內政部消防署暨所屬機構業務持續運作程序規範

一、目的
    為降低內政部消防署（以下簡稱本署）暨所屬機構核心系統服務中斷
    或遭受災害之負面衝擊，特訂定本規範。

二、依據
（一）行政院及所屬各機關資訊安全管理要點。
（二）行政院及所屬各機關資訊安全管理規範。
（三）本署暨所屬機構資通安全政策及管理要點。

三、業務衝擊分析與備援措施
（一）依國家資通安全會報訂定之「資訊系統分級與資安防護基準作業規
      定」進行系統分級，評估結果安全等級高之系統即為本署之核心系
      統。
（二）核心系統應進行業務衝擊分析，評估系統中斷時，對於本署業務流
      程之影響及衝擊程度，據以判斷最大可容忍中斷時間（MTPD）、復
      原時間目標（RTO） 及資料復原時間目標（RPO） 。
（三）核心系統應依 RTO，規劃備援措施。

四、業務持續運作計畫
（一）核心系統應指派負責人，各負責人應對核心系統擬定「業務持續運
      作計畫」（BCP） 或「災害復原作業說明書」（DRP） ，前述 BCP
      或 DRP  得併於該「系統維護說明書」之中。
（二）各核心系統之運作，若因不可抗力或人為因素，造成服務中斷，應
      採取緊急應變措施及復原程序，以維持日常業務之持續運作，降低
      對業務活動之衝擊。
（三）「業務持續運作計畫」或「災害復原作業說明書」之內容，宜包含
      下列項目：
      1.目的：說明欲達成之目標。
      2.範圍：說明所適用之範圍。
      3.假設：說明復原作業擬定時之假設條件。
      4.啟動條件：說明復原作業何時啟動。
      5.發展與維護：說明復原作業程序之發展、變更條件與維護之職責
        。
      6.測試及演練：說明業務持續運作計畫與災害復原作業說明書測試
        及演練之項目與執行方式。
      7.應變處理：說明災害緊急處理或應變程序等。
      8.回復作業：說明回復場所的清理、清查、準備、人員責任、設施
        、網路、系統之回復程序等。
（四）災害復原程序應每年至少進行測試演練一次，以確保復原程序之有
      效性，並使相關人員確實瞭解與熟悉。

五、附則
（一）本署所屬機構得視本身業務之個別需求，依據本規範另訂相關規範
      ，報署核備後實施。
（二）本規範自核定後實施，修正者亦同。