365文库
首页
文档
格式转换
充值
文学
登录
注册
2

信息安全业务连续性运营管理程序.doc

243阅读 | 9收藏 | 8页 | 打印 | 举报 | 认领 | 下载提示 | 分享:
2
信息安全业务连续性运营管理程序.doc第1页
信息安全业务连续性运营管理程序.doc第2页
信息安全业务连续性运营管理程序.doc第3页
信息安全业务连续性运营管理程序.doc第4页
信息安全业务连续性运营管理程序.doc第5页
信息安全业务连续性运营管理程序.doc第6页
信息安全业务连续性运营管理程序.doc第7页
信息安全业务连续性运营管理程序.doc第8页
福利来袭,限时免费在线编辑
转Pdf
right
1/8
right
下载我编辑的
下载原始文档
收藏 收藏
热门文档
缴销证书回执材料
缴销证书回执材料
142阅读 | 4收藏 英语专业必考证书
英语专业必考证书
161阅读 | 8收藏 教研荣誉证书
教研荣誉证书
66阅读 | 2收藏 职业规划书
职业规划书
150阅读 | 5收藏 机关党支部党建工作总结
机关党支部党建工作总结
270阅读 | 9收藏
搜索
下载二维码
App功能展示
海量免费资源 海量免费资源
文档在线修改 文档在线修改
图片转文字 图片转文字
限时免广告 限时免广告
多端同步存储 多端同步存储
格式轻松转换 格式轻松转换
用户头像
归鸿 上传于:2024-06-05
文档简介
种 类:信息安全管理程序 文件编号: 名 称: 业务连续性运营管理程序 总 页 数 5 页 No 1 起 稿 校 核 承 认 批准 批准日 年 月 日 修 订 履 历 修订履历编号 修 订 批准日 修订 页 修订内容及理由 起稿印 校核印 承认印 批准印 种类:信息安全管理程序 文件编号: 名称: 业务连续性运营管理程序 总 页 数 5 页 No 2 1.目的 2.适用范围 3.制定、修订、废止 4. 工作程序 应对灾难性事件中公司内部和相关方责任及依此程序对在信息安全安全管理体系内公司或客户的信息资产的应对动作及启动应对措施,以确保业务活动的持续进行。 本程序适用于有限公司 本程序由信息安全事务局负责制定、修订及废止,公司管理者代表和公司总经理批准。 4.1 系统识别 4.1.1 公司的管理业务活动根据公司的业务范围和管理手册定义为家用压缩机的研发、生产制造和销售。根据公司业务范围活动的确定,公司的业务连续性管理过程是会影响压缩机的研发、生产制造和销售等业务活动的管理过程。在信息安全风险识别中,本文所确认的业务风险主要就是影响压缩机的研发、生产制造和销售过程中的信息安全的风险。 4.1.2公司的信息系统根据公司资产风险管理程序规定所规定的资产保密性、完整性和可用性定义方法进行判定,确认为重要资产的,该系统为公司的重要信息管理系统。重要系统识别后建立公司的《重要信息系统清单》。 4.1.3 根据风险识别要求,识别重要系统的威胁和脆弱性,判定识别信息系统的风险级别。信息系统的威胁包括重大失误和灾难事故等,例如设备故障、病毒破坏、人为差错、盗窃、火灾、自然灾害和恐怖行为,风险评估时、根据时间、损坏程度、恢复周期来确定中断发生的概率来确定脆弱性,最后确定信息系统的风险大小和级别。形成信息系统的风险评估表。 4.2 业务连续性计划 4.2.1 信息部针对个系统可能的风险的对业务连续性影响的程度、发生的大小和优先级别,制定出该系统中断后各系统可容忍的最长的时间,也叫SLA(系统级别服务协议), 系统名称 风险事件 恢复方案 最长允许中断时间 批准日 年 月 日 修订批准日 种类:信息安全管理程序 文件编号: 名称: 业务连续性运营管理程序 总 页 数 5 页 No 3 4.2.2 SLA制度完成后,交信息部部长和总监审核认可,最终交公司经营委员会和总经理进行批准。 4.2.3 信息中心制定业务连续性计划 根据SLA的基本要求,信息中心应制定人员编制业务连续性管理计划,计划内容包括: 识别和确定影响业务连续性的系统的操作规程 系统中断风险类型 一般故障或系统中断时的应急措施和流程,应清楚规定故障对应的人员和所用资源,故障或中断处理的时间等。 当发生超过SLA允许的最长中断时间的事件时,需采取的恢复或复原系统的措施,人员、职责(如遇到火灾事故时需灾难救助人员、疏散人员、系统检查人员、基础设施恢复、系统恢复人员、系统测试人员及职责),所需资源,以及恢复或复原系统之前保证连续性运营临时措施(临时措施的操作规程和要求), 系统维护计划,包括维护计划内容、测试计划时间要求。 业务连续性计划教育和培训要求和职责 4.2.4 业务连续性计划制定后,需经过信息部部长和总监批准。 4.3业务连续性计划的测试、维护和再评估 4.3.1 业务连续性计划批准后,需根据计划要求需确定组建相关的责任人员,必要时组成相关的责任小组。信息部应该对相关的责任人员进行教育培训,时期了解相关的规程和要求,保证风险事故发生时能负起职责,确保连续性计划能有效实施。相关培训计划应建立。 4.3.2 信息安全事务局编制每年业务连续性测试计划,测试计划包括: 1)各种测试场景的桌面测试 2)场景模拟条件下各职责人员对应的责任和角色。 3)系统恢复方案 4)供方设施和服务测试 5)完整演习(当中断发生时相关人员、设施和过程能保证应付中断。 相关部门人员须对对应的技术方案负责。 批准日 年 月 日 修订批准日 种类:信息安全管理程序 文件编号: 名称: 业务连续性运营管理程序 总 页 数 5 页 No 4 4.3.3 测试 ISO事务局根据建立的连续性经营计划应定期组织相关部门和人员进行测试和演练。测试和演练都必须按业务连续性计划测试计划编制具体场景的详细的《连续性测试演练计划》。测试和演练须按计划实施。测试组织人员应详细记录测试或演练过程和结果,并将实际的测试过程和计划进行对比,以验证计划的有效性。 4.3.4 测试计划再评估 测试完成后,测试组织人员需进行总结,按《连续性计划测试计划报告》格式编制总结报告,对测试过程中发现的问题进行总结并评审,便于采取进一步的改进计划和措施。 事务局应该定期修订业务连续性计划测试计划,以保证测试计划的适用性和有效性。 4.4其他事项 4.4.1连续性经营计划应覆盖所有可能的安全事故种类,可能还包括: 信息系统失败和设备丢失 拒绝服务 不完整或不准确经营数据造成的错误 违反保密性可能事件 意外事故包括影响信息安全的火灾、水灾等。 4.4.2 I
tj