业务连续管理办法.doc

1
××农村信用合作联社
业务连续性管理方法

第一章　总那么
　　第一条　信息系统与信息科技是保障我社业务持续运营的重要根底。为降低或消除因信息系统效劳作，制定相关规章制度，制定和执行本部门业务连续性方案，开展本部门业务连续性方案的演练、评估与改良工作。
　　第十七条　我社内部审计部门应当负责并定期开展全行业务连续性管理审计工作。
6
第二节　应急处置组织架构
　　第十八条　我社建立运营中断事件应急处置的组织架构，包括应急决策层、应急指挥层、应急执行层和应急保障层。
　　第十九条　应急决策层由我社高级管理人员组成，负责决定应急处置重大事宜，包括：决定运营中断事件通报、对外报告和公告；批准启动总体应急预案等。
　　第二十条　应急指挥层由我社的业务连续性管理主管部门、执行部门和保障部门负责人组成，负责运营中断事件处置应急指挥和组织协调，督导应急处置实施。
　　第二十一条　应急执行层由我社业务连续性管理执行部门组成，负责业务条线与信息技术应急处置工作。
　　第二十二条　应急保障层由我社业务连续性管理保障部门组成，负责应急处置所需人力、物力和财力等资源的保障，应急处置对外报告、宣告、通报和沟通与协调，以及对外媒体公关、秩序维护、平安保障、法律咨询和人员安抚等相关工作。
第三章　业务影响分析
　　第二十三条　我社通过业务影响分析识别和评估业务运营中断所造成的影响和损失，明确业务连续性管理重点，根据业务重要程度实现差异化管理，确定各业务恢复优先顺序和恢复指标。
6
我社应当至少每三年开展一次全面业务影响分析，并形成业务影响分析报告。
　　第二十四条　我社应当识别重要业务，明确重要业务归口管理部门、所需关键资源及对应的信息系统，识别重要业务的相互依赖关系，分析、评估各项重要业务在运营中断事件发生时可能造成的经济损失和非经济损失。
　　第二十五条　我社应当综合分析重要业务运营中断可能产生的损失与业务恢复本钱，结合业务效劳时效性、效劳周期等运行特点，确定重要业务恢复时间目标(业务RTO)、业务恢复点目标(业务RPO)，原那么上，重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时。
　　第二十六条　我社应当明确业务重要程度和恢复优先级别，并识别重要业务恢复所需的必要资源。
　　第二十七条　我社应当通过分析业务与信息系统的对应关系、信息系统之间的依赖关系，根据业务恢复时间目标、业务恢复点目标、业务应急响应时间、业务恢复的验证时间，确定信息系统恢复时间目标(信息系统RTO)、信息系统恢复点目标(信息系统RPO)，明确信息系统重要程度和恢复优先级别，并识别信息系统恢复所需的必要资源。
　　第二十八条　我社应当开展业务连续性风险评估，识别业务连续运营所需的关键资源，分析资源所面临的各类威胁以及资源自身的脆弱性，确定资源的风险敞口。关键资源应当包括关键信息系统及其运行环境，关键的人员、业务场地、业务办公设备、业务单据以及供给商等。
8
　　第二十九条　我社应当根据风险敞口制定降低、缓释、转移等应对策略。依据防范或控制风险的可行性和剩余风险的可接受程度，确定风险防范和控制的原那么与措施。
　　第三十条　我社应当根据业务影响分析结果，依据业务恢复指标，制定差异化的业务恢复策略，主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。
　　第三十一条　我社应当依据业务恢复策略，确定灾难恢复资源获取方式和灾难恢复等级。
第四章　业务连续性方案与资源建设
第一节　业务连续性方案
　　第三十二条　我社应当依据业务恢复目标，制定覆盖所有重要业务的业务连续性方案。
　　第三十三条　业务连续性方案的主要内容应当包括：
　　(一)重要业务及关联关系、业务恢复优先次序；
　　(二)重要业务运营所需关键资源；
　　(三)应急指挥和危机通讯程序；
　　(四)各类预案以及预案维护、管理要求；
　　(五)剩余风险。
　　第三十四条　我社应当制定总体应急预案。总体应急预案是我社应对运营中断事件的总体方案，包括总体组织架构、各层级预案的定位和衔接关系及对运营中断事件的预警、报告、分析、决策、处理、恢复等处置程序。总体预案通常用于处置导致大范围业务运营中断的事件。
8
　　第三十五条　我社应当制定重要业务专项应急预案，专项应急预案应当注重灾难场景的设计，明确在不同场景下的应急流程和措施。业务条线的专项应急预案，应当注重调动内部资源、采取业务应急手段尽快恢复业务，并和