行业机构根据业务影响分析和信息技术
服务连续性风险评估结果,在信息技术服务连续性策略指导下,建设信息技术服务连续性
管理所需资源并定期维护,保障信息技术服务连续性计划顺利执行。行业机构将信息技术服务连续性作为信息系统
和基础设施建设的基本需求,并在人员配置过程中考虑到信息技术服务连续性管理的需求。
行业机构识别适当的措施来维护、扩充核心技能和知识的可用性,以应对事件导致员工可用性减少
的事态。这些措施主要包括:
——为人员提供信息技术服务连续性管理培训和专业技能培训;
——为关键岗位准备备份人员;
——为关键操作程序安排交叉复核人员;
——制定人员继任计划;
——分散核心能力以减少事件的影响,如设立多个技术系统运营团队、多地办公等;
——建立保留知识和经验的文档管理过程。
行业机构保护对信息技术服务正常运行所需的信息和数据,并确保这些信息和数据的恢复能够满足
机构设定的信息技术服务恢复目标要求。
行业机构建设和维护信息技术服务连续性管理所需的场所和设施,主要包括:
——备数据中心及配套基础设施;
——应急指挥中心及配套通讯设施;
——备用办公场所及配套基础设施;
——消防、应急照明等设施;
——应对本机构所在地可能发生的自然灾害(如水灾等)、公共卫生事件所需的防灾减灾设施;
——远程办公基础设施;
——通勤交通工具等。
行业机构建设可满足信息技术服务连续性需求的信息系统。信息系统的数据备份能力和故障应对能
力符合信息技术服务恢复目标要求。
行业机构考虑以下事项:
——用高可用的信息系统架构;
——采用自动故障切换方式替代人工干预;
JR/T 0251—2022
——提供额外的通信线路;
——管控信息系统的变更过程;
——强化信息系统安全管理;
——定期对信息系统备份能力进行测试。
行业机构确保其信息技术服务所选关键设备供应商具备有效的业务连续性管理措施。可采取的措施
包括:
——评估供应商的业务连续性能力,尤其宜关注如不能提供服务或产品将立即导致信息技术服务中
断的供应商;
——在标书和合同中要求与信息技术服务连续性有关的技术参数和服务要求;
——定期审核供应商的业务连续性计划;
——选取备用供应商,以应对主供应商不能提供产品或服务的情况发生。
行业机构编制信息系统、基础设施、通讯设施、防灾减灾设施等信息技术服务相关资源的操作手册,
供信息技术服务中断事件处置过程中参考和使用。
操作手册包括资源的功能、使用方法、配置信息、管理员信息、常见故障的解决方法等内容。
行业机构提供应急联系途径,接收来自客户或其他相关方的信息技术服务中断事件投诉或通知信
息,对这些信息进行记录,通知相关部门进行核实和处置。
行业机构记录监管机构、供应商、公共服务机构、媒体等相关方联系方式并定期更新。
行业机构编制连续性资源报告,说明信息技术服务连续性策略所需资源准备情况和维护情况。资源
报告的内容主要包括:
a) 资源报告的目的和范围;
b) 参与资源准备的部门、人员和职责分工;
c) 资源准备过程和结果;
d) 资源维护情况;
e) 总结和建议