13.10【信息系统】灾难恢复计划管理制度
- 2018-04-02 06:17:00
- 内审网 转贴
- 2914
一、定义
本计划书所称灾难恢复为信息系统灾难恢复。灾难恢复计划包括:灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
二、组织机构及其职责
1.总经理或信息总监为信息系统灾难恢复工作的责任人,负责灾难恢复需求分析和策略制订。
2.董事会参与制订和审核灾难恢复策略,保证灾难恢复策略与经营目标的一致性。
3.灾难恢复的组织机构由信息部的管理、业务、技术等相关人员组成。
4.信息部总监负责灾难恢复预案的审批、维护和演练,负责资源准备和经费审批。
5.信息部经理负责灾难备份中心的日常运行和管理。
6.信息部主管负责灾难恢复预案的制订、灾难备份中心的日常运行和维护。
7.信息部专员负责灾难备份中心的日常运行和维护。
三、灾难等级
1.第一类:信息系统短时间中断会影响公司的关键业务的进行,并造成重大经济损失。
2.第二类:信息系统短时间中断会影响公司部分业务的正常进行,并造成较大经济损失。
3.第三类:信息系统短时间中断会影响公司某个或某些部门业务的正常进行,可能造成间接损失。
四、灾难恢复的目标要求
1.第一类灾难等级恢复要求:
(1)第四级电子传输及完整设备支持;
(2)RTO≤36小时,RPO≤8小时。
2.第二类灾难等级恢复要求:
(1)第三级电子传输和部分设备支持;
(2)RTO≤72小时,RPO≤24小时。
3.第三类灾难等级恢复要求:
(1)第二级备用场地支持;
(2)RTO≤7天,RPO≤36小时。
五、灾难备份系统实施要求
1.建立数据备份系统、备用数据处理系统和备用网络系统,技术方案中所涉及的系统应获得同信息系统相当的安全保护,具有可扩展性。
2.应确保技术方案满足灾难恢复策略的要求,组织开展灾难恢复技术方案和业务功能恢复的测试,并记录和保存测试结果,以保证灾难恢复时最终用户能正常使用灾难备份系统。
3.应充分考虑到灾难备份系统的处理能力、存储容量、网络宽带能否满足业务运作要求。
4.应建立灾难备份系统的技术支持体系。
六、灾难备份中心的运行维护
1.建立完善的灾难备份中心运行维护管理制度和流程,包括:灾难备份的流程和管理制度,灾难备份中心机房的管理制度,硬件系统、系统软件和应用软件的运行管理制度,灾难备份中心信息安全管理制度,灾难备份系统的变更管理流程,灾难恢复预案以及相关技术手册的保管、分发、更新和备案制度等。
2.灾难备份中心专业运行维护队伍包括基础设施和灾难备份系统运行维护及技术支持人员,保障设备和系统正常稳定地运行。
3.定期检测维护灾难恢复设施,保持备份数据的一致性、可用性和完整性,保障数据备份系统、备用数据处理系统、备用网络系统在灾难恢复和运行阶段的正常运作,保障能够提供切换和运行时的技术支持。
4.支持关键业务功能恢复的灾难备份中心应实行7×24小时监控。记录灾难备份系统运行过程中输出的相应记录表单与统计信息;记录机房环境、系统运行和网络状态等监控信息。
七、灾难恢复预案
1.灾难预案的内容应包含:灾难恢复组织机构各工作岗位的职责、灾难恢复的整个过程以及灾难恢复所需的资料和配套资源等。预案的结构、内容和步骤清晰明确,适合在紧急情况下使用等内容。
2.应加强灾难恢复预案与其他应急预案体系的有机结合。
3.灾难恢复预案应按照由模拟到实际、从易到难、从局部到整体的原则进行测试和演练,及时总结评估,完善灾难恢复预案,通过演练使得相关人员熟悉灾难恢复操作及流程。
4.信息部应定期组织开展灾难恢复预案的演练工作。灾难恢复预案每年至少演练一次,演练类型分为模拟演练、实战演练、部分演练和全面演练。
5.演练工作文档应包含演练计划、现场记录和结论评估,演练工作文档应存档保管。
八、应急响应和灾难恢复
1.信息部应建立科学的灾难预警机制,在信息系统发生紧急事件后,应建立应急指挥中心,统一领导、协调和指挥所有应急响应工作,加强信息沟通和跨部门协调,提高机构整体的应急响应和应急处置能力;组织灾难恢复专业人员尽快对事件进行响应和评估;采取相应的风险处置和弥补措施,降低可能造成的损失,防范事态恶化;根据对紧急事件的处置和评估结果,决策是否对灾难备份中心发出灾难预警。
2.公司应加强媒体公关和客户服务工作,避免造成恶劣的社会影响。发生重大灾难事件,应根据有关要求,及时向董事会报告。
3.灾难恢复工作人员应根据灾难恢复预案执行相关的指挥和操作工作,并及时跟踪事态变化和恢复进程,加强沟通,加强恢复工作的统一指挥和管理。
4.公司应保证并合理配置恢复所需的各项资源,确保灾难恢复工作的顺利实施。
5.应明确信息系统的重建方案,在进行信息系统重建前应评估灾难造成的损失。
6.灾难恢复之后,应及时组织相关人员进行总结,修订灾难恢复策略和灾难恢复预案。
同行都在看,公众号搜索“内审网”关注
和100000+行业精英共同学习、分享、交流
>>免费资料:内审|内控|监察|财务|税务|office…资料,请在内审网公众号后台回复"资料"(仅限学习研究,不得用于商业用途)
>>注会教材:2018年CPA教材PDF电子版,后台回复“注会教材”
>>报告大全:内审内控各种报告模板大全,请在内审网公众号后台回复"报告大全"
>>制度大全:企业各领域制度模板大全,请在内审网公众号后台回复"制度大全"
>>流程大全:企业各领域流程图大全,请在内审网公众号后台回复“流程大全”
>>免费入群:内审内控财税精英交流QQ\微信群,请在内审网公众号后台回复"加群"
>>免费咨询:内审内控问题咨询,请在内审网公众号后台回复"咨询"
>>原创投稿:原创作品投稿,免费上头条,请在内审网公众号后台回复"投稿"
知识需要分享,思想需要碰撞
右上角分享,让朋友们一起阅读吧
- 【最新】中/高级审计师 / CIA 考试培训课程
- 2024实务课程计划:审计/内控/财税/金融(全年计划·收藏)
- 基于公司治理、战略与风险管理的内部审计-培训通知
- “内部审计负责人与后备人才岗位能力”高级研修班培训通知
- 谭老师领衔:新时期内审专业能力提升-实务培训通知(可继续报名)
- 风险管理、内部控制与合规管理-2024研修班-培训通知
- “采购全流程风险管理与审计实务”培训通知
- “工程项目审计与典型案例分析”(线上+线下)培训通知
- “新监管要求下内部审计发展与实践创新高级研修班”暨“2024内部审计高质量论坛” 通知
- “全面预算编制与管理实务” (线上+线下)研修班-培训通知
- “战略视角下的成本管控实务” (线上+线下)研修班-培训通知
- “财务BP核心能力建设” 研修班-培训通知
- “业财融合实务与案例” (线上+线下)2024研修班-培训通知
- 关于举办“新形势下内部审计专业能力提升研修班 暨2024内部审计高质量发展论坛”(线上+线下)的通知
- “高风险业务循环中的内控实务” (线下+线上)培训通知
- 8432 【课件】内部审计实务+案例·精讲
- 7985 【2024高级/初级/中级审计师考试,高审评审培训课程】
- 5131 【课件】审计方案+报告+证据+审计能力建设+经济责任审计培训课程
- 5001 【课件】国有企业审计与内部控制
- 4543 【经济责任审计·准则解读】课程
- 4235 【绩效审计与内部控制审计】培训课程
- 3825 【建设工程全过程审计】培训课件
- 3747 【课件】注册制IPO审计全流程实务详解
- 3727 【EPC工程总承包项目管理与审计实务】培训课程
- 3310 【工程项目招投标风险管理与审计】培训课程
- 3111 【建设项目竣工决算审计】培训课程
- 2739 【CIA 国际注册内部审计师】培训课程+题库+模拟考试
- 5909 《企业内部审计全流程指南》
- 5326 《数字化审计实务指南》高效审计工具书
- 4698 《内控总监工作笔记》 企业内部控制工作法及案例解析
- 4396 《行政单位经济责任审计实务指南》
- 4381 《内审人员进阶之道 内部审计操作实务与案例解析》
- 4329 《内部审计工作法》
- 4302 《企业内部控制流程手册》- 第3版
- 4086 《舞弊审计实务指南》
- 4083 《金融机构审计实务指南》
- 4038 《企业内部控制全流程实操指南》
- 3950 《财务审计实务指南》
- 3920 《企业内控精细化管理全案》第三版
- 3869 《房地产企业审计从入门到精通》模块分解+操作流程+案例解析
- 3851 《企业内部控制基本规范操作指南 图解版》
- 3766 《业内部控制架构设计实操手册》
- 3491 《企业内部审计实务详解》审计程序+实战技法+案例解析