1 识别组织关键业务
在开发业务应急预案之前,应对以下方面对组织进行分析:
1) 识别组织的目标、利益相关方的义务、法定责任和组织运行的环境;
2) 识别活动、资产和资源,包括组织以外支持组织产品和服务交付的活动、资产和资源;
3) 活动、资产和资源的失效随时间推移的影响和后果。
2 识别关键信息系统
那些信息系统的崩溃将在短的时间内带来重大影响,并需要快速恢复的系统,可被视为“关键信息系统”。 组织应识别为关键业务提供支持的关键信息系统和(或)支持服务。
连续性架构规划
组织应该对信息系统的连续性的架构进行规划和设计,在进行规划和设计时需要考虑的方面包括,
1) 人员;
2) 基础设施;
3) 技术设施;
4) 信息和数据;
5) 其他供给;
6) 利益相关方。
为方便理解业务连续性管理过程,将采用分级的方式进行表述。业务连续性管理概要过程主要从整体上描述,不会体现具体的细节和涵盖所有的人员。
1) 制定业务连续性框架
通过对一系列应对方式(包括资源获取方式)的策略评估,确定业务连续性框架,为每一服务选择了合适的响应方式,使得组织可以在中断发生中或发生后能够按预定的条件持续提供服务。
2) 制定应急预案
开发具体的服务连续性应对措施,建立事故管理和业务连续性、业务恢复计划的管理框架,以详细描述在事故发生中或发生后维持和恢复运行的步骤。
3) 演练与维护
通过业务连续性的演练、维护和评审使得组织保证服务连续性策略和计划完成、更新和准确的程度。
1) 信息安全工作小组:
负责选派一名纠正和预防措施监督员负责收集信息并组织责任部门分析原因,并跟踪验证纠正预防措施实施情况;
负责与相关部门共同制定纠正预防措施。
2) 各部门:负责本部门的不符合原因分析及纠正、预防措施的制定和实施。
1) 为了消除不符合项或潜在的不符合项的产生,所采取的纠正、预防措施应与问题大小和风险程度相适应,以的成本获得满足信息安全管理体系的要求。
2) 通过应用信息安全管理方针、目标及其有效性测量、审核结果、监视事件的分析、纠正和预防措施和管理评审,持续改进信息安全管理体系的有效性。
3) 信息安全工作小组负责组织将证实有效的纠正、预防措施纳入有关的管理和技术文件中去,使其成为正式的方法,有效地防止不符合项的发生。所引起的信息安全管理管理体系文件的更改和补充按《文件控制制度》进行。
-/gbacfji/-
http://lsjsqd.b2b168.com
