下面是小编为大家整理的RBA-2-19,商业恢复管制程序(精选文档),供大家参考。
文件名称 商业恢复管制程序
文件编号 WJ_RBA-2-19 版本 页次 制订部门 业务部 制订日期 20XX-XX-01 修订日期
1.0 1/6 1.目的 商业恢复管理(Business Continuity Management,BCM)是识别可能引起组织业务中断的重大灾难并提供一个计划框架可以应对灾难并降低影响的管理过程。本程序旨在建立完整的商业恢复管理策略,并依此建立针对公司关键业务的商业恢复计划(Business Continuity Planning,BCP),积极防范并且处理灾难的发生,将灾难对公司的影响控制在公司能够承受的范围之内,保证重要业务流程的连续性。
2.范围 本程序文件适用于公司所有跟业务相关的部门和员工。
3.定义 BCM:Business contingency management 商业恢复管理。整个商业恢复的管理过程,包括商业恢复策略的制订、业务影响分析过程、商业恢复计划的建立、测试和实施,以及与风险管理过程的联系等。
BCP:Business contingency plan 商业恢复计划。就特定业务来说,针对各种灾难,事先制定的应对计划,其目的是当出现意外情况时能够做出积极响应和处理,保证业务的连续性。
DRP:Discaster Recovery Plan 灾难恢复计划。强调的是对支持业务活动的IT系统的恢复。
BIA:Business Impact Analysis 业务影响分析。识别影响商业恢复过程并按重要程序排序。
RTO:Recovery Time Objective 恢复时间目标。一旦发生中断,该关键业务所能够容忍的最长恢复时间
4.职责 4.1 信息安全管理委员会- 重大事务的决策者,批准发布本程序执行。
4.2 信息安全管理组- 建立商业恢复管理框架和程序。
- 督促各相关业务单位编写具体的商业恢复计划。
- 监督计划的测试、维护和实施。
4.2 IT 部门- 负责 IT 基础设施的 DRP 相关工作 4.3 其他业务相关部门- 负责针对各业务活动面临的灾难制定并维护 BCP 预案。
4.4 全体员工- 遵守本程序规定的内容。
文件名称 商业恢复管制程序
文件编号 WJ_RBA-2-19 版本 页次 制订部门 业务部 制订日期 20XX-XX-01 修订日期
1.0 2/6 5.程序
6. 内容 6.1 启动 在启动阶段,需要确定商业恢复管理程序的范围和目标。制定商业恢复管理整体实施方案,建立管理、协调机制以管理项目实施。主要活动:
1)
确定商业恢复需求:参考相关的法律、法规、合同的需求和约束,公司以前的审计记录,识别可能对公司灾难恢复能力具有负面影响的业务措施。
2)
建立项目推动委员会:由于商业恢复管理程序是 ISMS 项目当中不可或缺的重要部分,可采用整体项目组织架构,建立项目推动委员会、风险评估小组、文件编写小组等各项目实施小组,确定角色、职责、机构的类型以及具体成员。
3)
制定项目实施计划,并获得公司项目推动委员会批准和承诺。
4)
制定协调和监督项目实施的机制。
5)
召开项目启动会议,明确项目进度和时间安排 6.2 业务影响分析(BIA)
确定公司各部门的关键业务流程,判断由于该业务中断或数据丢失可能对机构造成的影响以及用来定量和定性分析这种影响的技术。确定恢复优先顺序和相关性以便确定恢复时间目标(RTO)及恢复点目标(RPO)。主要活动
准备: 确定目标和范围;法律和业务需求分析;组建项目组;项目计划;启动会议业务影响分析( (BIA ):确定关键业务;识别IT设施和支持关键业务的资源;评估业务中断影响;确定恢复时间和优先顺序风险评估及控制:风险评估及风险处理;识别可能的灾难并计划在RTO内实施BCP制定BCP:触发条件;应急程序;备份程序;恢复程序;维护日程计划;培训;人员责任意识培训:基本的业务连续性意识;业务连续性策略;业务连续性计划测试和维护:测试计划;演练测试;报告;维护和更新实施BCP
文件名称 商业恢复管制程序
文件编号 WJ_RBA-2-19 版本 页次 制订部门 业务部 制订日期 20XX-XX-01 修订日期
1.0 3/6 1)通过问卷、访谈或会议等形式确定公司各部门的工作职责及部门内部的业务流程,建立关键业务流程的评价标准,并依据该标准确定各部门的关键业务流程。
2)确定各关键业务流程所必需的 IT 基础支持设施。
3)评估业务流程中断时间或数据丢失的多少对该关键业务所造成的后果、影响及损失的对应关系。
4)确定关键业务流程恢复时间目标和恢复点目标及其资源需求。
5)识别和排定各关键业务流程的中断或数据丢失时的处理优先级。
6.3 风险评估 确定可能造成公司关键业务流程中断或数据丢失的灾难、具有负面影响的事件和周边环境因素,以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。提供成本效益分析以调整控制措施方面的投资达到消减风险以符合公司对业务持续性的需求。主要活动:
1)通过问卷、访谈及会议等方式,识别对公司各部门关键业务流程的潜在威胁,并采取定性和定量相结合的方式确定各种威胁发生的可能性和后果。
2)识别公司现有针对这些威胁所采取的防范和控制措施的效率和效果。
3)针对威胁的可能性及后果对需要控制的威胁进行优先级排序。
6.4 风险处理 依据前一阶段得出的关键业务流程及对其风险评估的各项结果。根据已确定的关键业务 RTO、RPO 等业务指标,针对相关风险,根据 ISO27001 来选择控制目标和控制措施,按照成本效益的原则,提供解决方案,并通过方案实施来有效处理已发现的信息安全风险。主要活动:
1)根据公司关键业务流程风险处理优先顺序,确定可以采用的风险控制控制措施。
2)根据成本、效益原则,识别并选择安全控制目标和控制措施。
3)实施目前条件下可立即采取的分析控制措施。
分析针对各关键业务流程的残留风险 6.5 建立 BCP 设计、制定和实施商业恢复计划以便在恢复时间目标范围内完成恢复。主要活动:
1)确定计划制定的需求。
2)定义连续性管理和控制需求 :识别可能的威胁事件,确定计划的范围,并就连续性关键步骤达成一致 3)定义一致的计划格式和框架结构,该框架必须包括下面的内容
文件名称 商业恢复管制程序
文件编号 WJ_RBA-2-19 版本 页次 制订部门 业务部 制订日期 20XX-XX-01 修订日期
1.0 4/6 (一) 计划启动条件 (二)
应急程序 A.在紧急情况和中断发生时所采取的具体的活动 B.具体的责任人或是部门 C.要定期培训,测试和维护 D.程序制定出来要有授权人员的批准 (三)
备用程序 (四)
恢复程序 (五)
维护时间表 (六)
宣传培训程序 (七) 个人职责
4)起草计划:文件编写小组根据商业恢复计划的范围、需求以及确定的计划格式起草各商业恢复计划。
5)将商业恢复计划提交项目推动委员会并获得批准。
6)制定商业恢复实施计划:包括培训、教育计划以及相关的设备、软件采购计划,制定测试、审计及维护计划。
7)建立计划的分发和控制规程。
8)会同 ISMS 项目的其它各部分文档体系,由公司项目推动委员会审批并发布。
6.6 意识培训:准备建立对公司商业恢复管理相关人员进行意识培养和技能培训的项目,以便商业恢复计划能够得到制定、实施、维护和执行。主要活动:
1)建立公司整体商业恢复管理意识培养和培训项目的目标和方式。
2)针对公司所有与商业恢复管理相关的人员,包括管理层、项目团队成员以及普通员工制定培训计划。加深其对商业恢复处理程序的理解,确保该处理持续有效。
3)培训内容包括:商业恢复基本意识、公司商业恢复策略、商业恢复计划。
4)由公司的骨干人员承担所在部门人员的培训。
5)组织考核,以确定达到的目标。
6.7 BCP 测试及维护:对预先计划和计划间的协调性在公司范围内进行审计、测试、并评估和记录计划测试的结果。制定维持连续性能力和商业恢复文档更新状态的方法使其与公司的整体安全策略保持一致。通过与适当标准的比较来验证 BCP 的效率,并使用简明的语言报告验证的结果。主要活动
文件名称 商业恢复管制程序
文件编号 WJ_RBA-2-19 版本 页次 制订部门 业务部 制订日期 20XX-XX-01 修订日期
1.0 5/6 1)制定测试的策略,建立测试项目,确定测试需求 2)确定测试方式,制定现实的情景 3)确定测试评估标准和记录发现 4)确定测试时间进度 5)准备测试计划 6)执行测试 7)识别测试后的反馈并制作测试报告 8)建立计划的维护方案和时间进度,定期对BCP进行复审,或由特定事件触发对BCP的复审(如测试、变更及真正实施了BCP等),包括但不限于下列事件:
当公司购买新设备或操作系统升级后要对计划重新评审 当公司整体经营战略发生变化时要对计划重新评审 当场所、设施和资源发生变化时要对计划重新评审 当法律法规变化时要对计划重新评审 当关键的业务流程改变时要对计划重新评审 9)建立计划的变更控制过程,并融入公司整体变更管理流程当中 10)
建立 BCP 状态报告规程 11)
对 BCP 的测试、维护和变更进行审计:建议并就 BCM 相关的审计目标达成一致,审计BCP 的结构、内容和行动部分,审计 BCP 文档控制规程
6.8 计划实施:当紧急情况和中断发生时,一旦符合 BCP 的启动条件,应严格按照计划规定来行动。凡没有按照规定且给公司造成损失的部门或个人将按规定进行处罚。
文件名称 商业恢复管制程序
文件编号 WJ_RBA-2-19 版本 页次 制订部门 业务部 制订日期 20XX-XX-01 修订日期
1.0 6/6 附录 1 BCP 责任表 部门 范围 责任人 测试周期 IT 公司 IT 基础设施和支持系统 IT 工程师 1 year 业务 业务支持
业务经理 1 year 管理部 办公环境支持 管理部经理 1 year 人力资源支持 1 year 财务 财务支持 财务经理 1 year 附录 2 BIA 表 部门 业务 优先级 RTO (小时)
灾难描述 影响 备注
