业务持续性管理程序 1.目的与范围 本程序规定了当发生重大信息安全事件或灾难时，为保护公司技术中心业务活动免受影响，迅速恢复已中断的业务活动，实现公司技术中心业务持续发展而实施的管理活动。 这些活动包括：建立业务持续性管理程序；进欧亿·体育（中国）有限公司务持续性和影响分析；编制业务持续性战略计划；制订业务持续性管理实施计划并实施；对业务持续性管理计划进行定期测试和评审等。 本程序适应于本公司技术中心生产、商务等主要业务的持续性管理。 2 职责 2.1信息安全管理委员会负责公司技术中心业务中断恢复的总指挥与总协调。 2.2技术部系统运维及IT服务部网络管理员负责编制、修订公司技术中心业务持续性管理程序，并协调、推进公司技术中心业务持续性管理活动。 2.3系统运维及IT服务部技术部网络管理员负责电话/网络通讯与办公系统的故障处理及与之相关的作业中断的恢复。 2.4系统运维及IT服务部技术部网络管理员负责生产设备及软件系统的故障处理及与之相关的作业中断的恢复。 2.5系统运维及IT服务部技术部网络管理员负责网络系统的故障处理及与之相关的作业中断的恢复。 2.6系统运维及IT服务部技术部网络管理员负责本部门服务器网络系统、设计PC终端网络系统的故障处理及与之相关的作业中断的恢复。 2.7公司技术中心各网络管理员部门在发生重大信息安全事件或灾难时，负责保护本部门使用的信息系统及业务数据，及时恢复中断的业务活动。 3 程序内容 3.1业务持续性管理过程 公司技术中心业务持续性管理过程规定如下： 3.2业务持续性和影响的分析 3.2.1公司技术中心在首次信息安全风险评估后进欧亿·体育（中国）有限公司务持续性和影响的分析。 3.2.2业务持续性和影响的分析由系统运维及IT服务部技术部组织，其他各部门及管理者代表指定的相关部门分别开展以下活动： 对本部门的信息安全进行风险评估； 识别出对本部门业务持续性造成严重影响的主要事件，如设备故障、火灾等； 分析这些事件一旦发生对公司技术中心业务活动造成的影响和损失，以及恢复业务所需费用等； 编写《业务持续性和影响分析报告》（格式不限）。 3.2.3《业务持续性和影响分析报告》应包括以下内容： 识别关键业务的管理过程； 可能引起公司技术中心业务活动中断的主要事件； 主要事件对本部门管理的信息系统的影响； 信息系统故障或中断对公司技术中心业务活动的影响； 关于系统恢复或替换的费用考虑。 3.3编制《业务持续性管理实施计划》 由风险评估小组制订组织级《业务持续性管理实施指南》，并提交信息安全管理委员会讨论，经批准后予以执行。 3.3.1根据组织级《业务持续性管理实施指南》，各相关部门分别编制本部门管理的信息系统的《业务持续性管理实施计划》，并由信息安全委员会批准，以便在这些系统发生中断时实施。 3.3.2部门《业务持续性管理实施计划》的编写分工为： 系统运维及IT服务部技术部：电话/网络通讯与办公系统，服务器网络系统 人事行政部综合管理部：人力资源、办公环境 3.3.3《业务持续性管理实施计划》应包括以下方面的内容： 计划实施所涉及的部门/人员的职责、权限及接口关系的描述； 系统中断的速报程序及要求； 系统中断的恢复程序及方法； 系统中断的恢复时限要求； 保持公司技术中心业务运作连续应采取的应急措施与备用措施； 必要的技术支持及资源要求。 3.5《业务持续性管理实施计划》的实施要求 上述重要系统一旦受到重大影响或中断后，有关部门应立即执行《业务持续性管理实施计划》，对系统采取应急措施、进行恢复，确保公司技术中心生产运营的持续运行。同时，应按照《信息安全事故管理程序》做好事故处理记录，记录内容应包括： 对系统中断原因的调查分析； 系统中断造成损失的统计； 采取的纠正措施； 应吸取经验教训及预防措施等。 3.6业务持续性计划的测试与评审 3.6.1每年下半年由系统运维及IT服务部技术部门网络管理员组织有关部门对《业务持续性管理实施计划》进行测试，以判断计划的可行性和有效性。测试可采用以下方法进行： 对已发生过的业务中断及恢复措施实例进行讨论； 组织有关部门进欧亿·体育（中国）有限公司务中断及恢复的模拟演练； 采用技术手段对系统运行及中断恢复的相关参数进行测量； 由供应商提供测试服务，确保所提供的外部服务和产品符合合同要求。 测试完成后填写《业务持续性管理计划评测报告》 4 相关文件 4.1《信息安全管理手册》 4.2《信息安全风险评估管理程序》 5 相关记录 5.1《业务持续性管理实施指南》 5.2《业务持续性和影响分析报告》 5.3《业务持续性管理实施计划》 5.4《业务持续性管理计划评测报告》