SM-02002IT服务连续性流程管理办法-V10

文件密级：内部使用潍坊中财信科技有限公司信息技术服务管理体系IT服务连续性流程管理办法文件编号：SM-02002[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属本公司所有，受到有关产权及版权法保护。任何个人、机构未经本公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。]大江网络信息技术服务管理体系文件IT服务连续性流程管理办法1.分发控制读者文档权限说明公司内部员工只读2.文件版本信息版本号修订变更描述日期审核批准V1.0编写组全文201311213.文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0时，表示该版本文件为草案，仅可作为参照资料之目的。大江网络信息技术服务管理体系文件IT服务连续性流程管理办法目录1.概述.........................................................................................................................11.1.目标..............................................................................................................11.2.范围..............................................................................................................11.2.1.流程适用范围....................................................................................11.2.2.流程管理范围....................................................................................12.角色和职责.............................................................................................................22.1.服务连续性管理流程负责人......................................................................22.2.连续性经理..................................................................................................22.3.连续性管理维护人......................................................................................23.输入.........................................................................................................................34.输出.........................................................................................................................35.流程描述.................................................................................................................35.1.连续性管理流程..........................................................................................35.2.演练工作管理流程......................................................................................46.关键绩效指标（KPI）..........................................................................................67.流程质量控制.........................................................................................................68.与其它流程的接口.................................................................................................79.术语定义.................................................................................................................710.附则.....................................................................................................................8潍坊中财信服务管理体系文件IT服务连续性流程管理办法文件密级：内部使用第1页共8页1.概述1.1.目标业务连续性管理通过风险分析和管理确保组织在任何时候都具备最低要求的开发能力和服务供应。其目标是确保向顾客承诺的服务在任何情况下都能得到满足。信息技术服务持续性管理是应对影响信息技术服务运作的灾难并维护信息技术服务以支持业务的持续运作的流程。服务连续性管理流程的主要步骤包括：1)能有效管理组织中基于服务级别的关键业务的连续性；2)实施基于关键业务需求制定的有效的连续性管理计划；3)当灾难发生时能以最快速度恢复正常业务；4)实施危险降低措施以降低业务中断所造成的损失。1.2.范围1.2.1.流程适用范围本流程适用于潍坊中财信科技有限公司（以下简称“公司”）相关部门。1.2.2.流程管理范围范围内业务影响度分析支持业务的关键业务单元设计开发灾难恢复预案设计开发灾难恢复演练灾难风险的缓解和避免风险和威胁的识别，评估，管理(执行信息安全管理体系文件要求)业务连续性管理的持续改进以及测试范围外未上线的信息系统建设日常的技术测试训练潍坊中财信服务管理体系文件IT服务连续性流程管理办法文件密级：内部使用第2页共8页2.角色和职责可管理流程涉及的角色包括：服务连续性管理流程负责人、服务连续性经理、服务连续性管理维护人等。服务连续性管理流程负责人和服务连续性经理可以由同一人担任。各角色职责如下：2.1.服务连续性管理流程负责人服务连续性管理流程负责人从宏观上对流程运行情况进行监控，确保连续性管理流程在各部门间被正确的执行。当流程不能够适应公司实际情况和服务连续性要求时，流程负责人必须启动分析研究，找到解决方案并进行改进，实现流程的稳定运行和可持续提高。具体职责包括：1）确定服务连续性管理流程的衡量指标；2）确保连续性管理流程能够取得管理层的参与和支持；3）确保连续性管理流程符合公司实际状况和公司IT发展战略；4）总体上管理和监控流程，建立连续性管理流程实施、评估和持续优化机制；5）确保连续性管理流程有效、正确地执行，当流程不能够适应公司的情况时，必须及时进行分析、找出缺陷、进行改进，从而实现可持续提高；6）保持与其他流程负责人的定期沟通。2.2.连续性经理1）组织进行风险和灾难规避评估；2）组织进行业务影响度分析；3）承担突发事件应急指挥；4）牵头确定和建设服务连续性恢复方案；5）牵头组织连续性和灾难恢复，设计开发关键系统的灾难恢复预案；6）根据连续性和灾难恢复预案，牵头组织演练工作；7）监控连续性管理的持续改进。8）负责流程运行质量的监控管理，向公司负责，2.3.连续性管理维护人1）服务连续性计划的制定；2）参与业务影响度分析工作；潍坊中财信服务管理体系文件IT服务连续性流程管理办法文件密级：内部使用第3页共8页3）汇总灾难恢复预案，定期整理并维护预案库；4）汇总并维护灾难恢复演练计划；5）定期生成灾难恢复演练工作月度报告。6）负责对处置工作的关键部门和人员的沟通和联系；7）负责跟踪和反馈突发事件处置工作的关键流程，全面收集和整理事件处理过程的信息，为突发事件应急指挥组提供全面信息支持。3.输入编号输入项来源周期1.服务级别需求服务级别协议一年2.业务恢复需求服务级别协议一年3.风险评估信息安全管理体系一年4.服务级别和业务影响度的变更变更管理不定期4.输出编号输出项去向周期1.风险评估和业务影响度分析报告业务关系管理变更管理一年2.灾难恢复预案半年3.灾难恢复演练半年5.流程描述5.1.连续性管理流程项目输入步骤描述输出1.进行风险和灾难规避评估输入:风险和威胁/历史数据/当前环境/当前的策略/流程/程序根据现状和业务特点，全面识别和分析风险因素，分析风险发生的可能性。根据风险的来源和可控程度对风险因素进行分类分析，识别信息系统面临的自然和人为的威胁，识别信息系统的脆弱性。根据风险范围和影响的严重程度以及风险发生概率，评估风险可接受的程度。风险评估报告2.进行业风险分析评结合风险分析结果和中断损失影响程度，确关键系潍坊中财信服务管理体系文件IT服务连续性流程管理办法文件密级：内部使用第4页共8页项目输入步骤描述输出务影响度分析估报告定各业务功能对恢复时间的敏感程度要求。根据业务恢复需求和业务功能的相互依赖关系和程度，确定系统的恢复顺序。统、业务中断损失和恢复优先级3.确定整体恢复策略关键系统、业务中断损失和恢复优先级根据关键系统、业务中断损失和恢复优先级，确定信息系统应急恢复的RTO、RPO技术指标，并确定整体恢复策略。整体恢复策略4.确定和建设业务连续性恢复方案整体恢复策略根据整体恢复策略，确定和建设业务连续性恢复方案。并对连续性计划进行测试，并记录所有的连续性测试，测试失效之处应在行动计划中明确描述。每年进行业务连续性恢复方案评审。当业务环境发生重大变更时，应重新测试服务连续性计划。业务连续性恢复方案5.设计开发连续性及灾难恢复预案连续性和灾难恢复小组、业务连续性恢复方案连续性和灾难恢复小组根据业务连续性恢复方案，设计开发出灾难恢复预案。灾难恢复预案6.根据连续性和灾难恢复预案进行演练灾难恢复预案根据开发的关键系统灾难恢复预案，组织进行相应的应急演练，使相关人员熟悉连续性管理的流程与环节，并检测预案的可行性和有效性。演练报告7.连续性和灾难恢复预案维护灾难恢复预案、演练报告定期对预案进行内部检查，发现问题或所涉及的内容发生变化后需要立即更新。此外，每次演练后发现预案中存在与实际情况不符的情况，需要在演练结束后立即更新。灾难恢复预案5.2.演练工作管理流程演练工作应明确制定演练对象。演练对象可以是应急预案、项目实施方案、技术方案、业务方案，也可以是日常惯例流程和操作、组织管理应变能力等。在组织实施每次演练工作时，建议遵循以下演练管理流程：(一)设计演练项目1)确定演练的对象和范围；2)循序渐进、有针对性的制定本次演练目标；3)确定演练参与部门和人员范围；潍坊中财信服务管理体系文件IT服务连续性流程管理办法文件密级：内部使用第5