10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27001信息安全管理体系认证咨询 > ISO27000认证|《业务连续性计划编写指南》郑州ISO27000,郑州ISO27001,郑州ISO27001认证,郑州ISO27000认证,郑州ISO27001认证公司,郑州信息安全认证,郑州信息安全管理体系认证:ISO27000认证|《业务连续性计划编写指南》
1.目的
本指南为各个业务部门编写《业务连续性计划》提供指导。
2.适用范围
本指南适用于ISO27000信息安全管理体系所覆盖的所有部门的《业务连续性计划》编写。
3.术语和定义(略)
4.职责
4.1信息安全部
在信息安全委员会的领导下,负责协调业务连续性管理工作。
4.2信息安全推进组
负责指导和培训部门内编制《业务连续性计划》
4.3相关部门
负责业务系统的业务影响分析,制定和执行本部门的《业务连续性计划》。
5 业务连续性计划制定步骤
《业务连续性计划》立案(BCP)的目标是要确保发生信息服务破坏或灾难后把灾难对业务造成的负面影响降到最小并在所要求和认可的时间及成本范围内恢复信息服务。
BCP应通过下列步骤制定:
a.业务影响分析(BIA):BIA用于识别关键信息服务并给出相应的优先级。BIA必须在制定实际《业务连续性计划》之前进行;
b.制定恢复策略:彻底的恢复策略保证在业务中断后所要求的信息服务能够迅速有效地恢复;
c.计划的检查和维护:所制定的《业务连续性计划》必须根据需要进行检查和更新,以保持和业务变化的同步。
5.1 业务影响分析
所有的业务负责人和系统管理员都应当了解信息服务中断造成的业务损失及所需的恢复成本。必须对所有信息服务的使用进行检查,以确定所提供的关键组成,并由此确定业务操作中断造成结果的特点。
在业务影响分析(BIA)过程中,如果有必要,业务负责人和系统管理员应当向IT部门进行咨询以进行下列分析,并填写“关键业务影响分析表”。
5.1.1 识别关键业务
业务负责人负责识别关键业务过程。业务负责人和系统管理员应共同确定支持关键和寄出业务功能的信息服务以及灾难恢复所需时间。
5.1.2 识别造成的影响和允许中断的时间
如果出现下列服务中断或损坏的情况,业务负责人和系统管理员必须分析可能受到影响的关键信息服务。
a.因关键业务进程中断所造成的潜在破坏或损失(例如收入减少、额外成本、名誉受损、商业信用丧失、生产设施破坏);
b.发生服务中断后破坏或损失增大的程度;
c.保证关键业务进程得以持续的最低可接受信息服务水平;
d.最低业务进程水平恢复所需时间及所有要求的业务进程完全恢复的时间。
5.1.3 成本分析
系统管理员应当了解关键信息服务的恢复成本并将其与业务进程不可操作引起的成本进行比较。
5.1.4 制定恢复优先级
业务负责人和系统管理员必须根据业务目标、中断影响分析和成本分析制定恢复优先级和策略。
5.2制定备份和恢复策略
业务影响分析(BIA)结束后,业务负责人和系统管理员需要制定恢复策略,以便在发生信息服务中断后提供迅速有效的恢复所要求的业务进程的手段,以保护所有基本信息和软件,并确保发生事故或灾难时业务的连续性。
业务影响分析(BIA)中明确的中断影响、允许的中断时间和成本应作为策略制定的决定因素。业务负责人必须确保恢复策略与IT部门的业务进程一致。在信息服务的设计和实施阶段系统,管理员要负责把恢复策略集成到这些服务的使用中去。
5.3业务连续性计划的恢复和执行
关键业务遇到信息服务中断或灾难,业务负责人要负责根据《业务连续性计划》中的恢复场景激活并执行恢复进程。业务负责人还要在负责确认恢复结果,并确定受到灾难影响的业务进程能否恢复到正常状态。
系统管理员要负责先定义《业务连续性计划》中的所有恢复程序。系统管理员必须取得相关业务负责人的书面许可,以便使《业务连续性计划》有效。
5.4业务连续性计划的测试、培训、维护
业务负责人和系统管理员负责确保《业务连续性计划》切实并准确满足业务进程的需要和当前状态。恢复小组成员必须经过正确培训或了解在《业务连续性计划》中定义的各自的职责和责任。
ISO27000信息安全管理体系认证证书样板参考:
本指南为各个业务部门编写《业务连续性计划》提供指导。
2.适用范围
本指南适用于ISO27000信息安全管理体系所覆盖的所有部门的《业务连续性计划》编写。
3.术语和定义(略)
4.职责
4.1信息安全部
在信息安全委员会的领导下,负责协调业务连续性管理工作。
4.2信息安全推进组
负责指导和培训部门内编制《业务连续性计划》
4.3相关部门
负责业务系统的业务影响分析,制定和执行本部门的《业务连续性计划》。
5 业务连续性计划制定步骤
《业务连续性计划》立案(BCP)的目标是要确保发生信息服务破坏或灾难后把灾难对业务造成的负面影响降到最小并在所要求和认可的时间及成本范围内恢复信息服务。
BCP应通过下列步骤制定:
a.业务影响分析(BIA):BIA用于识别关键信息服务并给出相应的优先级。BIA必须在制定实际《业务连续性计划》之前进行;
b.制定恢复策略:彻底的恢复策略保证在业务中断后所要求的信息服务能够迅速有效地恢复;
c.计划的检查和维护:所制定的《业务连续性计划》必须根据需要进行检查和更新,以保持和业务变化的同步。
5.1 业务影响分析
所有的业务负责人和系统管理员都应当了解信息服务中断造成的业务损失及所需的恢复成本。必须对所有信息服务的使用进行检查,以确定所提供的关键组成,并由此确定业务操作中断造成结果的特点。
在业务影响分析(BIA)过程中,如果有必要,业务负责人和系统管理员应当向IT部门进行咨询以进行下列分析,并填写“关键业务影响分析表”。
5.1.1 识别关键业务
业务负责人负责识别关键业务过程。业务负责人和系统管理员应共同确定支持关键和寄出业务功能的信息服务以及灾难恢复所需时间。
5.1.2 识别造成的影响和允许中断的时间
如果出现下列服务中断或损坏的情况,业务负责人和系统管理员必须分析可能受到影响的关键信息服务。
a.因关键业务进程中断所造成的潜在破坏或损失(例如收入减少、额外成本、名誉受损、商业信用丧失、生产设施破坏);
b.发生服务中断后破坏或损失增大的程度;
c.保证关键业务进程得以持续的最低可接受信息服务水平;
d.最低业务进程水平恢复所需时间及所有要求的业务进程完全恢复的时间。
5.1.3 成本分析
系统管理员应当了解关键信息服务的恢复成本并将其与业务进程不可操作引起的成本进行比较。
5.1.4 制定恢复优先级
业务负责人和系统管理员必须根据业务目标、中断影响分析和成本分析制定恢复优先级和策略。
5.2制定备份和恢复策略
业务影响分析(BIA)结束后,业务负责人和系统管理员需要制定恢复策略,以便在发生信息服务中断后提供迅速有效的恢复所要求的业务进程的手段,以保护所有基本信息和软件,并确保发生事故或灾难时业务的连续性。
业务影响分析(BIA)中明确的中断影响、允许的中断时间和成本应作为策略制定的决定因素。业务负责人必须确保恢复策略与IT部门的业务进程一致。在信息服务的设计和实施阶段系统,管理员要负责把恢复策略集成到这些服务的使用中去。
5.3业务连续性计划的恢复和执行
关键业务遇到信息服务中断或灾难,业务负责人要负责根据《业务连续性计划》中的恢复场景激活并执行恢复进程。业务负责人还要在负责确认恢复结果,并确定受到灾难影响的业务进程能否恢复到正常状态。
系统管理员要负责先定义《业务连续性计划》中的所有恢复程序。系统管理员必须取得相关业务负责人的书面许可,以便使《业务连续性计划》有效。
5.4业务连续性计划的测试、培训、维护
业务负责人和系统管理员负责确保《业务连续性计划》切实并准确满足业务进程的需要和当前状态。恢复小组成员必须经过正确培训或了解在《业务连续性计划》中定义的各自的职责和责任。
ISO27000信息安全管理体系认证证书样板参考:
想了解更多的关于郑州ISO27000,郑州ISO27001,郑州ISO27001认证,郑州ISO27000认证,郑州ISO27001认证公司,郑州信息安全认证,郑州信息安全管理体系认证信息可以经常关注我们
【相关文章】
