業(yè)務持續(xù)性管理程序-2022年ISO27001信息安全管理體系

XXX有限公司2022年ISO27001:2013信息安全管理體系認證程序文件文件編制編制日期年03月10日文件接收部門□總經理□管代□行政部□品質部□物流部□財務部□業(yè)務部□文件審核審核日期2005年03月06日文件批準批準日期2005年03月10日文件編號受控狀態(tài)接收人員發(fā)布日期2022年11月12日?受控□非受控發(fā)放編號程序文件更改履歷表序號更改人更改原因更改內容版本號業(yè)務持續(xù)性管理程序1.0目的通過編制業(yè)務持續(xù)性管理程序，規(guī)范當發(fā)生重大信息安全事件或災難時的應急處理措施，確保公司業(yè)務活動免受影響，迅速恢復已中斷的業(yè)務活動，實現(xiàn)業(yè)務持續(xù)發(fā)展而實施的管理活動。2.0范圍：本程序適用于實現(xiàn)與公司經營活動相關的主要業(yè)務的持續(xù)性管理。3.0術語和定義3.1信息安全：對信息的保密性、完整性和可用性的保持。3.2信息安全持續(xù)性：確保信息安全持續(xù)作用的過程和規(guī)程。4.0職責和權限4.1責任部門4.1.1定期測試所負責的連續(xù)性計劃的可行性。4.1.2對與本部門運營相關的相關危機信息收集。5.0程序內容5.1運營的持續(xù)性管理基本要求a)根據(jù)風險出現(xiàn)的可能性和它們的影響,包括對重大運營過程的識別和優(yōu)先考慮,來理解組織所面臨的風險;b)理解中斷對組織可能產生的影響(重要的是要找到處理較小事故以及能威脅組織生存的嚴重事故的解決辦法),并確立信息處理設施的商業(yè)目標;c)考慮購買合適的保險,它可以成為運營持續(xù)性過程的組成部分;d)將與議定的商業(yè)目標和優(yōu)先權一致的運營持續(xù)策略公式化和文件化;e)將與議定的策略一致的運營持續(xù)計劃公式化和文件化;f)定期測試和更新處于適當位置上的計劃和程序;g)確保運營持續(xù)性的管理并入組織的過程和結構。5.2業(yè)務連續(xù)性和影響分析5.2.1業(yè)務連續(xù)性的信息安全方面應從識別可能導致組織業(yè)務過程中斷的事件（或一系列事件）開始，例如，設備故障、人為錯誤、盜竊、火災、自然災害和恐怖事件。隨后應是風險評估，根據(jù)時間、損壞程度和恢復周期，確定這些中斷發(fā)生的概率和影響。5.2.2業(yè)務連續(xù)性風險評估的執(zhí)行應有業(yè)務資源和過程擁有者的全面參與。這種評估應考慮所有業(yè)務過程，并應不局限于信息處理設施，但應包括信息安全特有的結果。并且要將不同方面的風險鏈接起來，以獲得一副完整的組織業(yè)務連續(xù)性要求的構圖。該評估應按照組織的相關準則和目標，如關鍵資源，中斷影響，允許中斷時間，恢復的優(yōu)先級，來識別、量化并列出風險的優(yōu)先順序。5.2.3根據(jù)風險評估的結果，應開發(fā)業(yè)務連續(xù)性戰(zhàn)略，以確定整體的業(yè)務連續(xù)性方法。該戰(zhàn)略一旦被制定，就應由管理者簽署，并制定計劃，簽署實施該戰(zhàn)略。5.3制訂和實施業(yè)務連續(xù)性計劃5.3.1應當制定計劃,以便在關鍵的運營過程中斷或出現(xiàn)故障之后所要求的時間范圍內,維護或恢復商業(yè)運營。運營持續(xù)性計劃過程應當考慮如下幾點:a)識別和認同所有的責任和應急流程;b)實施應急流程,以便在所要求的時間范圍內恢復和復原,需要特別注意對外部商業(yè)從屬性以及合同進行適當?shù)脑u估;c)議定的流程和過程的文件化;d)在議定的應急流程和過程包括危機的管理中對職員進行適當?shù)慕逃?e)測試和更新計劃。5.3.2計劃的過程應當集中于所要求的商業(yè)目標。例如,在一個可以接受的時間范圍內,恢復對客戶的特殊服務。應當考慮使之出現(xiàn)的服務和資源,包括人員配備、非信息處理資源,以及對信息處理設施的緊急情況安排。5.4業(yè)務連續(xù)性計劃框架5.4.1應當維護持續(xù)運營計劃的單獨框架,以確保所有的計劃是一致的,并識別測試和維護的優(yōu)先性。每一個持續(xù)運營計劃都應當明確規(guī)定它活動的條件,以及執(zhí)行每一部分計劃的負責人。當新的需求出現(xiàn)時,應當適當修正已建立的應急流程,例如,撤離計劃或任何現(xiàn)有的緊急情況安排。持續(xù)運營計劃的框架應當考慮如下幾點:a)啟動計劃的條件,它描述了每個計劃被啟動之前所應遵照的流程(如何評估當時的情形,將涉及到什么人等)。b)應急流程,它描述了在事件發(fā)生后所應采取的行動,該事件能危及商業(yè)的運營和人類的生活。這應當包括公共關系管理的安排以及與適當?shù)墓矙嗤C構的有效聯(lián)絡,如警察局、消防中心和當?shù)氐恼)緊急情況流程,它描述了將必要的商業(yè)活動或支持服務轉移到可選擇的臨時位置,并在所要求的時間范圍內,使商業(yè)過程恢復運營所采取的行動。d)恢復流程,它描述了恢復到正常的商業(yè)運營所采取的行動。e)維護時間表,它規(guī)定了如何和何時測試該計劃,以及維護該計劃的過程。f)意、識和教育活動。g)個人的職責,描述了誰負責執(zhí)行哪部分計劃。應當按照要求指定備選方案。5.4.2每一個計劃都應當有一個特定的負責人。應急流程、人工緊急情況計劃和恢復計劃都應當在適當?shù)纳虡I(yè)資源或有關的商業(yè)過程的負責人的責任范圍之內。對于可選擇的技術服務的緊急情況安排,諸如信息處理和通訊設施,通常應當是服務提供者的責任。5.5測試、錐護和重新評估業(yè)務連續(xù)性針劃(1)測試業(yè)務連續(xù)性計劃1.應當定期測試它們以確保它們是最新的和有效的。測試也應當確?；謴托〗M的所有成員以及其他有關的職員都知道該計劃。2.對持續(xù)運營計劃測試的時間表應當指明應如何以及何時測試計劃的每個要素。建議經常測試計劃的個別部分。應當使用各種技術,以便對計劃在實際中運行提供保證。這應當包括:a)對不同的計劃說明書的桌面測試(通過使用中斷實例來討論商業(yè)恢復的安排);b)模擬(尤指培訓在事故或緊急情況下進行管理的人員);c)技術恢復測試(確保信息系統(tǒng)能夠被有效地恢復);d)在另外的站點測試恢復(運行遠離主站點且與主站點的恢復操作并聯(lián)的商業(yè)過程);e)測試供應商的設施和服務(確保外部所提供的服務和產品符合合同的承諾);f)完整的演習(測試組織、職員、設備、設施和過程是否能夠應付中斷)。(2)維護和重新評估業(yè)務連續(xù)性計劃3.應當通過定期的回顧和更新來維護持續(xù)運營計劃,以確保它們的持續(xù)有效性。其過程應當包括在組織的變更管理程序中,以確保商業(yè)持續(xù)性問題被適當?shù)亟鉀Q。4.應當為每個商業(yè)持續(xù)運營計劃的定期回顧指定職責。若商業(yè)安排中改動的識別還沒有反映在商業(yè)持續(xù)運營計劃中,其后應當對計劃進行適當?shù)母?。這個正式的改動控制過程應當確保通過對完整計劃的定期回顧來發(fā)布和加強更新后的計劃。5.需要更新計劃的情形可能包括新設備的購買或操作系統(tǒng)的升級以及下列方面的變動:a)人員;b)地址或電話號碼;c)商業(yè)策略;d)位置、設施和資源;e)法規(guī);f)承包商、供應商和主要的客戶;g)程序(新的/獨