Professional Documents
Culture Documents
KR 02 RBA 47业务连续性管理控制程序
KR 02 RBA 47业务连续性管理控制程序
业务连续性管理控制程序
受控状态:
编 制: 曹丽
审 核: 刘艳丽
批 准: 陈卫明
发布日期:2020 年 02 月 实施日期:2020 年 02 月
安徽开润股份有限公司
制订部门 人力资源部 版本/修改次数 A/0
文件
文件编号 KR-02-RBA-47 业务连续性管理控制程序 页码/页数 2/ 5
名称
制订日期 2020.02.11 修订日期 2020.02.11
1. 目的 Purpose
减少由于经营活动中某个环节变化导致公司的业务受到严重影响或长时间不能
回复,保证重要业务流程不受到重大故障和灾难的影响。
2. 范围 Scope
公司范围内所有的信息活动。
3. 权责 Responsibility
3.1 责任部门要定期测试所负责的连续性计划的可行性。
4. 定义/缩写 Definitions/Abbreviation
N/A
5. 程序 Procedure
5.1 运营的持续性管理基本要求
a) 根据风险出现的可能性和它们的影响, 包括对重大运营过程的识别和优先考
虑, 来理解组织所面临的风险;
b) 理解中断对组织可能产生的影响( 重要的是要找到处理较小事故以及能威胁
组织生存的严重事故的解决办法) , 并确立信息处理设施的商业目标;
c) 考虑购买合适的保险, 它可以成为运营持续性过程的组成部分;
d) 将与议定的商业目标和优先权一致的运营持续策略公式化和文件化;
e) 将与议定的策略一致的运营持续计划公式化和文件化;
f) 定期测试和更新处于适当位置上的计划和程序;
g) 确保运营持续性的管理并入组织的过程和结构。
5.2 业务连续性和影响分析
业务连续性的信息安全方面应从识别可能导致组织业务过程中断的事件(或一
安徽开润股份有限公司
制订部门 人力资源部 版本/修改次数 A/0
文件
文件编号 KR-02-RBA-47 业务连续性管理控制程序 页码/页数 3/ 5
名称
制订日期 2020.02.11 修订日期 2020.02.11
系列事件)开始,例如,设备故障、人为错误、盗窃、火灾、自然灾害和恐怖
事件。随后应是风险评估,根据时间、损坏程度和恢复周期,确定这些中断发
生的概率和影响。
业务连续性风险评估的执行应有业务资源和过程拥有者的全面参与。这种评估
应考虑所有业务过程,并应不局限于信息处理设施,但应包括信息安全特有的
结果。并且要将不同方面的风险链接起来,以获得一副完整的组织业务连续性
要求的构图。该评估应按照组织的相关准则和目标,如关键资源,中断影响,
允许中断时间,恢复的优先级,来识别、量化并列出风险的优先顺序。
根据风险评估的结果, 应开发业务连续性战略, 以确定整体的业务连续性方法。
该战略一旦被制定,就应由管理者签署,并制定计划,签署实施该战略。
5.3 制订和实施业务连续性计划
应当制定计划, 以便在关键的运营过程中断或出现故障之后所要求的时间范围
内, 维护或恢复商业运营。运营持续性计划过程应当考虑如下几点:
a) 识别和认同所有的责任和应急流程;
b) 实施应急流程, 以便在所要求的时间范围内恢复和复原, 需要特别注意对外部
商业从属性以及合同进行适当的评估;
c) 议定的流程和过程的文件化;
d) 在议定的应急流程和过程包括危机的管理中对职员进行适当的教育;
e) 测试和更新计划。
计划的过程应当集中于所要求的商业目标。例如, 在一个可以接受的时间范围内,
恢复对客户的特殊服务。应当考虑使之出现的服务和资源, 包括人员配备、非信
息处理资源, 以及对信息处理设施的紧急情况安排。
5.4 业务连续性计划框架
应当维护持续运营计划的单独框架, 以确保所有的计划是一致的, 并识别测试和
维护的优先性。每一个持续运营计划都应当明确规定它活动的条件, 以及执行每
一部分计划的负责人。当新的需求出现时, 应当适当修正已建立的应急流程, 例
如, 撤离计划或任何现有的紧急情况安排。
持续运营计划的框架应当考虑如下几点:
a) 启动计划的条件, 它描述了每个计划被启动之前所应遵照的流程( 如何评估当
时的情形, 将涉及到什么人等) 。
安徽开润股份有限公司
制订部门 人力资源部 版本/修改次数 A/0
文件
文件编号 KR-02-RBA-47 业务连续性管理控制程序 页码/页数 4/ 5
名称
制订日期 2020.02.11 修订日期 2020.02.11
过程应当包括在组织的变更管理程序中, 以确保商业持续性问题被适当地解决。
应当为每个商业持续运营计划的定期回顾指定职责。若商业安排中改动的识别
还没有反映在商业持续运营计划中, 其后应当对计划进行适当的更新。这个正式
的改动控制过程应当确保通过对完整计划的定期回顾来发布和加强更新后的计
划。
需要更新计划的情形可能包括新设备的购买或操作系统的升级以及下列方面的
变动:
a) 人员;
b) 地址或电话号码;
c) 商业策略;
d) 位置、设施和资源;
e) 法规;
f) 承包商、供应商和主要的客户;
g) 程序( 新的/ 独立的程序) ;
h) 风险( 操作的和财务的) 。
5.6 冗余管理
在条件允许的情况下,应为核心设备(例如生产设备、交换机等)配合备用设
备。IT 提前做好配置信息的备份, 在发生设备故障时, 第一时间启用备用设备,
尽快恢复业务。
6. 相关文件 Reference Documents
业务连续性管理计划
7. 记录 Records
业务连续性计划测试报告
业务连续性和影响分析
8. 流程图 Flowchart
N/A