1 范圍  

  本程序規定了當發生重大信息安全事件或災難時，為保護公司業務活動免受影響，迅速恢復已中斷的業務活動，實現公司業務持續發展而實施的管理活動。本程序適應于本公司生產運營、商務等主要業務的持續性管理。

2 職責  

2.1 公司事故應急小組負責公司業務中斷恢復的總指揮與總協調。  

2.2 行政部負責編制、修訂公司業務持續性管理程序，并協調、推進公司業務持續性管理活動。  

2.3 業務部門負責對外客戶的聯絡, 負責推進公司業務的發展。  

2.4 采購部門負責對供應商采購產品的調配, 確保生產的順利進行。

2.5 生產部門根據業務部門協調，積極組織生產, 確保生產任務及時完成。  

3 程序內容  

公司業務持續性管理過程規定如下：

3.2 業務持續性和影響的分析

3.2.1  公司在首次安全風險評估后進行業務持續性和影響的分析。

3.2.2  業務持續性和影響的分析由行政部組織，其他各相關部門分別開展以下活動：

a)  對本部門的信息安全進行風險評估；

    b)  識別出對本部門業務持續性造成嚴重影響的主要事件，如設備故障、火災等；

c)  分析這些事件一旦發生對公司業務活動造成的影響和損失，以及恢復業務所需費用等；

d)  編寫[業務持續性和影響分析報告]，詳見附錄A 。

3.2.3 [業務持續性和影響分析報告]應包括以下內容：  

  a)  識別關鍵業務的管理過程；

  b)  可能引起公司業務活動中斷的主要事件；

  c)  主要事件對本部門管理的信息系統的影響；

 d)  信息系統故障或中斷對公司業務活動的影響；

  e)  關于系統恢復或替換的費用考慮。

3.3 編制[業務持續性管理實施計劃]  

   由風險評估小組制訂組織級《業務持續性管理實施指南》，詳見附錄B，并提交公司事故應急小組討論，經批準后予以執行。

3.3.1 根據組織級《業務持續性管理實施指南》，各相關部門分別編制本部門管理的[業務持

續性管理實施計劃]，并由事故應急小組批準，以便在這些系統發生中斷時實施。

3.3.2 [業務持續性管理實施計劃]包括以下方面的內容：

a)  計劃實施所涉及的部門/人員的職責、權限及接口關系的描述；

b)  業務中斷的速報程序及要求；

c)  業務中斷的恢復程序及方法；

d)  業務中斷的恢復時限要求；

e)  保持公司業務運作連續應采取的應急措施與備用措施；

3.4 [業務持續性管理實施計劃]的實施要求  

  上述重要系統一旦受到重大影響或中斷后，有關部門應立即執行[業務持續性管理實施計劃]，對系 統采取應急措施、進行恢復，確保公司生產經營活動的持續運行。同時，應做好事故處理記錄，記錄內容應包括：

a)  對系統中斷原因的調查分析；

b)  系統中斷造成損失的統計；

c)  采取的糾正措施；

d)  應吸取經驗教訓及預防措施等。

3.5 業務持續性計劃的測試與評審  

3.5.1 每年下半年由運管部組織有關部門對[業務持續性管理實施計劃]進行測試，以判斷計劃的可行性和有效性。測試可采用以下方法進行：

a)  對已發生過的業務中斷及恢復措施實例進行討論；

b)  組織有關部門進行業務中斷及恢復的模擬演練；

c)  采用技術手段對系統運行及中斷恢復的相關參數進行測量；

d) 由供應商提供測試服務，確保所提供的外部服務和產品符合合同要求；

e)  測試完成后填寫[業務持續性管理計劃評測報告]。

附錄A

（資料性目錄）

業務持續性和影響分析報告

1  目的

為防止公司生產、經營、管理活動在出現重大事故/危機或災難的情況下受到影響或中止，實現業務可持續發展，對信息系統在出現故障、災難情況下,對本公司的業務影響做出分析。

2  故障/災難風險種類分析

影響業務可持續性的風險主要有：

a)  地震（非建筑物毀滅） 、水災、火災、臺風、雷擊等環境故障造成信息系統中斷甚至毀滅；  

b)  電源故障造成設備斷電以至生產中止；  

c)  主要原材料供應商遭遇事故, 而無法及時供應原材料；

d)  生產設備故障, 造成生產進度無法及時完成。

3  故障/災難對公司業務的影響

表1.故障/災難的影響

根據故障/災難一旦發生后對信息系統和業務影響，對中等以上的，確定防范措施，對影響重大的進行業務連續性恢復分析策劃。

3 信息系統故障/災難防范和恢復分析

表2. 信息系統故障/災難防范和恢復分析表

上述災難恢復能力根據業務要求確定，為第1級-基本支持級。

5  分析總結

根據上述信息系統故障/災難防范和恢復分析，對火災引起的信息系統中斷按《業務連續性管理實

施計劃》進行恢復。