连续性策略
概述
行业机构定期制定或完善本机构的信息技术 服务连续性策略。根据业务影响分析和连续性风险评估结果,制定或更新连续性 策略内容,对策略的可行性进行评估。8.2 制定策略
策略主题
信息技术服务连续性策略包括且不限于: ——信息技术服务中断事件决策和授权策略; ——信息系统 应急处置和恢复策略;——信息系统灾备建设策略; ——重要岗位人员备份策略; ——信息技术服务风险控制策略; ——危机沟通策略等。
将相关方纳入策略
在制定上述连续性策略过程中,行业机构还宜考虑将如下措施纳入策略: ——接受来自监管机构、公共服务机构、供应商、业务关联机构等发布的预警信息,并及时采取措 施预防可能发生的信息技术服务中断事件; ——确保信息技术服务相关供应商的业务连续性,尤其是如不能交付服务将立即导致信息技术服务 中断的供应商; ——根据需要,与相关机构签订协议,以便在信息技术服务中断事件发生后可获取所需的资源或服 务。
评估策略
行业机构对连续性策略进行评估,包括: a) 评估策略实施的可行性; b) 评估策略实施的有效性; c) 评估新策略是否会引入额外的风险; d) 评估策略实施的成本和收益。 8.4 连续性策略报告 行业机构编制信息技术服务连续性策略报告,说明连续性策略的制定过程和结果。连续性策略报告 的内容主要包括: a) 连续性策略的目的和范围; b) 参与制定连续性策略的部门、人员和职责分工; JR/T 0251—2022 7 c) 策略制定过程和产出物。产出的策略包括拟采用方法或措施、所需资源、责任部门、时间要求 等; d) 总结和建议
