则为了提高公司的风险防范能力，有效地应对各种非计划的业务破坏、降低影响，确保公司各项业务的连续性，保障公司、商户、合作伙伴等相关单位的利益，特制订本办法。

第一章流程规范一、公司建立业务连续性管理部门及应急领导小组，根据安全级别，实行分级管理，保证在发生重大事故导致业务中断时，所有成员能够识别其角色与职责。

二、制订危机管理和灾难恢复等业务连续性管理流程，确保在系统发生故障等导致业务中断之时，能在最短时间内、保证数据零丢失的情况下进行快速恢复。

三、在与合作商（服务商）签订书面合同时要充分考虑业务的连续性，明确双方的权利、义务，并制定在意外情况下能顺利实现合作商（服务商）变更，保证合作商（服务商）不间断的应急预案。

第二章业务中断分析一、业务中断成因可分为自然灾害、人为灾害、一般灾害1、自然灾害主要有：地震、火灾、水灾、台风等，此种灾害无法预判，灾害发生时无法防护，发生频率最低，当灾害发生时，业务一般也只能切换到灾备机房，一旦切换到灾备机房，业务正常运行肯定收到影响。

2、人为灾害主要有：恐怖攻击、黑客攻击（网络攻击、病毒攻击等），此灾害同样无法预判，发生不高，但其中黑客攻击可从网络安全、主机安全、系统安全等方面进行防护，加大黑客攻击难度，从而达到黑客攻击防护的目的。

3、一般灾害主要有：网络故障、服务器软硬件故障、应用程序故障等，此灾害可防护，但发生频率最高，应对网络、服务器、应用程序进行相应监控，并建立相应的监控巡检系统，自动监控自动报警，及时发现和处理故障。

另核心业务系统应建设主备高可用架构或负载均衡高可用架构，避免单点故障。

• 口然灾京一火灾.水灾，恶劣人气•人为灾害一恐怖行动，恶盍破坏•安全破坏一电脑黑客«服务中断攻击病阳攻市| 内部女欺诈•计划内停工.•应用飾故障低二、业务中断的企业影响1、 企业收入：企业直接损失、商户赔偿金、企业未来收入损失；2、 生产效率：参与人员人数和人员处理时间；3、 声誉损失：影响企业声誉，降低了商户和合作伙伴对企业的信任，影响到后 期的企业市场发展和业务合作，扩大了竞争对手优势4、 财务业绩：影响到企业的信用、现金流甚至违规罚款等第二章技术保障一、 建立业务连续性管理制度，目标是尽可能快地恢复服务至服务级别协议规定 的水准，尽量减少事故对业务运营的不利影响，以确保最好的服务质量和可用性 级别。

1 目的防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保关键业务活能及时恢复。

2 适用范围适用于公司信息系统遭受灾难事故后的处理。

3 术语和定义ISO/IEC27001:2005 信息安全管理体系要求ISO/IEC27002:2005 信息安全管理实用规则4 职责和权限信息安全委员会指导本程序的执行，并对执行情况进行监督检查；信息安全委员会立即组织力量对事故进行风险评估，评价业务中断的严重程度；管理部在信息安全领导办公室的组织下，负责信息系统的操作系统、各类数据、网络等恢复，通讯设备的配置等工作。

5 主要活动5.1 预防业务中断定期进行数据备份，通信线路、电源等日常检查是预防公司业务中断的主要方式。

在日常业务活动中，采取如下预防保护控制措施：●监督●访问控制●身份认证●防病毒●过滤●入侵检测系统5.2 确定关键业务及其优先级管理部负责识别关键业务活动，并按其重要性分为不同的优先级，关键业务的优先级也是中断后的恢复优先级。

关于业务活动优先级如下：(以下均为举例)最高：提供信息资源共享服务的系统(服务器)提供信息安全防护的补丁分发/防毒软件服务系统各开发部门源代码/重要文档管理及存储系统高：关键开发/测试环境系统提供公司E-mail服务的Mail系统质量管理服务系统低：提供内部Web访问的系统针对不同的关键业务活动，制定业务恢复方案，并指定责任人和业务恢复时间。

详见《信息安全关键业务恢复计划》。

5.3 关键业务恢复计划测试管理部每年一次，对《信息安全关键业务恢复计划》进行测试，并对其保持或改进。

5.4 实施关键业务恢复计划5.4.1 事件响应管理部负责对中断业务的事故做出迅速反应，并执行《信息安全事件管理程序》。

5.4.2 业务恢复管理部负责执行《信息安全关键业务恢复计划》，在规定的时间范围内恢复被中断的业务。

使其继续正常运行。

6 相关文件和记录信息安全关键业务恢复计划信息安全事件管理程序备份管理程序。