XXX有限公司2022年ISO27001:2013信息安全管理體系認(rèn)證程序文件文件編制編制日期年03月10日文件接收部門□總經(jīng)理□管代□行政部□品質(zhì)部□物流部□財(cái)務(wù)部□業(yè)務(wù)部□文件審核審核日期2005年03月06日文件批準(zhǔn)批準(zhǔn)日期2005年03月10日文件編號(hào)受控狀態(tài)接收人員發(fā)布日期2022年11月12日?受控□非受控發(fā)放編號(hào)程序文件更改履歷表序號(hào)更改人更改原因更改內(nèi)容版本號(hào)業(yè)務(wù)持續(xù)性管理程序1.0目的通過(guò)編制業(yè)務(wù)持續(xù)性管理程序，規(guī)范當(dāng)發(fā)生重大信息安全事件或?yàn)?zāi)難時(shí)的應(yīng)急處理措施，確保公司業(yè)務(wù)活動(dòng)免受影響，迅速恢復(fù)已中斷的業(yè)務(wù)活動(dòng)，實(shí)現(xiàn)業(yè)務(wù)持續(xù)發(fā)展而實(shí)施的管理活動(dòng)。2.0范圍：本程序適用于實(shí)現(xiàn)與公司經(jīng)營(yíng)活動(dòng)相關(guān)的主要業(yè)務(wù)的持續(xù)性管理。3.0術(shù)語(yǔ)和定義3.1信息安全：對(duì)信息的保密性、完整性和可用性的保持。3.2信息安全持續(xù)性：確保信息安全持續(xù)作用的過(guò)程和規(guī)程。4.0職責(zé)和權(quán)限4.1責(zé)任部門4.1.1定期測(cè)試所負(fù)責(zé)的連續(xù)性計(jì)劃的可行性。4.1.2對(duì)與本部門運(yùn)營(yíng)相關(guān)的相關(guān)危機(jī)信息收集。5.0程序內(nèi)容5.1運(yùn)營(yíng)的持續(xù)性管理基本要求a)根據(jù)風(fēng)險(xiǎn)出現(xiàn)的可能性和它們的影響,包括對(duì)重大運(yùn)營(yíng)過(guò)程的識(shí)別和優(yōu)先考慮,來(lái)理解組織所面臨的風(fēng)險(xiǎn);b)理解中斷對(duì)組織可能產(chǎn)生的影響(重要的是要找到處理較小事故以及能威脅組織生存的嚴(yán)重事故的解決辦法),并確立信息處理設(shè)施的商業(yè)目標(biāo);c)考慮購(gòu)買合適的保險(xiǎn),它可以成為運(yùn)營(yíng)持續(xù)性過(guò)程的組成部分;d)將與議定的商業(yè)目標(biāo)和優(yōu)先權(quán)一致的運(yùn)營(yíng)持續(xù)策略公式化和文件化;e)將與議定的策略一致的運(yùn)營(yíng)持續(xù)計(jì)劃公式化和文件化;f)定期測(cè)試和更新處于適當(dāng)位置上的計(jì)劃和程序;g)確保運(yùn)營(yíng)持續(xù)性的管理并入組織的過(guò)程和結(jié)構(gòu)。5.2業(yè)務(wù)連續(xù)性和影響分析5.2.1業(yè)務(wù)連續(xù)性的信息安全方面應(yīng)從識(shí)別可能導(dǎo)致組織業(yè)務(wù)過(guò)程中斷的事件（或一系列事件）開(kāi)始，例如，設(shè)備故障、人為錯(cuò)誤、盜竊、火災(zāi)、自然災(zāi)害和恐怖事件。隨后應(yīng)是風(fēng)險(xiǎn)評(píng)估，根據(jù)時(shí)間、損壞程度和恢復(fù)周期，確定這些中斷發(fā)生的概率和影響。5.2.2業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)評(píng)估的執(zhí)行應(yīng)有業(yè)務(wù)資源和過(guò)程擁有者的全面參與。這種評(píng)估應(yīng)考慮所有業(yè)務(wù)過(guò)程，并應(yīng)不局限于信息處理設(shè)施，但應(yīng)包括信息安全特有的結(jié)果。并且要將不同方面的風(fēng)險(xiǎn)鏈接起來(lái)，以獲得一副完整的組織業(yè)務(wù)連續(xù)性要求的構(gòu)圖。該評(píng)估應(yīng)按照組織的相關(guān)準(zhǔn)則和目標(biāo)，如關(guān)鍵資源，中斷影響，允許中斷時(shí)間，恢復(fù)的優(yōu)先級(jí)，來(lái)識(shí)別、量化并列出風(fēng)險(xiǎn)的優(yōu)先順序。5.2.3根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，應(yīng)開(kāi)發(fā)業(yè)務(wù)連續(xù)性戰(zhàn)略，以確定整體的業(yè)務(wù)連續(xù)性方法。該戰(zhàn)略一旦被制定，就應(yīng)由管理者簽署，并制定計(jì)劃，簽署實(shí)施該戰(zhàn)略。5.3制訂和實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃5.3.1應(yīng)當(dāng)制定計(jì)劃,以便在關(guān)鍵的運(yùn)營(yíng)過(guò)程中斷或出現(xiàn)故障之后所要求的時(shí)間范圍內(nèi),維護(hù)或恢復(fù)商業(yè)運(yùn)營(yíng)。運(yùn)營(yíng)持續(xù)性計(jì)劃過(guò)程應(yīng)當(dāng)考慮如下幾點(diǎn):a)識(shí)別和認(rèn)同所有的責(zé)任和應(yīng)急流程;b)實(shí)施應(yīng)急流程,以便在所要求的時(shí)間范圍內(nèi)恢復(fù)和復(fù)原,需要特別注意對(duì)外部商業(yè)從屬性以及合同進(jìn)行適當(dāng)?shù)脑u(píng)估;c)議定的流程和過(guò)程的文件化;d)在議定的應(yīng)急流程和過(guò)程包括危機(jī)的管理中對(duì)職員進(jìn)行適當(dāng)?shù)慕逃?e)測(cè)試和更新計(jì)劃。5.3.2計(jì)劃的過(guò)程應(yīng)當(dāng)集中于所要求的商業(yè)目標(biāo)。例如,在一個(gè)可以接受的時(shí)間范圍內(nèi),恢復(fù)對(duì)客戶的特殊服務(wù)。應(yīng)當(dāng)考慮使之出現(xiàn)的服務(wù)和資源,包括人員配備、非信息處理資源,以及對(duì)信息處理設(shè)施的緊急情況安排。5.4業(yè)務(wù)連續(xù)性計(jì)劃框架5.4.1應(yīng)當(dāng)維護(hù)持續(xù)運(yùn)營(yíng)計(jì)劃的單獨(dú)框架,以確保所有的計(jì)劃是一致的,并識(shí)別測(cè)試和維護(hù)的優(yōu)先性。每一個(gè)持續(xù)運(yùn)營(yíng)計(jì)劃都應(yīng)當(dāng)明確規(guī)定它活動(dòng)的條件,以及執(zhí)行每一部分計(jì)劃的負(fù)責(zé)人。當(dāng)新的需求出現(xiàn)時(shí),應(yīng)當(dāng)適當(dāng)修正已建立的應(yīng)急流程,例如,撤離計(jì)劃或任何現(xiàn)有的緊急情況安排。持續(xù)運(yùn)營(yíng)計(jì)劃的框架應(yīng)當(dāng)考慮如下幾點(diǎn):a)啟動(dòng)計(jì)劃的條件,它描述了每個(gè)計(jì)劃被啟動(dòng)之前所應(yīng)遵照的流程(如何評(píng)估當(dāng)時(shí)的情形,將涉及到什么人等)。b)應(yīng)急流程,它描述了在事件發(fā)生后所應(yīng)采取的行動(dòng),該事件能危及商業(yè)的運(yùn)營(yíng)和人類的生活。這應(yīng)當(dāng)包括公共關(guān)系管理的安排以及與適當(dāng)?shù)墓矙?quán)威機(jī)構(gòu)的有效聯(lián)絡(luò),如警察局、消防中心和當(dāng)?shù)氐恼?。c)緊急情況流程,它描述了將必要的商業(yè)活動(dòng)或支持服務(wù)轉(zhuǎn)移到可選擇的臨時(shí)位置,并在所要求的時(shí)間范圍內(nèi),使商業(yè)過(guò)程恢復(fù)運(yùn)營(yíng)所采取的行動(dòng)。d)恢復(fù)流程,它描述了恢復(fù)到正常的商業(yè)運(yùn)營(yíng)所采取的行動(dòng)。e)維護(hù)時(shí)間表,它規(guī)定了如何和何時(shí)測(cè)試該計(jì)劃,以及維護(hù)該計(jì)劃的過(guò)程。f)意、識(shí)和教育活動(dòng)。g)個(gè)人的職責(zé),描述了誰(shuí)負(fù)責(zé)執(zhí)行哪部分計(jì)劃。應(yīng)當(dāng)按照要求指定備選方案。5.4.2每一個(gè)計(jì)劃都應(yīng)當(dāng)有一個(gè)特定的負(fù)責(zé)人。應(yīng)急流程、人工緊急情況計(jì)劃和恢復(fù)計(jì)劃都應(yīng)當(dāng)在適當(dāng)?shù)纳虡I(yè)資源或有關(guān)的商業(yè)過(guò)程的負(fù)責(zé)人的責(zé)任范圍之內(nèi)。對(duì)于可選擇的技術(shù)服務(wù)的緊急情況安排,諸如信息處理和通訊設(shè)施,通常應(yīng)當(dāng)是服務(wù)提供者的責(zé)任。5.5測(cè)試、錐護(hù)和重新評(píng)估業(yè)務(wù)連續(xù)性針劃(1)測(cè)試業(yè)務(wù)連續(xù)性計(jì)劃1.應(yīng)當(dāng)定期測(cè)試它們以確保它們是最新的和有效的。測(cè)試也應(yīng)當(dāng)確?；謴?fù)小組的所有成員以及其他有關(guān)的職員都知道該計(jì)劃。2.對(duì)持續(xù)運(yùn)營(yíng)計(jì)劃測(cè)試的時(shí)間表應(yīng)當(dāng)指明應(yīng)如何以及何時(shí)測(cè)試計(jì)劃的每個(gè)要素。建議經(jīng)常測(cè)試計(jì)劃的個(gè)別部分。應(yīng)當(dāng)使用各種技術(shù),以便對(duì)計(jì)劃在實(shí)際中運(yùn)行提供保證。這應(yīng)當(dāng)包括:a)對(duì)不同的計(jì)劃說(shuō)明書的桌面測(cè)試(通過(guò)使用中斷實(shí)例來(lái)討論商業(yè)恢復(fù)的安排);b)模擬(尤指培訓(xùn)在事故或緊急情況下進(jìn)行管理的人員);c)技術(shù)恢復(fù)測(cè)試(確保信息系統(tǒng)能夠被有效地恢復(fù));d)在另外的站點(diǎn)測(cè)試恢復(fù)(運(yùn)行遠(yuǎn)離主站點(diǎn)且與主站點(diǎn)的恢復(fù)操作并聯(lián)的商業(yè)過(guò)程);e)測(cè)試供應(yīng)商的設(shè)施和服務(wù)(確保外部所提供的服務(wù)和產(chǎn)品符合合同的承諾);f)完整的演習(xí)(測(cè)試組織、職員、設(shè)備、設(shè)施和過(guò)程是否能夠應(yīng)付中斷)。(2)維護(hù)和重新評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃3.應(yīng)當(dāng)通過(guò)定期的回顧和更新來(lái)維護(hù)持續(xù)運(yùn)營(yíng)計(jì)劃,以確保它們的持續(xù)有效性。其過(guò)程應(yīng)當(dāng)包括在組織的變更管理程序中,以確保商業(yè)持續(xù)性問(wèn)題被適當(dāng)?shù)亟鉀Q。4.應(yīng)當(dāng)為每個(gè)商業(yè)持續(xù)運(yùn)營(yíng)計(jì)劃的定期回顧指定職責(zé)。若商業(yè)安排中改動(dòng)的識(shí)別還沒(méi)有反映在商業(yè)持續(xù)運(yùn)營(yíng)計(jì)劃中,其后應(yīng)當(dāng)對(duì)計(jì)劃進(jìn)行適當(dāng)?shù)母?。這個(gè)正式的改動(dòng)控制過(guò)程應(yīng)當(dāng)確保通過(guò)對(duì)完整計(jì)劃的定期回顧來(lái)發(fā)布和加強(qiáng)更新后的計(jì)劃。5.需要更新計(jì)劃的情形可能包括新設(shè)備的購(gòu)買或操作系統(tǒng)的升級(jí)以及下列方面的變動(dòng):a)人員;b)地址或電話號(hào)碼;c)商業(yè)策略;d)位置、設(shè)施和資源;e)法規(guī);f)承包商、供應(yīng)商和主要的客戶;g)程序(新的/獨(dú)