HYK-MS-228 信息和隐私安全持续性管理程序.docVIP

第PAGE\*Arabic2页共6页

深圳市企启信息科技有限公司

信息和隐私安全持续性管理程序

文档编号：HYK-MS-228

版本信息：V1.0

创建人：信息安全与隐私安全小组

审核者：周静

批准人：黄伟

编制日期：2022年5月10日

批准日期：2022年5月10日

文件变更记录

版本

变更描述

日期

修订人

批准日期

批准人

V1.0

初始版本，文档建立

2022年5月10日

周静

2022年5月10日

黄伟

目录

TOC\o1-2\h\u53781.目的 4

297362.范围 4

220563.职责 4

264994.相关文件 4

113435.程序 4

221425.1业务连续性和影响的分析 4

11935.2《业务连续性管理计划》的编制与实施 4

288525.3业务连续性计划的测试与评审 5

48375.4应急措施 6

234316.记录 6

1.目的

为了对公司业务中的信息和隐私安全连续性管理活动实施控制，特制定本程序。

2.范围

适用于公司信息系统业务连续性管理活动。

3.职责

3.1信息和隐私安全领导小组负责信息系统的业务连续性管理工作。

3.2各相关部门配合信息和隐私安全领导小组负责相关业务连续性计划的实施。

4.相关文件

《HYK-MS-227信息和隐私安全事件管理程序》

《HYK-MS-228-S01突发事件应急管理办法》

《HYK-MS-228-S02信息系统故障处理应急预案》

5.程序

5.1业务连续性和影响的分析

5.1.1由信息和隐私安全领导小组和相关职能部门负责组织识别对业务连续性造成严重影响的主要事件，如信息系统设备故障、火灾等，分析一旦这些事件发生会对业务活动造成的影响和损失，以及统计恢复业务所需费用等，并编写《业务连续性和影响分析报告》。

5.1.2《业务连续性和影响分析报告》应包括以下内容：

a.识别关键业务的管理过程；

b.识别可能引起业务活动中断的主要事件；

c.分析主要事件对信息系统和业务活动造成的影响；

d.分析信息系统故障或中断对业务活动的影响；

e.考虑关于系统恢复或替换的费用。

5.2《业务连续性管理计划》的编制与实施

5.2.1信息和隐私安全领导小组负责确定影响业务连续性的重要信息系统，编制《业务连续性管理战略计划》。

5.2.2《业务连续性管理战略计划》应包括以下方面的内容：

a.计划实施所涉及的部门/人员的职责、权限及接口关系的描述；

b.业务中断的快速报告程序及要求；

c.业务中断的恢复程序及方法；

d.业务中断恢复的时限要求；

e.保持本公司业务持续运作应采取的应急措施与备用措施；

f.必要的技术支持及资源要求。

5.2.3重要系统一旦受到重大影响或中断后，信息和隐私安全领导小组及相关部门应立即执行《业务连续性管理战略计划》，对信息系统采取应急措施，并进行恢复，确保业务经营活动的持续运行。同时，应按照《信息和隐私安全事件管理程序》做好事故处理记录，记录内容应包括：

a.对业务中断原因的调查分析；

b.业务中断造成损失的统计；

c.采取的纠正措施；

d.应吸取经验教训及预防措施等。

5.3业务连续性计划的测试与评审

5.3.1每年下半年由信息和隐私安全领导小组组织相关部门对《业务经营连续性管理战略计划》进行测试，以判断计划的可行性和有效性。测试可采用以下方法进行：

a.对已发生过的业务中断及恢复措施实例进行讨论；

b.组织相关部门进行业务中断及恢复的模拟演练；

c.采用技术手段对系统运行及中断恢复的相关参数进行测量；

d.由外部服务供应商提供服务和产品测试，确保所提供的外部服务和产品符合合同要求。

5.3.2测试完成后信息和隐私安全领导小组负责编制《业务经营连续性管理计划测试报告》，并对计划的适用性和有效性进行评审，形成《业务连续性管理计划评审报告》。

5.3.3根据《业务连续性管理计划评审报告》的要求，决定是否对《业务连续性管理计划》进行修改。

5.4应急措施

对于一般的故障，职能部门应制订作业文件《信息系统故障处理应急预案》并执行。

6.记录

《HYK-MS-228-R01业务连续性管理计划》

《HYK-MS-228-R02业务连续性管理计划测试报告》

《HYK-MS-228-R03业务连续性和影响分析报告》

《HYK-MS-228-R04应急预案》

《HYK-MS-228-R05办公环境中断演练记录与评价》