设为首页 | 加入收藏
信息安全体系认证 当前您的位置:软件信息产品认证>>信息安全体系认证
业务连续性认证管理手册


重庆XX科技有限公司


业务连续性管理手册
(依据GB/T 30146-2013标准编写)


文件编号:BSC-BCMS-A01-2018
版 本 号:V3.0
分 发 号:
文件密级:

 

 


编制:人事行政部 审核:    批准:   
发布日期:2018年9月20日 实施日期:2018年9月20日

0 前言
0.1 颁布令
颁布令
本手册依据GB/T30146-2013《公共安全 业务连续性管理体系 要求业务连续性》标准, 结合公司相关业务及公司的实际情况,建立业务连续性管理体系,编制完成了《业务连续性管理手册》V3.0版,经审定符合国家、地方及行业的有关法律规定和本公司的实际情况,现予以批准颁布,它阐述了我公司的管理方针、管理目标,并对公司的管理体系提出了具体要求。
本手册自2018年9月20日起正式实施。
本手册是公司管理的基本法规,是业务连续性管理体系运行的准则,也是公司对所有顾客的承诺。自本手册实施之日起,公司的所有员工必须遵照执行。
公司任命代翔担任管理者代表,代表公司CEO负责公司业务连续性管理体系的建立、实施和改进,以及贯彻管理方针和目标、落实管理工作。
本手册可以作为对外提供业务连续性保证和第三方认证使用。


0.2 管理手册说明与管理
一、本《业务连续性管理手册》依据GB/T30146-2013业务连续性管理体系要求编制。在《业务连续性管理手册》中对业务连续性管理体系条款做了概括性叙述,是本公司对外实施业务连续性管理体系的承诺、对内进行业务连续性管理的纲领性文件。
二、 本《业务连续性管理手册》所采用的业务连续性条款与GB/T30146-2013标准中的条款编写保持一致,并结合本公司特点编写了程序文件、形成本公司的业务连续性管理标准,使业务连续性管理体系有章可循、有法可依。
三、《业务连续性管理手册》的管理
1、 《业务连续性管理手册》的编写由CEO授权管理者代表全权负责,并指定专门工作组进行手册的编写工作。
2、 《业务连续性管理手册》的管理,执行《文件控制程序》。
3、 《业务连续性管理手册》由CEO批准、签署发布和规定实施日期。
4、 《业务连续性管理手册》的发放和回收工作由公司的人事行政部负责。体系文件的分发,在公司的服务器中进行受控版本的分发。回收时,进行版本标识,在服务器中进行替换,并在公司内部发布文件更换通知。
5、 受控手册发放需填写“发放清单”记录,由管理者代表批准。经批准的手册持有者或部门,不得擅自对外交流,发放和外送。
6、 非受控手册,可发给招标单位、审核咨询单位,其它公共关系及对外交流单位或个人,但须由使用部门申请,管理者代表批准,人事行政部登记造册,方可发放。
7、 受控《业务连续性管理手册》的持有者若调离公司或不再从事相关工作时,人事行政部应及时关闭该手册的阅读权限。
8、 手册的持有者,应爱护并妥善保管好《业务连续性管理手册》,保证其完整、清晰、不得损坏、遗失。
9、 手册更改程序和更改方法按《文件控制程序》执行。
0.3 业务连续性管理方针
根据GB/T30146-2013《业务连续性管理体系—要求》标准要求,并结合本公司生产和服务活动特点,特制定我公司业务连续性管理体系方针,现发布如下:
无间断永续服务,超越客户期望;
管理方针的实现
上述方针体现了本公司在业务连续性管理体系方面的总的宗旨和方向,也体现了顾客和相关方的要求与期望:
结合公司业务特点和风险评估的结果,对关键业务加强过程控制,采取措施,确保公司业务的持续稳定运行,提高公司在市场核心竞争力;过程控制,采取预防措施,确保业务连续性的完整性、保密性及可用性,提高公司在市场核心竞争力;
方针是纲,纲举目张,管理方针以及以其为基础制定的管理目标要根据过程控制、测量分析、不断变化的顾客需求和技术状态,定期对管理方针和目标进行评审,以期持续满足顾客和相关方的要求,公司各部门以管理方针为框架,制定管理目标和指标。
批准人:XX
日期: 2018年9月10日
 
0.4 业务连续性管理目标
1. 数据可靠性:99%
2. 客户服务支持:7*24小时
3. 全年业务连续性中断事件发生次数为0。
 
0.5 公司简介
重庆XX科技有限公司(“XX科技”或“公司”)致力于成为全球领先的互联网内容传输(云链)服务提供商,基于其独有的互联网高速传输架构,帮助客户实现数据在应用和终端用户之间的高速高效传递。公司的目标是成为一家全球受人尊重的科技公司。
公司未来致力于在互联网上建设一个类似于顺风快递在实体物流的网络基础架构,将包含云分发、云仓库、云链接。公司通过虚拟化、软件定义和大数据技术建立的基础架构将更好的发挥企业私有云、公有云的服务,为终端用户传递云的力量。
XX科技创立于2015年,以惊人的成长速度迅速崛起,成为云服务领域受人瞩目的公司,XX致力于成为一家世界级的互联网基础平台提供商,致力为客户提供崭新的智慧型互联网内容传输云服务,以全透明服务和定制化服务为核心,助力企业提高实时效率,为其带来更快更稳定的传输体验。
自2015年4月26日成立以来,XX科技以云分发业务为切入点,在泛云服务市场上迅速崛起。截止到11月初运营服务带宽的峰值已经超过350G,签约客户28家,主要客户均是已上市或准备上市的中国领先互联网公司。公司预计12月份计费带宽业务量达到450-500G,当月收入达到800-900万。
以创始人兼CEO霍涛为领导的XX团队均来自百度、腾讯、阿里、华为、蓝汛、网宿等知名互联网公司,公司倡导平等轻松的伙伴式工作氛围,推崇创新、开放、激情、诚信、责任。

公司地址:
公司网址:
联 系 人:
电    话:


1 范围
本手册根据公司的业务连续性管理方针和管理目标及GB/T30146-2013标准要求规定了业务连续性管理体系各过程和活动的要求,通过业务连续性管理体系的有效运行的不断改进,达到持续提供顾客满意产品的目的。
2 规范性引用文件
下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。
3 术语和定义
本手册所使用的术语全部按照GB/T30146-2013的术语和定义。
CDN:是指对互联网网站内容进行分发和加速的服务,即利用高速缓存及负载均衡等技术,将互联网网站内容分发到各地的网络节点,以提高网站响应速度和增强用户体验的一种服务。
CWN:是云存储服务的英文简称,指面向 Internet 的对象云存储服务,具有 Web 服务接口,可用于存储和读写数据的服务。
CLN:深度威胁识别,有效抵抗应用层攻击,摆脱应用层业务风险的技术。
4 公司环境
4.1 公司的背景环境
公司确定与公司业务目标相关并影响实现业务连续性管理体系预期结果的能力的外部和内部问题,并定期更新,更新的结果记录在《组织的环境,利益相关方及其要求和期望管理表》中。内外部环境识别需从以下几方面考虑:
明确外部环境:
 社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的;
 影响组织目标的主要动力和趋势;
 与外部利益相关方的关系,外部利益相关方的观点和价值观。
明确内部环境:
 治理、组织结构、作用和责任;
 方针、目标,为实现方针和目标制定的战略;
 基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);
 与内部利益相关方的关系,内部利益相关方的观点和价值观;
 组织的文化;
 信息系统、信息流和决策过程(正式与非正式);
 组织所采用的标准、指南和模式;
 合同关系的形式与范围。
4.2 理解相关方的需求和期望
4.2.1 总则
人事行政部应确定业务连续性管理体系的相关方及其业务连续性方面的要求,相关的需求和期望的结果记录在《组织的环境,利益相关方及其要求和期望管理表》中。相关方的要求可包括法律法规要求和合同义务。公司应考虑以下相关方:
a) 直接顾客
b) 最终使用者
c) 供应链中的供方和代理商
d) 立法机构等
4.2.2 法律和法规要求
人事行政部按照信息安全管理体系的《法律法规与符合性管理程序》的要求,识别、利用和评估与业务运行、产品和服务,以及相关方连续性要求相关的适用的法律和法规要求。
人事行政部应确保在建立、实施和保持其BCMS时考虑这些适用的法律、法规和经组织认同的其他要求。
人事行政部应将这些信息形成文件并保持更新。应与受影响的员工和其他相关方沟通新制定或变更的法律、法规和其他要求。
4.3 确定业务连续性管理体系范围
本公司业务连续性管理体系的范围包括
a) 物理范围(北京):北京市朝阳区酒仙桥北路甲10号电子城IT产业园201号楼E座5层
b) 物理范围:

c) 物理范围:
d) 业务范围:与云存储、云分发、云聚合的运维服务相关的业务连续性管理活动
e) 内部管理结构:、运营中心、技术中心、营销中心、采购及资源建设部、视觉设计部、品牌市场部、财务法务部、人事行政部。
f) 外部接口:向公司提供各种服务的第三方
4.4 业务连续性管理体系
公司从自身的实际情况出发,按照GB/T30146-2013标准要求,建立系统化、结构化、文件化的业务连续性管理体系。明确了文件的范围以及对文件和记录的控制;明确了我公司内部组织结构以及各部门的职责和权限,确定了业务连续性管理体系所需的过程、活动及相互关系,确定了过程的顺序和相互作用(接口关系)以及过程有效运作和控制所需的准则和方法。这些过程包括与管理活动、资源提供、产品测量、分析和改进等有关的过程。通过在运行过程中持续改进,从而使业务连续性管理体系得到有效实施和保持。
公司采用P-D-C-A 循环的方法识别和控制过程的有效性,使每一个过程都可以通过“策划、实施、检查、提高”达到持续改进体系有效性的目的。
为了达到上述的目的,公司建立的业务连续性管理体系必须做到如下几点:
a) 通过对业务连续性管理体系的策划,确定本公司所要控制的过程和过程之间的相互关系及其在业务连续性管理体系中的作用。
b) 通过管理方针的制定和目标管理,明确各部门在各过程中的职责和控制要求。
c) 为了确保这些过程的有效运行,公司必须制定相关程序,作业指导书和管理制度。
d) 公司提供充足的人力资源、办公环境、测试工具或测试设备,并通过顾客满意度调查、市场调研、内部沟通等方式,保证业务连续性管理体系运行所需资源和信息。
e) 公司通过内审、管理评审、过程和产品质量的监测、控制措施有效性检查、顾客满意度调查等手段,监视和测量管理体系运行实施的有效性。
f) 公司通对监测数据的分析,对不合格采取纠正措施,以不断改进公司的业务连续性管理体系,不断满足顾客的需求。
5 领导作用
5.1 领导力和承诺
CEO以业务连续性管理方针为基础,实施公司的业务连续性管理,并通过以下方式证明公司的业务连续性管理体系的领导力和承诺:
a) 确保业务连续性管理方针和管理目标已建立,并与公司战略方向一致;
b) 确保将业务连续性管理体系要求融合到日常管理过程中;
c) 确保业务连续性管理体系所需资源可用;
d) 向公司内部传达有效的符合业务连续性管理体系要求的重要性;
e) 确保业务连续性管理体系达到预期结果;
f) 指导并支持相关人员为业务连续性管理体系有效性做出贡献;
g) 促进持续改进;
h) 支持各部门的负责人,在其职责范围内展现领导力。
5.2 方针
根据公司业务管理的需要,建立了业务连续性管理方针,见0.3业务连续性管理方针。
本公司承诺提供一切可能的资源与先进的技术,保证公司有效管理,并提供优质高效的服务。在日常管理过程中,通过有效的风险识别和风险控制手段,降低管理过程中意外情况的发生,并使用有效的风险评估的工具和方法,严格控制风险事故在可接受风险范围之内。制订周密可靠的应急方案并定期进行演练,关键信息数据异地备份,制订业务连续性计划,以确保业务的持续进行。
业务连续性管理方针的批准、发布及修订由公司最高责任者负责;通过培训、宣贯等方式使得本公司员工知晓并执行相关内容;通过有效途径告知服务相关方及客户,以提高安全保密意识及服务水平;并定期通过《管理评审控制程序》评审其适用性、充分性,必要时予以修订。
5.3 组织的角色,职责和权限
公司建立了与业务连续性管理体系相适应的组织机构,对与产品业务连续性有关的各部门明确其职责、权限和相互关系,并传达到全体员工,确保业务连续性管理体系有效运行。
公司业务连续性管理体系结构图见附录A;
公司业务连续性管理体系职能分配表见附录B;
各部门业务连续性管理职责和权限见附录C;
6 规划
6.1 应对风险和机会的措施
公司针对公司内部和公司外部的实际情况、相关方的要求,确定公司所需应对的业务连续性管理方面的风险。编制并执行《风险和机遇控制程序》,规定了由人事行政部负责组织识别、确定需应对的风险和机遇,应对措施;以便:
a) 确保业务连续性管理体系能够实现其期望的结果;
b) 增强有利影响;
c) 避免或减少不利影响;
d) 实现改进。
本公司在《风险和机遇控制程序》中策划了如下内容:
a) 应对这些风险和机遇的措施;
b) 按本手册中4.4的要求,在业务连续性管理体系过程中整合并实施这些措施;并评价这些措施的有效性。
c) 应对风险和机遇的措施应与其对于产品和服务符合性的潜在影响相适应。
6.2 业务连续性管理目标和实现规划
根据公司的业务连续性管理方针,经过最高管理者确认,制定了公司的业务连续性管理目标,见0.4业务连续性管理目标。通过宣传在组织内部达到沟通和理解并认真贯彻实施。管理者代表负责在业务连续性管理方针的基础上建立必要的运行过程及各部门业务连续性管理目标的分解,并对实施情况进行监督检查。各部门负责人负责本部门的业务连续性管理策划。 由人事行政部组织通过定期的内审及管理评审活动评价公司业务连续性管理目标的完成情况。
7 支持
7.1 资源
CEO负责确定并提供建立、实施、保持和持续改进业务连续性管理体系所需的资源。
7.2 能力
人事行政部应:
a) 确定公司全体员工影响公司业务连续性管理绩效的必要能力;
b) 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;
c) 适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;
d) 保留适当的文件化信息作为能力的证据。
注:适用的措施可包括,对新入职员工进行的管理意识教育;定期对公司员工进行的业务实施过程中管理知识相关的培训等。
7.3 意识
公司全体员工应了解:
a) 公司的业务连续性管理安全方针;
b) 个人其对公司业务连续性管理体系有效性的贡献,包括改进管理绩效带来的益处;
c) 不符合业务连续性管理体系要求带来的影响。
7.4 沟通
人事行政部根据公司《沟通管理规定》的要求,确定与业务连续性管理体系相关的内部和外部的沟通需求,并形成《内外部沟通策略表》,包括:
a) 沟通内容;
b) 沟通时间;
c) 沟通对象;
d) 谁应负责沟通;
e) 影响沟通的过程。
7.5 文件化信息
7.5.1 总则
公司的管理体系应包括:
a) 本标准要求的文件化信息;
b) 人事行政部确保业务连续性管理体系的有效运行,需编制《文件控制程序》用以管理公司业务连续性管理体系的相关文件。
7.5.2 创建和更新
创建和更新文件化信息时,人事行政部应确保适当的:
a) 标识和描述(例如标题、日期、作者或编号);
b) 格式(例如语言、软件版本、图表)和介质(例如纸质、电子介质);
c) 对适宜性和充分性的评审和批准。
7.5.3 文件化信息的控制
业务连续性管理体系及本标准所要求的文件化信息应予以控制,以确保:
a) 在需要的地点和时间,是可用和适宜的;
b) 得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)。
c) 为控制文件化信息,适用时,运营管理部应开展以下活动:
d) 分发,访问,检索和使用;
e) 存储和保护,包括保持可读性;
f) 控制变更(例如版本控制);
g) 保留和处置。
人事行政部需在《文件控制程序》中规划和运行业务连续性管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制。
8 实施
8.1 实施的策划和控制
为确保公司业务连续性管理有效实施,依据合同/国家标准要求,对产品实现过程进行策划,并形成文件。部根据服务对象和业务的特点,进行系统开发服务的业务连续性的实施策划。
8.2 业务影响分析和风险评估
8.2.1 总则
公司结合信息安全管理体系中《信息安全风险评估管理程序》文件关于风险评估的要求和公司业务特点进行业务影响分析。
8.2.2 业务影响分析
公司按照《业务连续性管理程序》的要求,结合公司业务的特点进行业务影响分析。在最低可接受水平上制定业务恢复优先级时间表,同时需考虑在某个时间段内,没有恢复这些业务所造成的影响是不可接受的;识别这些活动时间的依赖关系及支持资源,包括供应商、外包方和其他相关方。
8.2.3 风险评估
根据公司信息安全管理体系关于风险评估的要求,识别与公司业务相关的信息资产,并系统的分析风险,根据风险分析的结果,评价哪种中断的风险需要处理,并确保与业务连续性目标相符,与《风险处理计划》相一致。
8.3 业务连续性策略
8.3.1 确定和选择业务连续性策略
业务连续性策略的确定和选择需依据业务影响分析和风险评估的输出结果为基础。
公司应确定一个适当的业务连续性策略,以:
a) 保护优先活动;
b) 稳定、连续、重启和恢复优先活动以及该活动所依赖的活动和支持资源;
c) 减轻、响应和管理影响。
策略中需明确恢复的优先级时间表,并经CEO批准;
支撑部门在供方管理过程中,需增加对供应商的连续能力评价活动。
8.3.2 建立资源要求
支持部门需为选择的业务连续性策略配置必要的资源,除手册中7.1资源外,仍需配置的资源有:
a) 交通工具;
b) 资金;
c) 合作方和供应商。
保护和缓解
对需要处理的已识别的风险,应考虑采用主动措施以:
减少中断的可能性;
缩短中断的时间;
限制中断对公司业务服务的影响。
公司应根据风险偏好选择和实施适当的风险处置措施,风险处置措施的选择方法,可参考公司信息安全管理体系中关于《信息安全风险评估管理程序》的规定。
8.4 建立和实施业务连续性程序
8.4.1 总则
公司以业务影响分析中识别的恢复目标为基础,建立、实施和保持《业务连续性管理程序》,管理中断事件和保证活动的连续性。
由人事行政部负责编制《业务连续性管理程序》,以确保公司业务的连续和对中断事件的管理。该程序文件中,需包括以下内容:
a) 建立适当的内部和外部沟通协议;
b) 针对业务中断期间需要采取的紧急步骤进行详细规定;
c) 灵活地应对非预期的威胁和不断变化的内部和外部环境;
d) 关注可能导致潜在运行中断的事态影响;
e) 在已提出的假设和在相互依赖关系分析的基础上进行开发;
f) 通过实施适当的减缓策略有效第将后果最小化。
8.4.2 事件响应机制
人事行政部负责建立《安全事件处置和应急响应制度》,内容需包括:
a) 识别开始采取证书响应措施的影响阀值;
b) 评估中断事件的性质和范围以及潜在影响;
c) 启动适当的业务连续性响应;
d) 具备用于启动、运行、协调和沟通的响应过程和程序;
e) 具备可用于支持过程和程序的资源来处理中断事件以减轻影响;
f) 与相关方、权利机构以及媒体进行沟通。
公司采取人身安全第一优先的原则,通过与相关方进行协商来决定是否就其重大风险和影响进行外部沟通,将其决定形成文件。如果决定要进行外部沟通,则需由市场营销部经理负责与媒体进行适当的沟通,该沟通过程遵守《突发事件新闻应急处置管理办法》的要求执行。
8.4.3 预警和沟通
人事行政部建立《安全预警管理办法》,内容包括:
a) 发现事件;
b) 对事件进行日常监视;
c) 进行组织内部沟通并接收、存档和响应来自相关方的反馈;
d) 对国家或地区的威胁预警体系(或类似的体系)进行接收、记录和响应;
e) 确保在中断事件期间沟通手段的可用;
f) 为同应急响应人员进行有序的沟通提供便利;
g) 记录与事件、采取的措施和所做的决定相关的重要信息,适当时,下列事项应被考虑和实施:
i. 向将要受到正在发生或即将发生的中断事件潜在影响的相关方进行预警;
ii. 确保多个响应组织和人员之间的协同;
iii. 通信设施的运行。
沟通和预警机制硬定期进行演练,以确保其适宜性。
8.4.4 业务连续性计划
人事行政部按照《业务连续性管理程序》的要求,编制业务连续性计划,各部门根据计划及各自的职责,编制响应的应急预案,并按照计划的要求进行必要的演练和测试活动。
业务连续性计划中需包括:
a) 确定在事件发生时和发生后相关人员和团队的角色和职责;
b) 一个启动响应的过程;
c) 处理中断事件所造成的直接后果的详细说明,要考虑到:
i. 个人福利;
ii. 响应中断的策略、战术和执行方案的选择;
iii. 防止进一步损失或优先活动无法执行;
d) 如何及在何种情况下公司与员工及其亲属、关键相关方、以及紧急联络人进行沟通;
e) 组织将如何在预订的时间里继续或恢复其优先活动;
f) 事件发生后,由市场营销部代表公司与媒体进行事件处理后的通告说明,媒体通告的活动及要求,按照《突发事件新闻应急处置管理办法》的要求执行。
g) 事件结束后,形成事件总结报告,汇总事件处理的全过程。
8.4.5 恢复
在《业务连续性管理程序》中规定,事件发生后采取临时措施中恢复并重新开始业务正常活动。
8.5演练和测试
负责根据业务连续性计划的要求,进行计划的演练和测试的活动,以确保演练和测试活动与业务连续性目标一致,并保留相关的记录。
9 绩效评价
9.1 监视、测量、分析和评价
9.1.1 总则
本公司策划、确定并实施以下方面所需的监视、测量、分析和改进过程。
a) 需要监视和测量的对象:产品、过程的符合性;业务连续性管理体系的符合性;
b) 确保有效结果所需的监视、测量、分析和评价方法:通过对业务连续性管理方针和目标的实现的评价、管理评审、内部审核、纠正措施的落实等活动方式进行评价;
c) 实施监测和测量的时机;
d) 分析和评价监测和测量结果的时机。
b) 人事行政部负责组织评价业务连续性管理体系的绩效和有效性。并保留适当记录、信息,作为结果的证据。
9.1.2 业务连续性程序的评价
本公司通过实施定期评审、演练、测试、事件总结报告和绩效评估等方式评价业务连续性程序和能力的适宜性、充分性和有效性。
定期对与现行法律法规要求、行业最佳实践及自身业务连续性方针和目标的符合性进行评审,评审的方法按照《法律法规符合性评估程序》的要求执行。
公司按计划的时间间隔或者当公司的运营环境发生重大变化时需重新进行风险评估,确定风险和业务连续性计划的适宜性。
当中断事件发生并导致业务连续性程序的启动时,公司应进行事后评审并记录其结果。
9.2 内部审核
内部管理体系审核,其目的是验证公司业务连续性管理体系运行的符合性和有效性并不断改进和完善公司的业务连续性管理体系。
9.2.1 组织审核
a) 公司统一组织、管理内部业务连续性管理体系审核工作,人事行政部负责制定《内部审核控制程序》并贯彻执行;
b) 管理者代表负责领导和策划内部审核工作,批准年度内审计划和追加审核计划,批准审核组成员,批准审核实施计划,审批年度内审报告;
c) 人事行政部负责对审核组长及成员提名,编制年度审核计划和追加审核计划,报管理者代表批准后执行。
d) 审核组长组织和管理内部审核工作,根据实际情况和重要性安排审核顺序实施审核。
e) 审核员不应审核自己的工作。
9.2.2 实施审核
a) 审核组长编制的审核计划,经管理者代表批准后,负责在实施审核前5天向被审核方发出书面审核通知;
b) 审核小组按《内部审核控制程序》实施审核;
c) 审核员收集客观证据,通过分析整理做出公正判断,填写《内审不合格报告》提交审核组长,并请被审核部门经理在报告上签字认可。
9.2.3 审核报告
审核组长应在完成全部审核后,按规定格式编写《内部管理体系审核报告》提交人事行政部,经其审阅后报管理者代表,《内部管理体系审核报告》作为管理评审的输入证据。
9.2.4 纠正措施和跟踪验证
a) 被审核部门经理制定纠正措施,填写在《内审不合格报告》中。
b) 纠正措施完成后后,应将纠正措施完成情况填写到《内审不合格报告》相应栏内,然后将《内审不合格报告》交到审核组长。
c) 审核组长视具体情况通知审核组复查,跟踪验证纠正措施实施情况,并将验证结果填写在《内审不合格报告》中。
9.2.5 审核记录
审核组长应收集所有内部业务连续性管理体系审核中发生的计划通知、内部审核检查表、记录、审核报告、总结等原始资料,整理后由人事行政部负责保管内审相关记录。
9.3 管理评审
9.3.1 总则
公司最高责任者为确认业务连续性管理体系的适宜性、充分性和有效性,每年对业务连续性管理体系进行一次全面评审。该管理评审应包括对业务连续性管理体系是否需改进或变更的评价,以及对管理方针和管理目标的评价。管理评审的结果应形成书面记录,并至少保存3年,按照《文件控制程序》的要求进行受控访问。
9.3.2 管理评审的输入
在管理评审时,人事行政部应组织相关部门提供以下资料,供最高责任者和各部门负责人进行评审:
a) 管理体系内、外部审核的结果;
b) 相关方的反馈(投诉、抱怨、建议);
c) 可以用来改进业务连续性管理体系业绩和有效性的新技术、产品或程序;
d) 业务连续性管理目标达成情况,纠正措施的实施情况;
e) 安全事故或征兆;
f) 上次管理评审时决定事项的实施情况;
g) 可能影响业务连续性管理体系变更的事项(标准、法律法规、相关方要求);
h) 对业务连续性管理体系改进的建议;
i) 演练和测试的结果。
9.3.3 管理评审的输出
最高责任者对以下事项做出必要的指示:
a) 业务连续性管理体系有效性的改善事项;
b) 业务连续性管理方针适宜性的评价;
c) 必要时,对影响业务连续性管理体系控制流程进行变更,以应对包括以下变化的内外部事件对业务连续性管理体系的影响:
 业务发展要求;
 业务连续性体系要求;
 业务流程;
 法律法规要求;
 业务连续性计划的适宜性。
d) 对资源的需求。
以上内容的详细规定见《管理评审控制程序》。
10 改进
10.1 不符合和纠正措施
发生不符合事项的责任部门在查明原因的基础上制定并实施相应的纠正措施,以消除不符和的原因,防止不符合事项再次发生。
人事行政部负责制定《纠正措施控制程序》,组织问题发生部门针对发现的不符合现象分析原因、制定纠正措施,以消除不符合,并防止不符合的再次发生。
对纠正措施的实施和验证规定以下步骤:
a) 识别不符合;
b) 确定不符合的原因;
c) 评价确保不符合不再发生的措施要求;
d) 确定和实施所需的纠正措施;
e) 记录所采取措施的结果;
f) 评审所采取的纠正措施,将重大纠正措施提交管理评审讨论。
10.2 持续改进
公司的持续改进是业务连续性管理体系得以持续保持其有效性的保证,公司在其业务连续性管理方针、管理目标、审核、监视事态的分析、纠正措施以及管理评审方面都要持续改进业务连续性管理体系的有效性。
本公司开展以下活动,以确保业务连续性管理体系的持续改进:
a) 实施每年管理评审、内部审核、绩效评价等活动以确定需改进的项目;
b) 按照《内部审核管理程序》、《纠正措施控制程序》的要求采取适当的纠正措施;
c) 吸取其他组织及本公司质量/安全事故的经验教训,不断改进安全措施的有效性;
d) 对管理目标分解进行适当的管理,确保改进达到预期的效果;
为了确保业务连续性管理体系的持续有效,各级管理者应通过适当的手段保持在公司内部对管理措施的执行情况与结果进行有效的沟通。包括获取外部专家的建议、相关政府行政主管部门、电信运营商等组织的联系及识别顾客对业务连续性的要求等。如:管理评审会议、内部审核报告、公司内文件体系、内部网络和邮件系统、法律法规评估报告等。
 
附录A 组织结构图


 
附录B职能分配表
备注:★主责部门    ☆配合部门
业务连续性管理体系 领导层 人事行政部 营销中心 技术中心 运营中心 采购及资源建设部 视觉设计部 品牌市场部 财务法务部
4组织环境         
4.1了解组织和组织环境 ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆
4.2理解相关方的需求和期望 ★ ★ ★ ☆ ★ ★ ★ ★ ★
4.3确定业务连续性管理体系的范围 ★ ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆
4.4业务连续性管理体系 ★ ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆
5领导力         
5.1领导力和承诺 ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆
5.2管理承诺 ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆
5.3方针 ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆
5.4组织的角色、职责和权利 ★ ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆
6策划         
6.1应对风险和机会的措施 ☆ ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆
6.2业务连续性目标和实现计划 ☆ ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆
7支持         
7.1资源 ☆ ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆
7.2能力 ☆ ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆
7.3意识 ☆ ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆
7.4沟通 ☆ ★ ★ ★ ★ ☆ ☆ ★ ☆
7.5存档信息 ☆ ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆
8实施         
8.1实施的策划和控制 ☆ ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆
8.2业务影响分析和风险评估 ☆ ☆ ☆ ★ ☆ ☆ ☆ ☆ ☆
8.3业务连续性策略 ☆ ☆ ☆ ★ ☆ ☆ ☆ ☆ ☆
8.4建立和实施业务连续性程序 ☆ ☆ ★ ★ ★ ★ ☆ ☆ ☆
8.5演练和测试 ☆ ☆ ☆ ★ ☆ ☆ ☆ ☆ ☆
9绩效评估         
9.1监视、测量、分析和评价 ☆ ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆
9.2内部审核 ☆ ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆
9.3管理评审 ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆
10改进         
10.1不符合和纠正措施 ☆ ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆
10.2持续改进 ★ ☆ ☆ ☆ ☆ ☆ ☆ ☆ ☆


 
附录C部门职责

5.3.2.1 CEO
a) 向全体员工传达满足顾客和法律法规要求;
b) 负责公司的整体运营和管理;
c) 制定并实现公司发展计划及经营目标;
d) 负责公司公司机构和人力资源的合理设置与优化管理;
e) 主持公司的管理评审;
f) 确保所需资源的获得;
g) 遵守公司业务连续性管理体系的相关规定及本岗位相关的保密要求。
5.3.2.2 技术中心
a) 建立并保持公司业务连续性管理体系文件相关要素在本部门的贯彻实施,并管理相关记录;
b) 组织公司CDN-X产品线、CWN-X产品线、CLN-X产品线项目的立项、评审、结项工作;
c) 负责公司CDN-X、CWN-X、CLN-X产品实现工作;
d) 负责CDN-X、CWN-X、CLN-X产品的设计和开发过程控制;
e) 负责CDN-X、CWN-X、CLN-X产品开发过程的监视和测量;
5.3.2.3 人事行政部
a) 建立并保持公司业务连续性管理体系文件相关要素在本部门的贯彻实施,并管理相关记录;
b) 负责公司业务连续性管理手册和程序文件的编制、修订、维护和管理;
c) 负责对业务连续性管理体系运行过程进行监视和测量,组织监控业务连续性方针、目标的落实;
d) 根据公司的发展战略,了解公司外部相关的人力资源部现状和内部人力资源情况,协助制定公司的人力资源规划
e) 指导业务部门开展人力规划工作,为公司及业务部门人力资源规划决策提供信息和数据支持
f) 根据公司或所在部门的发展目标和人力资源规划,协助制定规范而可行的招聘计划和实施方案
g) 了解各地人才分布情况,建立优化招聘管理负责制度,培育人才基地
h) 调查公司所需人才的外部人力资源存量与分布的状况,并进行有效分析
i) 准确理解公司的用人政策,以及各类中基层岗位的用人标准
j) 较透彻地理解公司企业文化,对应聘者就公司核心价值观、组织机构、主要产品、发展远景等进行分析说明
k) 建立并优化招聘制度和流程,适应和支持公司的业务发展和招聘工作的开展
l) 对一般面试资格人进行面试技巧等方面的辅导与培训
m) 制定合理的招聘费用预算方案,合理监控招聘费用
n) 员工工资制作、员工社保、公积金,医疗保险等福利的管理
o) 员工居住证,留学生落户,外籍人员工作证的办理
p) 公司人力资源信息化的管理
q) 公司固定资产的管理、公司供应商的管理、公司行政后勤工作
r) 公司外联活动协助及后勤保障工作
5.3.2.4 营销中心
a) 建立并保持公司业务连续性管理体系文件相关要素在本部门的贯彻实施,并管理相关记录;
b) 负责与客户的日常沟通,了解客户需求;
c) 负责公司项目方案的准备工作(建议书、标书);
d) 负责跟踪了解公司项目进展情况并及时反馈相关信息;
e) 负责公司项目合同的签署工作;
f) 获取目标客户资料、负责客户回访,调查项目客户满意度;
g) 获取销售相关支持、协助服务实施;
h) 客户资料管理、客户关系跟进;
5.3.2.5 运营中心
a) 建立并保持公司业务连续性管理体系文件相关要素在本部门的贯彻实施,并管理相关记录;
b) 建立并优化公司运营管理制度体系、业务流程;
c) 为公司CDN-X、CWN-X、CLN-X三大产品线提供售前支持工作;
d) 为公司CDN-X、CWN-X、CLN-X三大产品线提供运维支持工作;
e) 负责公司大客户项目服务运营工作;
f) 负责公司运营资源调配与成本节约工作;
g) 负责公司故障管理体系建设,管控服务风险、避免故障发生;
h) 

5.3.2.6 采购与资源建设部
a) 建立并保持公司业务连续性管理体系文件相关要素在本部门的贯彻实施,并管理相关记录;
b) 负责公司资源采购与建设工作;
c) 负责受理和解决公司资源需求;
d) 负责对现有资源及其分配状况进行评估和质量检测;
e) 负责优化线上资源的管理,提高线上资源使用效率;
f) 负责制定维护应用系统的标准规范和处理方法;
g) 负责评估在线运营平台的安全性并给出整改意见和方案;
h) 负责向财务提供在线资源使用和分配状况;
i) 

5.3.2.7 品牌市场部
a) 建立并保持公司业务连续性管理体系文件相关要素在本部门的贯彻实施,并管理相关记录;
b) 负责产品市场产品现状的调研分析,并能准确预测产品市场及产品的发展趋势;
c) 配合公司制定完成产品市场推广大型的事件行销动作;
d) 对竞品进行产品市场分析定位、将客观存在的优势及劣势进行整合;
e) 负责对主要竞品的特性分析并能根据竞品特点进行有针对性的产品差异化宣传工作;
f) 负责了解竞争对手主要的宣传方式和宣传途径;
g) 负责公司的外联活动;

5.3.2.8 视觉设计部
a) 建立并保持公司业务连续性管理体系文件相关要素在本部门的贯彻实施,并管理相关记录;
b) 负责公司整体视觉识别体系的建设、管理与规范;
c) 负责公司各产品线的产品视觉设计与实现;
d) 负责公司宣传及推广活动的视觉设计与实现;
e) 

5.3.2.9 财务法务部
a) 建立并保持公司业务连续性管理体系文件相关要素在本部门的贯彻实施,并管理相关记录;
b) 建立科学、系统符合企业实际情况的财务运营监控体系,进行有效的内部控制和优化工作流程;
c) 制定公司资金运营计划,编制资金管理报告;
d) 根据公司业务发展的计划完成年度财务预算,并跟踪预算执行情况;
e) 起草制定公司财务运营管理程序和政策;
f) 汇报公司经营状况、经营成果、财务收支并提供财务分析,提出有益的建议
g) 与银行等金融部门保持良好的关系,负责公司国内融资工作;
h) 深入了解企业内部运营方式、结合本企业业务流程内控关键点对企业的运营管理提出合理的建议;
i) 熟悉公司法、合同法、知识产权法方面的各项法律法规,开展相关工作、了解国家产业政策和相关的政策法规;
j) 熟练了解财务和法务的业务流程,发现问题并提出相应解决方案;
k) 负责公司知识产权管理维护相关事宜;
l) 负责公司证照及用章管理;

★重庆两化融合★重庆CMMI认证★重庆GJB5000A认证★重庆CCRC认证★重庆ISO27001认证★重庆ISO20000认证★重庆ISO22301认证★重庆ISO27701认证★重庆ITSS认证★重庆CS认证★

重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4    成都公司地址:成都市高新区天府三街峰汇中心1-10-8