信息安全体系认证 当前您的位置:软件信息产品认证>>信息安全体系认证
业务连续性认证管理手册

业务连续性认证管理手册

0 前言
0.1
 颁布令
颁布令
本手册依据GB/T30146-2013《公共安全 业务连续性管理体系 要求业务连续性》标准, 结合公司相关业务及公司的实际情况,建立业务连续性管理体系,编制完成了《业务连续性管理手册》V3.0版,经审定符合国家、地方及行业的有关法律规定和本公司的实际情况,现予以批准颁布,它阐述了我公司的管理方针、管理目标,并对公司的管理体系提出了具体要求。
本手册自2018920日起正式实施。
本手册是公司管理的基本法规,是业务连续性管理体系运行的准则,也是公司对所有顾客的承诺。自本手册实施之日起,公司的所有员工必须遵照执行。
公司任命代翔担任管理者代表,代表公司CEO负责公司业务连续性管理体系的建立、实施和改进,以及贯彻管理方针和目标、落实管理工作。
本手册可以作为对外提供业务连续性保证和第三方认证使用。

★API认证★CCCF认证★特种设备许可证★重庆API认证★重庆CCCF认证★重庆LA认证★重庆CPA认证★重庆特种设备许可证★重庆能源体系认证★重庆TL9000认证★四川API认证★四川CCCF认证★四川LA认证★四川CPA认证★四川特种设备许可证★四川能源体系认证★四川TL9000认证★


0.2
 管理手册说明与管理
一、本《业务连续性管理手册》依据GB/T30146-2013业务连续性管理体系要求编制。在《业务连续性管理手册》中对业务连续性管理体系条款做了概括性叙述,是本公司对外实施业务连续性管理体系的承诺、对内进行业务连续性管理的纲领性文件。
二、 本《业务连续性管理手册》所采用的业务连续性条款与GB/T30146-2013标准中的条款编写保持一致,并结合本公司特点编写了程序文件、形成本公司的业务连续性管理标准,使业务连续性管理体系有章可循、有法可依。
三、《业务连续性管理手册》的管理
1
 《业务连续性管理手册》的编写由CEO授权管理者代表全权负责,并指定专门工作组进行手册的编写工作。
2
 《业务连续性管理手册》的管理,执行《文件控制程序》。
3
 《业务连续性管理手册》由CEO批准、签署发布和规定实施日期。
4
 《业务连续性管理手册》的发放和回收工作由公司的人事行政部负责。体系文件的分发,在公司的服务器中进行受控版本的分发。回收时,进行版本标识,在服务器中进行替换,并在公司内部发布文件更换通知。
5
 受控手册发放需填写“发放清单”记录,由管理者代表批准。经批准的手册持有者或部门,不得擅自对外交流,发放和外送。
6
 非受控手册,可发给招标单位、审核咨询单位,其它公共关系及对外交流单位或个人,但须由使用部门申请,管理者代表批准,人事行政部登记造册,方可发放。
7
 受控《业务连续性管理手册》的持有者若调离公司或不再从事相关工作时,人事行政部应及时关闭该手册的阅读权限。
8
 手册的持有者,应爱护并妥善保管好《业务连续性管理手册》,保证其完整、清晰、不得损坏、遗失。
9
 手册更改程序和更改方法按《文件控制程序》执行。
0.3
 业务连续性管理方针
根据GB/T30146-2013《业务连续性管理体系—要求》标准要求,并结合本公司生产和服务活动特点,特制定我公司业务连续性管理体系方针,现发布如下:
无间断永续服务,超越客户期望;
管理方针的实现
上述方针体现了本公司在业务连续性管理体系方面的总的宗旨和方向,也体现了顾客和相关方的要求与期望:
结合公司业务特点和风险评估的结果,对关键业务加强过程控制,采取措施,确保公司业务的持续稳定运行,提高公司在市场核心竞争力;过程控制,采取预防措施,确保业务连续性的完整性、保密性及可用性,提高公司在市场核心竞争力;
方针是纲,纲举目张,管理方针以及以其为基础制定的管理目标要根据过程控制、测量分析、不断变化的顾客需求和技术状态,定期对管理方针和目标进行评审,以期持续满足顾客和相关方的要求,公司各部门以管理方针为框架,制定管理目标和指标。
批准人:XX
日期: 2018910
 
0.4
 业务连续性管理目标
1.
 数据可靠性:99%
2.
 客户服务支持:7*24小时
3.
 全年业务连续性中断事件发生次数为0
 
0.5
公司简介
重庆XX科技有限公司(XX科技”或“公司”)致力于成为全球领先的互联网内容传输(云链)服务提供商,基于其独有的互联网高速传输架构,帮助客户实现数据在应用和终端用户之间的高速高效传递。公司的目标是成为一家全球受人尊重的科技公司。
公司未来致力于在互联网上建设一个类似于顺风快递在实体物流的网络基础架构,将包含云分发、云仓库、云链接。公司通过虚拟化、软件定义和大数据技术建立的基础架构将更好的发挥企业私有云、公有云的服务,为终端用户传递云的力量。
XX
科技创立于2015年,以惊人的成长速度迅速崛起,成为云服务领域受人瞩目的公司,XX致力于成为一家世界级的互联网基础平台提供商,致力为客户提供崭新的智慧型互联网内容传输云服务,以全透明服务和定制化服务为核心,助力企业提高实时效率,为其带来更快更稳定的传输体验。
2015426日成立以来,XX科技以云分发业务为切入点,在泛云服务市场上迅速崛起。截止到11月初运营服务带宽的峰值已经超过350G,签约客户28家,主要客户均是已上市或准备上市的中国领先互联网公司。公司预计12月份计费带宽业务量达到450-500G,当月收入达到800-900万。
以创始人兼CEO霍涛为领导的XX团队均来自百度、腾讯、阿里、华为、蓝汛、网宿等知名互联网公司,公司倡导平等轻松的伙伴式工作氛围,推崇创新、开放、激情、诚信、责任。

公司地址:
公司网址:
联 系 人:
    话:


1
 范围
本手册根据公司的业务连续性管理方针和管理目标及GB/T30146-2013标准要求规定了业务连续性管理体系各过程和活动的要求,通过业务连续性管理体系的有效运行的不断改进,达到持续提供顾客满意产品的目的。
2
 规范性引用文件
下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。
3
 术语和定义
本手册所使用的术语全部按照GB/T30146-2013的术语和定义。
CDN
:是指对互联网网站内容进行分发和加速的服务,即利用高速缓存及负载均衡等技术,将互联网网站内容分发到各地的网络节点,以提高网站响应速度和增强用户体验的一种服务。
CWN
:是云存储服务的英文简称,指面向 Internet 的对象云存储服务,具有 Web 服务接口,可用于存储和读写数据的服务。
CLN
:深度威胁识别,有效抵抗应用层攻击,摆脱应用层业务风险的技术。
4
 公司环境
4.1
 公司的背景环境
公司确定与公司业务目标相关并影响实现业务连续性管理体系预期结果的能力的外部和内部问题,并定期更新,更新的结果记录在《组织的环境,利益相关方及其要求和期望管理表》中。内外部环境识别需从以下几方面考虑:
明确外部环境:
ü 社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的;
ü 影响组织目标的主要动力和趋势;
ü 与外部利益相关方的关系,外部利益相关方的观点和价值观。
明确内部环境:
ü 治理、组织结构、作用和责任;
ü 方针、目标,为实现方针和目标制定的战略;
ü 基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);
ü 与内部利益相关方的关系,内部利益相关方的观点和价值观;
ü 组织的文化;
ü 信息系统、信息流和决策过程(正式与非正式);
ü 组织所采用的标准、指南和模式;
ü 合同关系的形式与范围。
★CRCC认证★AS9100认证★重庆CRCC认证★四川CRCC认证★重庆AS9100认证★四川AS9100认证★重庆CURC认证★四川CURC认证★重庆ISO39001认证★四川ISO39001认证★重庆CCS认证★重庆IATF16949认证★

4.2 理解相关方的需求和期望
4.2.1
 总则
人事行政部应确定业务连续性管理体系的相关方及其业务连续性方面的要求,相关的需求和期望的结果记录在《组织的环境,利益相关方及其要求和期望管理表》中。相关方的要求可包括法律法规要求和合同义务。公司应考虑以下相关方:
a)
 直接顾客
b)
 最终使用者
c)
 供应链中的供方和代理商
d)
 立法机构等
4.2.2
 法律和法规要求
人事行政部按照信息安全管理体系的《法律法规与符合性管理程序》的要求,识别、利用和评估与业务运行、产品和服务,以及相关方连续性要求相关的适用的法律和法规要求。
人事行政部应确保在建立、实施和保持其BCMS时考虑这些适用的法律、法规和经组织认同的其他要求。
人事行政部应将这些信息形成文件并保持更新。应与受影响的员工和其他相关方沟通新制定或变更的法律、法规和其他要求。
4.3
 确定业务连续性管理体系范围
本公司业务连续性管理体系的范围包括
a)
 物理范围(北京):北京市朝阳区酒仙桥北路甲10号电子城IT产业园201号楼E5
b)
 物理范围:

c) 物理范围:
d)
 业务范围:与云存储、云分发、云聚合的运维服务相关的业务连续性管理活动
e)
 内部管理结构:、运营中心、技术中心、营销中心、采购及资源建设部、视觉设计部、品牌市场部、财务法务部、人事行政部。
f)
 外部接口:向公司提供各种服务的第三方
4.4
 业务连续性管理体系
公司从自身的实际情况出发,按照GB/T30146-2013标准要求,建立系统化、结构化、文件化的业务连续性管理体系。明确了文件的范围以及对文件和记录的控制;明确了我公司内部组织结构以及各部门的职责和权限,确定了业务连续性管理体系所需的过程、活动及相互关系,确定了过程的顺序和相互作用(接口关系)以及过程有效运作和控制所需的准则和方法。这些过程包括与管理活动、资源提供、产品测量、分析和改进等有关的过程。通过在运行过程中持续改进,从而使业务连续性管理体系得到有效实施和保持。
公司采用P-D-C-A 循环的方法识别和控制过程的有效性,使每一个过程都可以通过“策划、实施、检查、提高”达到持续改进体系有效性的目的。
为了达到上述的目的,公司建立的业务连续性管理体系必须做到如下几点:
a)
 通过对业务连续性管理体系的策划,确定本公司所要控制的过程和过程之间的相互关系及其在业务连续性管理体系中的作用。
b)
 通过管理方针的制定和目标管理,明确各部门在各过程中的职责和控制要求。
c)
 为了确保这些过程的有效运行,公司必须制定相关程序,作业指导书和管理制度。
d)
 公司提供充足的人力资源、办公环境、测试工具或测试设备,并通过顾客满意度调查、市场调研、内部沟通等方式,保证业务连续性管理体系运行所需资源和信息。
e)
 公司通过内审、管理评审、过程和产品质量的监测、控制措施有效性检查、顾客满意度调查等手段,监视和测量管理体系运行实施的有效性。
f)
 公司通对监测数据的分析,对不合格采取纠正措施,以不断改进公司的业务连续性管理体系,不断满足顾客的需求。
5
 领导作用
5.1
 领导力和承诺
CEO
以业务连续性管理方针为基础,实施公司的业务连续性管理,并通过以下方式证明公司的业务连续性管理体系的领导力和承诺:
a)
 确保业务连续性管理方针和管理目标已建立,并与公司战略方向一致;
b)
 确保将业务连续性管理体系要求融合到日常管理过程中;
c)
 确保业务连续性管理体系所需资源可用;
d)
 向公司内部传达有效的符合业务连续性管理体系要求的重要性;
e)
 确保业务连续性管理体系达到预期结果;
f)
 指导并支持相关人员为业务连续性管理体系有效性做出贡献;
g)
 促进持续改进;
h)
 支持各部门的负责人,在其职责范围内展现领导力。
5.2
 方针
根据公司业务管理的需要,建立了业务连续性管理方针,见0.3业务连续性管理方针。
本公司承诺提供一切可能的资源与先进的技术,保证公司有效管理,并提供优质高效的服务。在日常管理过程中,通过有效的风险识别和风险控制手段,降低管理过程中意外情况的发生,并使用有效的风险评估的工具和方法,严格控制风险事故在可接受风险范围之内。制订周密可靠的应急方案并定期进行演练,关键信息数据异地备份,制订业务连续性计划,以确保业务的持续进行。
业务连续性管理方针的批准、发布及修订由公司最高责任者负责;通过培训、宣贯等方式使得本公司员工知晓并执行相关内容;通过有效途径告知服务相关方及客户,以提高安全保密意识及服务水平;并定期通过《管理评审控制程序》评审其适用性、充分性,必要时予以修订。
5.3
 组织的角色,职责和权限
公司建立了与业务连续性管理体系相适应的组织机构,对与产品业务连续性有关的各部门明确其职责、权限和相互关系,并传达到全体员工,确保业务连续性管理体系有效运行。
公司业务连续性管理体系结构图见附录A
公司业务连续性管理体系职能分配表见附录B
各部门业务连续性管理职责和权限见附录C
6
 规划
6.1
 应对风险和机会的措施
公司针对公司内部和公司外部的实际情况、相关方的要求,确定公司所需应对的业务连续性管理方面的风险。编制并执行《风险和机遇控制程序》,规定了由人事行政部负责组织识别、确定需应对的风险和机遇,应对措施;以便:
a)
 确保业务连续性管理体系能够实现其期望的结果;
b)
 增强有利影响;
c)
 避免或减少不利影响;
d)
 实现改进。
本公司在《风险和机遇控制程序》中策划了如下内容:
a)
 应对这些风险和机遇的措施;
b)
 按本手册中4.4的要求,在业务连续性管理体系过程中整合并实施这些措施;并评价这些措施的有效性。
c)
 应对风险和机遇的措施应与其对于产品和服务符合性的潜在影响相适应。
6.2
 业务连续性管理目标和实现规划
根据公司的业务连续性管理方针,经过最高管理者确认,制定了公司的业务连续性管理目标,见0.4业务连续性管理目标。通过宣传在组织内部达到沟通和理解并认真贯彻实施。管理者代表负责在业务连续性管理方针的基础上建立必要的运行过程及各部门业务连续性管理目标的分解,并对实施情况进行监督检查。各部门负责人负责本部门的业务连续性管理策划。由人事行政部组织通过定期的内审及管理评审活动评价公司业务连续性管理目标的完成情况。
7
 支持
7.1
 资源
CEO
负责确定并提供建立、实施、保持和持续改进业务连续性管理体系所需的资源。
7.2
 能力
人事行政部应:
a)
 确定公司全体员工影响公司业务连续性管理绩效的必要能力;
b)
 确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;
c)
 适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;
d)
 保留适当的文件化信息作为能力的证据。
注:适用的措施可包括,对新入职员工进行的管理意识教育;定期对公司员工进行的业务实施过程中管理知识相关的培训等。

成都公司地址:成都市高新区天府三街218号1-10-8    重庆公司地址:重庆市江北区北滨二路538号7-8-4 nbsp;备案号:渝ICP备19005035号