|
8、台湾“行政院”研考会(88)会讯字第05787号函颁:《“行政院”及所属各机关信息安全管理规范》(1988.11.16)。PDF文件(全文)
壹拾、 业务永续运作计画之规划及管理
一、 业务永续运作之规划
(一) 业务永续运作之规划程序
1. 应建立跨部门的业务永续运作计划程序,研订及维护业务持续运作之计画。
2. 业务永续运作的规划作业,应研析并降低人为或是意外因素对重要业务运作可能导致的威胁,使重要业务在系统发生事故、设施失败或是受损害时,仍可持续运作。
3. 业务永续运作计画,应考量下列事项:
(1) 界定重要的业务作业程序,并订定其优先级。
(2) 评估各种灾害对业务可能的冲击。
(3) 维持永续运作之人员责任界定,以及紧急应变措施之安排。
(4) 建立永续运作之作业程序及流程,并以书面或其它电子方式记载。
(5) 应就紧急应变程序及作业流程,进行员工教育及训练。
(6) 应测试紧急应变计画。
(7) 应定期更新紧急应变计画。
(二) 业务永续运作规划架构
1. 应建立及维持单一的永续作业计画架构,使各种不同层次及等级的计画相互连贯,并应订定测试计画及维护计画之优先级。
2. 每项业务之永续运作计画,应明定行动之条件,以及员工执行计画之责任;研拟新的信息计画,应与紧急应变计画程序相一致(例如疏散计画、现有计算机服务系统的预备作业安排,以及通信及空间的配置。)
3. 在业务永续运作之整体架构内,应订定不同层次及等级的计画,每一层次及等级的计画,应涵盖不同的计画重点及负责回复作业的人员安排。
4. 业务永续运作计画,应考量的作业程序如下:
(1) 订定紧急应变作业程序,规定如何在发生危害机关业务运作或危及生命的重大事件发生时,应立即采取的行动。
(2) 订定预备作业程序,规定如何将必要的机关业务活动或是支持性的服务,移转至另外一个临时的作业地点。
(3) 订定回复作业程序,规定如何采取回复作业。
(4) 订定测试作业程序,规定如何及何时执行测试作业。
5. 每一层次的计画以及每一项个别计画,都应指定一位计画执行督导人员。
6. 紧急应变作业、人工预备作业及回复作业计画等,应指定适当的单位或人员负责。
7. 技术服务的预备作业安排(例如计算机及通信系统)应由技术服务提供者负责。
二、 业务永续运作计画之测试
8. 业务永续运作计画可能因事前的假设不正确、规划不周全或设备及人员的职务调整变更,而无法发挥预期的作用,应定期测试及演练,以确保计画的有效性,并使相关人员确实了解计画的最新状态。
9. 应拟订测试作业的时程,定期进行测试,使应变计画维持在有效及最新的状态;测试计画可以定期测试个别计画的方式进行,以减少测试完整计画的需求及频率。
三、 业务永续运作计画之更新
10. 业务永续运作计画应配合业务、组织及人员的调整变更而定期更新,以发挥计画投资的效益及确保计画持续有效。
11. 应纳入计画更新之事项如下:
(1) 采购新的设备,或是更新操作系统。
(2) 使用新的问题侦测及控制技术(例如火灾侦测)。
(3) 使用新的环境控制技术。
(4) 人员及组织上的调整变动。
(5) 机关及人员地址及电话号码的变动。
(6) 契约当事者或是供货商的调整变动。
(7) 业务流程的变动,新建或是撤销作业流程。
(8) 实务作业的变更。
(9) 法规上的变更。
12. 应指定专人负责计画变更事宜,个别计画原则上至少每一个月要检查评估一次,完整的计画至少应每年检讨评估一次。
13. 应建立计画变更的控制机制,以确保计画变更前,以及赋予员工相关责任前,能将相关的讯息告知相关人员。
|
