ISO27001：业务连续性管理制度

1、业务连续性管理制度目录 3.1 目的和范围引用文件3.2 .职责和权限彳业务连续性管理流程4. 识别组织矢键业务41.1.1 识别尖键信息系统.54.2 连续性架构规划 5.4.2.1 确定团队与人员5确定利益相尖方 6,确定技术设施6.4.3 制定应急预案6确定团队职责与分工-6.4.3.1 确定突发事件通告机制6.4.3.2 确定损害评估机制6.4.3.3 确定灾难启动机制74.3.4 确定系统灰复过程74.3.5 形成计划文档7.4.4 演练与维护744-1设计演练方案4.4.1 演练4.4.2 评审和改进5相尖i错误!未定义书签1-目的和范围为确保公司的业务能够持续稳定的进行，最低限度

2、的降彳氐信息安全事件对业务的影响，特制订本管理制度。业务连续性管理为尖键业务过程提供支持。2引用文件1 ）下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所 有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。2)gb/t 22080-2016/iso/iec 27001:2013信息技术安全技术信息安全管理体系要3)gb/t 22081-2016/iso/iec 27002:2013信息技术安全技术信息安全管理实施细4)信息安全事件管理制度3 ,职责和权限1

3、）信息安全管理领导小组：审批业务连续性计划，分配相矢资源，确保业务持续性活动顺利进行；在发生重大信息安全事件或灾难时担任公司业务中断的恢复的总指挥与总协调。2）信息安全工作小组：负责组织进行相矢业务连续性计划（bcp）编写，审核bcp ,组织bgp演练， 监督修改完善；在发生重大信息安全事件或灾难时，负责协调进行信息和资产保护，及时灰复中断的业务。3）各相尖部门：配合信息安全工作小组执行bcp的编写与演练；在发生重大信息安全事件或灾难时，负责保护本部门的信息和资产，及时恢复中断的业务。4业务连续性管理流程为方便理解业务连续性管理过程，将采用分级的方式进行表述。业务连续性管理概要过 程主要从整体

4、上描 述，不会体现具体的细节和涵盖所有的人员。1 ）制定业务连续性框架通过对一系列应对方式（包括资源获取方式）的策略评估，确定业务连续，性框架，为每一服务选择了合适的响应方式，使得组织可以在中断发生中或发生后能够按预定的条件持续提供服务。2）制定应急预案开发具体的服务连续性应对措施，建立事故管理和业务连续性、业务恢复计划的管理框架，以详 细描述在事故发生中或发生后维持和恢复运行的步骤。3）演练与维护通过业务连续，性的演练、维护和评审使得组织保证服务连续，性策略和计划完成、更新和准确的程度。4.1.1 识别组织尖键业务在开发业务应急预案之前，应对以下方面对组织进行分析：1 ）识别组织的目标、利益

5、相尖方的义务、法定责任和组织运行的环境；2）识别活动、资产和资源，包括组织以外支持组织产品和服务交付的活动、资产和资源；3）活动、资产和资源的失效随时间推移的影响和后果。4.1.2 识别尖键信息系统那些信息系统的崩溃将在最短的时间内带来重大影响，并需要快速恢复的系统，可被视为“矢键信息系 统”。组织应识别为尖键业务提供支持的矢键信息系统和（或）支持服务4.2连续f生架构规划组织应该对信息系统的连续个生的架构进行规划和设计，在进行规划和设计时需要考虑的方面包括，1 ）人员；2）基础设施；3 ）技术设施；4）信息和数据；5 ）其他供给；6）利益相矢方。4.2.1 确定团队与人员组织应确定识别管理参

6、与服务连续性管理和恢复所需的核心技能和知识的合适方式，以及相矢参与的人员。能力和知识是指各种技术资源，包括技术人员、文档等，使得参与的团队和人员能够透彻地了解组 织的业 务情况和信息系统情况，深刻地把握单位灾难恢复系统的状态，并具有各种相尖的技术能力，经历了多次灾难恢 复演练，能在灾难发生时，迅速解决各种问题以确保单位尖键业务系统的持续运行。组织应根据灾难恢复目标， 确定灾难备份中心在软件、硬件和网络等方面的技术支持要求，包括技术支持的组织架构、各类技术支持人员的 数量和素质4.2.2 确定利益相尖方组织应确定参与服务连续性管理和恢复的相矢利益方、业务或服务合作伙伴及承包方的尖系，以及联络 方

7、式和所分担的职责。4.2.3 确定技术设施备用技术设施是指当灾难发生时，确保业务持续运行所需的技术设施（包括网络、应用系统等）。对可 能影响网络可用性的线路及设备有冗余；对于恢复所需的软、硬件设备以及与外部的通讯方式和线路等，应提 前确定获取的标的和相应的处理脚本。组织应将灾难一旦发生，所应执行的活动，形成文件，制定应急预案。4.3.1 确定团队职责与分工描述灾难恢复的组织结构，各个岗位的职责和人员名单，灾难恢复组织应包括应急响应组，灾难恢复组 等。并列出灾难恢复相矢人员和组织的联络表，包括灾难恢复团队，运营商、厂商、经理部门、媒体、员工、 家属等，联络方式包括固定电话、移动电话、对讲机、电子

8、邮件和住址等。4.3.2 确定突发事件通告机制任何人员在发现信息系统相尖突发灾难发生或即将发生时，应按预定的过程报告相矢人 员，并由相尖人员进行初步判断，通知和处理。4.3.3 确定损害评估机制在突发事件发生后，由灾难恢复责任人召集相应的专业人员对突发事件进行慎重评估，确认突发事件对信息系统造成的影响，确定下一步将要采取的行动，一旦系统的影响被确定，应将最新信息按 照预定的通告过程通知给相应的团队。4.3.4 确定灾难启动机制应预先制定灾难恢复预案启动的条件，当损害评估的结果达到一项或多项启动条件时，组织将正式发出 灾难启动，宣布启动灾难恢复预案，并根据宣告过程通知各有尖部门。4.3.5确定系

9、统恢复过程各系统的应急预案中描述时间、地点、人员、设备和系统恢复每一步的详细操作步骤，同时还包括特定情 况发生时各团队之间进行协调的指令，以及异常处理过程。4.3.6 形成计划文档将上述计划中的内容形成服务应急预案，并提交信息安全管理委员会及相尖各方人员进行评审。4.4演练 与维护4.4.1 设计演练方案演练应该是实际的、经过周密的计划，并获得利益相尖方的认可，以使演练过程中业务中断的风险最 小。演练应经过计划，以使得因演练直接导致事故的风险最小。每次演练都应清晰定义目的和目标。演练的方 式可能包括：桌面演练、模拟演练和真实演练。4.4.2 演练除非经过演练并实施维持，否则组织的业务连续性和事故管理安排不能认为是可靠的。演练核心是开发 团队合作、能力、信心和知识，这在发生事故时是非常重要的。演练的计划可以在项目计划时进行确定。4.4.3 评审和改进演练后的简报和分析应考虑目的和目标的达成。在演练结束以后以及在系统本身或外界环境发生重大变化 时，应对服务连续f生方案进行评审和维护。当公司的业务环境发生重大变化时，也应重新评估应急预案的有效性。5.相尖记录本制度相尖修改及解释权属于研发服务体系文档编号（由总经办填写）f4-b-w服务体系-008-v1.1密级内部公开文档发布级别公司级