业务连续性管理程序最终版

1. 目的

本程序规定当发生重大信息安全事件或灾难时,为保护本公司业务活动免受影响，迅速恢复已中断的业务活动，实现业务持续发展而实施的管理活动. 2. 范围

本程序适用于本公司业务相关的主要业务的持续性管理控制 3。职责

3。1最高管理者（总裁）：

A、危机第一责任人,负责运营策划、实施、保持和持续改进; B、担任特别重大危机（Ⅰ级）的总指挥; C、重大危机后接受媒体报告； 3.2常务副总裁：

A、危机第二责任人,负责各事业部运营执行； B、较大危机(Ⅱ级)及一般性危机(Ⅲ级)的总指挥; 3。3人事经理:

A、人才危机进行预测；

B、收集各部门危机信息进行分析，启动危机预警, C、危机后人员的安抚及人力的调整； D、危机后对外信息的发布及媒体沟通；

E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障； 3.4 销售副总裁:

A、市场危机进行预测,收集市场信息； B、危机后负责向客户沟通，稳定市场; 3.5事业部总经理/副总经理：

业务连续性管理程序

A、对本事业部存在危机信息的收集并汇报; B、危机后本事业部人员的安抚及人力的调整； 3.6 财务总监： A、财务危机进行预测；

B、危机后提供危机所需的资金保障； 3.7采购部门负责人： A、供方危机进行预测； B、危机后物料的调配； 4 工程程序（工作流程图）

4.1危机分类

A 一般性危机（Ⅲ级）：指突然发生，事态比较简单，仅对较小范围内产生威胁或损失,只需要调度个别部门的力量和资源能够处置的事

▪ 业务持续性与影响分析报告 ▪ 业务持续性管理战略计划 ▪ 业务持续性管理实施计划 ▪ 业务持续性管理测试报告 ▪ 业务持续性管理评审报告 业务持续性和影响分析 编制业务持续性计划并实施 业务持续性定期测试与评审 必要时，对计划修改 业务连续性管理程序

件。

B 较大危机(Ⅱ级）：指突然发生,事态较为复杂，对一定区域或部门财产和安全造成威胁、已经或可能造成较大人员伤亡、较大财产损失或生态环境破坏，需要调度公司部分力量和资源进行处置的事件。 C 特别重大危机（Ⅰ级）：是指突然发生，事态非常复杂,已经或可能造成特别重大人员伤亡、特别重大财产损失或重大生态环境破坏,需要调度公司全部力量和资源，或需求助各方面资源和力量进行处置的事件。

4。2 识别公司可能面临营运中断的最大风险，导致的危机，其可归纳于以下几种（不限于）

4.2。1信誉危机：指公司在长期的生产经营过程中，公众对其产品和服务的整体印象和评价.由于没有履行合同及客户的承诺，而产生的一系列纠纷，甚至给合作伙伴造成重大损失或伤害,企业信誉下降，失去公众的信任和支持导致订单流失而造成的危机。

4。2.2战略危机：指经营决策失误造成的危机.不能根据环境条件变化趋势正确制定经营战略，而使企业遇到困难无法经营。 4.2.3运作管理危机：管理不善而导致的危机

➢ 产品质量危机：在生产经营中忽略了产品质量问题，使不合格产品流入市场，导致巨额索赔造成流动资金周转不灵。 ➢

环境污染危机.企业的 “三废\"处理不彻底，有害物质泄露，爆炸等恶性事故造成环境危害，造成停业整顿. ➢

关系纠纷危机。由于错误的经营思想、不正当的经营方式忽视

业务连续性管理程序

经营道德，员工或供方服务态度恶劣，而造成关系纠纷产生的危机。

4。2。4灾难危机：无法预测和人力不可抗拒的强制力量,如地震、台风、洪水等自然灾害、战争、重大工伤事故、经济危机等造成巨大损失的危机,危机给企业带来巨额的赔偿。

4。2。5财务危机：投资决策的失误、资金周转不灵、股票市场的波动、贷款利率和汇率的调整等。

4。2。6法律危机：高层领导法律意识淡薄，在企业的生产经营中涉嫌偷税漏税、以权谋私等。

4.2。7人才危机:人才频繁流失所造成的危机.尤其是企业核心员工离职，其岗位没有合适的人选。

4。2。8采购危机：采购成本增加，采购供应链中断。

4。2。9 出口管理及运输危机：海关扣货、交通事故等造成巨大损失的危机给企业带来巨额的赔偿。

4。3针对识别出来的重大风险可能造成的危机之优先顺序评价出重要风险危机决定将采取策略,处理风险策略考虑以下方面：

4。3.1避免风险：当风险影响极大且在公司发生的概率较低时，建立完善的管理流程阻隔风险产生。

4。3。2转移风险：当风险影响极大且在公司发生的概率较高时，购买保险，减少风险发生后复原的负担.

4。3。3降低风险:当风险影响较低且在公司发生的概率较高时，采取控制措施，当风险发生后可因适当的控制面将损失减少。

业务连续性管理程序

4.4危机前的管理

4。4。1做好危机预防工作

A、危机产生的原因是多种多样的,不排除偶然的原因，多数危机的产生有一个变化的过程，

各部门主管做好日常的信息收集、分类管理，善于捕捉危机发生前的信息，定期识别及评价危机，建立管理制度进行预防危机产生。 B、建立起危机防范预警机制，制定危机管理的应急预案，在出现危机征兆时，尽快确认危机的类型,为有效的危机控制做前期工作。 C、树立全员的危机意识， 对员工进行危机教育,定期开展危机管理培训。 4.5危机中管理 4.5.1确认危机

当危机预警发布后， 一般性危机（Ⅲ级）由部门主管进行信息收集、分析和处理， 确定问题性质，2小时内向公司常务副总报告； 较大危机(Ⅱ级）由部门经理进行信息收集、分析及处理，确定问题性质，2小时内向最高管理者报告; 特别重大危机（Ⅰ级）由常务副总进行信息收集、分析和确定问题性质，由最高管理者进行决策。 4。5。2 危机控制与解决 （A）取舍原则

a．判断危机的主要影响利益方； b．始终把对人的影响放在首位；

c．评估三标准：事情的严重性、紧迫性、未来的发展趋势。

业务连续性管理程序

（B)决策与执行 a．启用危机管理机构； b．决定主要人物的介入程度; c．保证组织内其他部门正常运转. (C)沟通媒体

a。第一时间口径一致真实披露信息，争取媒体的理解. 4。6危机后的管理

4.6.1对危机产生的原因进行系统的调查，避免可预防危机的再次爆发；

4。6。1.1对企业的危机管理工作进行评价，详细列举危机管理过程中出现的问题和成功 的经验；

4。6。1。2针对上述问题提出解决方案，利用本次危机处理过程的经验和教训来改进本部门的工作. 4.6。2 恢复

4.6。2.1有形损害的恢复 ➢

在物资上，危机过后，对设施进行重建，设备进行更新,以保证在极短的时间内恢复到危机来临之前的状态. ➢

在人员上,应对危机过程中发生的人员伤亡，组织好医疗工作和对死者家属的抚恤工作，并充分满足职工家属的愿望。 ➢

在客户订单上,调配分公司资源尽量不影响客户订单交货期,流程详见《业务连续性计划》。

业务连续性管理程序

4。6。2.2无形损害的恢复（关于企业形象的恢复） ➢ ➢ ➢

把公众利益放在第一位。 善待被害者.

争取新闻界的理解和合作.

4.6。2。3发展恢复力 ➢

所谓恢复力，是指危机爆发之后，企业恢复到危机之前的正常状态的能力. ➢

从非正常状态回到正常状态的能力越强，所需要花费的时间和资源也就越少。 ➢

发展组织和员工的恢复力，以消除可能存在的危机影响,并且使危机事件影响企业组织和员工后能得到尽快恢复。 5 相关文件

《业务持续性和影响分析报告》 《业务持续性管理战略计划》 《业务持续性管理实施计划》 《业务持续性管理计划测试报告》 《业务持续性管理计划评审报告》